Des chercheurs ont trouvé un nouveau moyen de récupérer des clés de chiffrement BitLocker

Cybersécurité

Un chercheur a publié une nouvelle méthode relativement simple permettant de récupérer les clés de chiffrement BitLocker sous Windows, via des configurations moins sécurisées, lorsqu’elles transitent par des Trusted Platform Modules (TPM) durant le démarrage.

bitlocker

BitLocker est le système de chiffrement de volume complet fourni avec les versions les plus avancées de Windows depuis Vista. Dans le cas de Windows 10, il est nécessaire d’utiliser ou de mettre à niveau vers des versions Pro, Enterprise ou Education sur un ordinateur doté d’une puce TPM 1.2 ou 2.0.

Inévitablement, cette plateforme de chiffrement Windows est devenue une cible privilégiée pour les chercheurs à la recherche de faiblesses potentielles dans cet outil plébiscité par de nombreux utilisateurs, et la publication faite par Denis Andzakovic de Pulse Security la semaine dernière n’est que le dernier exemple en date.

La faiblesse qu’il exploite se situe au niveau de la configuration la plus élémentaire et la moins sécurisée, à savoir quand BitLocker démarre les lecteurs chiffrés sans que l’utilisateur ait besoin de saisir un mot de passe ou un code PIN autre que leur connexion Windows habituelle. Andzakovic a écrit :

L’idée sous-jacente est que, si l’ordinateur portable est volé et que l’attaquant ne connait pas votre mot de passe de connexion, il ne peut pas extraire le lecteur et en lire le contenu.  

Pas de connexion possible, pas d’accès au lecteur chiffré de l’ordinateur. Le fait de retirer le lecteur et de le mettre sur un autre ordinateur ne fonctionnera pas non plus, car la clé de chiffrement est sécurisée dans le TPM de l’ancien ordinateur.

Cependant, il existe en théorie une attaque potentielle : en démarrant l’ordinateur cible et en trouvant comment mettre la main sur la clé de chiffrement (ou clé principale de volume) lorsqu’elle transite du TPM via un bus appelé Low Pin Count (LPC).

Microsoft met déjà en garde les utilisateurs de BitLocker contre le risque d’utiliser cette technologie sans une sécurité supplémentaire telle qu’un code PIN : Cette option est plus pratique pour la connexion mais moins sécurisée que les autres options, qui nécessitent un facteur d’authentification supplémentaire.

L’innovation proposée par cette dernière attaque réside moins dans le fait qu’elle a pu effectivement permettre de récupérer les clés mais plus dans la possibilité d’effectuer cette récupération via une configuration peu coûteuse et relative simple.

L’attaque d’Andzakovic a consisté à connecter un Infineon TPM 2.0 d’un Microsoft Surface Pro 3 à un lecteur via un FPGA (Field-Programmable Gate Array) à 25€. Pour simplifier un peu, après avoir utilisé un outil de détection, il a été en mesure de découvrir la clé principale de volume (VMK) à partir du bus LPC en lançant un redémarrage.

Pour démontrer que ce n’était pas un cas isolé, il a répété cette technique avec une ancienne puce TPM 1.2 d’un ordinateur portable HP.

Quoi faire ?

Comme le reconnaît Andzakovic, la contre-attaque la plus simple consiste à suivre les conseils de Microsoft et à ne pas utiliser BitLocker avec des TPM ayant cette configuration par défaut dans des situations où la sécurité est importante.

Une solution plus sécurisée consiste à configurer un lecteur flash USB contenant une clé de démarrage, à configurer un accès par code confidentiel ou, idéalement, à ajouter une authentification multifacteur en utilisant les deux en même temps.

BitLocker est devenu le test ultime en matière de piratage de haut niveau pour certains chercheurs, c’est pourquoi ils vont continuer à le prendre pour cible. Les faiblesses connues incluaient des contournements possibles au niveau de la conception des disques SSD (Solid State Drives), et lors des redémarrages de type mise à niveau.


Billet inspiré de Researcher finds new way to sniff Windows BitLocker encryption keys, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.