La nouvelle attaque à froid amorce le chiffrement de disque sur presque tous les PC modernes

Les chercheurs en sécurité ont révélé une nouvelle attaque visant à voler des mots de passe

Des clés de chiffrement et d’autres informations sensibles stockées sur la plupart des ordinateurs modernes, même ceux dotés d’un chiffrement intégral du disque.

L’attaque est une nouvelle variante d’une attaque par amorçage à froid traditionnelle , qui existe depuis 2008 et permet aux pirates de voler des informations qui restent brièvement dans la mémoire (RAM) après la fermeture de l’ordinateur.

Cependant, pour rendre les attaques par démarrage à froid moins efficaces, la plupart des ordinateurs modernes sont fournis avec une sauvegarde, créée par le groupe TCG (Trusted Computing Group), qui écrase le contenu de la mémoire lorsque le périphérique est restauré. être lu.

Désormais, les chercheurs de la firme de sécurité informatique finlandaise F-Secure ont trouvé une nouvelle façon de désactiver cette mesure de sécurité en manipulant physiquement le microprogramme de l’ordinateur, permettant ainsi aux pirates de récupérer des données sensibles stockées sur leur ordinateur. minutes.

"Les attaques par démarrage à froid sont une méthode connue pour obtenir des clés de chiffrement à partir de périphériques. Mais les attaquants peuvent mettre la main sur toutes sortes d’informations en utilisant ces attaques. Les mots de passe, les identifiants le risque ", la société de sécurité met en garde dans un article de blog publié aujourd’hui.

Démonstration vidéo du nouveau Cold Boot Attack

À l’aide d’un outil simple, les chercheurs ont pu réécrire la puce de mémoire non volatile contenant les paramètres de remplacement de la mémoire, la désactiver et activer le démarrage à partir de périphériques externes. Vous pouvez également regarder la démonstration vidéo effectuant l’attaque ci-dessous.

À l’instar de l’attaque de démarrage à froid traditionnelle, la nouvelle attaque nécessite également un accès physique à l’appareil cible ainsi que les outils appropriés pour récupérer les données restantes dans la mémoire de l’ordinateur.

"Ce n’est pas tout à fait facile, mais ce n’est pas un problème assez difficile à trouver et à exploiter pour ignorer la probabilité que certains attaquants aient déjà compris", explique Olle Segerdahl, consultant principal en sécurité chez F-Secure. .

"Ce n’est pas exactement le genre de chose que les attaquants à la recherche de cibles faciles utiliseront. Mais c’est le genre de chose que les attaquants à la recherche de phishing plus gros, comme une banque ou une grande entreprise, sauront utiliser."

Comment les utilisateurs de Microsoft Windows et d’Apple peuvent-ils empêcher les attaques à froid ?

Selon Olle et son collègue Pasi Saarinen, leur nouvelle technique d’attaque est réputée efficace contre presque tous les ordinateurs modernes et même les Macs Apple et ne peut être corrigée facilement et rapidement.

Les deux chercheurs, qui présenteront leurs conclusions aujourd’hui lors d’une conférence sur la sécurité, déclarent avoir déjà partagé leurs découvertes avec Microsoft, Intel et Apple, et les ont aidés à explorer d’éventuelles stratégies d’atténuation.

Microsoft a mis à jour ses recommandations sur les contre-mesures de Bitlocker en réponse aux conclusions de F-Secure, tandis qu’Apple a déclaré que ses appareils Mac équipés d’une puce Apple T2 contiennent des mesures de sécurité conçues pour protéger ses utilisateurs contre cette attaque.

Mais pour les ordinateurs Mac sans la dernière puce T2, Apple a recommandé aux utilisateurs de définir un mot de passe de micrologiciel afin de renforcer la sécurité de leurs ordinateurs.

Intel doit encore commenter à ce sujet.

Le duo affirme qu’il n’existe aucun moyen fiable de "prévenir ou de bloquer l’attaque par le froid dès qu’un attaquant disposant du bon savoir-faire met la main sur un ordinateur portable", mais suggère aux entreprises de configurer leurs appareils t trouver quelque chose de fructueux à voler.

Parallèlement, le duo recommande aux départements informatiques de configurer tous les ordinateurs de la société pour qu’ils s’arrêtent ou se mettent en veille (pas en mode veille) et demandent aux utilisateurs de saisir leur code PIN BitLocker à chaque mise sous tension ou restauration de leur ordinateur.

Les attaquants pourraient toujours effectuer une attaque de démarrage à froid réussie contre des ordinateurs configurés comme ceci, mais comme les clés de chiffrement ne sont pas stockées en mémoire lorsqu’une machine passe en veille ou s’arrête, il n’y aura aucune information valable à voler.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image