Sécurité IT : qui a les clés de la mémoire vive ?

PCSécuritéSystèmes d'exploitation
cold-boot

Des chercheurs sont parvenus à contourner le principal mécanisme mis en place pour éviter les attaques basées sur la rémanence des données en mémoire vive.

Que faites-vous quand vous avez fini de travailler sur votre ordinateur portable ?

F-Secure pose la question en référence à une vulnérabilité dont deux de ses employés ont fait la démonstration lors de la conférence SEC-T.

L’attaque qu’ils ont mise en œuvre exploite la rémanence des données en mémoire vive.

Le phénomène est connu depuis des décennies : lorsque la RAM n’est plus alimentée, les données sont en théorie perdues ; mais dans la pratique, elles restent accessibles pendant un court laps de temps. Lequel peut dépasser la minute en fonction de paramètres comme la température.

Voilà dix ans, l’université de Princeton s’était penchée sur la problématique, en s’intéressant plus particulièrement à la récupération de clés de chiffrement.

Ses conclusions avaient été suivies d’effet : regroupés au sein du Trusted Computing Group, AMD, Intel, IBM, HP et Microsoft avaient mis en place un mécanisme destiné à écraser, au redémarrage, les données en RAM.

Ce mécanisme utilise un bit dénommé MOR (« Memory Overwrite Request »). Il permet à l’OS de signaler au firmware s’il est nécessaire procéder à l’écrasement – typiquement, par écriture de zéros.

Le rempart BitLocker

L’instruction est stockée dans une puce flash… que les chercheurs de F-Secure sont parvenus à reprogrammer, moyennant un accès physique à la machine ciblée. Ainsi, ils ont pu démarrer sur une clé USB et accéder à ce qui se trouvait en RAM.

Leur démonstration a été effectuée sur un ordinateur laissé en veille. L’alimentation n’est quasiment jamais coupée, un adaptateur secteur étant branché au moment où la batterie est retirée pour accéder à la barrette de RAM et la refroidir.

Sur les machines Windows, l’attaque est plus compliquée si BitLocker est activé et configuré pour demander un PIN avant le démarrage du système. Aussi longtemps que le PIN n’est pas saisi, les clés de chiffrement ne pas sont stockées en mémoire et Windows ne peut ni lire, ni écrire sur le disque système.

macOS et Linux disposent eux aussi de cette fonctionnalité. Le premier n’utilise cependant pas le MOR, intégré au second seulement depuis l’an dernier.

Dans la documentation de BitLocker, mise à jour pour l’occasion, Microsoft recommande, en plus d’implémenter l’authentification par PIN, de désactiver la mise en veille pour privilégier l’extinction de la machine ou sa mise en hibernation (les clés BitLocker ne sont, dans ce cas, pas stockées en RAM).

Du côté d’Apple, on rappelle que les Mac de dernière génération (iMac Pro et MacBook Pro 2018) disposent d’une puce qui gère le chiffrement par coprocesseur, rendant l’attaque plus difficile. Sur les machines plus anciennes, il est conseillé de paramétrer un mot de passe d’accès au firmware.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur