Sécurité IT : cette faille Windows qui contourne le chiffrement BitLocker

AuthentificationPoste de travailRisquesSécuritéSystèmes d'exploitation
faille-bitlocker

Un chercheur a contourné le chiffrement de BitLocker en jouant sur l’authentification d’un PC Windows auprès du contrôleur de domaine.

Destinée à protéger des données sur les PC en chiffrant l’ensemble des disques durs, la technologie BitLocker présente une faille critique exploitable sur Windows Vista… et l’ensemble des versions ultérieures.

C’est le principal enseignement à tirer de la démonstration effectuée la semaine passée par le chercheur en sécurité informatique Ian Haken, dans le cadre de la conférence Black Hat Europe organisée à Amsterdam.

Le problème touche avant tout les ordinateurs qui partagent le même domaine. Une situation classique dans le monde de l’entreprise.

Généralement, lorsque l’authentification est requise pour l’usage de l’ordinateur dans le domaine de l’entreprise, le mot de passe de l’utilisateur est vérifié par un serveur dédié au contrôleur du domaine. Lequel s’assure par ailleurs que la machine elle-même est bien référencée, dans son domaine, par un mot de passe propre à l’ordinateur.

Cette sécurité à deux niveaux doit permettre d’éviter une tentative d’intrusion du réseau à la suite du vol ou de la perte d’un PC.

Ça se complique quand la machine sort du réseau de l’entreprise – par exemple, en situation de mobilité – et donc de son contrôleur de domaine associé.

Dans ce cas, l’authentification de l’utilisateur s’effectue grâce à des identifiants stockés localement, en cache. Le second niveau d’authentification n’est donc pas mis en oeuvre, l’ordinateur ne pouvant joindre le domaine de l’entreprise.

Ce système suppose l’impossibilité, pour un tiers, de modifier les données stockées dans le cache et donc d’accéder aux données stockées sur le disque dur. Or, cette protection peut tout à fait être contournée, selon Ian Haken.

Domaines fictifs

Il suffit d’installer un contrôleur de domaine fictif (par exemple depuis un serveur Samba sous Linux) avec le même nom de domaine que celui qu’utilise le PC pour s’y connecter. Deuxième étape : créer le même compte utilisateur sur le contrôleur, avec un mot de passe supposément associé à une date bien antérieure.

Dès lors, quand un tiers tente de s’identifier sur la machine usurpée en se connectant au domaine de l’entreprise, le contrôleur informe Windows que le mot de passe a expiré. L’utilisateur est alors automatiquement invité à en saisir un nouveau… qui remplace l’ancien dans le cache. Une opération qui se déroule avant que la machine ne soit identifiée par le contrôleur du réseau de l’entreprise.

La mise à jour du mot de passe ne suffit pas systématiquement à être reconnu par le réseau de l’entreprise, faute de posséder le mot de passe propre au domaine de la machine. Il faut alors retirer la machine du domaine afin de revenir à une authentification locale en entrant le nouveau mot de passe. Assez pour que BitLocker ouvre l’accès aux contenus des disques.

D’après Ian Haken, cette attaque est « fiable à 100% sur les systèmes affectés, elle n’est pas sophistiquée […] et peut être exécutée en une poignée de secondes ».

Un outil développé pour répondre automatiquement aux requêtes DNS/Kerboros « pourrait être utilisé pour contourner l’écran de connexion en une question de secondes ». Pour peu qu’il gère l’installation automatique de malware, et le tour est joué en un temps record, « alors qu’une attaque alternative nécessitant un redémarrage complet prendrait trop de temps et serait plus visible ».

Le contournement décrit par le chercheur nécessite néanmoins un accès physique à la machine, comme le souligne Silicon.fr. Ce qui n’est pas impossible dans nombre d’entreprises où, à l’heure du déjeuner par exemple, bon nombre de machines restent sur le bureau du salarié au moment où celui-ci va se restaurer.

Informé en amont de la conférence de Ian Haken, Microsoft a corrigé cette vulnérabilité avec le bulletin de sécurité MS15-122 de novembre. Un correctif à appliquer sans attendre.

Crédit photo : Gajus – Shutterstock.com

Lire aussi :