Un Mac chiffré résiste (presque) à un expert judiciaire

Stéphane Moussie |

Alors que les appareils iOS sont chiffrés quasiment par défaut depuis l'iPhone 3GS (il suffit d'activer le verrouillage par code pour que le chiffrement soit activé), ce n'est pas encore le cas sur les Mac, mais Apple pousse à l'utilisation de FileVault avec Yosemite. Est-ce que cette mesure de protection est efficace ? Un informaticien expert judiciaire donne la réponse sur son blog.

Zythom, comme il se fait appeler, raconte depuis plusieurs années des anecdotes sur ses expertises informatiques réalisées dans le cadre d'enquêtes judiciaires. Dans son dernier billet « Le disque dur chiffré », il revient sur une analyse « plutôt ancienne » qu'il a dû faire sur un Mac dont le disque dur était chiffré.

L'activation de FileVault, le système de chiffrement d'OS X, est proposée à l'installation de Yosemite.

Mais avant de pouvoir mettre le nez dans le disque dur, encore faut-il pouvoir l'extraire de la machine, ce qui n'est pas une mince affaire :

Je cherche sur internet de l'aide et, après quelques instants, trouve le site d'un passionné qui explique comment entreprendre l'opération chirurgicale. Première étape : fabriquer les outils de démontage. [...] Comme à chaque fois, je ne dois laisser aucune trace : le matériel qui m'est confié ne doit pas être endommagé. Dans ce cas particulier, aucune vis n'apparaît. Il va falloir ouvrir l’œuvre d'art par petites pressions délicates pour déclipser les différents éléments.

Interrogé par nos soins sur le modèle de Mac en question et la version du système, Zythom n'a pas donné plus de détails. Après avoir meulé des brosses à dents pour en faire des tournevis mous, l'expert parvient à ouvrir la machine.

Je place le disque dur dans ma station d'analyse et démarre le processus de copie numérique avec blocage d'écriture. Il va durer toute la nuit. [...] Nous sommes dimanche : la copie numérique s'est terminée, les hashs MD5 ante et post copie montrent que le contenu disque dur n'a pas été modifié et que la copie est fidèle. Je souffle un peu.

Je commence l'analyse inforensique de la copie numérique pour répondre à la mission. Et là, surprise : l'ensemble du disque dur est chiffré.

Aïe.

Pour accéder au contenu du disque dur, il faut le mot de passe qui a servi à le chiffrer. Sauf que le propriétaire a refusé de le divulguer. Ne reste alors plus que la manière forte. L'informaticien met en route son ordinateur le plus puissant et lance des programmes d'attaque par force brute réglés sur une semaine de calculs.

Après plusieurs jours de calculs, l'attaque par force brute ne donne toujours aucun résultat et l'expert judiciaire commence à se résigner. « Un bon chiffrement associé à un bon mot de passe n'est pas déchiffrable, même avec des moyens illimités. Alors, moi, avec mes petits ordinateurs de simple particulier... »

En relisant une nouvelle fois la mission qui stipule qu'il doit indiquer si oui ou non le fichier « SECRETINDUS.xls » est ou a été présent sur le Mac, une drôle d'idée lui vient à l'esprit ; chercher la chaîne de caractères « SECRETINDUS » sur l'ensemble du disque dur.

Et ça marche ! Le chemin de stockage du fichier « SECRETINDUS.xls » apparait sous ses yeux. Comment est-il possible de trouver des données en clair à l'intérieur d'un disque dur chiffré ?

Après quelques heures d'analyse avec mon éditeur hexadécimal, je comprends que le système d'exploitation de l'ordinateur portable que j'ai à analyser a un petit défaut (corrigé par Apple depuis) : lorsque les batteries de l'ordinateur arrivent au bout du bout, l'ordinateur fait en urgence une copie non chiffrée de la mémoire sur le disque dur, pour permettre une récupération des données de l'ordinateur lors du redémarrage. C'est ce dump que je peux explorer en clair, avec la chance d'y trouver la trace d'accès au fichier demandé...

Cette histoire soulève une question : est-on obligé de fournir à un expert judiciaire, un policier ou un douanier son mot de passe ? Zythom pointe l'article 434-15-2 du Code pénal :

Est puni de trois ans d'emprisonnement et de 45 000 euros d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 75 000 euros d'amende.

Mais il nous indique aussi que « sans être juriste, je pense qu'il est quand même possible de plaider le droit au silence mentionné dans le pacte international relatif aux droits civils et politiques dont la France est signataire  » :

Toute personne accusée d'une infraction pénale a droit, en pleine égalité, au moins aux garanties suivantes : [...] g) A ne pas être forcée de témoigner contre elle-même ou de s'avouer coupable.

