Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Février 2008<br />
ANALYSES<br />
ATTAQUES<br />
SUR LA REMANENCE DES DONNEES EN MEMOIRE VIVE<br />
• Description<br />
Une équipe de chercheurs d’une institution rattachée à l’université de Princeton vient de<br />
publier les résultats de travaux annoncés fin 2007 à l’occasion de la conférence 3C24,<br />
travaux portant la récupération d’information sensibles en mémoire à la suite du redémarrage<br />
d'un système. Cette publication a généré dès sa parution beaucoup de bruit, les auteurs ayant pris soin de préciser<br />
que leur technique est exploitable pour attaquer les trois systèmes de chiffrement de disque les plus populaires:<br />
BitLocker le système proposé par Microsoft, FileVault celui d’Apple et enfin dm-crypt utilisé en environnement<br />
LINUX. Notre outil préféré, TrueCrypt - dont la version 5 autorise désormais le chiffrement d’un volume complet - est<br />
cité mais dans sa version 4.<br />
A la base de cette annonce, l’existence d’un phénomène de rémanence de l’information stockée dans les cellules des<br />
mémoires vives – mémoires dynamiques - de technologie récente sur une durée variable après que l’alimentation de<br />
ces mémoires ait été coupée. Ce phénomène permet bien évidemment toute une panoplie d’attaques visant à<br />
récupérer les données susceptibles d’être encore intactes quelques minutes après que le système ait été arrêté, dont<br />
la fameuse clef de chiffrement utilisée pour déchiffrer au vol le contenu d’un disque dur.<br />
Le site dédié à cette découverte n’est pas avare d’informations - vidéos, foire aux questions, blog, documents en tous<br />
genres - qui pourraient nous faire oublier que ce phénomène n’est pas nouveau, les auteurs ayant simplement<br />
confirmé son existence dans une technologie récente. Ils reconnaissent d’ailleurs que ‘it has been known since the<br />
1970s that DRAM cell contents survive to some extent even at room temperature and that retention times can be<br />
increased by cooling; in a 1978 experiment, a DRAM showed no data loss for a full week without refresh when cooled<br />
with liquid nitrogen’ en créditant Ross Anderson d’avoir envisagé que ce phénomène puisse exister avec toutes les<br />
technologies modernes.<br />
Le phénomène ici mentionné est en effet connu depuis les années 70 sans pour autant avoir fait l’objet d’une grande<br />
publicité. Qui, à l’époque, aurait été clamer haut et fort être capable de recouvrir les données enregistrées dans une<br />
mémoire vive après la perte de sa tension d’alimentation. Dans les années 80, l’apparition des mémoires CMOS,<br />
<strong>cert</strong>es statiques, et leur très faible consommation, a conduit <strong>cert</strong>ains organismes officiels, dont le DoD, à<br />
recommander la mise en place de fonctions assurant l’effacement des zones de mémoire ayant contenu des données<br />
sensibles après leur utilisation sans toutefois aller jusqu’à envisager la réinitialisation complète de la mémoire vive<br />
préalablement à l’arrêt du système.<br />
Dans ces mêmes années, les spécialistes de la conception de systèmes embarqués savaient que la durée de rétention<br />
des données dans les mémoires CMOS statiques pouvait être notablement augmentée en refroidissant celles-ci<br />
autorisant l’accès aux données bien après que la tension d’alimentation ait été coupée, la mémoire (bien souvent<br />
montée sur support à l’époque) pouvant être déplacée sans inconvénient vers un lecteur externe. Le risque était<br />
suffisant pour que les dispositifs de sécurité contenant des informations sensibles normalement effacées sur détection<br />
d’intrusion soient dotés de mécanismes complémentaires permettant d’interrompre l’alimentation sur détection d’un<br />
changement de température sans oublier le mille-feuilles constitué de circuits souples entourant l’électronique et<br />
destiné à détecter toute tentative de perçage de l’enveloppe de protection.<br />
Il était ‘dit’ sans que cela ne soit prouvé – ici encore la règle de la discrétion était en vigueur<br />
dans tous les laboratoires traitant du sujet de la compromission et de l’intrusion – que les<br />
mémoires dynamiques de l’époque – les bonnes vieilles 4116 et 4164 – pouvaient faire l’objet<br />
d’un traitement identique, leur organisation et le mécanisme de rafraîchissement utilisé devant<br />
cependant complexifier l’opération.<br />
L’intérêt indéniable de la publication des chercheurs de Princeton ne réside ainsi pas dans la découverte du<br />
phénomène de rétention mais dans sa caractérisation au moyen d’une approche rigoureuse, a priori non contestable,<br />
et dans la définition d’une méthode d’analyse permettant de prendre en compte les valeurs erronées à la relecture.<br />
Nous n’avons cependant trouvé aucune donnée précise sur les conditions<br />
expérimentales mises en œuvre dont notamment la caractérisation de l’état<br />
‘non alimenté’. La lecture du rapport d’étude laisse entendre que la durée<br />
de rémanence est mesurée à partir de l’arrêt de l’alimentation de la<br />
machine ce qui n’implique pas une chute immédiate de la tension<br />
d’alimentation présente sur les mémoires. Il faut en effet tenir compte des<br />
charges résiduelles emmagasinées dans les capacités du système lesquelles<br />
doivent conduire à rallonger sensiblement la durée de rétention. Ceci n’a<br />
cependant d’incidence que sur la faisabilité réelle d’une attaque pour<br />
laquelle la mémoire devrait être ‘transplantée’ (pour reprendre le terme<br />
original) d’un système à un autre.<br />
L’approche reste par contre parfaitement valide dans l’hypothèse de la tentative de récupération des informations<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°115 Page 77/80<br />
© DEVOTEAM SOLUTIONS - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE