Vulnérabilités du cryptage : Microsoft, PGP et Check Point jouent l’apaisement
Microsoft, PGP et Check Point tentent d’apaiser les craintes sur les vulnérabilités de leurs systèmes de cryptage de disques.
Après un récent rapport faisant état de vulnérabilités sur le cryptage de disque,des éditeurs de logiciels font bloc pour défendre leurs produits et tenter d’apaiser les craintes du public. Microsoft et PGP figurent parmi les premières sociétés qui ont publié des communiqués à la suite de ce rapport. Lequel expliquait qu’un pirate pouvait récupérer les clés de cryptage en accédant à la mémoire sur un ordinateur récemment arrêté.
Le rapport précise que même après la mise hors tension de l’ordinateur, un pirate peut démarrer partiellement le système, récupérer le contenu des puces DRam et utiliser les informations pour détourner les outils de cryptage de disque.
« Les auteurs du rapport n’ont pas tenté de violer les produits de la PGP Corporation, mais la technique aurait pu en théorie être utilisée pour attaquer tous les produits de cryptage de disque actuels », a déclaré PGP dans un communiqué officiel. « En pratique, cependant, il est peu probable que les utilisateurs soient victimes de ce type d’attaque. »
La société a invité les utilisateurs à employer un volume de disque virtuel crypté qui peut être démonté lorsqu’il n’est pas utilisé.
Check Point Software a de son coté publié un bulletin indiquant les difficultés autour d’une attaque théorique par « démarrage à froid ». « Tout d’abord, le pirate doit prendre physiquement possession de l’ordinateur soit en cours de fonctionnement, soit dans les quelques minutes suivant sa mise hors tension », explique la société. « La mémoire doit ensuite être refroidie pour maintenir le contenu suffisamment longtemps pour qu’il puisse être copié dans son intégralité », poursuit-elle.
Russ Humphries, directeur de la sécurité Vista chez Microsoft, a également défendu le logiciel BitLocker sur un blog de l’éditeur. « Ce qu’il faut garder à l’esprit ici, c’est le vieil adage qui prône l’équilibre de la sécurité, de l’exploitabilité et des risques », explique-t-il. « Les recherches en sécurité de qualité aident nos clients et l’industrie en général à mettre la barre de sécurité plus haut, ce que je salue. Mais rappelons-nous également que les technologies telles que BitLocker offrent aux utilisateurs un service extrêmement précieux et les aident à protéger les données stockées sur leur PC. »
Traduction de l’article Encryption firms speak up on DRam attack de Vnunet.com en date du 29 février 2008