Sécurité : le chiffrement des SSD mis en défaut

Si vous devez protéger des données sur un SSD, ne vous contentez pas du chiffrement intégré : utilisez dans tous les cas un logiciel.

Cette recommandation émane de Carlo Meijer et Bernard van Gastel, chercheurs à l’université Radboud de Nimègue (Pays-Bas).

Leur étude sur le sujet (document PDF, 16 pages) vient d’être publiée. Mais les fabricants concernés sont avertis depuis le mois d’avril.

Sept SSD sont listés comme « vulnérables » au sens où quiconque dispose d’un accès physique peut récupérer des données. Cinq d’entre eux (les MX100, MX200 et MX300 chez Crucial ; les 840 EVO et 850 EVO chez Samsung) sont des modèles internes. Les deux autres (T3 et T5 de Samsung) se connectent en USB.

L’examen de leurs firmwares respectifs a révélé plusieurs défauts d’implémentation du chiffrement matériel. Certains touchent l’ensemble des SSD quand d’autres sont spécifiques à des modèles (par exemple, sur le 840 EVO, un souci de rémanence de données lié à la répartition des écritures sur les secteurs physiques).

Sur Windows, BitLocker peut constituer une solution palliative. Sauf que par défaut, cet outil de chiffrement logiciel intégré à l’OS donne la priorité au chiffrement matériel si celui-ci est disponible.

Carlo Meijer et Bernard van Gastel conseillent de préférer à BitLocker un outil de chiffrement open source de type VeraCrypt. Samsung ne cite pas de logiciel en particulier, mais suggère la même méthode* pour ses SSD internes. Pour les modèles USB, il faudra passer par une mise à jour du firmware.

Crucial a signifié au Centre national de cybersécurité des Pays-Bas son intention de diffuser des correctifs, mais rien n’a encore officiellement été publié.

Crédit photo : Aaron und Ruth Meder via VisualHunt / CC BY-SA