Si un ordinateur portable Windows avec un disque dur crypté est volé, le contenu peut-il être consulté par un pirate professionnel?

La réponse à votre question est que cela dépend d'un certain nombre de facteurs.

• Quel produit de chiffrement de disque est utilisé? Utilise-t-il le cryptage complet du disque, ou crypte-t-il simplement des parties du disque (par exemple, le répertoire personnel des utilisateurs)
• Existe-t-il des vulnérabilités connues dans le produit de chiffrement de disque utilisé?
• Quelle force de mot de passe a été utilisée par l'utilisateur de la machine volée?
• L'utilisateur a-t-il fait quelque chose de très idiot, comme avoir le mot de passe sur un peu de papier dans son sac?.
• Le produit de chiffrement de disque permet-il des attaques hors ligne efficaces ou peut-il appliquer une stratégie de verrouillage telle que seul un nombre limité de suppositions sont autorisées avant la destruction des données?
• Dans quelle mesure les attaquants sont-ils déterminés et bien financés? Dans le cas des attaquants au niveau gouvernemental, ils peuvent avoir un moyen de contourner/détourner le logiciel.

Donc, en fin de compte, cela dépend. Dans le cas général, un attaquant peu sophistiqué ayant accès à un lecteur chiffré à disque complet protégé par un mot de passe fort qu'il n'a pas, ne sera probablement pas en mesure de le compromettre, mais il y a beaucoup de variables en jeu.

Edit : selon les commentaires ci-dessous, la liste ci-dessus n'est pas exhaustive, mais donne, espérons-le, une idée de certaines des variables potentielles en jeu.

Oui. Avec une attaque de démarrage à froid.

Selon le logiciel utilisé pour crypter vos données et lorsque l'attaquant met la main sur votre ordinateur portable, il y a de fortes chances qu'ils puissent accéder à tout ce qu'ils veulent, s'ils savent comment.

Le problème réside dans le fait que de nombreux outils de chiffrement de disque, y compris BitLocker, stockent les clés dans la RAM. L'astuce pour l'attaque est de refroidir le RAM down .

Cette attaque repose sur le fait que le RAM de votre ordinateur portable conservera ses informations, même après une coupure de courant, pendant un certain temps. Si vous refroidissez le RAM down, il conservera ses informations, sans alimentation, plus longtemps . Les chercheurs l'ont fait en pulvérisant de l'air comprimé ou de l'azote liquide sur le RAM modules pendant le fonctionnement de l'ordinateur portable. Ensuite, ils ont retiré les modules et les ont chargés dans leur propre système spécialisé.

Sur tous nos exemples de DRAM, les taux de décroissance étaient suffisamment faibles pour qu'un attaquant qui coupait le courant pendant 60 secondes récupère correctement 99,9% des bits ... Cela suggère que, même dans les modules de mémoire modernes, les données peuvent être récupérables pendant des heures ou des jours avec un refroidissement suffisant.

À partir de là, ils pouvaient inspecter le contenu de la mémoire et rechercher des informations importantes comme les clés DES, AES ou RSA. À l'aide d'algorithmes pour analyser la mémoire chargée, vous pouvez détecter les clés de chiffrement.

Nous avons développé des techniques entièrement automatiques pour localiser les clés de chiffrement symétriques dans les images mémoire, même en présence d'erreurs binaires.

Nos expériences (voir la section 3) montrent qu'il est possible de récupérer le contenu de la mémoire avec quelques erreurs binaires même après avoir coupé l'alimentation du système pendant une courte période.

Références:

[1] J. Halderman et al. "N'oublions pas: les attaques de démarrage à froid sur les clés de chiffrement" (le site contient un lien vers le document de recherche).

Si votre ordinateur a UNIQUEMENT un mot de passe pour les comptes d'utilisateurs, alors extrêmement facilement. Vous pouvez simplement charger N'IMPORTE QUEL LiveCD et il ignorera les permissions du fichier, donnant ainsi à l'attaquant des droits de fichier complets.

Si vous avez un cryptage, la question est de portée trop large, nous devons savoir quel logiciel vous avez utilisé pour le cryptage, etc. Je peux développer ma réponse si vous fournissez le logiciel de cryptage que vous avez utilisé.

Vous avez ici plusieurs questions différentes:

Si un ordinateur portable Windows avec un disque dur crypté est volé, le contenu peut-il être consulté par un pirate professionnel?

Oui.

En d'autres termes, est-il facile de pénétrer Windows sans avoir les mots de passe des utilisateurs configurés sur l'ordinateur?

En supposant que nous parlons toujours d'une machine dont le disque dur est chiffré avec le BitLocker intégré, alors pour nous, nous le savons: ce n'est pas facile.

========

Mais ce n'est pas vraiment le problème central.

Le gros problème est de savoir si le pirate professionnel en question pense ou non que les données sur le disque valent le temps et l'argent nécessaires pour les casser. Si nous parlons du NSA et que vous avez des données liées à un problème de sécurité nationale hautement prioritaire qui ne sont probablement pas accessibles autrement (par exemple, la personne qui connaît le mot de passe est "indisponible") "), ils jetteront alors la puissance de calcul nécessaire pour le casser.

Cependant, si nous parlons d'un ordinateur portable qui a été volé par une personne complètement inconsciente du contenu, il va probablement reformater la chose et la payer sur ebay. Heck, ils peuvent juste mettre en gage/ebay tel quel.

