Discussion :

[Stan Adkens]

La faille de sécurité dans « presque tous » les PC et Mac modernes expose les données chiffrées
Ainsi que toutes les données en mémoire RAM

Des failles de sécurité ne sont par rares ces dernières années. Nous nous rappelons certainement les exploits dans les produits Intel, AMD et ARM, ainsi que les vulnérabilités, dont une porte dérobée, découvertes par Lenovo dans le micrologiciel, pour ne citer que ces failles.

Dans un nouveau rapport de recherche publié par le fournisseur de cybersécurité, le mercredi dernier, les chercheurs disent avoir découvert une vulnérabilité de sécurité qui expose les données sensibles dans « presque tous » les PC et Mac, même ceux qui bénéficient d’un système de chiffrement de données, a rapporté la presse de F-Secure. Selon les experts de F-Secure, cette faille rend inefficaces les mesures actuelles de protection de données en cas perte ou vol d’un ordinateur portable.

Selon Olle Segerdahl, consultant en chef en sécurité chez F-Secure, pour exploiter la faille en question, un pirate a besoin de disposer physiquement de l’ordinateur. Une fois cela est fait, le hacker peut mener une attaque par démarrage à froid. C’est une vieille attaque, connue depuis 2008 des hackers, qui consiste à redémarrer un système d'exploitation sans suivre un processus d’arrêt normal, puis à récupérer des données préalablement stockées et toujours accessibles dans la RAM durant plusieurs secondes après la coupure de l’alimentation. Selon Olle Segerdahl, une fois l’attaquant a accès à l’ordinateur, il lui suffira environ 5 minutes pour effectuer le piratage.

« En règle générale, les organisations ne sont pas préparées à se protéger contre un attaquant qui détient physiquement un ordinateur d’une société. Et lorsque vous rencontrez un problème de sécurité dans les appareils de grands fournisseurs de PC, comme la faiblesse que mon équipe a découverte, vous devez supposer que beaucoup d’entreprises ont une faiblesse de sécurité dont elles n’ont pas pleinement conscience ou ne sont pas préparées à traiter », a déclaré Segerdahl.

En effet, la menace rendue possible par la nouvelle faille avait déjà été résolue dans les ordinateurs portables modernes. Jusqu'à présent, pour lutter contre les attaques par démarrage à froid, les ordinateurs portables modernes procèdent par réécriture de la RAM afin d’écraser son contenu après coupure de courant. Cependant, les chercheurs de F-Secure ont découvert un moyen de contournement de cette procédure de réécriture en la désactivant et en réactivant le démarrage à froid.

« Cela nécessite des mesures supplémentaires par rapport à l’attaque classique par démarrage à froid, mais elle est efficace contre tous les ordinateurs portables modernes que nous avons testés. Et comme ce type de menace est principalement pertinent dans les scénarios où des appareils sont volés ou obtenus de manière illicite, cela donne suffisamment de temps à un attaquant pour mener une attaque », a expliqué Segerdahl.

Une faille dans les paramètres du mircologiciel qui contrôle le comportement du processus de démarrage peut permettre à un hacker qui a accès physiquement à un ordinateur de manipuler ces paramètres, selon les chercheurs. Cet exploit peut permettre à un attaquant de fabriquer un outil qui lui permettrait d’empêcher le micrologiciel d’effacer les données conservées temporairement dans la mémoire vive. À partir de là, un attaquant pourrait rechercher et obtenir les clés de chiffrement du disque qu’il pourrait utiliser pour monter la partition protégée, selon les chercheurs.

Bien que cet exploit nécessite que le hacker soit en possession physiquement de l’ordinateur, les chercheurs interpellent tout de même les entreprises dont les ordinateurs contiennent une mine d’informations sensibles.

« Comme cette attaque fonctionne contre les ordinateurs portables utilisés par les entreprises, les organisations ne disposent d’aucun moyen fiable pour savoir si leurs données sont en sécurité en cas de disparition d’un ordinateur. Et comme 99 % des ordinateurs portables des entreprises contiendront des éléments tels que des identifiants d'accès pour les réseaux d'entreprise, ils offrent aux attaquants un moyen cohérent et fiable de compromettre les objectifs des entreprises », a déclaré Segerdahl. « Il n’y a pas non plus de solutions faciles à ce problème, c’est donc un risque que les entreprises devront affronter elles-mêmes. », a-t-il ajouté.

L’équipe de chercheurs a partagé les résultats de ses travaux avec les grands fournisseurs tels que Microsoft, Apple et Intel, bien qu’elle ne s’attend pas à une solution immédiate de la part ces derniers afin de résoudre ce problème sur les systèmes existants. Pour cela, le chercheur Segerdahl a fait des recommandations aux utilisateurs et aux entreprises afin de limiter les dégâts jusqu’à ce qu’une solution durable soit mise en œuvre.

Segerdahl recommande la configuration qui permet aux ordinateurs de s’éteindre automatiquement au lieu de les laisser passer en mode veille qui oblige l’utilisateur à utiliser le code PIN Bitlocker à chaque démarrage ou restauration de Windows. A cet effet, une solution existe pour certains ordinateurs. L’utilisation du code confidentiel de Microsoft qui s’applique à Windows 10 et Windows 10 Mobile peut réduire l’impact de cette faille, cependant la fonctionnalité n’est pas disponible pour les utilisateurs de la licence « Home ». Aussi, les ordinateurs Mac munis de la puce Apple T2 ne sont pas affectés par la vulnérabilité.

