Une faille dans les micrologiciels installés sur des PCs portables donne accès aux clés de chiffrement
Publié le 13/09/2018 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Bruxelles, le 13 septembre 2018 : Les chercheurs de F-Secure, entreprise spécialisée en cyber sécurité, ont découvert une vulnérabilité présente sur des ordinateurs portables. Les pirates peuvent exploiter cette faille pour voler des clés de chiffrement ainsi que d'autres informations sensibles. Les mesures de sécurité actuelles ne suffisent donc pas à protéger les données des ordinateurs portables perdus ou volés.
Pour exploiter cette faille informatique, les pirates ont toutefois besoin d'accéder physiquement à l'ordinateur. Mais comme l’explique Olle Segerdahl, Principal Security Consultant chez F-Secure, cinq minutes suffisent pour attaquer l'ordinateur portable.
« Généralement, les entreprises ne sont pas prêtes à faire face à un piratage impliquant un accès physique à leurs ordinateurs. La vulnérabilité informatique qui vient d'être découverte est présente sur des PCs vendus par de grands fournisseurs. Il y a donc fort à parier que nombre d'entreprises sont menacées, et qu’elles ne sont soit pas conscientes du danger, soit pas prêtes à y faire face », explique Olle Segerdahl.
Cette vulnérabilité permet aux pirates de procéder à une attaque « cold boot », ou « démarrage à froid ». Ce type d'attaque est utilisé par les hackers depuis 2008. Il s'agit de redémarrer l'ordinateur sans suivre le processus d'arrêt approprié, pour récupérer les données très temporairement accessibles dans la RAM (Random Access Memory) après la coupure de courant.
Les ordinateurs portables les plus récents écrasent désormais la RAM, afin d'empêcher les pirates d'utiliser ce type d'attaque pour dérober des données. Cependant, Olle Segerdahl et son équipe ont découvert un moyen de désactiver le processus d'écrasement et de rendre à nouveau possible une attaque de type "cold boot".
« Quelques étapes supplémentaires sont nécessaires par rapport à une attaque « cold boot » traditionnelle mais cette nouvelle mouture est efficace contre tous les ordinateurs portables actuellement en vente que nous avons testés. Cette attaque se prête surtout lorsque l'ordinateur a été volé ou acheté illicitement : les pirates ont alors tout le temps de procéder à ce type de manipulation », explique Olle Segerdahl.
Les paramètres du firmware régissant le processus de démarrage ne sont pas protégés contre une attaque physique potentielle. À l'aide d'un simple outil matériel, le pirate peut réécrire la puce mémoire non volatile qui contient ces paramètres, désactiver l'écrasement de la mémoire et activer le démarrage à partir de périphériques externes. L'attaque de "cold boot" peut alors être effectuée en exécutant un programme spécifique, à partir d'une clé USB.
« Cette attaque fonctionne contre n'importe quel ordinateur portable, y compris les ordinateurs professionnels. Les entreprises ne disposent d'aucun moyen permettant d'assurer la protection de leurs données si un ordinateur disparaît. 99 % des ordinateurs portables professionnels contiennent des identifiants permettant l'accès à des réseaux de l'entreprise : avec cette attaque, les pirates disposent donc d'une méthode fiable et pertinente pour accéder à des informations stratégiques », ajoute Olle Segerdahl. « Il n'existe pas de solution simple à ce problème : les entreprises doivent elles-mêmes se préparer à ce type de danger. »
Olle Segerdahl a informé Intel, Microsoft et Apple de la découverte de son équipe pour aider les acteurs clés du PC à améliorer la sécurité des produits actuels et à venir.
En attendant Olle Segerdahl recommande aux entreprises de configurer les ordinateurs portables de manière à ce qu'ils s'arrêtent automatiquement plutôt que d'entrer en mode veille, et de rendre obligatoire le renseignement du code PIN Bitlocker, chaque fois que Windows démarre ou entre en phase de restauration.Il est également important de sensibiliser les collaborateurs de l'entreprises, en particulier les cadres et les employés mobiles, face à la menace que constitue les attaques « cold boot » et autres cyber menaces du même style. Les DSI doivent également disposer d'un plan de gestion de crise en cas de disparition d'un ordinateur portable professionnel.
« En cas de disparition d'un ordinateur portable, il convient d'invalider au plus vite les identifiants d'accès présents sur l'ordinateur volé, qui perdra soudain une grande partie de sa valeur aux yeux des pirates. Les équipes de sécurité informatique et de gestion de crise doivent mettre en place des exercices pratiques et s'assurer que le personnel lancera systématiquement l'alerte en cas de perte ou vol d'un appareil", conseille Olle Segerdahl. "Se préparer vaut mieux que de supposer qu'aucun appareil ne sera jamais attaqué car, en toutes circonstances, le risque subsiste."
Olle Segerdahl et son partenaire, Pasi Saarinen, Security Consultant chez F-Secure, doivent présenter les résultats de leurs recherches le 13 septembre, à la conférence SEC-T en Suède, puis aux États-Unis, à l'occasion de la conférence BlueHat v18 de Microsoft, le 27 septembre
Pour exploiter cette faille informatique, les pirates ont toutefois besoin d'accéder physiquement à l'ordinateur. Mais comme l’explique Olle Segerdahl, Principal Security Consultant chez F-Secure, cinq minutes suffisent pour attaquer l'ordinateur portable.
« Généralement, les entreprises ne sont pas prêtes à faire face à un piratage impliquant un accès physique à leurs ordinateurs. La vulnérabilité informatique qui vient d'être découverte est présente sur des PCs vendus par de grands fournisseurs. Il y a donc fort à parier que nombre d'entreprises sont menacées, et qu’elles ne sont soit pas conscientes du danger, soit pas prêtes à y faire face », explique Olle Segerdahl.
Cette vulnérabilité permet aux pirates de procéder à une attaque « cold boot », ou « démarrage à froid ». Ce type d'attaque est utilisé par les hackers depuis 2008. Il s'agit de redémarrer l'ordinateur sans suivre le processus d'arrêt approprié, pour récupérer les données très temporairement accessibles dans la RAM (Random Access Memory) après la coupure de courant.
Les ordinateurs portables les plus récents écrasent désormais la RAM, afin d'empêcher les pirates d'utiliser ce type d'attaque pour dérober des données. Cependant, Olle Segerdahl et son équipe ont découvert un moyen de désactiver le processus d'écrasement et de rendre à nouveau possible une attaque de type "cold boot".
« Quelques étapes supplémentaires sont nécessaires par rapport à une attaque « cold boot » traditionnelle mais cette nouvelle mouture est efficace contre tous les ordinateurs portables actuellement en vente que nous avons testés. Cette attaque se prête surtout lorsque l'ordinateur a été volé ou acheté illicitement : les pirates ont alors tout le temps de procéder à ce type de manipulation », explique Olle Segerdahl.
Les paramètres du firmware régissant le processus de démarrage ne sont pas protégés contre une attaque physique potentielle. À l'aide d'un simple outil matériel, le pirate peut réécrire la puce mémoire non volatile qui contient ces paramètres, désactiver l'écrasement de la mémoire et activer le démarrage à partir de périphériques externes. L'attaque de "cold boot" peut alors être effectuée en exécutant un programme spécifique, à partir d'une clé USB.
« Cette attaque fonctionne contre n'importe quel ordinateur portable, y compris les ordinateurs professionnels. Les entreprises ne disposent d'aucun moyen permettant d'assurer la protection de leurs données si un ordinateur disparaît. 99 % des ordinateurs portables professionnels contiennent des identifiants permettant l'accès à des réseaux de l'entreprise : avec cette attaque, les pirates disposent donc d'une méthode fiable et pertinente pour accéder à des informations stratégiques », ajoute Olle Segerdahl. « Il n'existe pas de solution simple à ce problème : les entreprises doivent elles-mêmes se préparer à ce type de danger. »
Olle Segerdahl a informé Intel, Microsoft et Apple de la découverte de son équipe pour aider les acteurs clés du PC à améliorer la sécurité des produits actuels et à venir.
En attendant Olle Segerdahl recommande aux entreprises de configurer les ordinateurs portables de manière à ce qu'ils s'arrêtent automatiquement plutôt que d'entrer en mode veille, et de rendre obligatoire le renseignement du code PIN Bitlocker, chaque fois que Windows démarre ou entre en phase de restauration.Il est également important de sensibiliser les collaborateurs de l'entreprises, en particulier les cadres et les employés mobiles, face à la menace que constitue les attaques « cold boot » et autres cyber menaces du même style. Les DSI doivent également disposer d'un plan de gestion de crise en cas de disparition d'un ordinateur portable professionnel.
« En cas de disparition d'un ordinateur portable, il convient d'invalider au plus vite les identifiants d'accès présents sur l'ordinateur volé, qui perdra soudain une grande partie de sa valeur aux yeux des pirates. Les équipes de sécurité informatique et de gestion de crise doivent mettre en place des exercices pratiques et s'assurer que le personnel lancera systématiquement l'alerte en cas de perte ou vol d'un appareil", conseille Olle Segerdahl. "Se préparer vaut mieux que de supposer qu'aucun appareil ne sera jamais attaqué car, en toutes circonstances, le risque subsiste."
Olle Segerdahl et son partenaire, Pasi Saarinen, Security Consultant chez F-Secure, doivent présenter les résultats de leurs recherches le 13 septembre, à la conférence SEC-T en Suède, puis aux États-Unis, à l'occasion de la conférence BlueHat v18 de Microsoft, le 27 septembre