Le système de chiffrement de données Bitlocker Encryption, mis au point par Microsoft, est très facilement piratable lorsqu’on a le hardware devant soi. C’est le résultat de l’enquête menée par Ian Haken, expert en informatique, chargé de mission de Synopsis.
Bitlocker peut faire tomber toute une structure
Pour bénéficier d’un workspace commun, certaines entreprises utilisent le système de travail en réseau. Ceci suppose le partage du fichier commun de l’institution avec les différents employés sur le réseau. C’est pourquoi ce système utilise un superviseur qui authentifie l’accès de chacun. Cependant, il s’agit d’une authentification qui se fait à l’aide d’une série de mots de passe. Le premier est enregistré dans le mémoire-cache de son ordinateur, et l’autre sera généré par la machine sur chaque demande d’authentification, à la manière des codes Captcha. Cela représente, toutefois, un danger potentiel du moment où Bitlocker permet d’accéder à ces données chiffrées, étant donné que ce dernier est facilement piratable.
Un scénario d’attaque simple
Dans son étude, l’expert a décrit quelques scénarios d’attaque. L’un d’entre eux demande l’absence du superviseur et l’appropriation d’un des ordinateurs déjà authentifiés. Le prochain travail à faire consiste à créer une doublure du contrôleur original. Les deux doivent avoir le même nom. Il faut aussi l‘accompagner d’un re-paramétrage temporel pour que l’ordinateur admette que le mot de passe original est périmé. Ainsi, une fois connecté au réseau, il sera demandé au faux superviseur de modifier le mot de passe de cette machine. A l’issue du processus, il suffira au pirate de se déconnecter du réseau, saisir le nouveau password et accéder au Bitlocker. Etant donné que le système est hors réseau, ce programme n’arrivera pas à distinguer les deux mots de passe.
Une faille qui a atteint Microsoft
La découverte d’une telle faille a conduit Microsoft à revoir son logiciel. Une mesure corrective a été adoptée à cet effet. Il s’agit du CVE-2016-0049, portant modification du software Bitlocker. Cependant, cette dernière continue de subir les controverses. Ce programme serait-il encore le théâtre d’une attaque EvilMaid ? Au lieu de douter, il fallait plutôt être vigilant et toujours garder un œil sur chaque ordinateur du réseau d’entreprise. Autrement, un hacking pourra avoir lieu à l’insu de tout le monde.
Remote Butler est encore plus dangereux
Au cours de la conférence Black Hat 2016 qui a eu lieu aux Etats-Unis la semaine dernière, deux chercheurs de Microsoft Tal Be’ery et HochChaim ont divulgué une autre variante de L’Evil Maid. Il s’agit de l’Evil Butler. Contrairement à ce qu’a présenté Ian Hacken, on peut lancer cette dernière sur Internet.
L’Evil Butler a un mécanisme aussi simple que l’Evil Maid. Il fonctionne sur le principe que si l’on arrive à compromettre un ordinateur réseau affecté au superviseur, on peut prendre contrôle du domaine tout entier. Pour cela, il faut premièrement installer un superviseur de domaine factice sur la machine infectée. Après, il y a lieu d’empoisonner la cache de cet ordinateur. C’est alors qu’on peut le déconnecter et y extraire le mot de passe. A l’issue de ce processus, on peut effacer la cache empoisonnée et restaurer le système dans son état d’origine de façon à effacer les traces.
Selon les deux experts, cette démonstration a pour objet d’inciter les entreprises à mettre à jour leur système aussi souvent que possible.