SlideShare ist ein Scribd-Unternehmen logo

Article secus 09_09

M
michelcusin
Business
1 von 5
Downloaden Sie, um offline zu lesen
IN V E STIGATION Même chiffrées, vos données sont-elles vraiment en sécurité? PAR MICHEL CUSIN, architecte en sécurité informatique – Bell La majorité d’entre nous utilise un ordinateur portable tant à des fins personnelles que professionnelles. Son utilisation nous simplifie carrément la vie. Il est facile à transporter : du bureau à la maison, de l’aérogare à l’avion, du siège arrière d’une voiture au sous-sol d’un Michel Cusin est architecte en sécurité informatique chez pirate informatique ! Simple à utiliser, mais aussi facile à voler. Bell. Il œuvre dans le domaine de la sécurité depuis près Arrêtez-vous deux minutes et le contenu complet d’un disque dur incluant le sys- d’une décennie et détient réfléchissez à ce que peut contenir le tème d’exploitation ainsi que toutes les données qu’il plusieurs certifications telles portable du président d’une grande contient. Ainsi, sans la clé de chiffrement, il devient que CISSP GCIH, CEH, OPST et , entreprise, d’un médecin, d’un minis- impossible de lire de manière intelligible le contenu du plusieurs autres. Il est égale- ment cofondateur du Hackfest tre, d’un banquier ou de monsieur et disque ou d’attaquer le système d’exploitation. Même Reloaded et mentor pour le madame Tout-le-monde. Avez-vous les CD ou clés USB de démarrage, qui permettraient de cours SEC504 Hacker Techniques, une idée de la quantité, de la sensi- démarrer un portable avec un autre système d’exploi- Exploits and Incident Handling bilité, de la confidentialité et de la tation comme Backtrack2, Helix3, Sysinternals4 ou tout du SANS Institute. valeur de l’information qui s’y trouve? simplement un bon vieux CD de Linux, sont inutiles Les conséquences d’un vol de portable peuvent pour lire ou modifier ce qu’il y a sur le disque. aller du simple désagrément à la perte d’un contrat Parmi les logiciels connus de chiffrement, qui majeur en passant par des expositions médiatiques permettent de faire du WDE, on retrouve, notamment, non désirées et néfastes pour l’image. On ne compte PGP, TrueCrypt, pour ne nommer que ceux-ci, ou BitLocker plus les histoires de portables ayant été volés ou de Microsoft qui est nouveau dans Windows Vista. oubliés quelque part, que ce soit dans le taxi ou dans Brièvement, voici comment le chiffrement de l’autobus. type WDE fonctionne. Une fois installé sur le poste de Vous me direz qu’il suffit de chiffrer le contenu du travail, le logiciel est utilisé pour chiffrer au complet le disque dur et que le tour est ainsi joué. Eh bien, je vous contenu du disque dur. Le mécanisme de chiffrement dirai que je ne suis que partiellement d’accord avec vous utilise une clé reliée à ce qui est communément sur ce point. Vous le verrez un peu plus loin, cette solu- appelé une « phrase de passe » (passphrase). Cette tion, comme toutes les autres, a des failles. En fait, la dernière est en fait un mot de passe qui ressemble façon de l’utiliser joue pour beaucoup sur son efficacité. plus, à cause de sa longueur, à une phrase. La sensation de sécurité que vous procure le Une fois le processus de chiffrement du disque chiffrement de votre disque dur s’estompera peut-être complété, le logiciel demande d’entrer la passphrase quelque peu lorsque s’ajouteront les Cold Boot Attacks au démarrage du poste, et ce, avant même que le (attaques de redémarrage à froid) à l’équation. système d’exploitation ne soit amorcé. Une fois Les solutions de type Whole Disk Encryption qu’elle est entrée, elle est stockée dans la mémoire (WDE)1 permettent de chiffrer, on the fly (à la volée), vive (random access memory – RAM) et y demeure Suite en page 42 Septembre 2009 SÉCUS | 40 |
Suite de la page 40 J’ai une petite question pour vous : combien de temps faut-il pour appuyer sur le bouton d’alimentation (power) afin d’éteindre le portable et de le rallumer tout de suite après ? À peine cinq secondes, me direz-vous ? Continuons. 5s 30 s 60 s 5 min Figure 1 tant que le poste reste sous tension (Figure 1). Nous revien- drons à cet aspect un peu plus tard. La raison pour laquelle la clé reste en mémoire est que toute l’information chiffrée qui est sur le disque est déchif- frée à la volée par l’engin de chiffrement au fur et à mesure qu’elle est lue afin d’être affichée à l’écran. L’information chif- Figure 3 frée du disque reste donc toujours accessible, mais chiffrée, Source : http://citp.princeton.edu/memory/ et doit passer par l’instrument de chiffrement qui utilise une De plus, les recherches ont démontré que les barrettes ou des clés ainsi qu’une passphrase pour être lisible (Figure 2). de mémoire vive, ayant été soumises au jet sortant d’une canette d’air comprimé renversée (Figure 4), pouvaient être refroidies à une température allant jusqu’à -50 °C (Figure 5). Hé oui ! C’est bien une couche de givre que vous voyez ! Figure 2 La ou les clés de chiffrement restent alors stockées Figure 4 Figure 5 dans la mémoire vive tant que le poste reste sous tension. Source : http://citp.princeton.edu/memory/ Donc, comme le veut la croyance populaire, nous pourrions Ces mêmes recherches ont également démontré que facilement en déduire qu’une fois le poste mis hors tension, les barrettes de mémoire vive gardent leur contenu tant et la mémoire vive n’a plus d’alimentation électrique et, par le aussi longtemps que la mémoire reste à basse température. fait même, qu’elle perd immédiatement sa charge et son con- La figure 6 permet de voir, à gauche, une image de la Joconde tenu, n’est-ce pas ? Eh bien, ce n’est pas tout à fait exact. Je chargée en mémoire (avec alimentation électrique) et, à vous explique. droite, la même image qui provient de la même barrette de Des étudiants de l’université de Princeton, au New mémoire qui a été refroidie et privée d’alimentation élec- Jersey, ont publié un papier intitulé Lest We Remember : Cold trique pendant dix minutes. Boot Attacks on Encryption Keys5. Lors de leurs recherches, ils ont découvert que la mémoire vive d’un ordinateur ne perd pas sa charge immédiatement lorsque ce dernier est mis hors tension. En fait, selon le type de mémoire et certains autres facteurs, la mémoire vive conserve sa charge, donc son contenu, pour une période de plusieurs secondes après avoir été privée d’alimentation électrique. La figure 3 permet de voir une image de la Joconde chargée en mémoire et privée d’alimentation électrique. On peut y constater la perte graduelle de la charge et de l’image pour des périodes variant de cinq secondes à cinq minutes. On peut également observer que la charge électrique, donc le contenu de la mémoire, diminue graduellement et non Figure 6 instantanément. Source : http://citp.princeton.edu/memory/ Suite en page 43 Septembre 2009 SÉCUS | 42 |
Suite de la page 42 Tout ceci est bien intéressant, mais, me direz-vous, Dans le cas d’un poste Windows en hibernation, c’est quel est le lien entre le chiffrement du disque dur et la un peu différent. Tout le contenu de la mémoire vive est mémoire surgelée ? Excellente question ! En fait, c’est là transféré dans un fichier qui s’appelle «hiberfil.sys», situé sur qu’entre en jeu l’infâme Cold Boot Attack. le disque dur. Le contenu de ce fichier est toutefois rechargé Comme vous le savez maintenant, le contenu de la en mémoire lorsque le poste est réveillé de nouveau. mémoire vive d’un ordinateur y demeure pendant un certain Wesley McGrew, un chercheur au Center for Computer temps après que ce dernier ait été mis hors tension. Vous savez Security Research (CCSR) d’une université de l’État du aussi que moins de cinq secondes suffisent pour arrêter et Mississippi, a créé un outil qui s’appelle « msramdmp7 ». Il redémarrer un ordinateur en appuyant sur le bouton d’alimen- permet de démarrer un poste à partir d’un disque externe tation. Ce n’est pas une façon élégante de fermer un ordinateur, USB et d’y copier le contenu de la mémoire vive. De plus, mais c’est ce que nous voulons. Pourquoi? Eh bien, lorsqu’un l’empreinte-mémoire de msramdmp est très minime – on ordinateur est arrêté correctement à partir du système d’ex- parle de quelques kilobits – ploitation par des commandes comme shutdown (arrêt) ou ce qui diminue de beaucoup « En quelques minutes, toute halt (halte), le contenu de la mémoire vive est effacé. les probabilités d’écraser l’information chargée en Pour réussir une Cold Boot Attack, le système doit être quelque chose d’important mis hors tension en appuyant sur le bouton d’alimentation. dans la mémoire. mémoire, comme les mots de Ceci a pour but de faire planter (crasher) le système et de Inutile de vous rappe- passe, les clés de chiffrement garder le contenu de la mémoire vive. Il faut ensuite le ler que la capacité de stock- et les données sensibles, remettre en marche aussitôt afin de redonner à la mémoire age du dispositif externe doit peut être récupérée, souvent à son alimentation électrique et d’éviter ainsi de perdre son être équivalente, mais idéa- contenu pour ensuite le copier sur un dispositif externe. Il faut lement plus grande que celle l’insu de la victime qui se croit cependant que le système soit redémarré avec des outils spé- de la mémoire vive du poste. en sécurité grâce à l’utilisation cialement conçus à cet effet. Ce que nous verrons à l’instant. Aujourd’hui, il n’est pas rare du WDE sur son poste.» Or, un attaquant ayant physiquement accès à un ordi- que des postes aient plu- nateur (portable ou autre) peut rapidement relancer le système sieurs gigaoctets de mémoire vive, alors si vous envisagez à partir d’une clé ou d’un disque dur USB, ou même à partir de tenter l’exercice et d’utiliser une clé USB, prévoyez le coup! d’un baladeur numérique (iPod), et copier le contenu de la Mais qu’arrive-t-il si le BIOS8 du système demande un mot mémoire vive qui n’a pas été effacé étant donné que le sys- de passe (que nous n’avons pas et qui n’est pas en mémoire) tème a planté et ne s’est pas arrêté correctement (Figure 7). lors du redémarrage ou si le démarrage du poste par un dis- positif externe (clé USB, CD, PXE) est impossible? En fait, la solution à ce problème est très simple ! Vous souvenez-vous de la mémoire « surgelée » avec l’image de la Joconde qui demeure intacte même après dix minutes sans alimentation électrique? Eh bien, c’est là qu’elle entre en jeu. Il suffit d’exposer physiquement la mémoire et de la refroidir à l’aide du jet d’une canette d’air comprimé renversée, de la geler, de mettre l’ordi- nateur hors tension et d’enlever physiquement la mémoire pour la réinstaller dans un autre poste qui, lui, n’offrira aucune résistance au redémarrage. Et le tour est joué ! Plus tôt, dans l’article, je mentionnais que, avec un chiffrement de type WDE, il était impossible d’accéder de Figure 7 façon lisible au contenu du disque dur. C’est toujours vrai, à Source : http://citp.princeton.edu/memory/ moins d’avoir la clé ou la passphrase. Et comme nous venons L’ordinateur peut également être remis en marche avec tout juste de copier le contenu de la mémoire vive sur un un CD ou même par le réseau en utilisant un démarrage PXE6. disque externe et que la clé de chiffrement et la phrase Comme une certaine partie de l’information sera chargée en secrète s’y trouvent, la prochaine étape consiste à extraire le mémoire afin de démarrer le poste, il est important d’utiliser tout. Alors, allons-y ! un mécanisme d’amorçage qui ne prendra pas beaucoup Selon le logiciel de chiffrement utilisé, les méthodes d’espace mémoire afin de ne pas écraser le contenu de la d’extraction des clés et de la phrase de passe peuvent varier. mémoire vive du poste. Il ne faut pas non plus oublier qu’un Quelques outils sont offerts pour extraire l’information rela- poste mis en attente (stand-by) garde toutes les informa- tive au logiciel TrueCrypt. Nadia Heninger et Ariel Feldman, de tions stockées dans la mémoire vive. l’université de Princeton, ont développé un outil qui s’appelle Suite en page 44 Septembre 2009 SÉCUS | 43 |
Suite de la page 43 « aeskeyfind9 ». Il permet de trouver les clés de chiffrement. En conclusion, le problème ne réside pas vraiment Il y a aussi un plugiciel (plug-in) qui s’appelle « cryptoscan » dans les technologies utilisées pour chiffrer l’information, et qui s’installe dans le Volatility Framework10 de la compagnie mais dans les façons de les utiliser. En effet, les solutions de Volatile Systems et qui permet d’en extraire la passphrase. chiffrement de type WDE sont d’excellents moyens pour pro- Une fois que les clés ou la phrase secrète ont été téger l’information. Cependant, même les meilleures solu- récupérées, une multitude de possibilités s’offrent à l’atta- tions ont leurs failles. quant allant du simple accès au disque dur aux attaques les Comme l’une des failles principales des logiciels de plus sournoises. Dans un prochain article, je vous parlerai de type WDE concerne les clés de chiffrement qui sont stockées ces possibilités. De plus, le 7 novembre prochain, vous pour- dans la mémoire vive de l’ordinateur, il est fortement suggéré rez assister à une présentation accompagnée d’une démon- de mettre le poste hors tension lorsqu’il est en transit ou qu’il stration que je ferai au www.hackfest.ca/. doit demeurer sans surveillance. En attendant, j’ai pour vous quelques solutions pour La deuxième faille principale est l’être humain. Que le garder vos données en sécurité : disque soit chiffré en entier ou non, les bonnes vieilles règles I mettre les ordinateurs hors tension lors des déplacements; de bases s’appliquent toujours: il faut sécuriser physique- I ne pas laisser les ordinateurs sans surveillance quand ment et logiquement le poste et ne pas le laisser sans sur- ils sont en attente (stand-by) ou en hibernation ; veillance lorsqu’il est sous tension. I utiliser un mot de passe pour le BIOS (mesure d’atté- Laissez-moi vous poser une dernière question : même nuation partielle, puisque la mémoire peut être lue sur chiffrées, vos données sont-elles vraiment en sécurité ? I une autre machine) ; I désactiver la mise en attente (stand-by) ou l’hibernation; 1. Disque entier crypté, I ne pas stocker les clés de chiffrement sur une clé USB (http://en.wikipedia.org/wiki/Whole_Disk_Encryption) accrochée à un porte-clés ou ne pas utiliser de méca- 2. www.remote-exploit.org/backtrack.html nisme qui charge les clés de chiffrement de façon 3. www.e-fense.com/products.php automatique ; 4. http://technet.microsoft.com/en-us/sysinternals/default.aspx I désactiver la possibilité de démarrer à partir d’autres 5. http://citp.princeton.edu/pub/coldboot.pdf 6. Le démarrage PXE (Pre-boot eXecution Environment) médias (mesure d’atténuation partielle) ; permet à une station de travail de démarrer à partir du réseau I activer le test de la mémoire au démarrage « POST11 ». en récupérant une image de système d’exploitation qui Cela effacera la mémoire au démarrage (mesure se trouve sur un serveur. d’atténuation partielle) ; 7. www.mcgrewsecurity.com/tools/msramdmp/ I s’assurer que l’authentification est exigée au démarrage 8. Basic Input/Output System (BIOS), du système à la suite du retour de l’hibernation (si activée); http://en.wikipedia.org/wiki/BIOS 9. http://citp.princeton.edu/memory/code/ I utiliser un volume ou un répertoire chiffré à l’aide d’une 10. www.volatilesystems.com/default/volatility autre clé même à l’intérieur d’un disque dur complète- 11. Power-on self-test (POST), ment chiffré (WDE). http://en.wikipedia.org/wiki/Power-on_self-test Septembre 2009 SÉCUS | 44 |

