Pas de Thunderbolt sur les Surface : Microsoft invoque l’argument sécuritaire

Elégants, performants, les produits de la gamme Surface sont généralement appréciés en dépit de quelques faiblesses. Parmi elles, l'impossibilité de remplacer la RAM et l'absence de connectique Thunderbolt 3, pourtant généralisée chez la concurrence. Deux lacunes que Microsoft justifie par sa volonté d'offrir des appareils les plus sécurisés possibles.

Dans une présentation dévoilée à l’occasion d’un événement en ligne, Microsoft tente de justifier l’absence surprenante de connectique USB-C Thunderbolt 3 sur les différents appareils de sa prestigieuse gamme Surface, et la présence (nettement plus classique) de mémoire vive soudée à la carte mère. D’après le géant de Redmond, le protocole de transfert Thunderbolt 3 ne serait tout simplement pas assez sécurisé, quant à la RAM… elle pourrait être victime d’une attaque à l’azote liquide si elle n’était pas rivée à la carte mère.

Le procédé DMA mis en cause

Principal argument de Microsoft pour expliquer pourquoi ses produits Surface font l’impasse sur toute connectique Thunderbolt 3 (en dépit de port USB-C bien présents) : l’accès direct à la mémoire vive dont le procédé DMA (Direct Memory Access) profite. Pour permettre des transferts de données aussi rapides, le Thunderbolt 3 utilise le procédé DMA pour obtenir un accès direct à la RAM, sans être contraint de solliciter l’OS ou le processeur. Une méthode efficace, mais qui comporte un risque. Si votre appareil vous est volé, il est alors possible d’utiliser les ports Thunderbolt 3 pour contourner l’écran de verrouillage, injecter des malwares, ou encore obtenir certaines données confidentielles, comme des clés Bitlocker.

https://twitter.com/h0x0d/status/1253917701719769088?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1253917701719769088&ref_url=https%3A%2F%2Fmspoweruser.com%2Fmicrosoft-reveals-why-no-surface-device-has-thunderbolt-and-you-cant-upgrade-your-ram%2F

La logique de Microsoft à l’égard de la RAM soudée va à peu près dans le même sens. Si votre appareil vous est subtilisé, pouvoir séparer la RAM du PC peut permettre de la retourner contre vous. L’argument semble toutefois un peu moins probant. Microsoft explique en effet que pour ce faire, des personnes malveillantes devraient utiliser de l’azote liquide pour « figer » sans alimentation l’état de la mémoire vive, avant de la détacher pour la lire à l’aide d’un lecteur de RAM externe. En théorie, de nombreuses manipulations sont alors possibles.

Le Thunderbolt 3 pourtant bientôt ajouté à des produits Surface ?

Si les arguments de Microsoft sont recevables (ces méthodes de piratage existent et sont envisageables), ils ne sont pertinents que dans le cas où l’appareil est utilisé à l’insu de son propriétaire. On pourra alors arguer qu’il existe toute une suite de méthodes autre que le détournement du procédé DMA, ou que la lecture de RAM figée à l’azote, pour obtenir l’accès à des fichiers importants sur un appareil par exemple volé.

Fait intéressant, Microsoft semble néanmoins préparer une solution qui lui permettrait d’ajouter un port Thunderbolt 3 à de futurs produits Surface… et sans transiger sur la sécurité. MSPowerUser rappelle ainsi que le groupe a récemment introduit une nouveauté baptisée Kernel DMA Protection. Déployée avec Windows 10 1803, elle vise justement à protéger le PC d’attaques exploitant le procédé DMA.