Un logiciel pour déchiffrer des conteneurs PGP et TrueCrypt
Spécialiste des logiciels de récupération de mots de passe "perdus" pour différents types de fichiers, ElcomSoft vient de lancer un nouveau logiciel, Forensic Disk Decryptor, dont il promet qu'il permet de décrypter trois types de conteneurs de fichiers très répandus : BitLocker, le système de chiffrement intégré à Windows, et PGP et TrueCrypt, deux solutions de chiffrement libres très utilisées.
Pas de panique toutefois, il ne s'agit pas véritablement d'une vulnérabilité de ces solutions de chiffrement : le logiciel ne peut réaliser ces opérations qu'en connaissant la clé de chiffrement du conteneur utilisé.
Cette clé, normalement protégée par le mot de passe utilisateur, est stockée en mémoire lorsque l'utilisateur monte le volume chiffré, puis y reste jusqu'à ce que le volume soit démonté. C'est dans cet intervalle qu'elle devient exposée et peut être récupérée pour être donnée à Forensic Disk Decryptor, qui peut aller extraire la clé de trois façons différentes : soit à partir d'un dump de la mémoire (qui nécessite donc d'avoir installé sur la machine cible un logiciel permettant d'effectuer ce dump), soit à partir du fichier d'hibernation pour une machine à laquelle l'attaquant à pu accéder physiquement alors qu'elle était en veille profonde, soit directement à partir de la mémoire de la machine si un logiciel adéquat y est installé.
La sortie de ce logiciel, qui ne met pas en évidence de nouvelle vulnérabilité mais facilite l'exploitation de cette vulnérabilité existante et inévitable avec une solution de chiffrement logicielle (la clé de chiffrement doit forcément se retrouver en mémoire pour être utilisée...) est surtout l'occasion de rappeler quelques bonnes pratiques pour sécuriser vos fichiers chiffrés :
* plutôt qu'un gros conteneur stockant tous les fichiers à protéger, privilégiez plutôt plusieurs conteneurs, avec des clés différentes (même si le mot de passe est le même, la clé sera généralement différente),
* montez vos volumes chiffrés uniquement quand c'est nécessaire et démontez les dès que possible,
* évitez de mettre votre machine en veille lorsque des conteneurs chiffrés sont montés.
Notez au passage que ces bonnes pratiques sont "incompatibles" avec le chiffrement complet de tout le volume système ou du dossier utilisateur, aussi bien avec BitLocker qu'avec FileVault, qui impose donc d'avoir la clé de chiffrement en mémoire pendant toute la durée d'utilisation de la machine : mieux vaut créer des conteneurs dédiés aux fichiers nécessitant vraiment une protection.
Enfin, si vous stockez des données vraiment sensibles, méfiez-vous aussi de la veille classique, même si le fichier d'hibernation est désactivé : des chercheurs en sécurité sont déjà parvenus il y a quelques années à récupérer une clé de chiffrement dans la RAM d'une machine en veille. En effet, lorsque la RAM cesse d'être alimentée, elle conserve tout de même les données pendant un certain délai, d'autant plus long que la mémoire est froide. En passant au congélateur une machine en veille, les chercheurs ont été en mesure de retirer les barrettes de mémoire pour les installer sur une autre machine et les dumper... Comme quoi, la RAM soudée n'a pas que des défauts :-)