Empfohlen

Overlight
OverlightOverlight
Overlightguestd1453e
 
2011 03-13 notasegw
2011 03-13 notasegw2011 03-13 notasegw
2011 03-13 notasegwMisión Peruana del Norte
 
Pestalozzi
PestalozziPestalozzi
PestalozziNazaretAG
 
Concours "France terre d'olympisme" - Pologne 2011
Concours "France terre d'olympisme" - Pologne 2011Concours "France terre d'olympisme" - Pologne 2011
Concours "France terre d'olympisme" - Pologne 2011Francuski.fr
 
Ocho semanas i
Ocho semanas iOcho semanas i
Ocho semanas iyahiss
 
Le schéma d’orientation « Marines et Ports de Loire »
Le schéma d’orientation « Marines et Ports de Loire »Le schéma d’orientation « Marines et Ports de Loire »
Le schéma d’orientation « Marines et Ports de Loire »Mission Val de Loire
 
Croissance, mode d’emploi : les 3 outils des PME qui réussissent
Croissance, mode d’emploi : les 3 outils des PME qui réussissentCroissance, mode d’emploi : les 3 outils des PME qui réussissent
Croissance, mode d’emploi : les 3 outils des PME qui réussissentGinger
 
Idea declaracion def
Idea declaracion defIdea declaracion def
Idea declaracion defAlejandra Prado
 

Empfohlen

Overlight
OverlightOverlight
Overlightguestd1453e
 
2011 03-13 notasegw
2011 03-13 notasegw2011 03-13 notasegw
2011 03-13 notasegwMisión Peruana del Norte
 
Pestalozzi
PestalozziPestalozzi
PestalozziNazaretAG
 
Concours "France terre d'olympisme" - Pologne 2011
Concours "France terre d'olympisme" - Pologne 2011Concours "France terre d'olympisme" - Pologne 2011
Concours "France terre d'olympisme" - Pologne 2011Francuski.fr
 
Ocho semanas i
Ocho semanas iOcho semanas i
Ocho semanas iyahiss
 
Le schéma d’orientation « Marines et Ports de Loire »
Le schéma d’orientation « Marines et Ports de Loire »Le schéma d’orientation « Marines et Ports de Loire »
Le schéma d’orientation « Marines et Ports de Loire »Mission Val de Loire
 
Croissance, mode d’emploi : les 3 outils des PME qui réussissent
Croissance, mode d’emploi : les 3 outils des PME qui réussissentCroissance, mode d’emploi : les 3 outils des PME qui réussissent
Croissance, mode d’emploi : les 3 outils des PME qui réussissentGinger
 
Idea declaracion def
Idea declaracion defIdea declaracion def
Idea declaracion defAlejandra Prado
 
Manuela Preoteasa, La Nouvelle Identité De L’Approche éConomique
Manuela Preoteasa, La Nouvelle Identité De L’Approche éConomiqueManuela Preoteasa, La Nouvelle Identité De L’Approche éConomique
Manuela Preoteasa, La Nouvelle Identité De L’Approche éConomiqueSFSIC Association
 
Etat du-marketing-internet-2011
Etat du-marketing-internet-2011Etat du-marketing-internet-2011
Etat du-marketing-internet-2011jmeutrope
 
Creacion formularios
Creacion formulariosCreacion formularios
Creacion formulariosCarolina Pozo
 
CIRCULAR PUENTE DE LOS RASOS - RÍO AMARILLO - LA ESPINAREA
CIRCULAR PUENTE DE LOS RASOS - RÍO AMARILLO - LA ESPINAREA CIRCULAR PUENTE DE LOS RASOS - RÍO AMARILLO - LA ESPINAREA
CIRCULAR PUENTE DE LOS RASOS - RÍO AMARILLO - LA ESPINAREA javilescha
 
Social Media Workforce _conferences Marrakech, September 2011
Social Media Workforce _conferences Marrakech, September 2011 Social Media Workforce _conferences Marrakech, September 2011
Social Media Workforce _conferences Marrakech, September 2011 ununi.TV - Crowd University for modern life
 
Fun
FunFun
Funguest49b6b2
 
Contenus et stratégies marketing : quelle place et quel avenir pour le marke...
Contenus et stratégies marketing : quelle place et quel avenir pour le marke...Contenus et stratégies marketing : quelle place et quel avenir pour le marke...
Contenus et stratégies marketing : quelle place et quel avenir pour le marke...Demeuzois Julien
 
El gall xafarder de ripoll 18 massallera
El gall xafarder de ripoll 18 massalleraEl gall xafarder de ripoll 18 massallera
El gall xafarder de ripoll 18 massalleraESCOLA SEGIMON COMAS Sant Quirze de Besora
 
Silencieux - le SILence des OCtets
Silencieux - le SILence des OCtetsSilencieux - le SILence des OCtets
Silencieux - le SILence des OCtetslesiloc
 
Pps cesaire 2011-12 compressé
Pps cesaire 2011-12 compresséPps cesaire 2011-12 compressé
Pps cesaire 2011-12 compresséZEGHBAB
 
Estado actual de OSM Paraguay
Estado actual de OSM ParaguayEstado actual de OSM Paraguay
Estado actual de OSM ParaguaySimgia http://www.simgia.com/
 
Perception des marques en conversation
Perception des marques en conversationPerception des marques en conversation
Perception des marques en conversationAndria Andriuzzi
 
Algoritmos TOP 20th
Algoritmos TOP 20thAlgoritmos TOP 20th
Algoritmos TOP 20thDamián
 
Assemblée Générale OLPC 2010 - Bilan financier
Assemblée Générale OLPC 2010 - Bilan financierAssemblée Générale OLPC 2010 - Bilan financier
Assemblée Générale OLPC 2010 - Bilan financierDepend
 
AtlaSearch Consulting
AtlaSearch ConsultingAtlaSearch Consulting
AtlaSearch ConsultingTânia Ferreira El Alj
 
2011 03-13 misioneroadultos-ea
2011 03-13 misioneroadultos-ea2011 03-13 misioneroadultos-ea
2011 03-13 misioneroadultos-eaMisión Peruana del Norte
 
Reglamento para las selecciones provinciales 2010 y fiesta naci...
Reglamento para las selecciones provinciales 2010 y fiesta naci...Reglamento para las selecciones provinciales 2010 y fiesta naci...
Reglamento para las selecciones provinciales 2010 y fiesta naci...Laura Casco Zorzon
 
Trabajo 2
Trabajo 2 Trabajo 2
Trabajo 2 Jose Salazar
 
Informatica
InformaticaInformatica
Informaticajose
 
Intr a la_computacion
Intr a la_computacionIntr a la_computacion
Intr a la_computacionSUSANA
 
Chiffrement des terminaux : comment ça marche ?
Chiffrement des terminaux : comment ça marche ?Chiffrement des terminaux : comment ça marche ?
Chiffrement des terminaux : comment ça marche ?Symantec
 
Cecyf / Coriin - mimikatz et la mémoire de Windows
Cecyf / Coriin - mimikatz et la mémoire de WindowsCecyf / Coriin - mimikatz et la mémoire de Windows
Cecyf / Coriin - mimikatz et la mémoire de WindowsBenjamin Delpy
 

Weitere ähnliche Inhalte

Andere mochten auch

Manuela Preoteasa, La Nouvelle Identité De L’Approche éConomique
Manuela Preoteasa, La Nouvelle Identité De L’Approche éConomiqueManuela Preoteasa, La Nouvelle Identité De L’Approche éConomique
Manuela Preoteasa, La Nouvelle Identité De L’Approche éConomiqueSFSIC Association
 
Etat du-marketing-internet-2011
Etat du-marketing-internet-2011Etat du-marketing-internet-2011
Etat du-marketing-internet-2011jmeutrope
 
Creacion formularios
Creacion formulariosCreacion formularios
Creacion formulariosCarolina Pozo
 
CIRCULAR PUENTE DE LOS RASOS - RÍO AMARILLO - LA ESPINAREA
CIRCULAR PUENTE DE LOS RASOS - RÍO AMARILLO - LA ESPINAREA CIRCULAR PUENTE DE LOS RASOS - RÍO AMARILLO - LA ESPINAREA
CIRCULAR PUENTE DE LOS RASOS - RÍO AMARILLO - LA ESPINAREA javilescha
 
Contenus et stratégies marketing : quelle place et quel avenir pour le marke...
Contenus et stratégies marketing : quelle place et quel avenir pour le marke...Contenus et stratégies marketing : quelle place et quel avenir pour le marke...
Contenus et stratégies marketing : quelle place et quel avenir pour le marke...Demeuzois Julien
 
Silencieux - le SILence des OCtets
Silencieux - le SILence des OCtetsSilencieux - le SILence des OCtets
Silencieux - le SILence des OCtetslesiloc
 
Pps cesaire 2011-12 compressé
Pps cesaire 2011-12 compresséPps cesaire 2011-12 compressé
Pps cesaire 2011-12 compresséZEGHBAB
 
Perception des marques en conversation
Perception des marques en conversationPerception des marques en conversation
Perception des marques en conversationAndria Andriuzzi
 
Algoritmos TOP 20th
Algoritmos TOP 20thAlgoritmos TOP 20th
Algoritmos TOP 20thDamián
 
Assemblée Générale OLPC 2010 - Bilan financier
Assemblée Générale OLPC 2010 - Bilan financierAssemblée Générale OLPC 2010 - Bilan financier
Assemblée Générale OLPC 2010 - Bilan financierDepend
 
Reglamento para las selecciones provinciales 2010 y fiesta naci...
Reglamento para las selecciones provinciales 2010 y fiesta naci...Reglamento para las selecciones provinciales 2010 y fiesta naci...
Reglamento para las selecciones provinciales 2010 y fiesta naci...Laura Casco Zorzon
 
Informatica
InformaticaInformatica
Informaticajose
 
Intr a la_computacion
Intr a la_computacionIntr a la_computacion
Intr a la_computacionSUSANA
 

Andere mochten auch (20)

