Pour gérer vos consentements :

Sécurité IT : qui a les clés de la mémoire vive ?

Que faites-vous quand vous avez fini de travailler sur votre ordinateur portable ?

F-Secure pose la question en référence à une vulnérabilité dont deux de ses employés ont fait la démonstration lors de la conférence SEC-T.

L’attaque qu’ils ont mise en œuvre exploite la rémanence des données en mémoire vive.

Le phénomène est connu depuis des décennies : lorsque la RAM n’est plus alimentée, les données sont en théorie perdues ; mais dans la pratique, elles restent accessibles pendant un court laps de temps. Lequel peut dépasser la minute en fonction de paramètres comme la température.

Voilà dix ans, l’université de Princeton s’était penchée sur la problématique, en s’intéressant plus particulièrement à la récupération de clés de chiffrement.

Ses conclusions avaient été suivies d’effet : regroupés au sein du Trusted Computing Group, AMD, Intel, IBM, HP et Microsoft avaient mis en place un mécanisme destiné à écraser, au redémarrage, les données en RAM.

Ce mécanisme utilise un bit dénommé MOR (« Memory Overwrite Request »). Il permet à l’OS de signaler au firmware s’il est nécessaire procéder à l’écrasement – typiquement, par écriture de zéros.

Le rempart BitLocker

L’instruction est stockée dans une puce flash… que les chercheurs de F-Secure sont parvenus à reprogrammer, moyennant un accès physique à la machine ciblée. Ainsi, ils ont pu démarrer sur une clé USB et accéder à ce qui se trouvait en RAM.

Leur démonstration a été effectuée sur un ordinateur laissé en veille. L’alimentation n’est quasiment jamais coupée, un adaptateur secteur étant branché au moment où la batterie est retirée pour accéder à la barrette de RAM et la refroidir.

Sur les machines Windows, l’attaque est plus compliquée si BitLocker est activé et configuré pour demander un PIN avant le démarrage du système. Aussi longtemps que le PIN n’est pas saisi, les clés de chiffrement ne pas sont stockées en mémoire et Windows ne peut ni lire, ni écrire sur le disque système.

macOS et Linux disposent eux aussi de cette fonctionnalité. Le premier n’utilise cependant pas le MOR, intégré au second seulement depuis l’an dernier.

Dans la documentation de BitLocker, mise à jour pour l’occasion, Microsoft recommande, en plus d’implémenter l’authentification par PIN, de désactiver la mise en veille pour privilégier l’extinction de la machine ou sa mise en hibernation (les clés BitLocker ne sont, dans ce cas, pas stockées en RAM).

Du côté d’Apple, on rappelle que les Mac de dernière génération (iMac Pro et MacBook Pro 2018) disposent d’une puce qui gère le chiffrement par coprocesseur, rendant l’attaque plus difficile. Sur les machines plus anciennes, il est conseillé de paramétrer un mot de passe d’accès au firmware.

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago