DMA FireWire & Thunderbolt 2026 : Inception, PCILeech

Les attaques DMA (Direct Memory Access) via FireWire (IEEE 1394) et Thunderbolt exploitent une primitive simple : tout périphérique branché en DMA peut lire et écrire la RAM système sans passer par le CPU ni l'OS. Avec accès physique 5 minutes et un câble FireWire ou Thunderbolt, un attaquant dumpe la mémoire d'un laptop verrouillé, patche le bypass du mot de passe Windows ou Linux, extrait clés BitLocker, tokens Kerberos, hashes LSASS. Documentée publiquement depuis 2004 (Maximillian Dornseif), industrialisée avec Inception (2011) puis PCILeech (2016), la classe d'attaques reste pertinente en 2026 — Apple Silicon, Windows 11 24H2 et nombreux laptops Linux la mitigent partiellement seulement. Cet article documente les vecteurs FireWire et Thunderbolt actuels, les outils 2026, et les défenses concrètes pour postes entreprise.

1. Le principe DMA et pourquoi c'est exploitable

Le Direct Memory Access est une fonctionnalité matérielle datant des années 1970 : un périphérique (carte réseau, contrôleur disque, GPU, etc.) peut écrire et lire la RAM système directement sans interruption CPU. Avantage : performance — c'est essentiel pour transferts haut débit. Risque : sécurité — si le périphérique est malveillant ou si le bus est exposé, accès complet à la mémoire système. Les bus DMA externes historiquement exposés : FireWire IEEE 1394 (1995-2010s, Mac, laptops haut de gamme), ExpressCard 34/54 (laptops pro 2003-2015), Thunderbolt 1/2 (Mini DisplayPort, 2011+), Thunderbolt 3/4 et USB4 (USB-C, 2015+), et PCIe externe via certains hubs ou docks. Les bus USB classiques (1.x à 3.x avant USB4) ne sont pas DMA — ils passent par l'OS via le contrôleur xHCI. Donc une attaque sur un port USB-A simple ne fonctionne pas par DMA (autres classes d'attaques existent : BadUSB, HID injection).

2. Attaques FireWire — historique et état 2026

Les attaques FireWire sont l'archétype des attaques DMA grand public. Démontrées en 2004 par Maximillian Dornseif sur Mac OS X, étendues à Windows en 2006 par Adam Boileau, industrialisées en 2011 par Carsten Maartmann-Moe via l'outil Inception (Python + libforensic1394). Mécanique : (1) connecter un câble FireWire à la cible, (2) le port FireWire avoue une identité OHCI compatible, (3) l'OS l'accepte automatiquement comme bus DMA, (4) l'outil attaquant scanne les premiers 4 GB de RAM (FireWire 32-bit limit), (5) patch en RAM les fonctions MsvpPasswordValidate (Windows) ou pam_unix.so (Linux) pour accepter n'importe quel mot de passe, (6) déverrouillage et accès console. État 2026 : FireWire a quasi disparu des laptops grand public (dernière génération MacBook Pro FireWire = 2012), mais subsiste sur (a) machines industrielles et caméras pros, (b) certains serveurs avec carte FireWire PCIe, (c) infrastructures KVM legacy. Les attaques restent triviales sur ces vecteurs si IOMMU/VT-d n'est pas activé.

3. Attaques Thunderbolt — le vecteur moderne

Thunderbolt (3 et 4 sur USB-C, 1/2 sur Mini DisplayPort) est devenu le successeur naturel de FireWire pour la DMA externe. Thunderbolt expose un bus PCIe x4 (TB3) ou PCIe x4 + USB4 (TB4), avec adressage 64-bit donc accès à toute la RAM. Trois familles d'attaques notables : (1) Thunderclap (Markettos et al., NDSS 2019) — attaques sur IOMMU mal configurée Linux/Mac/Windows ; (2) Thunderspy (Björn Ruytenberg, 2020, 7 vulnérabilités) — bypass Security Levels Thunderbolt 1-3 sur tous laptops pré-2019 même avec IOMMU ; (3) attaques génériques DMA sur OS pré-2019 / IOMMU désactivée. État 2026 : Windows 11 et macOS Sonoma+ activent par défaut Kernel DMA Protection (Windows) ou IOMMU + PCIe Tunneling protection (macOS), mais nombreux laptops Linux entreprise restent vulnérables sans iommu=force au boot. Les attaques Thunderspy spécifiquement nécessitent accès physique 5 min + dévissage du capot pour reflasher firmware contrôleur — moins discret mais toujours exploitable.

4. Outils 2026 — Inception, PCILeech, MemProcFS

Trois outils dominent l'écosystème DMA en 2026. Inception (Carsten Maartmann-Moe, Python, GPL-3) : exploitation FireWire IEEE 1394 classique. Installation pip + libforensic1394. Commandes : incept --bypass (patch login Windows), incept --dump (dump RAM brut), incept --search "password" (recherche cleartext). Limite : 4 GB de RAM scannés (FireWire 32-bit). PCILeech (Ulf Frisk, C, GPL-3) : exploitation PCIe / Thunderbolt / FPGA. Supporte USB3380, FPGA Screamer M.2 (~250 €), FT2232H boards. Commandes : pcileech identify, pcileech display -min 0x1000 -max 0x100000, pcileech wx64_filepull (vol fichiers via DMA), pcileech pt_pid_list (énum processus Windows via parsing kernel). PCILeech permet aussi memory injection sophistiquée : changer un bit dans le kernel pour escalation, patcher PsActiveProcessHead pour cacher un process. MemProcFS (Ulf Frisk, C, AGPL-3) : monte la RAM d'une cible comme un FUSE filesystem, navigation des processus, registre, handles, modules, comme un système de fichiers. Combinaison gagnante : PCILeech dump puis MemProcFS pour analyse.

5. Hardware d'attaque — Screamer M.2 et alternatives

Le dispositif star pour attaques Thunderbolt/PCIe en 2026 est le Screamer M.2 (Ulf Frisk, ~250 €). C'est une carte FPGA M.2 PCIe x4 qui se connecte à un dock Thunderbolt 3/4 ou directement dans un slot M.2 du laptop cible (si capot ouvert). Avantages sur USB3380 : performance bien supérieure (gbits/s), support Thunderbolt 3/4, firmware open-source modifiable. Le Screamer expose une interface ftdi/USB côté attaquant et un endpoint PCIe côté cible. Combiné à PCILeech, il permet attaque complète en 5 minutes : connexion → identification PCIe → bypass IOMMU si possible → patch login → accès console. Alternatives moins chères mais limitées : USB3380 board (50-80 €, plus lent), FT2232H Mini-Module (40 €, complexité élevée), Inception-compatible FireWire ExpressCard (rare en 2026). Pour attaques industrielles ou red team longue durée : NSA Tailored Access Operations et plusieurs APT utilisent des implants DMA hardware custom.

6. Défense #1 — Kernel DMA Protection Windows

Microsoft a introduit Kernel DMA Protection avec Windows 10 1803 (avril 2018) et l'a rendu obligatoire pour tout nouveau PC Modern Standby depuis Windows 11. Mécanique : le kernel Windows refuse l'attachement automatique d'un nouveau périphérique PCIe externe (Thunderbolt) tant que l'utilisateur n'est pas authentifié et n'a pas accepté l'appairage. Couche IOMMU (Intel VT-d / AMD-Vi) configurée pour isoler les périphériques externes du DMA arbitraire. Vérifier l'état : msinfo32 → ligne "Kernel DMA Protection" doit être "ON". Activation : nécessite BIOS UEFI avec VT-d / AMD-Vi activé, Secure Boot activé, processeur moderne (Intel 8e gen+, AMD Ryzen 2000+), TPM 2.0. Limitations : ne protège PAS contre Thunderspy (qui modifie firmware avant boot) ; ne protège pas si l'utilisateur est déjà authentifié et a accepté l'appairage du dock. Recommandation entreprise : Kernel DMA Protection activé + BitLocker avec PIN pre-boot + désactivation port Thunderbolt si non utilisé.

