Joanna Rutkowska, qui n’est ni femme de chambre ni malveillante, présentait la semaine dernière Evil Maid, une attaque physique contre les outils de chiffrement complet du disque dur (ou FDE, pour Full Disk Encryption).

Démontrée contre l’outil Open Source TrueCrypt, l’attaque est toutefois parfaitement généralisable contre d’autres produits similaires tel PGP Whole Disk Encryption ou CheckPoint Full Disk Encryption.

La femme de chambre malveillante (Evil Maid) tire son nom du scénario d’attaque envisagé par Rutkowska : l’accès à un laptop (chiffré intégralement et éteint) par une femme de chambre lors du ménage quotidien à l’hôtel. Joanna Rutkowska démontre qu’il suffit de quelques minutes – le temps d’insérer une clé USB et démarrer l’ordinateur dessus – pour compromettre la machine.

L’outil qu’elle propose est en mesure d’analyser le secteur d’amorce du disque principal de la machine qu’il vient de démarrer afin d’y détecter le boot loader de TrueCrypt. Une fois celui-ci chargé, il est modifié afin d’y intégrer un sniffer chargé de capter et de stocker le mot de passe principal. Le boot loader piégé est alors ré-écrit sur le secteur d’amorce.

La prochaine fois que l’utilisateur démarrera la machine et entrera son mot de passe, celui-ci sera stocké et récupérable par la femme de chambre lors son prochain passage.

Seul un contrôle d’intégrité du boot loader est en mesure d’empêcher une telle attaque (c’est là que la puce TPM trouve son intérêt, par exemple).

Hors TPM, Rutkowska propose un système bootable sur clé USB chargé de prendre une empreinte du boot loader sain et de la comparer avant chaque démarrage. Guère pratique, mais imparable si l’on ne tient pas compte des (extrêmement rares) collisions potentielles propres aux algorithmes de hash.

Plus d’information :

Le billet sur le blog de Joanna Rutkowska