13 septembre 2018 |

Une faille dans les micrologiciels installés sur des PCs portables donne accès aux clés de chiffrement

Les experts F-Secure affirment que les mesures de sécurité actuelles ne permettent pas de réellement protéger les données présentes sur les ordinateurs portables perdus ou volés.

Rueil-Malmaison, le 13 septembre 2018 : Les chercheurs de F-Secure, entreprise spécialisée en cyber sécurité, ont découvert une vulnérabilité présente sur des ordinateurs portables. Les pirates peuvent exploiter cette faille pour voler des clés de chiffrement ainsi que d’autres informations sensibles. Les mesures de sécurité actuelles ne suffisent donc pas à protéger les données des ordinateurs portables perdus ou volés.

Pour exploiter cette faille informatique, les pirates ont toutefois besoin d’accéder physiquement à l’ordinateur. Mais comme l’explique Olle Segerdahl, Principal Security Consultant chez F-Secure, cinq minutes suffisent pour attaquer l’ordinateur portable.

« Généralement, les entreprises ne sont pas prêtes à faire face à un piratage impliquant un accès physique à leurs ordinateurs. La vulnérabilité informatique qui vient d’être découverte est présente sur des PCs vendus par de grands fournisseurs.  Il y a donc fort à parier que nombre d’entreprises sont menacées, et qu’elles ne sont soit pas conscientes du danger, soit pas prêtes à y faire face », explique Olle Segerdahl.

Cette vulnérabilité permet aux pirates de procéder à une attaque « cold boot », ou « démarrage à froid ». Ce type d’attaque est utilisé par les hackers depuis 2008. Il s’agit de redémarrer l’ordinateur sans suivre le processus d’arrêt approprié, pour récupérer les données très temporairement accessibles dans la RAM (Random Access Memory) après la coupure de courant.

Les ordinateurs portables les plus récents écrasent désormais la RAM, afin d’empêcher les pirates d’utiliser ce type d’attaque pour dérober des données. Cependant, Olle Segerdahl et son équipe ont découvert un moyen de désactiver le processus d’écrasement et de rendre à nouveau possible une attaque de type « cold boot ».

« Quelques étapes supplémentaires sont nécessaires par rapport à une attaque « cold boot » traditionnelle mais cette nouvelle mouture est efficace contre tous les ordinateurs portables actuellement en vente que nous avons testés. Cette attaque se prête surtout lorsque l’ordinateur a été volé ou acheté illicitement : les pirates ont alors tout le temps de procéder à ce type de manipulation », explique Olle Segerdahl.

Les paramètres du firmware régissant le processus de démarrage ne sont pas protégés contre une attaque physique potentielle. À l’aide d’un simple outil matériel, le pirate peut réécrire la puce mémoire non volatile qui contient ces paramètres, désactiver l’écrasement de la mémoire et activer le démarrage à partir de périphériques externes. L’attaque de « cold boot » peut alors être effectuée en exécutant un programme spécifique, à partir d’une clé USB.

« Cette attaque fonctionne contre n’importe quel ordinateur portable, y compris les ordinateurs professionnels. Les entreprises ne disposent d’aucun moyen permettant d’assurer la protection de leurs données si un ordinateur disparaît. 99 % des ordinateurs portables professionnels contiennent des identifiants permettant l’accès à des réseaux de l’entreprise : avec cette attaque, les pirates disposent donc d’une méthode fiable et pertinente pour accéder à des informations stratégiques », ajoute Olle Segerdahl. « Il n’existe pas de solution simple à ce problème : les entreprises doivent elles-mêmes se préparer à ce type de danger. »

Olle Segerdahl a informé Intel, Microsoft et Apple de la découverte de son équipe pour aider les acteurs clés  du PC à améliorer la sécurité des produits actuels et à venir.