7. Défense Linux — IOMMU et passthrough

Sous Linux, la défense DMA repose sur l'IOMMU activée et configurée strictement. Vérifier : dmesg | grep -i iommu doit montrer "DMAR: IOMMU enabled" ou "AMD-Vi: AMD IOMMU detected". Sinon, ajouter au GRUB : intel_iommu=on iommu=force iommu.passthrough=0 iommu.strict=1 pour Intel, ou amd_iommu=on iommu=force pour AMD. Le drapeau passthrough=0 force les périphériques à passer par l'IOMMU même s'ils déclarent ne pas en avoir besoin. Sur kernels 5.4+, la fonctionnalité CONFIG_INTEL_IOMMU_DEFAULT_ON=y ou paramètre intel_iommu=on protège dès le boot. Configurations laptops Linux entreprise (Lenovo ThinkPad, Dell Latitude, Framework) : activer dans BIOS "VT-d" + "Thunderbolt Security Level: User Authorization" (au lieu de "Legacy" ou "None"). Tester la protection : avec un Screamer ou USB3380 inséré et OS verrouillé, tenter pcileech identify depuis le dispositif → doit être bloqué par IOMMU.

8. BitLocker et défenses cryptographiques

BitLocker en mode TPM-only protège le disque chiffré mais ne protège pas contre les attaques DMA en runtime sur une machine déverrouillée : la clé BitLocker est en RAM, donc dumppable. Mode recommandé entreprise : TPM + PIN pre-boot (PIN 6-20 caractères) — l'attaquant doit connaître le PIN pour déverrouiller, et la clé n'est en RAM qu'après authentification. Combiné avec Kernel DMA Protection, cela élimine la classe d'attaques DMA cold-boot et la majorité des DMA runtime. Pour les laptops les plus sensibles (administrateurs, COMEX, OSINT, OIV) : BitLocker TPM+PIN+USB key, secedit politique "Allow secure boot for integrity validation" obligatoire, et Suspend to RAM remplacé par Hibernation (clé évacuée vers TPM en hibernation, plus en RAM). Voir DMA Attacks Thunderbolt PCIe Firewire.

9. Scénarios d'attaque entreprise réalistes 2026

Scénario A — laptop volé/confisqué : laptop entreprise volé en gare ou aéroport, attaquant a 1-3 jours. Pré-2019 / IOMMU off : bypass BitLocker via DMA cold boot, accès complet en 30 min. Post-2019 / KDP on / BitLocker TPM+PIN : difficile sans Thunderspy (qui demande dévissage), prend 2-4h. Scénario B — accès maintenance bureau : intervenant maintenance prétendant remplacer un dock Thunderbolt, branche un Screamer en 10 secondes pendant pause café. Le poste est verrouillé mais session active. Si KDP off : bypass écran verrouillage en 5 min, exfil credentials Mimikatz via DMA. Si KDP on : appairage refusé, attaque infructueuse. Scénario C — salle serveurs avec FireWire/eSATA legacy : carte de management iLO/iDRAC avec port FireWire (rare mais existant sur HP Gen8/Dell R720). Insider IT branche Inception, dump RAM serveur, extrait credentials AD admin. Scénario D — kiosk public ou borne : kiosk Windows kiosque chiffré, attaquant branche Screamer en USB-C (si Thunderbolt) en 30 sec, prend contrôle. Voir DMA Attacks Thunderbolt PCIe Firewire.

