IN V E STIGATION




                                  Même chiffrées,
                                  vos données
     ...
Suite de la page 40
                                                                              J’ai une petite question...
Suite de la page 42
       Tout ceci est bien intéressant, mais, me direz-vous,                Dans le cas d’un poste Wind...
Suite de la page 43
« aeskeyfind9 ». Il permet de trouver les clés de chiffrement.                  En conclusion, le prob...
Article secus 09_09
Prochain SlideShare
Chargement dans…5
×

Article secus 09_09

503 vues

Publié le

Publié dans : Business
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
503
Sur SlideShare
0
Issues des intégrations
0
Intégrations
13
Actions
Partages
0
Téléchargements
8
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Article secus 09_09

  1. 1. IN V E STIGATION Même chiffrées, vos données sont-elles vraiment en sécurité? PAR MICHEL CUSIN, architecte en sécurité informatique – Bell La majorité d’entre nous utilise un ordinateur portable tant à des fins personnelles que professionnelles. Son utilisation nous simplifie carrément la vie. Il est facile à transporter : du bureau à la maison, de l’aérogare à l’avion, du siège arrière d’une voiture au sous-sol d’un Michel Cusin est architecte en sécurité informatique chez pirate informatique ! Simple à utiliser, mais aussi facile à voler. Bell. Il œuvre dans le domaine de la sécurité depuis près Arrêtez-vous deux minutes et le contenu complet d’un disque dur incluant le sys- d’une décennie et détient réfléchissez à ce que peut contenir le tème d’exploitation ainsi que toutes les données qu’il plusieurs certifications telles portable du président d’une grande contient. Ainsi, sans la clé de chiffrement, il devient que CISSP GCIH, CEH, OPST et , entreprise, d’un médecin, d’un minis- impossible de lire de manière intelligible le contenu du plusieurs autres. Il est égale- ment cofondateur du Hackfest tre, d’un banquier ou de monsieur et disque ou d’attaquer le système d’exploitation. Même Reloaded et mentor pour le madame Tout-le-monde. Avez-vous les CD ou clés USB de démarrage, qui permettraient de cours SEC504 Hacker Techniques, une idée de la quantité, de la sensi- démarrer un portable avec un autre système d’exploi- Exploits and Incident Handling bilité, de la confidentialité et de la tation comme Backtrack2, Helix3, Sysinternals4 ou tout du SANS Institute. valeur de l’information qui s’y trouve? simplement un bon vieux CD de Linux, sont inutiles Les conséquences d’un vol de portable peuvent pour lire ou modifier ce qu’il y a sur le disque. aller du simple désagrément à la perte d’un contrat Parmi les logiciels connus de chiffrement, qui majeur en passant par des expositions médiatiques permettent de faire du WDE, on retrouve, notamment, non désirées et néfastes pour l’image. On ne compte PGP, TrueCrypt, pour ne nommer que ceux-ci, ou BitLocker plus les histoires de portables ayant été volés ou de Microsoft qui est nouveau dans Windows Vista. oubliés quelque part, que ce soit dans le taxi ou dans Brièvement, voici comment le chiffrement de l’autobus. type WDE fonctionne. Une fois installé sur le poste de Vous me direz qu’il suffit de chiffrer le contenu du travail, le logiciel est utilisé pour chiffrer au complet le disque dur et que le tour est ainsi joué. Eh bien, je vous contenu du disque dur. Le mécanisme de chiffrement dirai que je ne suis que partiellement d’accord avec vous utilise une clé reliée à ce qui est communément sur ce point. Vous le verrez un peu plus loin, cette solu- appelé une « phrase de passe » (passphrase). Cette tion, comme toutes les autres, a des failles. En fait, la dernière est en fait un mot de passe qui ressemble façon de l’utiliser joue pour beaucoup sur son efficacité. plus, à cause de sa longueur, à une phrase. La sensation de sécurité que vous procure le Une fois le processus de chiffrement du disque chiffrement de votre disque dur s’estompera peut-être complété, le logiciel demande d’entrer la passphrase quelque peu lorsque s’ajouteront les Cold Boot Attacks au démarrage du poste, et ce, avant même que le (attaques de redémarrage à froid) à l’équation. système d’exploitation ne soit amorcé. Une fois Les solutions de type Whole Disk Encryption qu’elle est entrée, elle est stockée dans la mémoire (WDE)1 permettent de chiffrer, on the fly (à la volée), vive (random access memory – RAM) et y demeure Suite en page 42 Septembre 2009 SÉCUS | 40 |
  2. 2. Suite de la page 40 J’ai une petite question pour vous : combien de temps faut-il pour appuyer sur le bouton d’alimentation (power) afin d’éteindre le portable et de le rallumer tout de suite après ? À peine cinq secondes, me direz-vous ? Continuons. 5s 30 s 60 s 5 min Figure 1 tant que le poste reste sous tension (Figure 1). Nous revien- drons à cet aspect un peu plus tard. La raison pour laquelle la clé reste en mémoire est que toute l’information chiffrée qui est sur le disque est déchif- frée à la volée par l’engin de chiffrement au fur et à mesure qu’elle est lue afin d’être affichée à l’écran. L’information chif- Figure 3 frée du disque reste donc toujours accessible, mais chiffrée, Source : http://citp.princeton.edu/memory/ et doit passer par l’instrument de chiffrement qui utilise une De plus, les recherches ont démontré que les barrettes ou des clés ainsi qu’une passphrase pour être lisible (Figure 2). de mémoire vive, ayant été soumises au jet sortant d’une canette d’air comprimé renversée (Figure 4), pouvaient être refroidies à une température allant jusqu’à -50 °C (Figure 5). Hé oui ! C’est bien une couche de givre que vous voyez ! Figure 2 La ou les clés de chiffrement restent alors stockées Figure 4 Figure 5 dans la mémoire vive tant que le poste reste sous tension. Source : http://citp.princeton.edu/memory/ Donc, comme le veut la croyance populaire, nous pourrions Ces mêmes recherches ont également démontré que facilement en déduire qu’une fois le poste mis hors tension, les barrettes de mémoire vive gardent leur contenu tant et la mémoire vive n’a plus d’alimentation électrique et, par le aussi longtemps que la mémoire reste à basse température. fait même, qu’elle perd immédiatement sa charge et son con- La figure 6 permet de voir, à gauche, une image de la Joconde tenu, n’est-ce pas ? Eh bien, ce n’est pas tout à fait exact. Je chargée en mémoire (avec alimentation électrique) et, à vous explique. droite, la même image qui provient de la même barrette de Des étudiants de l’université de Princeton, au New mémoire qui a été refroidie et privée d’alimentation élec- Jersey, ont publié un papier intitulé Lest We Remember : Cold trique pendant dix minutes. Boot Attacks on Encryption Keys5. Lors de leurs recherches, ils ont découvert que la mémoire vive d’un ordinateur ne perd pas sa charge immédiatement lorsque ce dernier est mis hors tension. En fait, selon le type de mémoire et certains autres facteurs, la mémoire vive conserve sa charge, donc son contenu, pour une période de plusieurs secondes après avoir été privée d’alimentation électrique. La figure 3 permet de voir une image de la Joconde chargée en mémoire et privée d’alimentation électrique. On peut y constater la perte graduelle de la charge et de l’image pour des périodes variant de cinq secondes à cinq minutes. On peut également observer que la charge électrique, donc le contenu de la mémoire, diminue graduellement et non Figure 6 instantanément. Source : http://citp.princeton.edu/memory/ Suite en page 43 Septembre 2009 SÉCUS | 42 |