En attendant Olle Segerdahl recommande aux entreprises de configurer les ordinateurs portables de manière à ce qu’ils s’arrêtent automatiquement plutôt que d’entrer en mode hibernation, et de rendre obligatoire le renseignement du code PIN Bitlocker, chaque fois que Windows démarre ou entre en phase de restauration. Il est également important de sensibiliser les collaborateurs de l’entreprises, en particulier les cadres et les employés mobiles, face à la menace que constitue les attaques « cold boot » et autres cyber menaces du même style. Les DSI doivent également disposer d’un plan de gestion de crise en cas de disparition d’un ordinateur portable professionnel.

« En cas de disparition d’un ordinateur portable, il convient d’invalider au plus vite les identifiants d’accès présents sur l’ordinateur volé, qui perdra soudain une grande partie de sa valeur aux yeux des pirates. Les équipes de sécurité informatique et de gestion de crise doivent mettre en place des exercices pratiques et s’assurer que le personnel lancera systématiquement l’alerte en cas de perte ou vol d’un appareil », conseille Olle Segerdahl. « Se préparer vaut mieux que de supposer qu’aucun appareil ne sera jamais attaqué car, en toutes circonstances, le risque subsiste. »

Olle Segerdahl et son partenaire, Pasi Saarinen, Security Consultant chez F-Secure, doivent présenter les résultats de leurs recherches le 13 septembre, à la conférence SEC-T en Suède, puis aux États-Unis, à l’occasion de la conférence BlueHat v18 de Microsoft, le 27 septembre.

Plus d’informations

Sur le blog de F-Secure : La réalité glaçante des attaques « cold boot »

Documentation Microsoft sur les contre-mesures Bitlocker

A propos de F-Secure

30 ans d’expérience en cyber sécurité. Avec toujours le même moteur : l’innovation. L’entreprise finlandaise dispose aujourd’hui d’une expertise inégalée dans la lutte contre toutes les menaces, des infections de type ransomware aux cyber attaques avancées. Pour ce faire, F-Secure a élaboré une stratégie de défense sophistiquée, qui allie la puissance du machine learning et l’expertise humaine. Le nom de cette approche unique : Live Security. Les produits F-Secure sont proposés par plus de 200 opérateurs et des milliers de revendeurs. Ils défendent chaque jour des dizaines de milliers d’entreprises et des millions de particuliers.

Fondée en 1988, F-Secure est cotée sur le NASDAQ (code OMX Helsinki Ltd).
f-secure.com | twitter.com/fsecure | facebook.com/f-secure

Le Blog de F-Secure | Espace Presse F-Secure | Dossier de Presse

Contacts Médias

Guillaume Ortega
06 31 45 81 09
guillaume.ortega@f-secure.com

Téléchargements et divers

fr-cold_boot_attacks_infographic.pdf

Derniers communiqués de presse

15 novembre 2018

Des chercheurs du Laboratoire MWR de F-Secure identifient des vulnérabilités 0-day sur les smartphones Xiaomi Mi6 et Samsung Galaxy S9

À l’occasion de la compétition Mobile Pwn2Own, l’équipe du Laboratoire MWR de F-Secure a démontré l’existence de vulnérabilités encore non-divulguées.

7 novembre 2018

MOOC Cyber Sécurité : en route pour une troisième année !

Avec leur MOOC (formation en ligne ouverte à tous) sur la cyber sécurité, F-Secure et l’Université d’Helsinki poursuivent leur objectif commun : aider les futurs professionnels de la cyber sécurité à exploiter leur plein potentiel.

22 octobre 2018

Ensemble, F-Secure et Zyxel sécurisent les foyers connectés

Un nouveau partenariat pour l’intégration de F-Secure Connected Home Security dans les routeurs domestiques de Zyxel.

10 octobre 2018

Rapport F-Secure : La France sur le podium des pays les plus ciblés au premier semestre 2018

Le nouveau rapport de F-Secure montre que les attaques par ransomware ont diminué au premier semestre 2018. La sécurité des systèmes et le renforcement des technologies antivirus expliquent cette baisse, obligeant les pirates à se tourner vers le spam et le cryptojacking.

%d blogueurs aiment cette page :