10. Détection — peut-on voir une attaque DMA ?

Détection d'attaques DMA est intrinsèquement difficile : par définition, l'attaque court-circuite le CPU et l'OS. Néanmoins, plusieurs signaux indirects : (1) nouveau périphérique PCIe apparaissant sans cause légitime — événement Windows Setup 20003/20004, journaux Linux dmesg ; (2) changement BIOS Thunderbolt Security Level (Legacy/User/DPOnly/None) détecté par MDM (Intune, Workspace ONE) ; (3) boot integrity check via TPM PCR mesures — Windows Defender System Guard ou Linux IMA détectent altérations runtime ; (4) EDR runtime checks : Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne tracent les modifications mémoire suspectes du kernel (limité dans le temps réel). Solutions plus radicales : tamper-evident hardware (vis avec scellés, etiquettes), laptops sans port DMA externe (rare en 2026, IBM Workpad ou modèles custom gov), laptops avec interrupteur physique Thunderbolt (Framework Laptop avec interrupteur firmware désactivable).

11. Apple Silicon M1/M2/M3/M4 — protection native

Les Macs Apple Silicon (M1 fin 2020+, M2 2022, M3 2023, M4 2024) introduisent une protection forte par design : IOMMU custom Apple intégrée au SoC, contrôleur Thunderbolt isolé via PPL (Page Protection Layer), kernel intégrité protégée par hardware. Les attaques Thunderbolt classiques (Thunderclap, Thunderspy) sont neutralisées sur Apple Silicon. Néanmoins : (1) Macs Intel pré-2020 restent vulnérables si non patchés ; (2) attaques sur firmware T2 (sur Macs Intel 2018-2020) ont été documentées (checkm8 + blackbird) ; (3) attaques d'extraction de clés via canaux side-channel (Spectre, M1 PACMAN 2022, GoFetch 2024) restent une menace pour les acteurs étatiques. Pour les utilisateurs hauts risques avec Mac : MacBook M3/M4 + FileVault + mode Lockdown activé + désactivation Thunderbolt par MDM.

12. Recommandations pour DSI et MSP

Politique DSI/MSP type pour parc laptop entreprise en 2026 : (1) laptop minimum Intel 11e gen ou AMD Ryzen 5000+ compatible KDP ; (2) Kernel DMA Protection ON vérifié par MDM (Intune compliance policy) ; (3) BitLocker TPM+PIN obligatoire sur 100 % des laptops, PIN 8 caractères min ; (4) Thunderbolt Security Level = User Authorization au minimum dans BIOS ; (5) désactivation Thunderbolt PCIe dans BIOS si non utilisé ; (6) hibernation au lieu de suspend to RAM sur laptops admin ; (7) politique de transport : laptop verrouillé hibernation lors de déplacements, pas en suspend ; (8) tamper-evident seals sur capot pour les laptops administrateurs ; (9) plan incident vol : declassification BitLocker + rotation credentials 24h. Voir Auditer et Sécuriser un Serveur Linux : Stack Open Source pour le pendant Linux.

Sources : Microsoft Kernel DMA Protection documentation ; Thunderspy report (Björn Ruytenberg 2020) ; Thunderclap paper (NDSS 2019, Markettos et al.) ; PCILeech and MemProcFS GitHub (Ulf Frisk) ; Inception (Carsten Maartmann-Moe) ; CISA advisory on DMA-based attacks 2023.

13. Articulation avec NIS2, DORA et ISO 27001 — comprendre les obligations 2026

Le sujet du firewire thunderbolt s'inscrit en 2026 dans un cadre réglementaire européen et français dense qui structure les obligations des organisations. Trois textes majeurs encadrent désormais la posture cyber. (1) Directive NIS2 (UE 2022/2555) transposée en droit français par la loi de novembre 2024 — élargit considérablement le périmètre par rapport à NIS1 : passage de ~300 à ~10 000 entités françaises classées soit Entités Essentielles (EE), soit Entités Importantes (EI). Les obligations centrales (article 21.2) incluent l'analyse de risques annuelle, la gestion des incidents avec notification ANSSI < 24h, la continuité d'activité, la sécurité de la chaîne d'approvisionnement, la sécurité de l'acquisition/développement/maintenance, l'évaluation de l'efficacité, la formation cyber, les politiques cryptographie et contrôle d'accès, l'authentification multifacteur. Les pratiques liées à attaques DMA via FireWire et Thunderbolt touchent directement plusieurs de ces obligations. (2) Règlement DORA (UE 2022/2554) applicable depuis janvier 2025 — concerne les entités financières (banques, assurances, sociétés de gestion, fintechs). Cinq piliers : gestion des risques ICT, gestion des incidents, tests de résilience opérationnelle (TLPT triennal pour entités critiques), gestion des risques tiers ICT, échange d'informations. (3) ISO 27001:2022 — norme internationale du SMSI avec 10 clauses de management et 93 contrôles Annexe A organisés en 4 thèmes : organisationnel, personnel, physique, technologique. La certification ISO 27001 fournit un cadre robuste qui couvre l'essentiel des exigences NIS2 et DORA, avec mapping documenté. Voir ISO 27001:2022 Guide Complet Certification Expert et NIS2, DORA et RGPD : Cartographie des Exigences Croisées.