Segerdahl recommande, également, l’éducation des travailleurs sur les attaques par démarrage à froid et d’autres menaces potentielles. Il conseille aussi aux services informatiques des entreprises de disposer de leur propre procédure d’urgence afin d’intervenir et traiter les cas de disparition d’ordinateur par invalidation des identifiants d'accès rendant le matériel volé presque inutile pour les attaquants.

Source : F-Secure Pressroom

Et vous ?

Que pensez-vous de cette nouvelle vulnérabilité ?
Que pensez-vous des solutions proposées ?

Voir aussi

Intel colmate une faille vieille de 9 ans qui permet à des attaquants, de contrôler et d'infecter à distance des systèmes
Une faille critique dans les technologies Intel AMT, ISM et SBT permet de contrôler les ordinateurs à distance, un correctif est disponible
De nombreux ordinateurs Mac sont toujours vulnérables à des attaques exploitant des failles sur l'EFI, malgré les sorties de mises à jour
Lenovo découvre des vulnérabilités, parmi lesquelles une porte dérobée, dans le firmware, des produits réseau RackSwitch et BladeCenter
Spectre/Meltdown : de nouvelles failles dans les processeurs, elles permettent de lire les registres internes, la mémoire kernel et celle de l'hôte

[curt]

Bonsoir à tous,

inutile de connaitre cette faille… si vous avez accès au PC, un simple disque de boot LINUX suffit à réinitialiser le ou les mots de passe (même et surtout l'Administrateur) pour prendre le contrôle du PC et y dérober l'intégralité du contenu.
Connu depuis Win 95 () Microsoft n'a rien fait dans ses OS successifs pour y remédier. Le fichier SAM est toujours présent. (même sur W10)
Remarquez tout de même le point positif : si vous oubliez votre mot de passe de connexion, il est possible de le réinitialiser sans avoir à tout réinstaller (et sans rien perdre de vos données).

Curt

[Lxtrem]

inutile de connaitre cette faille… si vous avez accès au PC, un simple disque de boot LINUX suffit à réinitialiser le ou les mots de passe (même et surtout l'Administrateur) pour prendre le contrôle du PC et y dérober l'intégralité du contenu.
Connu depuis Win 95 () Microsoft n'a rien fait dans ses OS successifs pour y remédier. Le fichier SAM est toujours présent. (même sur W10)
Remarquez tout de même le point positif : si vous oubliez votre mot de passe de connexion, il est possible de le réinitialiser sans avoir à tout réinstaller (et sans rien perdre de vos données).

Salut !
Curt, sauf erreur de ma part, ta méthode permet de se connecter en tant qu'admin sur un ordi Windows, mais cette faille touche Windows, Mac et Linux, et surtout cela permet d'accéder aux données des disques chiffrés (BitLocker, Luks, FileVault) ce qui, sauf erreur de ma part, n'est pas possible avec ta technique

[survivals]

Salut !
Curt, sauf erreur de ma part, ta méthode permet de se connecter en tant qu'admin sur un ordi Windows, mais cette faille touche Windows, Mac et Linux, et surtout cela permet d'accéder aux données des disques chiffrés (BitLocker, Luks, FileVault) ce qui, sauf erreur de ma part, n'est pas possible avec ta technique

J'ai vu faire sur les 2 systèmes Linux et Windows, bon après les disques n'étaient pas chiffrés, mais dans les 2 cas l'accès root/admin avaient été pris, de là a ce que cela suffise pour déchiffrés ...

[Lxtrem]

J'ai vu faire sur les 2 systèmes Linux et Windows, bon après les disques n'étaient pas chiffrés, mais dans les 2 cas l'accès root/admin avaient été pris, de là a ce que cela suffise pour déchiffrés ...

Meme avec un accès root/admin, je vois pas à quoi ça t'avance pour déchiffrer les données...

[Anselme45]

Jusqu'à preuve du contraire, les PC et les Mac "modernes" n'ont jamais été vendus sous le label "coffre-fort"!

Et d'ailleurs si vous parlez avec un vendeur de vrai coffre-fort, il pourra vous expliquer que rien n'est inviolable. Un bon coffre-fort est simplement un coffre-fort qui exige un peu plus d'effort pour le forcer qu'un coffre-fort d'opérette.

Donc oui, toutes les données numériques sont sujettes au vol, quelles soient chiffrées ou non.

[Lxtrem]

Certes, mais ils sont censés être le plus securisés possible.
En partant de ce principe, on corrigeait jamais les failles, on laisserait les ordis totalement vulnérables.
Le but du chiffrement n'est en effet pas de rendre les données inviolables mais de compliquer la tâche du voleur.
En plus la découverte de cette faille permettra peut être sa correction (par des puces dédiées au chiffrement comme sur certains Mac et grâce à la prévention pour que les gens mettent un mot de passe sur leur BIOS).

[Phil35sm]

Bonjour,

linux + disque chiffré (LUKS)
cela suffit non ?
même avec un disque de boot autre .. cela ne fonctionnera pas

P