Les clés de cryptage BitLocker, PGP et TrueCrypt menacées par Elcomsoft
Habitué à casser les mots de passe sur les terminaux mobiles, un éditeur russe s'attaque aux outils de chiffrement comme PGP, BitLocker et TrueCrypt. Il propose un outil pour récupérer des clés pour déchiffrer les informations protégées.
Le spécialiste russe du craquage de mots de passe, Elcomsoft, a présenté un produit Forensic Disk Decryptor capable de récupérer des clés de déchiffrement provenant de solutions comme BitLocker, PGP et l'offre Open Source TrueCrypt. Pour ce faire, le logiciel utilise des failles dans l'armure des systèmes de cryptage. Habituellement, un volume (ou un petit conteneur) chiffré par un de ces logiciels de sécurité est protégé par un mot de passe suffisamment long et complexe pour ne pas être casser par une attaque en force brute.
Toutefois, souligne Elcomsoft, lorsque ce mot de passe a été saisi et que le volume a été ouvert, les clés pour accéder au volume et aux fichiers sont conservées dans une mémoire « poubelle » ou si l'ordinateur est dans un état de veille prolongé dans un fichier « hibernant ». Ces fichiers temporaires donnent l'accés à la clé protégeant les volumes si l'ordinateur cible est alimenté ou en veille. Les fichiers peuvent être aussi récupérés depuis un PC qui a été éteint, si ce dernier est entré en veille prolongée pendant que le volume était ouvert, avant d'être mis hors tension.
Chiffrer des volumes de manière ordonnée
En résumé, les fichiers chiffrés avec BitLocker, PGP et Truecrypt sont à l'abri de la solution d'Elcomsoft, tant que les volumes sont montés et ouverts, fermés et démontés de manière ordonnée. La mémoire poubelle sera ainsi vidée et Elcomsoft préconise la désactivation de la fonction du mode veille prolongée de l'ordinateur. L'éditeur russe reste évasif sur les détails pour trouver et analyser les mémoires poubelles et récupérer les clés de chiffrement.
La société admet que la technique utilisée n'est pas particulièrement nouvelle, mais rarement usitée. « Le produit inclut des algorithmes permettant d'analyser les mémoires poubelles de l'ordinateur et localise les zones qui contiennent les clés de chiffrement », souligne dans un blog, Vladimir Katalov, PDG d'Elcomsoft. Il ajoute « parfois, les clés sont découvertes par l'analyse de séquences d'octets et d'autres fois en examinant les structures internes du chiffrement des conteneurs. Quand vous cherchez des clés PGP, l'utilisateur peut accélérer le processus si l'algorithme de chiffrement est connu ».
Le coût du logiciel est de 299 dollars pour une licence. Il s'adresse aux spécialistes de l'investigation informatique, dont celles travaillant avec les forces de police. Cela peut intéresser aussi toutes les personnes qui veulent accéder à des données chiffrées sans altérer le contenu des informations et risquer des poursuites ultérieures.