14. KPI et indicateurs de pilotage — mesurer l'efficacité

Au-delà de la mise en œuvre initiale, le pilotage des sujets relatifs au firewire thunderbolt exige des indicateurs mesurables et révisés mensuellement ou trimestriellement. Cinq familles d'indicateurs structurent un tableau de bord cyber moderne 2026. (1) Couverture : pourcentage d'actifs couverts par la mesure (endpoints sous EDR, comptes en MFA, applications avec WAF, etc.) avec cible >= 95 % pour les mesures critiques. (2) Performance opérationnelle : MTTD (Mean Time To Detect) cible < 4h pour incident critique, MTTR (Mean Time To Respond) cible < 24h, taux de remédiation des vulnérabilités critiques dans le SLA (cible > 90 % patchés J+15 du Patch Tuesday). (3) Conformité : score d'audit interne ou externe (cible > 75/100), nombre de non-conformités majeures (cible 0 par trimestre), avancement plan d'action (cible > 80 % à 6 mois). (4) Maturité : score CMMI par domaine (Initial / Managed / Defined / Quantitatively Managed / Optimizing), évolution annuelle attendue +1 niveau par domaine prioritaire. (5) Risque résiduel : nombre de risques résiduels élevés non traités, valeur en € des risques résiduels selon analyse EBIOS RM, vraisemblance / gravité moyennes. Ces KPIs alimentent les revues de direction trimestrielles (ISO 27001 clause 9.3) et les rapports COMEX trimestriels. Voir Tableau de Bord KPI ISMS ISO 27004 : Excel.

15. Retour d'expérience terrain — 3 missions anonymisées

Trois cas concrets observés sur missions 2024-2026 illustrent les enjeux pratiques autour du firewire thunderbolt. Cas A — ETI industrielle 1 800 postes multi-sites (anonymisée) : initiative de modernisation de la posture cyber lancée en 2024 à la demande du COMEX après tentative de ransomware (chiffrement partiel évité grâce à EDR). Périmètre : 5 sites France + 2 Allemagne, AD complexe avec 3 forêts, mix Windows/Linux/OT. Démarche : audit complet (12 jours), pentest externe + interne (15 jours), pentest applicatif sur 2 apps métier critiques (10 jours), plan d'action 18 mois. Investissement total accompagnement : 380 000 € HT sur 18 mois (audits + remédiation + formation). Résultats à 18 mois : score posture cyber passé de 48/100 à 84/100, certification ISO 27001 obtenue, posture NIS2 conforme, 0 incident critique post-remédiation. Cas B — PME services 220 salariés (anonymisée) : remplacement d'un ancien prestataire d'audit jugé trop superficiel, demande pour audit complet en première intention. Périmètre : 1 site principal + 3 antennes commerciales, M365 + AD basique, 1 application web SaaS interne. Démarche : audit cybersécurité PME 15 contrôles (8 jours), pentest externe léger (4 jours), accompagnement remédiation 60 jours. Investissement : 22 000 € HT total. Résultats : MFA déployée 100 %, EDR en place sur 100 %, sauvegardes 3-2-1 testées trimestriellement, conformité cyber-assurance obtenue avec réduction de prime 18 %. Cas C — Collectivité 8 000 agents (anonymisée) : préparation à homologation RGS renforcée d'une plateforme de téléservices avec 1,2 M usagers. Périmètre : portail web, back-office, base de données, intégrations multiples (FranceConnect, INSEE, ANTAI). Démarche : analyse EBIOS RM (3 mois), audit PASSI architecture + configuration + tests d'intrusion (6 semaines), constitution dossier d'homologation, commission, signature. Investissement : 145 000 € HT. Résultats : homologation niveau renforcé délivrée fin 2025, validité 3 ans avec revue annuelle, intégration smooth avec FranceConnect+, fréquentation usagers en croissance +27 %.

