Que faites-vous lorsque vous avez terminé de travailler avec votre ordinateur portable ? Vous l’éteignez ? Le mettez en veille ? Ou peut-être rabattez-vous simplement l’écran ?
De nombreux utilisateurs ne se rendent pas compte des risques qu’ils prennent lorsqu’ils laissent leur ordinateur portable sans surveillance. Le danger est réel, même pour un ordinateur portable avec chiffrement complet du disque.
« Le mode veille est un mode vulnérable », déclare Olle Segerdahl, Principal Security Consultant chez F-Secure.
Olle et son collègue Pasi Saarinen, Cyber Security Consultant, ont récemment découvert une nouvelle technique permettant de pirater les PC. Selon leurs recherches, cette méthode – même si elle nécessite d’accéder physiquement à l’appareil – fonctionne avec presque tous les ordinateurs actuellement vendus sur le marché. Les ordinateurs portables de certains des plus grands fabricants mondiaux sont concernés : Dell, Lenovo, et même Apple.
Et parce que nous sommes tous concernés, Olle et Pasi ont décidé de partager les résultats de cette recherche avec des entreprises comme Microsoft, Apple et Intel, mais aussi avec le public. Les deux experts présenteront leurs recherches à la conférence SEC-T en Suède le 13 septembre, et aux États-Unis le 27 septembre, à l’occasion de la conférence BlueHat v18 de Microsoft .
Pour tout savoir sur cette attaque, vous pouvez suivre le replay de la conférence ici, mais lisez également ce qui suit : vous comprendrez pourquoi cette découverte a son importance.
Pour faire simple, Olle et Pasi ont découvert une faille sur ces ordinateurs portables. Leur firmware n’est pas parfaitement protégé. D’après les deux chercheurs, des pirates – s’ils sont en mesure d’accéder physiquement à l’appareil, pourraient ainsi mener une attaque “cold boot” (par démarrage à froid) : ce type d’attaque permet de voler les clés de chiffrement et d’autres informations sensibles.
Les attaques « cold boot » ne sont pas nouvelles. Elles ont été développées par un groupe de recherche en 2008. Ces chercheurs avaient découvert que lorsqu’un ordinateur est réinitialisé sans suivre les procédures appropriées (ce qu’on appelle un redémarrage dur/à froid), il devenait possible de voler les informations brièvement stockées dans la mémoire vive (RAM) après que la coupure de l’alimentation.
La découverte des attaques « cold boot » ne date donc pas d’hier et des mesures ont été prises pour tenter de les neutraliser. Le Trusted Computing Group (TCG) a créé une méthode de protection consistant à écraser le contenu de la mémoire vive aussitôt l’alimentation électrique rétablie. C’est là que les recherches d’Olle et Pasi prennent toute leur importance : les deux experts ont trouvé un moyen de désactiver cette fonction d’écrasement en manipulant physiquement le matériel de l’ordinateur. À l’aide d’un simple outil, Olle et Pasi ont pu réécrire la puce mémoire non-volatile contenant les paramètres de redémarrage. Ils ont pu désactiver l’écrasement de la mémoire et autoriser le démarrage à partir de périphériques externes. Ils ont ensuite été en mesure de mener une attaque « cold boot », en exécutant un programme spécifique, à partir d’une clé USB.
Les attaques « cold boot » sont connues comme des attaques permettant d’obtenir des clés de chiffrement. En réalité, elles permettent d’obtenir toutes sortes d’informations : les mots de passe, les identifiants des réseaux professionnels, et même les données stockées sont en danger.
Et le drame ne s’arrête pas là…
Bien que les attaques « cold boot » ne soient pas simples à réaliser, bien qu’elles nécessitent les bons outils et un accès physique à l’appareil, elles demeurent une technique bien connue des pirates. La nouvelle mouture de l’attaque découverte par Olle et Pasi peut être efficace contre presque tous les ordinateurs portables vendus sur le marché : les pirates disposent donc d’une méthode pertinente et efficace pour atteindre leur cible.