En d'autres termes, la question centrale se résume à savoir si vous étiez simplement une cible d'opportunité (petit vol) ou une cible de surveillance professionnelle. Si c'est le cas, vous pouvez parier qu'ils n'ont pris l'ordinateur portable que lorsqu'ils ont estimé qu'ils avaient suffisamment d'informations pour accéder facilement au contenu du lecteur - en d'autres termes, ils ont réussi à obtenir vos mots de passe. Il est généralement plus facile (c'est-à-dire: moins cher/plus rapide) d'utiliser des techniques de surveillance modernes pour laisser tomber un mot de passe tapé que pour casser un cryptage solide. Les appareils pour écouter les frappes ou même les caméras à trou d'épingle dans un plafond sont une option certaine ...

Une troisième option est de savoir si l'ordinateur portable a été récupéré par la police locale au moment de votre arrestation. Pour cela, il est probablement beaucoup plus facile de vous forcer à divulguer les mots de passe (en fonction des lois de différents pays) que de prendre la peine d'essayer de casser l'ordinateur portable. Certains pays ont des lois assez déséquilibrées dans lesquelles il serait toujours dans votre intérêt d'abandonner le mot de passe à des preuves incriminantes plutôt que de garder le silence.

Espérons que le disque dur soit chiffré à l'aide de BitLocker, ce qui signifie que par défaut, votre disque dur serait le premier appareil sur lequel votre ordinateur portable démarrerait. Si le pirate tente de modifier l'ordre de démarrage (réinitialiser le mot de passe administrateur local à l'aide de l'outil Linux), le BitLocker sera verrouillé (doit entrer une clé de récupération de 48 caractères pour le déverrouiller). Si l'utilisateur parvient à démonter le disque dur, le disque dur sera traité comme BitLocker ToGo, donc la même politique de verrouillage s'applique.

Il est maintenant temps d'expliciter une propriété fondamentale du domaine de la sécurité de l'information, qui se rapporte au débat en cours:

Ce n'est pas un jeu. Il n'y a pas de règles.

Voyons ce que cela signifie en examinant d'abord la "réponse technique" (qui a été développée par d'autres réponses à cette question). Le "pirate professionnel" sera tenu à distance si toutes les conditions suivantes sont réunies:

• Le système de chiffrement du disque entier vaut ce nom.
• Quand vous dites entier, vous voulez dire entier. Mémoire virtuelle l'espace (alias "swap partitions" ou "swap files") doit également être crypté.
• Le mot de passe de déverrouillage est fort ( entropie élevée ).
• Lorsque l'ordinateur portable a été volé, il était hors tension et correctement éteint (pas mis en veille ou en veille prolongée, mais vraiment éteint).
• Le voleur court avec l'ordinateur portable mais ne revient pas.

Le point sur l'ordinateur portable arrêté est pour attaques de démarrage à froid . Après quelques minutes d'arrêt, le contenu RAM est définitivement perdu - tandis que "sleep" et "hibernation" sont des techniques pour conserver le contenu RAM quelque part (soit en utilisant la batterie pour garder le RAM alimenté, soit en stockant son contenu sur le disque dur).

Cependant, le point important est le dernier. Toutes ces considérations techniques n'indiquent rien tant que le voleur est suffisamment obligé d'accepter d'opérer dans le contexte déclaré, les "règles d'engagement". À savoir, le voleur a un accès physique temporaire à l'ordinateur portable et le saisit. Il n'essaie pas, disons, d'insérer un appareil de journalisation des clés ou un autre système de porte dérobée dans l'ordinateur portable, puis de le laisser en place, de sorte que l'utilisateur, sans méfiance de l'intervention du pirate, tape à nouveau sans mot de passe son mot de passe, ouvrant tous ses secrets les plus profonds .

C'est là que le scénario est irréaliste. Nous parlons d'un professionnel hacker. Par définition, ce pirate gagne sa vie grâce à ses activités. Il s'intéresse à vos informations et ne se sentira pas obligé d'agir uniquement dans les limites d'une histoire idéale. Les histoires de "piratage" les plus réussies incluent souvent, comme élément pivot, une action non technique, généralement appelée ingénierie sociale (où le terme "ingénierie" dément le fait qu'en fait, il ne s'agit pas de ingénierie mais psychologie et sociologie), ou simple cambriolage. Pour (ab) utiliser la citation de Chamberlain: le hacker professionnel n'est pas un gentleman.

Maintenant, si nous parlions d'un hacker amateur, alors les choses changent beaucoup. La situation devient la suivante:

Mon ordinateur portable a été volé. J'utilisais le chiffrement du disque entier. Le voleur (qui recherchait le matériel, pas les informations) pourra-t-il aussi récupérer le mot de passe Gmail et voler mes comptes?

Dans ce cas, nous avons des faits réels qui se sont produits dans le monde physique, donc une base solide pour le contexte dans lequel la question se déroule. L'ordinateur portable était volé, non modifié en silence. Celui qui a commis l'acte n'était pas, au moment du vol, un pirate professionnel ciblant les données; c'était plutôt un spectateur opportuniste qui pensait pouvoir gagner quelques dollars avec l'ordinateur portable lui-même. Si tel est le cas, un chiffrement du disque entier correctement implémenté et appliqué, protégé par un mot de passe fort sur un ordinateur portable complètement éteint, sauvera la journée, car il limitera le coût de la perte et du manque de disponibilité du matériel.

Cela dépend du logiciel d'encodage. S'il a utilisé BitLocker, il est possible de craquer uniquement le mot de passe BitLocker, ce qui n'est pas désespéré avec une attaque par dictionnaire. Casser la clé Bitlocker est normalement sans espoir.