  3. 3. Suite de la page 42 Tout ceci est bien intéressant, mais, me direz-vous, Dans le cas d’un poste Windows en hibernation, c’est quel est le lien entre le chiffrement du disque dur et la un peu différent. Tout le contenu de la mémoire vive est mémoire surgelée ? Excellente question ! En fait, c’est là transféré dans un fichier qui s’appelle «hiberfil.sys», situé sur qu’entre en jeu l’infâme Cold Boot Attack. le disque dur. Le contenu de ce fichier est toutefois rechargé Comme vous le savez maintenant, le contenu de la en mémoire lorsque le poste est réveillé de nouveau. mémoire vive d’un ordinateur y demeure pendant un certain Wesley McGrew, un chercheur au Center for Computer temps après que ce dernier ait été mis hors tension. Vous savez Security Research (CCSR) d’une université de l’État du aussi que moins de cinq secondes suffisent pour arrêter et Mississippi, a créé un outil qui s’appelle « msramdmp7 ». Il redémarrer un ordinateur en appuyant sur le bouton d’alimen- permet de démarrer un poste à partir d’un disque externe tation. Ce n’est pas une façon élégante de fermer un ordinateur, USB et d’y copier le contenu de la mémoire vive. De plus, mais c’est ce que nous voulons. Pourquoi? Eh bien, lorsqu’un l’empreinte-mémoire de msramdmp est très minime – on ordinateur est arrêté correctement à partir du système d’ex- parle de quelques kilobits – ploitation par des commandes comme shutdown (arrêt) ou ce qui diminue de beaucoup « En quelques minutes, toute halt (halte), le contenu de la mémoire vive est effacé. les probabilités d’écraser l’information chargée en Pour réussir une Cold Boot Attack, le système doit être quelque chose d’important mis hors tension en appuyant sur le bouton d’alimentation. dans la mémoire. mémoire, comme les mots de Ceci a pour but de faire planter (crasher) le système et de Inutile de vous rappe- passe, les clés de chiffrement garder le contenu de la mémoire vive. Il faut ensuite le ler que la capacité de stock- et les données sensibles, remettre en marche aussitôt afin de redonner à la mémoire age du dispositif externe doit peut être récupérée, souvent à son alimentation électrique et d’éviter ainsi de perdre son être équivalente, mais idéa- contenu pour ensuite le copier sur un dispositif externe. Il faut lement plus grande que celle l’insu de la victime qui se croit cependant que le système soit redémarré avec des outils spé- de la mémoire vive du poste. en sécurité grâce à l’utilisation cialement conçus à cet effet. Ce que nous verrons à l’instant. Aujourd’hui, il n’est pas rare du WDE sur son poste.» Or, un attaquant ayant physiquement accès à un ordi- que des postes aient plu- nateur (portable ou autre) peut rapidement relancer le système sieurs gigaoctets de mémoire vive, alors si vous envisagez à partir d’une clé ou d’un disque dur USB, ou même à partir de tenter l’exercice et d’utiliser une clé USB, prévoyez le coup! d’un baladeur numérique (iPod), et copier le contenu de la Mais qu’arrive-t-il si le BIOS8 du système demande un mot mémoire vive qui n’a pas été effacé étant donné que le sys- de passe (que nous n’avons pas et qui n’est pas en mémoire) tème a planté et ne s’est pas arrêté correctement (Figure 7). lors du redémarrage ou si le démarrage du poste par un dis- positif externe (clé USB, CD, PXE) est impossible? En fait, la solution à ce problème est très simple ! Vous souvenez-vous de la mémoire « surgelée » avec l’image de la Joconde qui demeure intacte même après dix minutes sans alimentation électrique? Eh bien, c’est là qu’elle entre en jeu. Il suffit d’exposer physiquement la mémoire et de la refroidir à l’aide du jet d’une canette d’air comprimé renversée, de la geler, de mettre l’ordi- nateur hors tension et d’enlever physiquement la mémoire pour la réinstaller dans un autre poste qui, lui, n’offrira aucune résistance au redémarrage. Et le tour est joué ! Plus tôt, dans l’article, je mentionnais que, avec un chiffrement de type WDE, il était impossible d’accéder de Figure 7 façon lisible au contenu du disque dur. C’est toujours vrai, à Source : http://citp.princeton.edu/memory/ moins d’avoir la clé ou la passphrase. Et comme nous venons L’ordinateur peut également être remis en marche avec tout juste de copier le contenu de la mémoire vive sur un un CD ou même par le réseau en utilisant un démarrage PXE6. disque externe et que la clé de chiffrement et la phrase Comme une certaine partie de l’information sera chargée en secrète s’y trouvent, la prochaine étape consiste à extraire le mémoire afin de démarrer le poste, il est important d’utiliser tout. Alors, allons-y ! un mécanisme d’amorçage qui ne prendra pas beaucoup Selon le logiciel de chiffrement utilisé, les méthodes d’espace mémoire afin de ne pas écraser le contenu de la d’extraction des clés et de la phrase de passe peuvent varier. mémoire vive du poste. Il ne faut pas non plus oublier qu’un Quelques outils sont offerts pour extraire l’information rela- poste mis en attente (stand-by) garde toutes les informa- tive au logiciel TrueCrypt. Nadia Heninger et Ariel Feldman, de tions stockées dans la mémoire vive. l’université de Princeton, ont développé un outil qui s’appelle Suite en page 44 Septembre 2009 SÉCUS | 43 |
