Après 12 ans, la Xbox One tombe enfin : un hack inédit brise la sécurité de Microsoft

Plus de 12 ans après son lancement, la Xbox One a finalement été hackée. Markus Gaasedelen affirme avoir réussi une première mondiale en s’attaquant à la Xbox One fat, longtemps considérée comme “inviolable“. Lors d’une conférence, le chercheur a détaillé une attaque matérielle visant le boot ROM, soit le tout premier maillon de sécurité de la console. En prenant le contrôle de cette étape critique, il estime avoir brisé l’ensemble de la chaîne de confiance mise en place par Microsoft. Une avancée majeure sur le plan technique, même si elle reste pour l’instant très éloignée d’un hack grand public.

Une Xbox One réputée inviolable

Lancée en 2013, la Xbox One traîne depuis ses débuts une réputation très particulière dans le milieu de la sécurité. Là où les consoles concurrentes ont fini par être compromises à différents niveaux, la machine de Microsoft est longtemps restée associée à un seul qualificatif, celui d’inviolable.

Markus Gaasedelen rappelle d’ailleurs que Microsoft présentait encore la Xbox One en 2020 comme l’un des produits les plus sécurisés qu’il ait jamais conçus. Selon lui, cette robustesse ne repose pas sur une simple protection logicielle, mais sur une architecture complète. Chaque couche est cloisonnée, signée, durcie et liée à un système de clés évolutif.

Le chercheur explique que tout l’écosystème repose toutefois sur un point central. Comme Tony Chen, l’un des architectes de la sécurité Xbox, l’avait déjà souligné lors d’une conférence en 2019, la seule erreur dont Microsoft ne pourrait pas se remettre serait une faille dans le boot ROM. C’est précisément cette cible que Markus Gaasedelen a décidé d’attaquer.

Il précise que son travail se concentre uniquement sur le Platform Security Processor, un composant intégré au SoC AMD personnalisé de la Xbox One. Ce processeur de sécurité lance la console avant le reste du système. Il vérifie ensuite les étapes suivantes du démarrage et protège l’ensemble de la chaîne de confiance. En théorie, le compromettre revient donc à tout compromettre.

Une attaque matérielle menée à l’aveugle

Selon Markus Gaasedelen, la difficulté de l’exercice vient du fait que Microsoft a multiplié les contre-mesures matérielles. La Xbox One ne donne pratiquement aucun point d’observation utile. Les postcodes ont été désactivés via des e-fuses, il n’y a pas d’UART exploitable, pas de JTAG accessible, pas de documentation publique et pas de carte de développement permettant d’étudier tranquillement le comportement du système.

Pour avancer, le chercheur a donc dû reconstruire lui-même des signaux d’analyse. Il a sondé plusieurs rails d’alimentation, observé la consommation électrique de la puce et repéré certains échanges sur le bus I2C. Il dit avoir découvert au passage que le boot ROM intègre 37 pauses aléatoires, une forme d’ASLR appliquée au timing des glitches, afin d’empêcher toute injection de faute reproductible.

Après plusieurs essais infructueux sur le mauvais rail, il finit par identifier une zone plus pertinente autour du northbridge core. C’est à partir de là qu’il commence à obtenir des résultats tangibles, notamment en réussissant à réactiver des postcodes pourtant désactivés en temps normal. Pour lui, ce moment marque une rupture symbolique forte. La console démontre enfin qu’elle peut être influencée matériellement.

La suite de ses travaux repose sur une autre idée. En visant la copie du header du chargeur SP1, le premier bootloader externe, il parvient à provoquer des fautes suffisamment précises pour détourner le compteur ordinal et forcer le processeur à sauter vers des données qu’il contrôle. Cette première prise de contrôle reste limitée, car elle s’effectue dans un environnement cloisonné par le MPU et plusieurs mécanismes de vérification internes.

Une compromission totale du boot ROM

Markus Gaasedelen affirme avoir ensuite franchi une deuxième étape décisive. En s’attaquant plus tôt dans le processus de démarrage, il dit avoir réussi à empêcher l’activation du MPU, l’unité chargée d’isoler les différentes zones mémoire et de maintenir les fameux “jails” utilisateur. Une fois cette barrière levée, son premier détournement devient bien plus puissant.

Il combine alors deux glitches dans une même séquence. Le premier neutralise l’activation du MPU. Le second détourne l’exécution vers un header SP1 partiellement chargé en mémoire sécurisée. À partir de là, il explique pouvoir exécuter son propre code, reprendre la main en mode superviseur et contrôler le boot ROM au plus haut niveau de privilège possible.

D’après sa démonstration, cette compromission permet de lire les e-fuses, de déchiffrer les différentes étapes du boot, de patcher les composants logiciels et de lancer du code non signé à tous les niveaux de la machine. Le chercheur estime ainsi que le PSP, le processeur cryptographique, l’hyperviseur, le système hôte, le système d’exploitation des jeux et le système d’exploitation système deviennent tous vulnérables une fois ce point d’entrée obtenu.

Le chercheur précise toutefois que l’impact démontré concerne avant tout la Xbox One fat de 2013. Il pense que la méthode pourrait être adaptée à d’autres révisions, même si Microsoft a activé par la suite de nouveaux moniteurs anti-glitch. En revanche, il se montre beaucoup plus prudent pour les Xbox One S, Xbox One X et Xbox Series, dont il dit ne pas avoir encore étudié en profondeur la sécurité. Il conclut enfin qu’un modchip pourrait théoriquement devenir envisageable, mais rappelle que son travail tient davantage de l’exploit de recherche que d’une solution prête à l’emploi pour le grand public.

Bien entendu, nous n’encourageons nullement la pratique du hack. Il peut s’agir d’une pratique qui impacte fortement les constructeurs et les développeurs, d’autant que des jeux continuent de sortir sur Xbox One.