Le chiffrement BitLocker de Microsoft est l’une des solutions de chiffrement les plus facilement disponibles qui permet aux utilisateurs de chiffrer et de protéger les données en toute sécurité contre les acteurs malveillants. Cependant, il semble que BitLocker ne soit pas aussi sûr qu’on pourrait le penser.
Plus tôt cette semaine, YouTuber stacksmashing a publié une vidéo montrant comment il a pu intercepter les données BitLocker et voler les clés de cryptage lui permettant de décrypter les données stockées sur le système. Non seulement cela, mais il a obtenu les résultats en 43 secondes en utilisant un Raspberry Pi Pico qui coûte probablement moins de 10 $.
Pour exécuter l’attaque, il a profité du Trusted Platform Module ou TPM. Dans la plupart des ordinateurs et ordinateurs portables professionnels, le TPM est situé en externe et utilise le bus LPC pour envoyer et recevoir des données du processeur. BitLocker de Microsoft s’appuie sur TPM pour stocker des données critiques telles que les registres de configuration de plate-forme et la clé principale de volume.
Lors des tests de stacksmashing, nous avons constaté que le bus LPC communique avec le processeur via des voies de communication non cryptées au démarrage et pouvant être exploitées afin de voler des données critiques. Il a exécuté l’attaque sur un ancien ordinateur portable Lenovo doté d’un connecteur LPC inutilisé sur la carte mère, à côté de l’emplacement SSD M.2. stacksmashing a connecté un Raspberry Pi Pico aux broches métalliques du connecteur inutilisé pour capturer les clés de cryptage au démarrage. Le Raspberry Pi a été configuré pour capturer les 0 et 1 binaires du TPM pendant le démarrage du système, lui permettant de reconstituer la clé principale du volume. Une fois cela fait, il a sorti le lecteur chiffré et a utilisé Dislocker avec la clé principale de volume pour déchiffrer le lecteur.
Microsoft note que ces attaques sont possibles mais affirme qu’elles nécessiteront des outils sophistiqués et un long accès physique à l’appareil. Cependant, comme le montre la vidéo, une personne prête à exécuter une attaque peut le faire en moins d’une minute.
Il y a cependant quelques réserves à garder à l’esprit. Cette attaque ne peut fonctionner qu’avec des modules TPM externes où le processeur doit obtenir des données du module de la carte mère. De nombreux nouveaux processeurs d’ordinateurs portables et de bureau sont désormais équipés du fTPM, où les données critiques sont stockées et gérées à l’intérieur du processeur lui-même. Cela dit, Microsoft recommande de configurer un code PIN BitLocker pour arrêter ces attaques, mais ce n’est pas facile à faire car vous devrez configurer une stratégie de groupe pour configurer un code PIN.
Laisser un commentaire