Nombreux sont ceux qui pensent que le chiffrement complet du disque dur protégera les informations présentes sur leur ordinateur portable. Même en cas de vol. Et pourtant : il y a deux semaines, deux consultants en cyber sécurité travaillant pour F-Secure ont révélé une faille exposant les ordinateurs les plus récents à des attaques « cold boot » [attaques par démarrage à froid] … de quoi donner des sueurs froides aux administrateurs informatiques, aux vendeurs de PC et à la communauté des professionnels en cyber sécurité.
Olle Segerdahl et Pasi Saarinen, les deux consultants en question, ont fait la démonstration de leur découverte en exploitant cette faille en direct, à l’occasion de la conférence SEC-T qui a eu lieu en Suède.
Pour en savoir davantage, vous pouvez relire ce blogpost. Olle Segerdahl et Pasi Saarinen ont abouti une conclusion : les ordinateurs en veille ne doivent pas être considérés comme des appareils sécurisés.
« Le mode veille est un mode vulnérable », explique Olle Segerdahl.
Lorsqu’un ordinateur se met en veille, des informations sont conservées dans la mémoire vive (RAM), notamment des données sensibles comme les clés de chiffrement. Un pirate, s’il parvient à mener une attaque « cold boot » sur un ordinateur mis en veille, peut donc en extraire ces informations.
Une fois les clés de chiffrement en sa possession, le pirate peut facilement hacker la machine. Si l’ordinateur en question appartient à une entreprise, le risque est grand : le pirate pourra voler des identifiants lui permettant d’accéder au réseau de l’organisation.
As long as I can steal it when it is sleep mode, yes.
— olle@nxs.se (@nxsolle) September 4, 2018
Selon Olle Segerdahl et Pasi Saarinen, il est préférable de configurer votre ordinateur portable de manière à ce qu’une authentification avant démarrage soit nécessaire (mot de passe ou code PIN permettant de déchiffrer le disque dur du périphérique, avant chargement du système). Ils vous recommandent par ailleurs d’éteindre complètement votre appareil lorsque vous ne l’utilisez pas. Les entreprises sont, de fait, invitées à configurer leurs ordinateurs de manière à ce qu’ils entrent en mode hibernation après une période d’inactivité, et à exiger des utilisateurs un mot de passe/code PIN à chaque démarrage. Microsoft a récemment mis à jour ses recommandations à ce sujet.
Mais… quid du mode hibernation ?
Vous souhaitez appliquer sans attendre les conseils d’Olle Segerdahl ? Avant toute chose, sachez que l’édition familiale de Windows 10 ne propose pas la configuration d’un code PIN Bitlocker. S’il existe une possibilité qu’un pirate puisse un jour dérober votre ordinateur portable pour voler vos données, passez à Windows 10 Pro.
Reste à savoir si les organisations feront l’effort de protéger leurs ordinateurs portables contre ces attaques.
« Pour qu’une organisation soit protégée, le département informatique doit non seulement prendre conscience du problème, mais il doit également prendre la décision difficile de compliquer la vie des utilisateurs, en exigeant un nouveau mot de passe pour démarrer leur ordinateur. De ce fait, il est probable que seules les organisations à haut risque procèdent à de tels changements », a expliqué déclaré Olle Segerdahl à Janne Kauhanen, animateur du Cyber Security Sauna.
À défaut, Sean Sullivan, Security Advisor chez F-Secure, invite les entreprises à suivre l’exemple de F-Secure en proposant le mode hibernation sur leurs ordinateurs. Les employés ont ainsi accès directement à cette option d’arrêt. Des informations à ce sujet sont disponibles sur le site web de Microsoft.
« Le mode hibernation ne constitue pas une option par défaut du menu d’arrêt de Windows 10. Les utilisateurs expérimentés sauront sans doute trouver cette option par eux-mêmes mais je doute que la plupart des professionnels y parviennent seuls », affirme Sean. « Les recherches d’Olle ont incité nos administrateurs informatiques à revoir les paramètres d’alimentation de nos ordinateurs portables. Il s’agit d’une modification mineure qui peut pourtant contribuer à une meilleure protection, sans causer de complication majeure. Nous recommandons donc aux entreprises de faire de même, en particulier lorsque leurs employés voyagent fréquemment avec leur ordinateur professionnel. »
Olle recommande également aux entreprises de mettre sur pied un plan d’intervention en cas de vol ou de perte d’un ordinateur. Il les invite également à sensibiliser leurs employés, afin qu’ils protègent leurs ordinateurs portables contre des attaques physiques (pour en savoir plus à ce sujet, n’hésitez pas à consulter le guide F-Secure baptisé Guide de protection F-Secure contre les attaques Evil Maid).
Catégories