Mais voyons de plus prêt comment ça marche!
Contrairement à ce que l'on peut croire, les DRAMs utilisées dans les ordinateurs modernes retiennent leur contenu de quelques secondes à quelques minutes après que l'alimentation soit arrêtée; et cela même à température ambiante; et même si elles sont retirées de la carte mère.
A titre d'exemple, après 2 minutes à température ambiante, on obtient une dégradation correspondant aux photos ci-dessous:
Après avoir réfrigéré la DRAM aux alentours de -50°C en utilisant un spray, on observe de nouveau la dégradation de la mémoire
Après 10 minutes, on obtient une dégradation très faible correspondant aux photos ci-dessous:
Bien que les DRAMs deviennent moins fiables quand elles ne sont pas soumises à des températures basses, elles ne sont pas immédiatement effacées; et leur contenu persiste un temps suffisant pour récupérer malicieusement l'image mémoire du système d'exploitation.
Il a donc été démontré que ce phénomène limite la capacité d'un système d'exploitation à protéger les données cryptographiques vis-à-vis d'un attaquant disposant d'un accès physique à la machine cible.
Ces attaques appelées "Cold Boot" (et on comprend maintenant mieux pourquoi) sont utilisées contre les systèmes d'encryption de disques les plus populaires: Bitlocker, FileVault, et TrueCrypt; et tout cela sans matériel spécifique.
L'attaque se déroule en plusieurs phases:
- On accède physiquement à la machine (on peut se contenter de l'emprunter le temps de l'attaque uniquement)
- Dans notre cas l'ordinateur fonctionne
- La clef se trouve en DRAM
- On connecte un disque externe et on reboote sur le disque externe pour lancer l'application malicieuse en charge de récupérer la clef d'encryption. L'application copie l'image de la mémoire puis recherche la clef d'encryption
- La clef est trouvée. L'ensemble de l'opération ne dure que quelques minutes
Source: Center for Information Technology Policy (Princeton University): http://citp.princeton.edu/memory
Aucun commentaire:
Enregistrer un commentaire