Sécurité

Comment contourner le cryptage et la sécurité d’un smartphone Android : Mettez-le au congélateur – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Des chercheurs en sécurité de l’Université d’Erlangen-Nuremberg en Allemagne ont montré qu’ils pouvaient extraire des photos, l’historique de navigation et des listes de contacts à partir de smartphones Android, même si le téléphone est verrouillé et que le disque est crypté. Le logiciel, appelé FROST, a été ouvert par les chercheurs et est raisonnablement facile à utiliser, si vous souhaitez reproduire les résultats. Il y a cependant une mise en garde : comme son nom l’indique, vous devez d’abord mettre le téléphone au congélateur.

Le vecteur d’attaque utilisé par Tilo Müller, Michael Spreitzenbarth et Felix Freiling est appelé un attaque de démarrage à froid. Le démarrage à froid (ou démarrage dur) consiste à redémarrer un système en coupant complètement l’alimentation, puis en le rallumant. Lorsque vous redémarrez un ordinateur normalement (c’est-à-dire un redémarrage à chaud), il existe généralement des processus en place qui effacent/désinfectent la mémoire du système – mais en démarrant à froid et en contournant ces processus, le contenu de toute RAM est préservé.

La RAM perd lentement l'intégrité des données, telle que récupérée par FROST

Six vidages RAM successifs d’un Galaxy Nexus, car sa RAM perd lentement l’intégrité des données.

« Mais la RAM est volatile », dénoncez-vous. « La RAM perd ses données dès que l’alimentation est coupée », plaidez-vous – et oui, dans une certaine mesure, vous avez raison. La RAM est volatile et nécessite des pics de puissance réguliers pour conserver ses données, mais lorsque l’alimentation est coupée, il faut en fait quelques secondes ou minutes pour que les données soient perdues. Si vous avez un moyen de lire la RAM, vous pouvez extraire toutes sortes d’informations sensibles, notamment la clé de chiffrement utilisée pour chiffrer le disque dur local ou le stockage flash. Ce défaut (fonctionnalité ?) est appelé rémanence des données, et il fait également référence à la tendance des disques durs et autres supports magnétiques à conserver les données, même après avoir été effacés.

Psssssst :  La Russie sévit contre les VPN et leur ordonne de mettre des sites Web sur liste noire

Récupération des clés de chiffrement FDE, avec FROST

La lecture de la RAM est cependant difficile. Dans le cas d’ordinateurs plus gros, vous pouvez physiquement transplanter la barrette de RAM dans un autre ordinateur et y lire le contenu de la mémoire. Avec les appareils intégrés, tels que les smartphones, vous n’avez pas cette option – c’est là que FROST (Forensic Recovery Of Scrambled Telephones) entre en jeu. En bref, FROST est une image de récupération Android – un peu comme ClockworkMod – qui vous donne accès à toutes les données stockées dans la RAM après un démarrage à froid. À partir du menu principal FROST, vous pouvez tenter de récupérer les clés de chiffrement complet du disque (FDE) à partir de la RAM, ou simplement vider tout le contenu de la RAM via USB vers un autre PC pour une analyse plus approfondie. (Voir: Le chiffrement complet du disque est trop bon, selon l’agence de renseignement américaine.)

Un Galaxy Nexus au congélateur, s'apprêtant à rendre ses clés de chiffrementMaintenant, comme nous l’avons mentionné, cela peut prendre de quelques secondes à quelques minutes pour que la RAM perde ses données. L’une des variables à l’origine de cet écart est Température; en refroidissant la RAM, il conserve les données plus longtemps. Dans une document de recherche particulièrement impressionnant [PDF], il a été démontré que l’azote liquide préserve le contenu de la DRAM pendant une semaine entière. Dans ce cas particulier, cependant, les chercheurs en sécurité ont placé un Samsung Galaxy Nexus dans un congélateur pendant une heure, jusqu’à ce que la température interne du téléphone tombe à 10C (50F). Ensuite, en retirant et en insérant rapidement la batterie (cela doit être fait en moins de 500 millisecondes) et en entrant dans FROST, ils ont pu faire un vidage complet de la RAM du téléphone. Sans le congélateur, la RAM du téléphone perdrait ses données avant de pouvoir être récupérée.

Alors que FROST est remarquable en tant que premier exemple réussi d’attaque de démarrage à froid sur Android, FROST n’est que le dernier d’une longue gamme d’outils d’attaque de démarrage à froid. Dans un monde où le chiffrement intégral du disque est la norme plutôt que l’exception dans les cercles criminels, la capacité de récupérer les clés de chiffrement de la mémoire est d’une importance vitale pour le FBI, la CIA et d’autres agences de renseignement du monde entier. Il est maintenant courant pour certaines forces de police de s’assurer absolument que les ordinateurs ne sont pas éteints pendant les raids, jusqu’à ce qu’ils aient été entièrement scannés pour les clés de cryptage et toutes les autres données qui pourraient encore être dans la RAM. Il existe des défenses qui peuvent être utilisées contre les attaques de démarrage à froid, comme ne pas stocker les clés de chiffrement dans la RAM, mais pour l’instant, il semble que Android au moins est encore vulnérable.

Psssssst :  Les lampes intelligentes Philips Hue LED piratées, la maison éteinte par un chercheur en sécurité

Maintenant lis: Comment sécuriser correctement votre iPhone ou appareil Android

Bouton retour en haut de la page