Windows, macOS, Linux : les disques chiffrés de votre PC portable peuvent facilement être hackés

Windows, macOS, Linux : les disques chiffrés de votre PC portable peuvent facilement être hackés

Laisser son ordinateur en mode veille le rend vulnérable aux attaques dites « cold boot », qui permettent de récupérer les clés de chiffrement directement depuis le mémoire RAM. Et cela aussi bien sur Windows que Linux ou macOS.

Si vous avez un ordinateur portable et que vous êtes un peu parano, vous avez probablement activé le chiffrement du disque dur. Windows utilise BitLocker sur Windows, macOS a Filevault et Linux propose LUKS. Pour autant, ne croyez pas que vos données sont nécessairement en sécurité le jour où votre machine est volée, surtout si celle-ci est restée en veille.

A l’occasion de la conférence SEC-T à Stockholm, deux consultants de F-Secure – Olle Segerdahl et Pasi Saarinen – viennent de montrer qu’il est souvent possible de récupérer les clés de chiffrement du disque dur à partir du moment où l’attaquant dispose d’un accès physique. Ils le démontrent dans une vidéo YouTube, en prenant comme exemple un ThinkPad.

Comment est-ce possible ? Lorsqu’un ordinateur portable est en mode veille, il garde en mémoire les clés de chiffrement, ce qui permet à l’utilisateur de rapidement reprendre son travail lorsqu’il revient. L’idée est alors de redémarrer la machine sur une clé USB disposant des outils nécessaires pour extraire les données de la mémoire. Une fois que l’on a récupéré les clés de chiffrement, on peut accéder au contenu du disque.

Cette technique, appelée « cold boot attack », n’est pas nouvelle. En 2008, une équipe de chercheurs de l’université Princeton avait déjà montré que cela était possible. Depuis, les fabricants ont fait quelques progrès. Ainsi, le consortium Trusted Computing Group a ajouté une protection supplémentaire sur les firmwares EFI. Baptisé « Memory Overwrite Request Control », elle permet de détecter qu’un ordinateur a été redémarré depuis le mode veille. Dans ce cas, le firmware procède à l’effacement de la mémoire vive.

Mais les chercheurs ont découvert qu’il était possible de court-circuiter cette protection en se connectant directement sur la puce Flash et en reprogrammant le paramètre du firmware. Du coup, le contenu de la mémoire vive reste disponible (il est conseillé de la refroidir au préalable avec un spray prévu à cet effet). Et hop, le tour est joué.

La meilleure solution : définir un mot de passe EFI

Ce hack fonctionne non seulement sur les ordinateurs Windows, mais aussi les ordinateurs Linux et macOS. A noter que sur le système open source, la protection MOR n’existe que depuis un an. Au niveau des ordinateurs Apple, elle n’est pas non plus implémentée sur tous les modèles. Elle était notamment inexistante sur le MacBook Pro que les chercheurs ont utilisé pour leur démonstration pendant la conférence. En revanche, les derniers iMac Pro et MacBook Pro sont insensibles à cette attaque car ils disposent d’une puce dédiée au chiffrement (T2). Les clés ne sont donc pas chargées en mémoire...

Lire la suite