« Cette attaque n’est certes pas une « attaque facile » mais le danger est réel. Certains pirates ont peut-être déjà découvert ou exploité cette vulnérabilité », explique Olle. « Ce n’est pas exactement le genre d’attaque qui sera utilisé pour atteindre des cibles faciles mais certains pirates pourraient s’en servir pour pêcher un plus gros poisson, comme une banque ou une grande entreprise. »
D’après Olle, il n’existe pas de solution miracle qui permettraient aux fabricants de PC d’empêcher ce type d’attaques : les entreprises et utilisateurs doivent donc eux-mêmes prendre des mesures de précaution.
Et les mauvaises nouvelles continuent…
Olle et Pasi ont partagé leurs recherches avec Microsoft, Intel et Apple. Les trois sociétés étudient les stratégies envisageables pour minimiser les risques. Olle et Pasi ont également aidé Microsoft à mettre à jour ses recommandations concernant les contre-mesures Bitlocker. Selon Apple, les Macs équipés d’une puce Apple T2 bénéficient de mesures de sécurité capables de protéger l’appareil contre l’attaque découverte par Olle et Pasi. Apple recommande aux utilisateurs possédant un Mac sans puce T2 de définir un mot de passe pour le firmware.
D’après Olle, il incombe aux fabricants de renforcer la sécurité de leurs ordinateurs, pour les protéger contre de telles attaques. Mais il reconnaît également que le chemin ne sera ni facile, ni rapide.
« Pensez à tous ces ordinateurs, de marque différente. Pensez ensuite à la difficulté de convaincre toutes les entreprises de la nécessité d’une mise à jour… Le problème devient particulièrement difficile à résoudre. Une réponse coordonnée de l’ensemble du secteur sera nécessaire, mais cela ne se fait pas du jour au lendemain », explique M. Olle. « En attendant, les entreprises devront se débrouiller seules. »
Ces dernières auront bien du mal à empêcher ou à bloquer une attaque « cold boot », une fois qu’un pirate possédant les compétences nécessaires aura mis la main sur l’un de leurs ordinateurs portables. Toutefois, elles peuvent configurer ces appareils de manière à ce qu’un pirate usant de cette technique ne trouve rien à voler.
Hibernation + pre-boot authentication is the best protection against cold boot attacks. No keys in memory to steal!
— olle@nxs.se (@nxsolle) September 4, 2018
Olle et Pasi recommandent aux services informatiques des entreprises de configurer tous les ordinateurs de manière à ce qu’ils s’éteignent ou entrent en mode hibernation (pas en mode veille), et à ce que le code PIN Bitlocker soit nécessaire à l’allumage de l’ordinateur et pour sa restauration.
Ces recommandations s’adressent particulièrement aux cadres de l’entreprise (ou tout autre collaborateur ayant accès à des informations sensibles), ainsi qu’aux employés mobiles (qui sont plus susceptibles de laisser leur ordinateur portable dans les chambres d’hôtel, les taxis, les restaurants ou les aéroports).
Malgré toutes ces mesures de protection, une attaque « cold boot » demeure possible mais les clés de chiffrement ne sont pas stockées dans la RAM lorsqu’une machine hiberne ou est éteinte correctement. Le pirate n’a donc rien à voler.
Il est également nécessaire de sensibiliser les collaborateurs à ce type d’attaque.
« Parfois, la manière la plus efficace de s’attaquer à un problème de sécurité est simplement de faire savoir aux employés que ce risque existe. Un simple travail de sensibilisation peut faire des merveilles », explique Olle.
Enfin, Olle conseille aux entreprises de mettre au point un plan de gestion de crise en cas de perte ou vol d’un ordinateur. Ce plan ne doit pas être que théorique : des exercices de préparation sont nécessaires.
« En cas de disparition d’un ordinateur portable, il convient d’invalider au plus vite les identifiants d’accès présents sur l’ordinateur volé, qui perdra soudain une grande partie de sa valeur aux yeux des pirates. Les équipes de sécurité informatique et de gestion de crise doivent mettre en place des exercices pratiques et s’assurer que le personnel lancera systématiquement l’alerte en cas de perte ou vol d’un appareil », conseille Olle Segerdahl. « Se préparer vaut mieux que de supposer qu’aucun appareil ne sera jamais attaqué car, en toutes circonstances, le risque subsiste. »
Catégories