BitLocker demeure l'un des systèmes de cryptage de volume les plus utilisés et sophistiqués. Toutefois, il est loin d'être invincible. Dans cet article, nous explorons en détail les différentes méthodes pour attaquer un volume BitLocker protégé par différents types de protecteurs, dont TPM, PIN, clé USB et mot de passe.
Types de Protecteurs BitLocker
1. TPM Seul :
Ce protecteur est couramment utilisé sur les appareils portables. Le volume BitLocker est automatiquement déverrouillé au démarrage, mais il est vulnérable à une attaque de type cold boot. Les attaques possibles incluent la récupération de la clé de récupération BitLocker et le RAM dump.
2. TPM + PIN :
Dans ce mode, le TPM nécessite un code PIN pour déverrouiller le volume. Cependant, le blocage du TPM après plusieurs tentatives infructueuses peut rendre cette méthode difficile. Les attaques possibles comprennent la récupération de la clé de récupération BitLocker et le RAM dump.
3. TPM + Clé USB :
Ce protecteur requiert le TPM et une clé USB pour le démarrage. Sans la clé USB, le système ne peut pas déverrouiller le volume. Les attaques possibles incluent la récupération de la clé de récupération BitLocker et le RAM dump.
4. TPM + PIN + Clé USB :
Cette méthode combine le TPM, le code PIN et une clé USB. Bien que plus sécurisée, elle est moins pratique en raison du risque de perte de la clé USB ou de la carte à puce. Les attaques possibles sont similaires à celles des méthodes précédentes.
5. Clé USB :
Cette méthode permet de déverrouiller le volume à l'aide d'une clé USB. La clé USB doit être présente pour déchiffrer le volume. Les attaques possibles sont similaires à celles des méthodes précédentes.
6. Mot de Passe Seul :
Utilisé lorsque le TPM n'est pas disponible, il permet des attaques de type dictionnaire ou brute-force. Le RAM dump est une méthode viable pour cette protection.
Attaques Possibles et Méthodes
-
Récupération de la Clé de Récupération BitLocker : Les clés de récupération sont souvent stockées dans le compte Microsoft de l'utilisateur. Récupérer ces clés permet de monter ou de déchiffrer instantanément les volumes protégés.
-
Attaque par Dictionnaire/Brute-Force : Utiliser des outils tels qu'Elcomsoft Distributed Password Recovery pour effectuer des attaques de type dictionnaire ou brute-force en se basant sur les motifs de mots de passe existants de l'utilisateur. Cette méthode est puissante avec l'accélération GPU et le calcul distribué.
-
Attaque de Type Cold Boot : En exploitant le fait que le volume BitLocker est monté au démarrage, un attaquant peut lancer une attaque cold boot pour extraire la clé de chiffrement de la RAM.
-
Capture de RAM : En obtenant un RAM dump du système, l'attaquant peut extraire les clés de chiffrement de la mémoire volatile de l'ordinateur. Cela est possible via des attaques physiques ou logiques.
Conclusion
BitLocker offre une protection robuste, mais aucune méthode de protection n'est infaillible. Les attaques possibles, telles que la récupération de la clé de récupération BitLocker, les attaques par dictionnaire/brute-force, les attaques cold boot et la capture de RAM, peuvent être utilisées pour déchiffrer un volume BitLocker. La sécurité du système dépend fortement du choix et de la gestion des protecteurs par l'utilisateur.