  4. 4. Suite de la page 43 « aeskeyfind9 ». Il permet de trouver les clés de chiffrement. En conclusion, le problème ne réside pas vraiment Il y a aussi un plugiciel (plug-in) qui s’appelle « cryptoscan » dans les technologies utilisées pour chiffrer l’information, et qui s’installe dans le Volatility Framework10 de la compagnie mais dans les façons de les utiliser. En effet, les solutions de Volatile Systems et qui permet d’en extraire la passphrase. chiffrement de type WDE sont d’excellents moyens pour pro- Une fois que les clés ou la phrase secrète ont été téger l’information. Cependant, même les meilleures solu- récupérées, une multitude de possibilités s’offrent à l’atta- tions ont leurs failles. quant allant du simple accès au disque dur aux attaques les Comme l’une des failles principales des logiciels de plus sournoises. Dans un prochain article, je vous parlerai de type WDE concerne les clés de chiffrement qui sont stockées ces possibilités. De plus, le 7 novembre prochain, vous pour- dans la mémoire vive de l’ordinateur, il est fortement suggéré rez assister à une présentation accompagnée d’une démon- de mettre le poste hors tension lorsqu’il est en transit ou qu’il stration que je ferai au www.hackfest.ca/. doit demeurer sans surveillance. En attendant, j’ai pour vous quelques solutions pour La deuxième faille principale est l’être humain. Que le garder vos données en sécurité : disque soit chiffré en entier ou non, les bonnes vieilles règles I mettre les ordinateurs hors tension lors des déplacements; de bases s’appliquent toujours: il faut sécuriser physique- I ne pas laisser les ordinateurs sans surveillance quand ment et logiquement le poste et ne pas le laisser sans sur- ils sont en attente (stand-by) ou en hibernation ; veillance lorsqu’il est sous tension. I utiliser un mot de passe pour le BIOS (mesure d’atté- Laissez-moi vous poser une dernière question : même nuation partielle, puisque la mémoire peut être lue sur chiffrées, vos données sont-elles vraiment en sécurité ? I une autre machine) ; I désactiver la mise en attente (stand-by) ou l’hibernation; 1. Disque entier crypté, I ne pas stocker les clés de chiffrement sur une clé USB (http://en.wikipedia.org/wiki/Whole_Disk_Encryption) accrochée à un porte-clés ou ne pas utiliser de méca- 2. www.remote-exploit.org/backtrack.html nisme qui charge les clés de chiffrement de façon 3. www.e-fense.com/products.php automatique ; 4. http://technet.microsoft.com/en-us/sysinternals/default.aspx I désactiver la possibilité de démarrer à partir d’autres 5. http://citp.princeton.edu/pub/coldboot.pdf 6. Le démarrage PXE (Pre-boot eXecution Environment) médias (mesure d’atténuation partielle) ; permet à une station de travail de démarrer à partir du réseau I activer le test de la mémoire au démarrage « POST11 ». en récupérant une image de système d’exploitation qui Cela effacera la mémoire au démarrage (mesure se trouve sur un serveur. d’atténuation partielle) ; 7. www.mcgrewsecurity.com/tools/msramdmp/ I s’assurer que l’authentification est exigée au démarrage 8. Basic Input/Output System (BIOS), du système à la suite du retour de l’hibernation (si activée); http://en.wikipedia.org/wiki/BIOS 9. http://citp.princeton.edu/memory/code/ I utiliser un volume ou un répertoire chiffré à l’aide d’une 10. www.volatilesystems.com/default/volatility autre clé même à l’intérieur d’un disque dur complète- 11. Power-on self-test (POST), ment chiffré (WDE). http://en.wikipedia.org/wiki/Power-on_self-test Septembre 2009 SÉCUS | 44 |

×