16. Erreurs fréquentes et bonnes pratiques 2026

Six erreurs récurrentes observées sur les sujets liés au firewire thunderbolt en 2024-2026, et leurs contournements. Erreur 1 — démarrage sans cadrage : se lancer dans la mise en œuvre sans phase préalable d'analyse de contexte, d'inventaire et de cartographie. Conséquence : périmètre mal défini, budget dérapant, livrable inadapté. Bonne pratique : 5-10 % du temps total en cadrage, ateliers contradictoires avec parties prenantes, RACI clair. Erreur 2 — copier-coller des bonnes pratiques sans adaptation : appliquer une checklist générique sans contextualiser à la taille, secteur, contraintes de l'organisation. Conséquence : surinvestissement ou sous-investissement, démotivation équipe. Bonne pratique : référentiel proportionné au profil (CIS Implementation Group 1 pour PME, IG2 pour ETI, IG3 pour grands comptes). Erreur 3 — focus sur l'outil au détriment du processus : acheter une solution technique (EDR, SIEM, IAM) sans définir au préalable les processus opérationnels et les rôles. Conséquence : outil sous-exploité, alertes ignorées, ROI faible. Bonne pratique : processus avant outil, formation équipes, runbooks documentés. Erreur 4 — absence de plan post-projet : finaliser la mise en œuvre sans plan de continuité opérationnelle, de revue périodique, de mise à jour. Conséquence : dérive lente de la posture, retour à l'état initial en 12-24 mois. Bonne pratique : plan annuel de mise à jour, revue trimestrielle KPI, audit annuel externe. Erreur 5 — sous-estimation de la conduite du changement : déployer techniquement sans accompagner les utilisateurs et opérationnels. Conséquence : résistance, contournements (post-it mots de passe, désactivation MFA, etc.). Bonne pratique : 15-25 % du budget projet en communication, formation, support. Erreur 6 — pas d'évaluation indépendante : s'auto-évaluer sans regard externe critique. Conséquence : angle mort persistants, biais de confirmation. Bonne pratique : audit externe annuel par prestataire différent de l'intégrateur, alternance des auditeurs tous les 2-3 ans.

17. Écosystème des acteurs cyber français 2026

L'écosystème cyber français en 2026 comporte plusieurs catégories d'acteurs complémentaires à mobiliser selon les besoins liés au firewire thunderbolt. (1) Cabinets de conseil cyber généralistes : Big 4 (Deloitte, EY, KPMG, PwC), Capgemini, Sopra Steria, Atos Eviden, Wavestone, Mazars, Beijaflore. Forces : couverture globale, références grands comptes, méthodologies normalisées. Limites : prix élevés, parfois trop pyramidal. (2) Cabinets cyber spécialisés : Synacktiv, Wallix, Stormshield Audit, Almond, Devoteam Cyber Trust, Wavestone Cybersecurity, Algosecure, Itrust, HarfangLab Services, et acteurs régionaux. Forces : expertise technique pointue, agilité, prix compétitifs. Limites : ressources limitées sur très gros projets. (3) Cabinets d'expertise pure-players souvent < 30 consultants, spécialisés (AD, cloud, OT, IA security) — typiquement ce que nous représentons. Forces : profondeur d'expertise, contact direct expert, flexibilité. Limites : capacité limitée projet très grande taille. (4) MSSP et MDR managés : Orange Cyberdefense, Thales Cyber Solutions, Atos Big Fish, Sopra Steria CyberSecurity Services. Forces : opérations 24/7, SLA, mutualisation. (5) Solutions software éditeurs : Wallix (PAM), Stormshield (UTM), Tehtris (XDR), HarfangLab (EDR), Datadog (observability), Snyk (DevSecOps). (6) Acteurs publics : ANSSI (autorité nationale), CERT-FR, Cybermalveillance.gouv.fr, France 2030 / Plan France Relance cyber, BPI France Diag Cyber, régions (BoosterCyber Île-de-France). (7) Communautés et écosystème : Clusif, Hexatrust, FIC (Forum International de la Cybersécurité, devenu InCyber Forum), Le Hack, BSides Paris, OSSIR, Cesin. Construire un écosystème de prestataires complémentaires plutôt que dépendre d'un acteur unique réduit le risque et améliore la couverture expertise.

