Spécial sécurité : Beaucoup de bruit autour de Bitlocker

Aujourd'hui, nos confrères de CNIS se sont intéressés au développement d'un Snort virtual pour VMware par Sourcefire avant de s'attarder sur une publication de l'institut Fraunhofer qui vient publier un pamphlet sur comment contourner l'outil de protection de Microsoft, Bitlocker.

Sommaire
Sourcefire lance un Snort virtuel pour VMware
Beaucoup de bruit autour de Bitlocker

- Sourcefire lance un Snort virtuel pour VMware


Le bruit courait depuis les dernières Assises de la Sécurité : SourceFire serait en train de développer une édition virtuelle de son IPS. C’est chose faite officiellement depuis le 4 décembre, date à laquelle a été lancé le Virtual Defense Center et les 3D Sensors associés. Ces outils sont étudiés pour fonctionner sous ESX et ESXi de VMware, et sont chargés de surveiller le trafic de VM à VM, de VM à hôte et d’hôte à hôte. La supervision de ces IDS s’effectue par le biais de la console d’administration de l’éditeur. Martin Roesch espère ainsi se tailler une place sur le marché de la sécurité « cloudifiée », secteur encore largement en friche.

- Beaucoup de bruit autour de Bitlocker


L’Institut Fraunhofer s’offre un joli coup de publicité signé Sven Türpe, Andreas Poller, Jan Ste?an, Jan-Peter Stotz, et Jan Trukenmüller. Dans une étude de 14 pages, ces spécialistes se sont penchés sur les moyens de contourner Bitlocker, ce système de chiffrement de disque intégré à Vista, Windows 7, et compatible en lecture avec les noyaux XP grâce à Bitlocker-to-go.

Plutôt que de tenter de s’attaquer directement au mécanisme de chiffrement lui-même –lequel est toujours inviolé-, les chercheurs ont tenté de trouver des failles dans l’intégration du système de protection. Et le résultat final est assez convaincant, car il démontre comment contourner un bitlocker reposant sur un TPM, attaque réputée impossible jusqu’à présent. La méthode rappelle par certains aspects celle utilisée par la chambrière diabolique de Joanna Rutkowska. Il y a, derrière cette démonstration, plus de psychologie que de subtil usage de la science informatique, mais seul le résultat compte. Il reste qu’un Bitlocker utilisant un composant TPM et exploité par des usagers méfiants vis-à-vis des clefs USB vagabondes a statistiquement peu de chances de se faire pirater dans l’état actuel des connaissances.

Mais ce que le Fraunhofer présente comme un sujet de recherche, d’autres l’envisagent comme une « suite logicielle commerciale ». Car le Kit Forensic 9.5 de Passware, commercialisé pour la modique somme de 795 $, prétend casser du Bitlocker (entre autres choses) aussi aisément que le L0pht moissonnait de l’authentification NTLM. Il s’agit en fait d’une « attaque en mémoire » nécessitant un accès physique sur la machine protégée. Le logiciel indiscret est disponible en version de démonstration, limité aux trois premiers caractères des mots passe et autres sésames binaires. A noter que cet éditeur offre une version limitée mais gratuite de son analyseur de chiffrement.

Le fait que quelques outils et techniques perfectionnés ou coûteux s’attaquent à cette protection Microsoft ne doit pas faire passer Bitlocker pour une piètre protection. Cet utilitaire peut être employé sur tout ce qui ressemble à un disque, y compris une unité virtuelle au format vhd. Cette astuce permet d’utiliser cet outil de chiffrement pour protéger un ou plusieurs fichiers « contenus » appelés à être transmis par email, ftp etc. Eviter cependant de communiquer le mot de passe ou la clef principale dans le même courrier que celui contenant le fichier protégé.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close