Chiffrer son disque dur, c’est bien. Tout dépend du procédé utilisé. Les chercheurs en sécurité Carlo Meijer et Bernard van Gastel viennent de jeter un pavé dans la mare en démontrant que le chiffrement matériel implémenté dans différents disques SSD ne vaut rien ou presque. Ce résultat va donc à contresens de l’idée généralement répandue qui dit que le chiffrement matériel est toujours supérieur au chiffrement logiciel.
Les chercheurs ont testé sept disques durs. Trois proviennent de Crucial (MX100, MX200, MX300) et quatre de Samsung (840 EVO SATA, 850 EVO SATA, T3 USB, T5 USB). Tous ces modèles sont vulnérables d’une manière ou d’une autre et permettent à un attaquant qui dispose d’un accès physique au disque de déchiffrer les données. En d’autres termes : si ce disque est volé ou perdu, rien n’empêchera une personne malveillante d’accéder à son contenu.
Des implémentations défaillantes
Pour chiffrer les données, tous ces disques utilisent en fait une clé de chiffrement stockée sur le disque (disk encryption key, DEK). Malheureusement, cette clé est rarement générée de manière cryptographique à partir du mot de passe de l’utilisateur. Elle est souvent crée directement par le fabricant, puis codée en dur sur l’équipement. Certes, l’accès à cette clé est toujours protégé par un mot de passe, mais les chercheurs montrent qu’il est souvent assez simple de contourner cette protection, par exemple en reprogrammant le firmware ou en forçant l’utilisation d’un mot de passe maître défini par le fabricant. Tout ceci est possible en se connectant au disque via un port de débogage (JTAG).
BitLocker particulièrement impacté
Cette recherche est particulièrement alarmante pour les utilisateurs de Windows 10 Professionnel et Windows 10 Enterprise. Ces derniers s’appuient généralement sur BitLocker pour chiffrer leur disque dur. Or, BitLocker utilise par défaut les fonctions de chiffrement matériel du disque (si elles existent). Dans ce cas, il s’avère donc que le chiffrement mis en œuvre est totalement vulnérable. Certes, il est possible de configurer BitLocker pour utiliser un chiffrement logiciel, mais cela doit être fait au moment de l’initialisation de la machine. Revenir après coup à un chiffrement logiciel implique nécessairement un effacement complet du disque. Une autre solution est d’installer une solution de chiffrement logiciel en sus du chiffrement matériel. Les chercheurs préconisent, à ce titre, le logiciel open source VeraCrypt.
Being earnest now: Microsoft trusting these devices to implement Bitlocker has to be the single dumbest thing that company has ever done. It’s like jumping out of a plane with an umbrella instead of a parachute.
— Matthew Green (@matthew_d_green) November 5, 2018
Les chercheurs ont bien évidemment alerté les fabricants concernés. Des patchs ont été publiés ou sont en cours de développement. Pour les disques externes de Samsung, il est ainsi possible de mettre à jour le firmware. Pour les disques intégrés, en revanche, aucune solution n’est disponible pour le moment. Samsung recommande d’utiliser une solution de chiffrement logicielle.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
