BitLocker, le FileVault de Microsoft, cassé en moins de 45 secondes avec un Raspberry Pi Pico
Dans le monde Microsoft, l'équivalent de FileVault porte le nom de BitLocker. Cette technologie permet de chiffrer complètement le périphérique de stockage d'un ordinateur (comme FileVault) pour protéger les données. Mais BitLocker, apparu avec Windows Vista, a quelques failles. Et la dernière en date permet de récupérer les clés de chiffrement en moins de 45 secondes avec un accès physique. Qui plus est, elle nécessite très peu de matériel.
La faille présentée vise spécifiquement les PC portables de Lenovo, et nécessite un Raspberry Pi Pico (une carte de développement vendue pour quelques euros). Elle est liée au fait que Microsoft stocke les clés de chiffrement dans un composant qui porte le nom de TPM (Trusted Platform Module) et que la liaison entre cette puce et le reste du système passe par un bus dédié. En interceptant la liaison entre le composant et le reste du système, il est donc parfois possible de récupérer la clé.
L'attaque nécessite un PC avec une puce TPM dédiée et un accès physique au bus de communication entre la puce et le CPU, ce qui est précisément le cas sur certains PC portables Lenovo, à travers les traces d'un connecteur de debug. De façon très schématique, la puce TPM envoie en effet la clé de déchiffrement en clair sur ce bus quand elle considère que le mécanisme de démarrage n'a pas été altéré (par exemple en modifiant le firmware).
Les ingénieurs de Lenovo semblent a priori s'être rendu compte que laisser un connecteur de debug accessible est un souci : sur les PC portables du commerce, la broche qui transmet le signal d'horloge n'est pas activée. Mais stacksmashing a trouvé une solution : en utilisant une horloge externe avec un Raspberry Pi Pico et un petit PCB (moins de 10 $ pour l'ensemble), son programme (open source) peut récupérer la clé de déchiffrement. Et une fois celle-ci obtenue, il est possible de déchiffrer le SSD de l'ordinateur avec une distribution GNU/Linux.
Une attaque qui n'est pas possible dans tous les cas
Il faut noter que les Mac n'utilisent pas de puces TPM1 et que les PC équipés d'une implémentation « logicielle » de la norme (sans puces dédiées, au niveau du processeur) ne devraient pas être touchés par la faille. De même, la tâche est plus simple sur les PC de Lenovo que sur d'autres, étant donné que les traces du connecteur de debug sont visibles. Enfin, la solution de Microsoft est plus vulnérable que celle d'Apple : Bitlocker stocke la clé de déchiffrement dans la puce TPM, et elle est fournie automatiquement à l'OS au démarrage (c'est ce point qui est attaqué ici), alors qu'Apple impose que l'utilisateur tape son mot de passe pour déchiffrer le SSD et donc démarrer. Qui plus est, les clés se trouvent généralement dans une puce dédiée (T1 ou T2) ou dans le système sur puce (puces M), et il n'y a donc pas de liaison physique attaquable dans ce cas.
-
Les premiers Mac Intel ont une puce TPM mais ne l'utilisent pas. Le premier kit de développement Intel, lui, l'employait pour tenter d'éviter le piratage de Mac OS X. Spoiler : ça n'a pas fonctionné. ↩︎
J'ai jamais utilisé bitlocker, trop peur de perdre l'accès à mon disque.
Que ce passe t'il si la carte mère tombe en panne ?
@Pierre Dandumon,
« Comme pour FileVault, il y a un (long) code de sécurité qui permet de déchiffrer (à ne pas perdre). »
À ne pas perdre, mais c'est sans compter sur la nature humaine hautement faillible !
😁
@Scooby-Doo
Oh je ne crains rien je l’ai enregistré sur le disque dur 😜🤣🤣🤣
@CorbeilleNews,
« Oh je ne crains rien je l’ai enregistré sur le disque dur »
👍😁
Le pire, c'est quand on prend le temps d'expliquer quoi faire et à la fin tout le monde est d'accord pour mettre en pratique les consignes de sécurité et de confidentialité.
Et quelques jours plus tard, vous voyez apparaître un peu partout des post-it sur les ordinateurs avec les nouveaux mots de passe dit forts mais trop long à retenir par cœur !