Manuela Preoteasa, La Nouvelle Identité De L’Approche éConomique
Manuela Preoteasa, La Nouvelle Identité De L’Approche éConomiqueManuela Preoteasa, La Nouvelle Identité De L’Approche éConomique
Manuela Preoteasa, La Nouvelle Identité De L’Approche éConomique
 
Etat du-marketing-internet-2011
Etat du-marketing-internet-2011Etat du-marketing-internet-2011
Etat du-marketing-internet-2011
 
Creacion formularios
Creacion formulariosCreacion formularios
Creacion formularios
 
CIRCULAR PUENTE DE LOS RASOS - RÍO AMARILLO - LA ESPINAREA
CIRCULAR PUENTE DE LOS RASOS - RÍO AMARILLO - LA ESPINAREA CIRCULAR PUENTE DE LOS RASOS - RÍO AMARILLO - LA ESPINAREA
CIRCULAR PUENTE DE LOS RASOS - RÍO AMARILLO - LA ESPINAREA
 
Social Media Workforce _conferences Marrakech, September 2011
Social Media Workforce _conferences Marrakech, September 2011 Social Media Workforce _conferences Marrakech, September 2011
Social Media Workforce _conferences Marrakech, September 2011
 
Fun
FunFun
Fun
 
Contenus et stratégies marketing : quelle place et quel avenir pour le marke...
Contenus et stratégies marketing : quelle place et quel avenir pour le marke...Contenus et stratégies marketing : quelle place et quel avenir pour le marke...
Contenus et stratégies marketing : quelle place et quel avenir pour le marke...
 
El gall xafarder de ripoll 18 massallera
El gall xafarder de ripoll 18 massalleraEl gall xafarder de ripoll 18 massallera
El gall xafarder de ripoll 18 massallera
 
Silencieux - le SILence des OCtets
Silencieux - le SILence des OCtetsSilencieux - le SILence des OCtets
Silencieux - le SILence des OCtets
 
Pps cesaire 2011-12 compressé
Pps cesaire 2011-12 compresséPps cesaire 2011-12 compressé
Pps cesaire 2011-12 compressé
 
Estado actual de OSM Paraguay
Estado actual de OSM ParaguayEstado actual de OSM Paraguay
Estado actual de OSM Paraguay
 
Perception des marques en conversation
Perception des marques en conversationPerception des marques en conversation
Perception des marques en conversation
 
Algoritmos TOP 20th
Algoritmos TOP 20thAlgoritmos TOP 20th
Algoritmos TOP 20th
 
Assemblée Générale OLPC 2010 - Bilan financier
Assemblée Générale OLPC 2010 - Bilan financierAssemblée Générale OLPC 2010 - Bilan financier
Assemblée Générale OLPC 2010 - Bilan financier
 
AtlaSearch Consulting
AtlaSearch ConsultingAtlaSearch Consulting
AtlaSearch Consulting
 
2011 03-13 misioneroadultos-ea
2011 03-13 misioneroadultos-ea2011 03-13 misioneroadultos-ea
2011 03-13 misioneroadultos-ea
 
Reglamento para las selecciones provinciales 2010 y fiesta naci...
Reglamento para las selecciones provinciales 2010 y fiesta naci...Reglamento para las selecciones provinciales 2010 y fiesta naci...
Reglamento para las selecciones provinciales 2010 y fiesta naci...
 
Trabajo 2
Trabajo 2 Trabajo 2
Trabajo 2
 
Informatica
InformaticaInformatica
Informatica
 
Intr a la_computacion
Intr a la_computacionIntr a la_computacion
Intr a la_computacion
 

Ähnlich wie Article secus 09_09

Chiffrement des terminaux : comment ça marche ?
Chiffrement des terminaux : comment ça marche ?Chiffrement des terminaux : comment ça marche ?
Chiffrement des terminaux : comment ça marche ?Symantec
 
Cecyf / Coriin - mimikatz et la mémoire de Windows
Cecyf / Coriin - mimikatz et la mémoire de WindowsCecyf / Coriin - mimikatz et la mémoire de Windows
Cecyf / Coriin - mimikatz et la mémoire de WindowsBenjamin Delpy
 
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...DICKO Yacouba
 
Voyage Coeur Memoire
Voyage Coeur MemoireVoyage Coeur Memoire
Voyage Coeur Memoireguestc67278
 
Comment monter son pc soi-même ? Tous ce que vous devez savoir!
Comment monter son pc soi-même ? Tous ce que vous devez savoir!Comment monter son pc soi-même ? Tous ce que vous devez savoir!
Comment monter son pc soi-même ? Tous ce que vous devez savoir!Oolong Media
 
Analyse d'un kernel (crash, core) dump
Analyse d'un kernel (crash, core) dumpAnalyse d'un kernel (crash, core) dump
Analyse d'un kernel (crash, core) dumpGaëtan Trellu
 
Guide De Piratage Dun Reseau Wifi Domestique (Ou Commentexploserune Clef Wep)...
Guide De Piratage Dun Reseau Wifi Domestique (Ou Commentexploserune Clef Wep)...Guide De Piratage Dun Reseau Wifi Domestique (Ou Commentexploserune Clef Wep)...
Guide De Piratage Dun Reseau Wifi Domestique (Ou Commentexploserune Clef Wep)...guest0b40ec
 
Tutoriel protel99 se
Tutoriel protel99 seTutoriel protel99 se
Tutoriel protel99 seCLES-FACIL
 
Authentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesAuthentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesSylvain Maret
 
Sécuriser votre système GNU/Linux
Sécuriser votre système GNU/LinuxSécuriser votre système GNU/Linux
Sécuriser votre système GNU/LinuxAsher256
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiquemourad50
 
DEBUTER SOUS LINUX : GUIDE COMPLET
DEBUTER SOUS LINUX : GUIDE COMPLETDEBUTER SOUS LINUX : GUIDE COMPLET
DEBUTER SOUS LINUX : GUIDE COMPLETTaoufik AIT HSAIN
 
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainmichelcusin
 
Reverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareReverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareNinaSAMMUT
 
Introduction au matériel et au logiciel xentry connect c5
Introduction au matériel et au logiciel xentry connect c5Introduction au matériel et au logiciel xentry connect c5
Introduction au matériel et au logiciel xentry connect c5spobd2
 
Securiser Votre Systeme Gnu Linux
Securiser Votre Systeme Gnu LinuxSecuriser Votre Systeme Gnu Linux
Securiser Votre Systeme Gnu LinuxFdiwa
 

Ähnlich wie Article secus 09_09 (20)

Chiffrement des terminaux : comment ça marche ?
Chiffrement des terminaux : comment ça marche ?Chiffrement des terminaux : comment ça marche ?
Chiffrement des terminaux : comment ça marche ?
 
