Sécurité : le chiffrement des SSD mis en défaut
Des universitaires attirent l’attention sur des défauts d’implémentation du chiffrement matériel dans des SSD internes et externes de Crucial et Samsung.
Si vous devez protéger des données sur un SSD, ne vous contentez pas du chiffrement intégré : utilisez dans tous les cas un logiciel.
Cette recommandation émane de Carlo Meijer et Bernard van Gastel, chercheurs à l’université Radboud de Nimègue (Pays-Bas).
Leur étude sur le sujet (document PDF, 16 pages) vient d’être publiée. Mais les fabricants concernés sont avertis depuis le mois d’avril.
Sept SSD sont listés comme « vulnérables » au sens où quiconque dispose d’un accès physique peut récupérer des données. Cinq d’entre eux (les MX100, MX200 et MX300 chez Crucial ; les 840 EVO et 850 EVO chez Samsung) sont des modèles internes. Les deux autres (T3 et T5 de Samsung) se connectent en USB.
L’examen de leurs firmwares respectifs a révélé plusieurs défauts d’implémentation du chiffrement matériel. Certains touchent l’ensemble des SSD quand d’autres sont spécifiques à des modèles (par exemple, sur le 840 EVO, un souci de rémanence de données lié à la répartition des écritures sur les secteurs physiques).
Sur Windows, BitLocker peut constituer une solution palliative. Sauf que par défaut, cet outil de chiffrement logiciel intégré à l’OS donne la priorité au chiffrement matériel si celui-ci est disponible.
Carlo Meijer et Bernard van Gastel conseillent de préférer à BitLocker un outil de chiffrement open source de type VeraCrypt. Samsung ne cite pas de logiciel en particulier, mais suggère la même méthode* pour ses SSD internes. Pour les modèles USB, il faudra passer par une mise à jour du firmware.
Crucial a signifié au Centre national de cybersécurité des Pays-Bas son intention de diffuser des correctifs, mais rien n’a encore officiellement été publié.
Crédit photo : Aaron und Ruth Meder via VisualHunt / CC BY-SA