Alors la clef de sécurité de BitLocker, ben elle est parfois juste en dessous !
Même pas mal.
😎
@Scooby-Doo
Je connais un tres grands cabinet mondial d’audit et conseil qui utilise le numéro de série de l’ordinateur comme clé bitlocker.
@llugat
Même pas à l’envers ? 🤣
@DG33
Ils ne se sont pas donné la peine ! Je suppose qu’ils se sont dit « personne ne le devinera comme clé » ou que leurs « people » (comme ils adorent le dire) sont assez « spéciaux ». 😂
@Scooby-Doo
C’est ça …
On n’arrivera jamais a faire respecter les recommandations ANSSI 🤷♂️
Et même si on y arrivait y’a tellement de maillons faibles 😜
@Pierre Dandumont
Avant de booter ?
@Adodane,
« J'ai jamais utilisé bitlocker, trop peur de perdre l'accès à mon disque. Que ce passe t'il si la carte mère tombe en panne ? »
Vous rachetez une carte mère et vous reformattez le SSD !
Vos données ne doivent pas être “sauvegardées” sur un disque de travail.
👌
@Scooby-Doo
Mes données sont sur OneDrive, gmail, disque dur externe, NAS … c’est pas le problème…
Ma hantise c’est me retaper une installation de Windows, avec tous les logiciels, configurations, jeux … je ne formate pas depuis 15 ans, je mets a jour Windows.
C’est ainsi passé de vista à seven, puis win 8, 8.1 et Windows 10. Un jour Windows 11 ou 12. Et aussi de HDD à SSD sata puis nvme,différentes tailles entre temps.
Jamais de formatage puis réinstallation. Non pas envie de perdre l’accès à mon disque.
@Adodane,
« Ma hantise c’est me retaper une installation de Windows, avec tous les logiciels, configurations, jeux … je ne formate pas depuis 15 ans, je mets a jour Windows. »
La réinstallation de Windows dernière version disponible, vous pouvez la faire assez rapidement avec une clef USB + option télécharger Windows.
Les logiciels, c'est une autre paire de manches effectivement sauf ceux achetés sur le store.
😁
@Scooby-Doo
Non mais je sais comment installer windows, ça fait plus de 30 ans en fait ! Mais refaire tous les tweaks, installations, mettre tout comme il faut ... Non ! J'ai pas envie !
@Adodane
Vous utilisez beaucoup de logiciels ?
@Adodane,
« Mais refaire tous les tweaks, installations, mettre tout comme il faut ... Non ! J'ai pas envie ! »
Okay, admettons votre position mais vous avez vraiment besoin de “tweaks” pour utiliser Windows de nos jours ?
L'installation et l'activation de licences, c'est vrai que cela peut être galère, surtout en cas de perte brutale de la carte mère.
Certains logiciels conservent les activations.
Si vous n'avez pas supprimé l'activation, après changement de la carte mère, il peut penser que vous essayez d'activer la même licence sur deux ordinateurs différents !
Généralement, cela se règle en contactant le support technique de l'éditeur.
Mais c'est vrai que c'est chronophage…
👌
@Adodane
Ça donne toujours envie de switcher ce genre d'expérience!
@Biking Dutch Man
En fait, plus ouvert que windows, il y a seulement linux ... Mais pas envie encore !
@ Adodane
> En fait, plus ouvert que windows, il y a seulement linux
Oui, Windows est très ouvert.
On le voit avec Microsoft qui a toujours refusé de fournir des drivers pour les volumes disques externes aux formats du Mac, bien que les spécifications aient été rendues publiques par Apple dès le début. Contrairement au formats de Microsoft pour lesquels on peut se lever de bonne heure afin de trouver leurs specifications, car ils ont toujours refusé de les publier.
Résultat, le Mac a toujours été capable de lire nativement disquettes, clés USB ou disques formatés "pour Windows", alors que l'inverse n'a jamais et n'est toujours pas possible.
- Microsoft refuse que Windows puisse lire nativement les formats Mac.
- macOS accepte tous les formats Windows sans ajout.*
Lequel est le plus ouvert ?
(*) Même si c'est parfois en lecture seule. Mais à cause de Microsoft qui refuse de publier les specs et force à faire du retro-engineering, ce qui est moins fiable que de juste lire les specifications !