Cecyf / Coriin - mimikatz et la mémoire de Windows
Cecyf / Coriin - mimikatz et la mémoire de WindowsCecyf / Coriin - mimikatz et la mémoire de Windows
Cecyf / Coriin - mimikatz et la mémoire de Windows
 
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
 
Voyage Coeur Memoire
Voyage Coeur MemoireVoyage Coeur Memoire
Voyage Coeur Memoire
 
Comment monter son pc soi-même ? Tous ce que vous devez savoir!
Comment monter son pc soi-même ? Tous ce que vous devez savoir!Comment monter son pc soi-même ? Tous ce que vous devez savoir!
Comment monter son pc soi-même ? Tous ce que vous devez savoir!
 
Analyse d'un kernel (crash, core) dump
Analyse d'un kernel (crash, core) dumpAnalyse d'un kernel (crash, core) dump
Analyse d'un kernel (crash, core) dump
 
Crack clef wep_sous_windows
Crack clef wep_sous_windowsCrack clef wep_sous_windows
Crack clef wep_sous_windows
 
Guide De Piratage Dun Reseau Wifi Domestique (Ou Commentexploserune Clef Wep)...
Guide De Piratage Dun Reseau Wifi Domestique (Ou Commentexploserune Clef Wep)...Guide De Piratage Dun Reseau Wifi Domestique (Ou Commentexploserune Clef Wep)...
Guide De Piratage Dun Reseau Wifi Domestique (Ou Commentexploserune Clef Wep)...
 
Tutoriel protel99 se
Tutoriel protel99 seTutoriel protel99 se
Tutoriel protel99 se
 
Authentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesAuthentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendances
 
Sécuriser votre système GNU/Linux
Sécuriser votre système GNU/LinuxSécuriser votre système GNU/Linux
Sécuriser votre système GNU/Linux
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Guide complet linux
Guide complet linuxGuide complet linux
Guide complet linux
 
DEBUTER SOUS LINUX : GUIDE COMPLET
DEBUTER SOUS LINUX : GUIDE COMPLETDEBUTER SOUS LINUX : GUIDE COMPLET
DEBUTER SOUS LINUX : GUIDE COMPLET
 
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humain
 
Reverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareReverse Engineering d'un ransomware
Reverse Engineering d'un ransomware
 
Introduction au matériel et au logiciel xentry connect c5
Introduction au matériel et au logiciel xentry connect c5Introduction au matériel et au logiciel xentry connect c5
Introduction au matériel et au logiciel xentry connect c5
 
Supports amovibles
Supports amoviblesSupports amovibles
Supports amovibles
 
TP DEA
TP DEATP DEA
TP DEA
 
Securiser Votre Systeme Gnu Linux
Securiser Votre Systeme Gnu LinuxSecuriser Votre Systeme Gnu Linux
Securiser Votre Systeme Gnu Linux
 

Mehr von michelcusin

Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationmichelcusin
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.michelcusin
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12michelcusin
 
Article_pentest_Secus 10 12
Article_pentest_Secus 10 12Article_pentest_Secus 10 12
Article_pentest_Secus 10 12michelcusin
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiquemichelcusin
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vousmichelcusin
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatalemichelcusin
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplugmichelcusin
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le mondemichelcusin
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010michelcusin
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10michelcusin
 
Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008michelcusin
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_lavalmichelcusin
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsmichelcusin
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10michelcusin
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackersmichelcusin
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 

Mehr von michelcusin (17)

Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'information
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12
 
Article_pentest_Secus 10 12
Article_pentest_Secus 10 12Article_pentest_Secus 10 12
Article_pentest_Secus 10 12
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatique
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vous
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatale
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplug
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le monde
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10
 
Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_laval
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnets
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackers
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 

