Une nouvelle version Cold Boot Attack permet aux attaquants de voler des données précieuses
Des experts en informatique ont découvert une nouvelle variante de l'attaque par démarrage à froid[1] qui peut permettre de voler des mots de passe, des informations sensibles et même des clés de cryptage de l'ordinateur[2]. On considère que ce type de méthode fonctionne sur presque toutes les machines modernes que vous pouvez trouver, même si l'espace disque a atteint sa limite.
Dans l'ensemble, les attaques de démarrage à froid qui sont actives pendant dix ans sont un moyen pour les attaquants de voler des informations importantes qui se trouvent dans la RAM après l'arrêt de l'ordinateur. Groupe de chercheurs TCG (Trusted Computing Group) composé d'ingénieurs d'IBM, Hewlett-Packard, Intel, Microsoft et AMD ont mis en place une sauvegarde qui écraserait la RAM dès qu'un ordinateur est rallumé au. La technique est connue sous le nom de Reset Attack Mitigation ou MORLock.
Les attaques de démarrage à froid sont utilisées pour l'obtention de la clé de chiffrement
MORlock a pensé être efficace pendant un certain temps; cependant, les chercheurs de F-secure ont découvert un moyen de manipuler la protection qui permet aux pirates de récupérer des détails sensibles sur l'ordinateur après un redémarrage à froid en quelques minutes. Si l'attaquant parvient à percer, de nombreuses informations importantes peuvent entraîner un risque d'exposition :[4]
Les attaques de démarrage à froid sont une méthode connue pour obtenir des clés de chiffrement à partir d'appareils. Mais la réalité est que les attaquants peuvent mettre la main sur toutes sortes d'informations en utilisant ces attaques. Les mots de passe, les informations d'identification aux réseaux d'entreprise et toutes les données stockées sur la machine sont en danger.
Les experts informatiques ont expliqué qu'il est possible d'activer le démarrage à l'aide de périphériques externes. Réécrire la puce mémoire et la désactiver. De plus, les attaques de démarrage traditionnelles et nouvelles ont une chose en commun: les deux ont besoin d'un accès physique pour atteindre leur cible.
La puce T2 d'Apple aide à éviter les attaques dangereuses
Apple a affirmé que les appareils Mac ont une puce Apple T2[5] qui est une mesure de précaution contre de telles attaques dangereuses. Cependant, il semble que tous les ordinateurs Mac n'aient pas cette puce. Pour les machines qui ne l'ont pas, Apple a recommandé aux utilisateurs de créer un mot de passe pour le firmware afin d'augmenter le niveau de sécurité.
Cependant, les chercheurs informatiques de F-secure affirment qu'il appartient également aux fabricants d'ordinateurs de renforcer leur système de sécurité qui empêcherait les attaques de démarrage à froid. Malheureusement, ce n'est pas un objectif très facile à atteindre qui peut prendre un certain temps :
Lorsque vous pensez à tous les différents ordinateurs de toutes les différentes entreprises et que vous combinez cela avec les défis de convaincre les gens de mettre à jour, c'est un problème vraiment difficile à résoudre facilement. Il faudra le type de réponse coordonnée de l'industrie qui ne se produit pas du jour au lendemain, explique Olle de F-secure.