FAQ

Une attaque FireWire est-elle encore possible en 2026 ?

Oui sur les laptops/serveurs avec FireWire (rare mais existant : machines industrielles, caméras pro, certaines stations audio/vidéo, infrastructures legacy). Si IOMMU/VT-d est désactivée, l'attaque Inception fonctionne en 5 min. Sur OS modernes (Windows 11, Linux kernel 5.10+, macOS Sonoma+) avec IOMMU activée, le bus FireWire est isolé du DMA arbitraire — l'attaque échoue silencieusement.

Kernel DMA Protection est-il activé par défaut sur Windows 11 ?

Sur Windows 11 et tout nouveau PC Modern Standby certifié post-2021, KDP est activé par défaut si le matériel le supporte (Intel 8e gen+/AMD Ryzen 2000+, VT-d/AMD-Vi activé BIOS, TPM 2.0). Vérifier via msinfo32 ligne 'Kernel DMA Protection'. Sur laptops pré-2019 upgrade Windows 11 (par voie de contournement matériel), KDP peut être absent — vérifier impérativement.

Thunderspy reste-t-il exploitable en 2026 ?

Partiellement. Les 7 vulnérabilités Thunderspy (2020) ont été patchées en firmware Thunderbolt par Intel et constructeurs (Lenovo, Dell, HP, etc.) sur les laptops 2020+. Sur laptops pré-2020 non patchés (firmware Thunderbolt jamais mis à jour), Thunderspy reste exploitable avec accès physique + dévissage capot pour reflashage firmware. Vérifier le firmware Thunderbolt à jour via outils constructeur (Lenovo Vantage, Dell Command Update).

Comment vérifier que mon laptop est protégé contre les attaques DMA ?

Cinq vérifications : (1) Windows : msinfo32 ligne 'Kernel DMA Protection' = ON ; (2) Linux : dmesg | grep -i 'iommu enabled' ; (3) BIOS : VT-d ou AMD-Vi activé ; (4) BIOS : Thunderbolt Security Level = User Authorization minimum (pas Legacy/None) ; (5) BitLocker / FileVault / LUKS activé avec TPM+PIN ou mot de passe boot. Si les 5 sont OK, vous êtes protégé contre la majorité des attaques DMA classiques.

Faut-il interdire complètement Thunderbolt en entreprise ?

Non, ce serait contre-productif (Thunderbolt est essentiel pour stations de travail, docks, écrans 4K, transferts rapides). Approche pragmatique : (1) laisser Thunderbolt actif mais avec KDP + Security Level User Authorization ; (2) interdire complètement Thunderbolt uniquement pour comptes admin / COMEX / OSINT à risque élevé via MDM policy ; (3) éducation utilisateur : ne pas accepter d'appairage Thunderbolt en dehors du bureau, hibernation lors de transport.

Pour aller plus loin

• DMA Attacks Thunderbolt PCIe Firewire
• Auditer et Sécuriser un Serveur Linux : Stack Open Source
• Mimikatz : Extraction Credentials Active Directory
• Guide de Sécurisation Active Directory Windows Server
• Audit Sécurité Microsoft 365 | Guide Microsoft 365
• Notre service Audit Poste de Travail