Article secus 09_09

  • 1. IN V E STIGATION Même chiffrées, vos données sont-elles vraiment en sécurité? PAR MICHEL CUSIN, architecte en sécurité informatique – Bell La majorité d’entre nous utilise un ordinateur portable tant à des fins personnelles que professionnelles. Son utilisation nous simplifie carrément la vie. Il est facile à transporter : du bureau à la maison, de l’aérogare à l’avion, du siège arrière d’une voiture au sous-sol d’un Michel Cusin est architecte en sécurité informatique chez pirate informatique ! Simple à utiliser, mais aussi facile à voler. Bell. Il œuvre dans le domaine de la sécurité depuis près Arrêtez-vous deux minutes et le contenu complet d’un disque dur incluant le sys- d’une décennie et détient réfléchissez à ce que peut contenir le tème d’exploitation ainsi que toutes les données qu’il plusieurs certifications telles portable du président d’une grande contient. Ainsi, sans la clé de chiffrement, il devient que CISSP GCIH, CEH, OPST et , entreprise, d’un médecin, d’un minis- impossible de lire de manière intelligible le contenu du plusieurs autres. Il est égale- ment cofondateur du Hackfest tre, d’un banquier ou de monsieur et disque ou d’attaquer le système d’exploitation. Même Reloaded et mentor pour le madame Tout-le-monde. Avez-vous les CD ou clés USB de démarrage, qui permettraient de cours SEC504 Hacker Techniques, une idée de la quantité, de la sensi- démarrer un portable avec un autre système d’exploi- Exploits and Incident Handling bilité, de la confidentialité et de la tation comme Backtrack2, Helix3, Sysinternals4 ou tout du SANS Institute. valeur de l’information qui s’y trouve? simplement un bon vieux CD de Linux, sont inutiles Les conséquences d’un vol de portable peuvent pour lire ou modifier ce qu’il y a sur le disque. aller du simple désagrément à la perte d’un contrat Parmi les logiciels connus de chiffrement, qui majeur en passant par des expositions médiatiques permettent de faire du WDE, on retrouve, notamment, non désirées et néfastes pour l’image. On ne compte PGP, TrueCrypt, pour ne nommer que ceux-ci, ou BitLocker plus les histoires de portables ayant été volés ou de Microsoft qui est nouveau dans Windows Vista. oubliés quelque part, que ce soit dans le taxi ou dans Brièvement, voici comment le chiffrement de l’autobus. type WDE fonctionne. Une fois installé sur le poste de Vous me direz qu’il suffit de chiffrer le contenu du travail, le logiciel est utilisé pour chiffrer au complet le disque dur et que le tour est ainsi joué. Eh bien, je vous contenu du disque dur. Le mécanisme de chiffrement dirai que je ne suis que partiellement d’accord avec vous utilise une clé reliée à ce qui est communément sur ce point. Vous le verrez un peu plus loin, cette solu- appelé une « phrase de passe » (passphrase). Cette tion, comme toutes les autres, a des failles. En fait, la dernière est en fait un mot de passe qui ressemble façon de l’utiliser joue pour beaucoup sur son efficacité. plus, à cause de sa longueur, à une phrase. La sensation de sécurité que vous procure le Une fois le processus de chiffrement du disque chiffrement de votre disque dur s’estompera peut-être complété, le logiciel demande d’entrer la passphrase quelque peu lorsque s’ajouteront les Cold Boot Attacks au démarrage du poste, et ce, avant même que le (attaques de redémarrage à froid) à l’équation. système d’exploitation ne soit amorcé. Une fois Les solutions de type Whole Disk Encryption qu’elle est entrée, elle est stockée dans la mémoire (WDE)1 permettent de chiffrer, on the fly (à la volée), vive (random access memory – RAM) et y demeure Suite en page 42 Septembre 2009 SÉCUS | 40 |
  • 2.
  • 3. Suite de la page 40 J’ai une petite question pour vous : combien de temps faut-il pour appuyer sur le bouton d’alimentation (power) afin d’éteindre le portable et de le rallumer tout de suite après ? À peine cinq secondes, me direz-vous ? Continuons. 5s 30 s 60 s 5 min Figure 1 tant que le poste reste sous tension (Figure 1). Nous revien- drons à cet aspect un peu plus tard. La raison pour laquelle la clé reste en mémoire est que toute l’information chiffrée qui est sur le disque est déchif- frée à la volée par l’engin de chiffrement au fur et à mesure qu’elle est lue afin d’être affichée à l’écran. L’information chif- Figure 3 frée du disque reste donc toujours accessible, mais chiffrée, Source : http://citp.princeton.edu/memory/ et doit passer par l’instrument de chiffrement qui utilise une De plus, les recherches ont démontré que les barrettes ou des clés ainsi qu’une passphrase pour être lisible (Figure 2). de mémoire vive, ayant été soumises au jet sortant d’une canette d’air comprimé renversée (Figure 4), pouvaient être refroidies à une température allant jusqu’à -50 °C (Figure 5). Hé oui ! C’est bien une couche de givre que vous voyez ! Figure 2 La ou les clés de chiffrement restent alors stockées Figure 4 Figure 5 dans la mémoire vive tant que le poste reste sous tension. Source : http://citp.princeton.edu/memory/ Donc, comme le veut la croyance populaire, nous pourrions Ces mêmes recherches ont également démontré que facilement en déduire qu’une fois le poste mis hors tension, les barrettes de mémoire vive gardent leur contenu tant et la mémoire vive n’a plus d’alimentation électrique et, par le aussi longtemps que la mémoire reste à basse température. fait même, qu’elle perd immédiatement sa charge et son con- La figure 6 permet de voir, à gauche, une image de la Joconde tenu, n’est-ce pas ? Eh bien, ce n’est pas tout à fait exact. Je chargée en mémoire (avec alimentation électrique) et, à vous explique. droite, la même image qui provient de la même barrette de Des étudiants de l’université de Princeton, au New mémoire qui a été refroidie et privée d’alimentation élec- Jersey, ont publié un papier intitulé Lest We Remember : Cold trique pendant dix minutes. Boot Attacks on Encryption Keys5. Lors de leurs recherches, ils ont découvert que la mémoire vive d’un ordinateur ne perd pas sa charge immédiatement lorsque ce dernier est mis hors tension. En fait, selon le type de mémoire et certains autres facteurs, la mémoire vive conserve sa charge, donc son contenu, pour une période de plusieurs secondes après avoir été privée d’alimentation électrique. La figure 3 permet de voir une image de la Joconde chargée en mémoire et privée d’alimentation électrique. On peut y constater la perte graduelle de la charge et de l’image pour des périodes variant de cinq secondes à cinq minutes. On peut également observer que la charge électrique, donc le contenu de la mémoire, diminue graduellement et non Figure 6 instantanément. Source : http://citp.princeton.edu/memory/ Suite en page 43 Septembre 2009 SÉCUS | 42 |
  • 4. Suite de la page 42 Tout ceci est bien intéressant, mais, me direz-vous, Dans le cas d’un poste Windows en hibernation, c’est quel est le lien entre le chiffrement du disque dur et la un peu différent. Tout le contenu de la mémoire vive est mémoire surgelée ? Excellente question ! En fait, c’est là transféré dans un fichier qui s’appelle «hiberfil.sys», situé sur qu’entre en jeu l’infâme Cold Boot Attack. le disque dur. Le contenu de ce fichier est toutefois rechargé Comme vous le savez maintenant, le contenu de la en mémoire lorsque le poste est réveillé de nouveau. mémoire vive d’un ordinateur y demeure pendant un certain Wesley McGrew, un chercheur au Center for Computer temps après que ce dernier ait été mis hors tension. Vous savez Security Research (CCSR) d’une université de l’État du aussi que moins de cinq secondes suffisent pour arrêter et Mississippi, a créé un outil qui s’appelle « msramdmp7 ». Il redémarrer un ordinateur en appuyant sur le bouton d’alimen- permet de démarrer un poste à partir d’un disque externe tation. Ce n’est pas une façon élégante de fermer un ordinateur, USB et d’y copier le contenu de la mémoire vive. De plus, mais c’est ce que nous voulons. Pourquoi? Eh bien, lorsqu’un l’empreinte-mémoire de msramdmp est très minime – on ordinateur est arrêté correctement à partir du système d’ex- parle de quelques kilobits – ploitation par des commandes comme shutdown (arrêt) ou ce qui diminue de beaucoup « En quelques minutes, toute halt (halte), le contenu de la mémoire vive est effacé. les probabilités d’écraser l’information chargée en Pour réussir une Cold Boot Attack, le système doit être quelque chose d’important mis hors tension en appuyant sur le bouton d’alimentation. dans la mémoire. mémoire, comme les mots de Ceci a pour but de faire planter (crasher) le système et de Inutile de vous rappe- passe, les clés de chiffrement garder le contenu de la mémoire vive. Il faut ensuite le ler que la capacité de stock- et les données sensibles, remettre en marche aussitôt afin de redonner à la mémoire age du dispositif externe doit peut être récupérée, souvent à son alimentation électrique et d’éviter ainsi de perdre son être équivalente, mais idéa- contenu pour ensuite le copier sur un dispositif externe. Il faut lement plus grande que celle l’insu de la victime qui se croit cependant que le système soit redémarré avec des outils spé- de la mémoire vive du poste. en sécurité grâce à l’utilisation cialement conçus à cet effet. Ce que nous verrons à l’instant. Aujourd’hui, il n’est pas rare du WDE sur son poste.» Or, un attaquant ayant physiquement accès à un ordi- que des postes aient plu- nateur (portable ou autre) peut rapidement relancer le système sieurs gigaoctets de mémoire vive, alors si vous envisagez à partir d’une clé ou d’un disque dur USB, ou même à partir de tenter l’exercice et d’utiliser une clé USB, prévoyez le coup! d’un baladeur numérique (iPod), et copier le contenu de la Mais qu’arrive-t-il si le BIOS8 du système demande un mot mémoire vive qui n’a pas été effacé étant donné que le sys- de passe (que nous n’avons pas et qui n’est pas en mémoire) tème a planté et ne s’est pas arrêté correctement (Figure 7). lors du redémarrage ou si le démarrage du poste par un dis- positif externe (clé USB, CD, PXE) est impossible? En fait, la solution à ce problème est très simple ! Vous souvenez-vous de la mémoire « surgelée » avec l’image de la Joconde qui demeure intacte même après dix minutes sans alimentation électrique? Eh bien, c’est là qu’elle entre en jeu. Il suffit d’exposer physiquement la mémoire et de la refroidir à l’aide du jet d’une canette d’air comprimé renversée, de la geler, de mettre l’ordi- nateur hors tension et d’enlever physiquement la mémoire pour la réinstaller dans un autre poste qui, lui, n’offrira aucune résistance au redémarrage. Et le tour est joué ! Plus tôt, dans l’article, je mentionnais que, avec un chiffrement de type WDE, il était impossible d’accéder de Figure 7 façon lisible au contenu du disque dur. C’est toujours vrai, à Source : http://citp.princeton.edu/memory/ moins d’avoir la clé ou la passphrase. Et comme nous venons L’ordinateur peut également être remis en marche avec tout juste de copier le contenu de la mémoire vive sur un un CD ou même par le réseau en utilisant un démarrage PXE6. disque externe et que la clé de chiffrement et la phrase Comme une certaine partie de l’information sera chargée en secrète s’y trouvent, la prochaine étape consiste à extraire le mémoire afin de démarrer le poste, il est important d’utiliser tout. Alors, allons-y ! un mécanisme d’amorçage qui ne prendra pas beaucoup Selon le logiciel de chiffrement utilisé, les méthodes d’espace mémoire afin de ne pas écraser le contenu de la d’extraction des clés et de la phrase de passe peuvent varier. mémoire vive du poste. Il ne faut pas non plus oublier qu’un Quelques outils sont offerts pour extraire l’information rela- poste mis en attente (stand-by) garde toutes les informa- tive au logiciel TrueCrypt. Nadia Heninger et Ariel Feldman, de tions stockées dans la mémoire vive. l’université de Princeton, ont développé un outil qui s’appelle Suite en page 44 Septembre 2009 SÉCUS | 43 |
  • 5. Suite de la page 43 « aeskeyfind9 ». Il permet de trouver les clés de chiffrement. En conclusion, le problème ne réside pas vraiment Il y a aussi un plugiciel (plug-in) qui s’appelle « cryptoscan » dans les technologies utilisées pour chiffrer l’information, et qui s’installe dans le Volatility Framework10 de la compagnie mais dans les façons de les utiliser. En effet, les solutions de Volatile Systems et qui permet d’en extraire la passphrase. chiffrement de type WDE sont d’excellents moyens pour pro- Une fois que les clés ou la phrase secrète ont été téger l’information. Cependant, même les meilleures solu- récupérées, une multitude de possibilités s’offrent à l’atta- tions ont leurs failles. quant allant du simple accès au disque dur aux attaques les Comme l’une des failles principales des logiciels de plus sournoises. Dans un prochain article, je vous parlerai de type WDE concerne les clés de chiffrement qui sont stockées ces possibilités. De plus, le 7 novembre prochain, vous pour- dans la mémoire vive de l’ordinateur, il est fortement suggéré rez assister à une présentation accompagnée d’une démon- de mettre le poste hors tension lorsqu’il est en transit ou qu’il stration que je ferai au www.hackfest.ca/. doit demeurer sans surveillance. En attendant, j’ai pour vous quelques solutions pour La deuxième faille principale est l’être humain. Que le garder vos données en sécurité : disque soit chiffré en entier ou non, les bonnes vieilles règles I mettre les ordinateurs hors tension lors des déplacements; de bases s’appliquent toujours: il faut sécuriser physique- I ne pas laisser les ordinateurs sans surveillance quand ment et logiquement le poste et ne pas le laisser sans sur- ils sont en attente (stand-by) ou en hibernation ; veillance lorsqu’il est sous tension. I utiliser un mot de passe pour le BIOS (mesure d’atté- Laissez-moi vous poser une dernière question : même nuation partielle, puisque la mémoire peut être lue sur chiffrées, vos données sont-elles vraiment en sécurité ? I une autre machine) ; I désactiver la mise en attente (stand-by) ou l’hibernation; 1. Disque entier crypté, I ne pas stocker les clés de chiffrement sur une clé USB (http://en.wikipedia.org/wiki/Whole_Disk_Encryption) accrochée à un porte-clés ou ne pas utiliser de méca- 2. www.remote-exploit.org/backtrack.html nisme qui charge les clés de chiffrement de façon 3. www.e-fense.com/products.php automatique ; 4. http://technet.microsoft.com/en-us/sysinternals/default.aspx I désactiver la possibilité de démarrer à partir d’autres 5. http://citp.princeton.edu/pub/coldboot.pdf 6. Le démarrage PXE (Pre-boot eXecution Environment) médias (mesure d’atténuation partielle) ; permet à une station de travail de démarrer à partir du réseau I activer le test de la mémoire au démarrage « POST11 ». en récupérant une image de système d’exploitation qui Cela effacera la mémoire au démarrage (mesure se trouve sur un serveur. d’atténuation partielle) ; 7. www.mcgrewsecurity.com/tools/msramdmp/ I s’assurer que l’authentification est exigée au démarrage 8. Basic Input/Output System (BIOS), du système à la suite du retour de l’hibernation (si activée); http://en.wikipedia.org/wiki/BIOS 9. http://citp.princeton.edu/memory/code/ I utiliser un volume ou un répertoire chiffré à l’aide d’une 10. www.volatilesystems.com/default/volatility autre clé même à l’intérieur d’un disque dur complète- 11. Power-on self-test (POST), ment chiffré (WDE). http://en.wikipedia.org/wiki/Power-on_self-test Septembre 2009 SÉCUS | 44 |