Rue89, qui a interrogé des avocats et des gendarmes, va dans ce sens. La Cour européenne des droits de l’homme reconnaît le droit de ne pas participer à sa propre incrimination. Cela comprend le fait de ne pas donner son mot de passe ou sa clé de chiffrement.

avatar BeePotato | 

@ comass : « la méthode de chiffrement utilisé par le malfrat était FileVault 1, solution logicielle qui a vu le jour sous 10.6. Donc impossible que les bécanes soient du G3 ou 4 ;) »

On ne sait pas quelle version de FileVault était utilisée, l’article ne le précisant pas (on pourrait imaginer qu’il s’agit de la version 2 à cause de la phrase « l’ensemble du disque dur est chiffré », mais ça peut très bien être une formulation abusive).
Et comme FileVault a vu le jour avec Panther (Mac OS X v10.3, pour ceux qui ne connaîtraient pas cette plateforme depuis assez longtemps), c’est tout à fait imaginable sur un iBook G4.

avatar ShugNinx | 

Je me suis fait la même remarque. Si tout le disque est chiffré c'est FV2, donc nécessairement un matériel compatible 10.7. Exit les G3,4,5, c'est minimum un Mac Intel Core 2 Duo.

FV1 ne chiffrait que le dossier utilisateur.

avatar comass | 

@BeePotato :
peut être le G6, le G5 avec webcam et sous proc Intel. L'auteur du blog dit que c'est une très belle machine, je suis de cette idée aussi ;)

avatar BeePotato | 

@ comass : « peut être le G6, le G5 avec webcam et sous proc Intel. »

???
Mais de quoi tu parles ?

avatar comass | 

@BeePotato :
pour l'OS je pense à 10.8 la swap n'était pas chiffrée il me semble, Apple venait d'intégrer des gadgets à la app napp

avatar Scalp | 

"Un bon chiffrement associé à un bon mot de passe n'est pas déchiffrable, même avec des moyens illimités"

Mais bien sûr... Il n'a surement pas entendu parler des attaques par canaux cachés ! Même un AES 256 ne résiste pas. Et pas de besoin de moyens illimités, un setup à 20000$ fait l'affaire.

avatar ShugNinx | 

Source ?

Si tu lis le blog de Zythom, tu te rendras compte des moyens dont disposent les experts judiciaires.
20000$ c'est un luxe inaccessible dans ce domaine...

avatar salsa11 | 

Les attaques par canaux cachés comme tu dis a.k.a "Side-channel attacks" sont des attaques physique (écoute électromagnétique, analyse de la consommation électrique etc) pour déterminer quel clé sécrète a été utilisé.

Fort heureusement OpenSSL n'est pas vulnérable à cette attaque et comme toutes les applications se servent de cet outil… :)

En plus, Intel grandement améliorer leurs processeur pour éviter tout problème de ce genre avec l'instruction AES-NI ( https://en.wikipedia.org/wiki/AES_instruction_set )

"Besides the performance benefit of Intel AES-NI, its execution of instructions in hardware provides some additional security in helping prevent software side-channel attacks. Software side channels are vulnerabilities in the software implementation of cryptographic algorithms. They emerge in multiple processing environments (multiple cores, threads, or operating systems). Cache-based software side-channel attacks exploit the fact that software-based AES has encryption blocks, keys, and lookup tables held in memory. In a cache collision-timing side-channel attack, a piece of malicious code running on the platform could seed".

La seule attaque où on peut vraiment avoir peur est l'interception électromagnétique du moniteur (Side-channel attack -> Electromagnetic attacks) comme pour exemple le programme TEMPEST de la NSA.

avatar switch (non vérifié) | 

La loi française limite le chiffrement à l'AES 128 bits. Quelqu'un pour confirmer ?

avatar Scalp | 

C'était vrai avant, maintenant c'est open bar (bizarrement, pas longtemps après que Kocher ait publié la première attaque DPA...)

avatar salsa11 | 

@Scalp: Juste pour rappel ici: OpenSSL et l'instruction AES-NI sur les processeurs Intel protègent du Side-Channel attack. (PS: l'AES-NI n'est pas disponible sur tous les processeurs ! Par ex: une grande partie des i3 etc. Faites attention lors de l'achat de votre machine donc.)

avatar Scalp | 

AES-NI offre une protection renforcée contre les SCA, mais hélas ça ne suffit pas.
Il faut bien comprendre que les side channel attacks, c'est une véritable boite de Pandore. Les attaques ont toujours un temps d'avance sur les contre-mesures: quand le masquage est sorti, on est passé aux attaques à l'ordre 2 voire n, puis maintenant la mode ce sont les attaques en fautes (laser, EM, etc), puis les attaques par template. A CHES, c'est un véritable festival, il y a même une attaque par micro (mesure du niveau sonore des capas de découplage de l'alim pour en déduire la consommation) ou encore une attaque à distance par mesure de la masse d'un cable Ethernet... Ce pauvre AES est bafoué, humilié, totalement rincé.
Alors oui ça prend plus de temps, il faut plus d'acquisitions, mais ça finit très souvent par péter. Cela dit je n'ai encore jamais attaqué AES-NI, mais je ne vois pas pourquoi il résisterait plus que les autres !

avatar comass | 

@switch :
iCloud est en 256 ...

Pages

CONNEXION UTILISATEUR