rvlsoft - Fotolia
Contourner l’authentification Windows pour échapper à Bitlocker
Le système de chiffrement complet de disque de Windows peut être mis en échec en contournant le mécanisme d’ouverture de session.
BitLocker est le système de chiffrement complet de disque dur (Full Disk Encryption, FDE) – et de périphériques amovibles – de Windows. Comme tous les systèmes de FDE, sont objectif est simple : protéger les données au repos contre les accès illégitimes, notamment en cas de vol ou de perte d’ordinateur.
Introduit par Microsoft dès 2007 avec Windows Vista, BitLocker utilise le module TPM d’un ordinateur pour stocker la clé de chiffrement de son disque dur. Mais il n’est pas infaillible, comme Ian Haken en a fait la démonstration récemment, lors de l’édition européenne de la conférence Black Hat.
Dans un rapport de recherche, ce chercheur de Synopsys, spécialiste de la sécurité applicative, explique en effet que lorsque BitLocker est activé sans authentification préalable au démarrage de la machine en s’appuyant sur le module TPM, sur une machine connecté à un domaine Active Directory, et avec un utilisateur déjà authentifié, il est possible de contourner le système d’ouverture de session pour accéder, en définitive, à l’ordinateur et à son contenu, en clair.
Pour cela, il suffit de « configurer un contrôleur de domaine [alternatif] où le mot de passe du compte utilisateur visé est défini comme expiré ». L’attaquant peut alors utiliser le mot de passe qu’il a arbitrairement affecté au compte utilisateur et déclarer un nouveau mot de passe : « l’ouverture de session va échouer mais le nouveau mot de passe va néanmoins compromettre le cache local d’identifiants ». L’étape suivante consiste à « désactiver la connexion réseau de la machine pour ouvrir une session avec le nouveau mot de passe qui sera validé par le cache local compromis ».
Et voilà donc l’attaquant libre d’accéder à tout le contenu de la machine sur laquelle il a pris la main, BitLocker ou pas. Mieux : « si l’utilisateur est administrateur local, l’attaquant pourrait même récupérer la clé BitLocker dans la mémoire du noyau ».
Mais comme le souligne Ian Haken, Microsoft recommande de déployer BitLocker avec authentification préalable au démarrage de la machine en s’appuyant sur TPM. Et l’éditeur a commencé à diffuser des correctifs pour cette vulnérabilité. Lesquels méritent donc d’être rapidement appliqués.