@Biking Dutch Man,
« Ça donne toujours envie de switcher ce genre d'expérience ! »
J'ai quelques doutes que ce soit un motif légitime pour switcher !
Une bonne raison de switcher, c'est la disponibilité d'un logiciel essentiel uniquement sur un autre OS ou la possibilité financière de s'offrir du matériel et des logiciels plus onéreux / plus performant.
Certains utilisent aussi leur ordinateur pour les loisirs, notamment le jeu.
Je ne suis pas sûr que cela donne envie de switcher…
👌
"Que ce passe t'il si la carte mère tombe en panne ?"
vous changez la carte, vous redémarrez, vous saisissez la longue clé de récupération bitlocker, que vous avez bien sur conservé en un lieu sûr ("-en un lieu sûr, et c'était ? -oui sûre, sur l'armoire.")
et c'est reparti.
@oomu,
Sur l'armoire de mon précédent bureau à l'autre bout de la France ?
😁
Merci pour l’info !
Clairement pas fiable. Personnellement, je ne confie le chiffrage de mes disques durs qu'à des ransomwares : le jour ou j'ai besoin d'accéder à mes données, je lâche quelques Bitcoins au hacker qui s'est chargé du chiffrage, et en attendant, c'est très bien sécurisé.
C'est une solution qu'on est de plus en plus nombreux à adopter.
@jackhal
Le XXIe siècle sera celui du service ou ne sera pas…
@jackhal
Vous avez fais ma journée 😂 😂
@llugat
Il n’est même pas 18h !
(Bonne nuit 😉)
@brunnno
Couche tôt sur un autre fuseau horaire… sur un autre continent … 😂 😉
@jackhal
Splendide ! 😂
@jackhal,
« Clairement pas fiable. Personnellement, je ne confie le chiffrage de mes disques durs qu'à des ransomwares : le jour ou j'ai besoin d'accéder à mes données, je lâche quelques Bitcoins au hacker qui s'est chargé du chiffrage, et en attendant, c'est très bien sécurisé. C'est une solution qu'on est de plus en plus nombreux à adopter. »
😁👍👌
Windows 🤡 https://youtu.be/SlIZxdeoWDY?feature=shared 😈
Est-ce l’influence de pickle, pardon, Pkl ?
Est-il déjà cucumber time, comme l’appellent les Anglais ? Agurketid, pour les Danois ? Sauregurkenzeit, pour les Allemands du nord ?
La période de l’an où l’on racle les celliers et les fonds de tiroir ?
Ce sujet avait fait l’objet de niouzes et ricanements sur les sites et forums spécialisés pour la dernière fois il y a plus de cinq mois, et Lenovo avait posté une série d’advisories l’été dernier. Et ce n’est pas comme si la matière était d’une extrême fraîcheur : les turpitudes de BitLocker reviennent sur le devant de la scène depuis des années.
J'ai eu le truc qui m'a bloqué une fois il y a quelques années, en déplacement chez un client.. ça la fout mal. Redémarré la machine à midi parce que système me harcelait, il a pas bien repris et j'ai dû contacter le support qui avait une façon de le relancer avec le fameux code à rallonge à fournir..
Comme dit plus haut, il faut sauvegarder au maximum :) (rien perdu mais sur le moment ça m'a bien fait râler).
Ne pas chiffrer le disque avec le mot de passe de l'utilisateur, c'est vraiment de l'amateurisme.
Lenovo, ça veut pas dire "on va tous les niquer" en chinois ?
@AirLink,
« Lenovo, ça veut pas dire "on va tous les niquer" en chinois ? »
Non mais vous y êtes presque !
Lenovo en Chinois Mandarin : « On les a tous niqués. »
Vous avez encore quelques progrès à faire en langue étrangère !
😁
@Scooby-Doo
J'en étais resté au chinois traditionnel (et aux inconnus pour ceux qui ont la réf)
“et elle est fournie automatiquement à l'OS au démarrage”
Pour ça qu’il faut configurer un PIN de démarrage. Ça ajoute un 2e PIN en plus de celui de Windows Hello, mais c’est le seul moyen d’avoir une authentification avant de déverrouillage du disque et l’accès aux données par les système.
C’est que ce que fait FileVault, mais de manière transparente.