Un YouTuber est parvenu à déjouer le chiffrement de Windows Bitlocker à l’aide d’un simple Raspberry Pi Pico en moins d’une minute ! Découvrez la faille qu’il a découvert, et les dangers que suscitent cette vulnérabilité…
En protégeant nos données du regard des cybercriminels, Bitlocker est un précieux allié pour la sécurité informatique. C’est l’une des solutions de chiffrement les plus facilement accessibles, puisque directement intégrée à Windows 10 Pro et Windows 11 Pro.
Toutefois, il s’avère que ce logiciel n’est pas si sécurisé qu’on pouvait le penser. Début février 2024, le YouTuber stacksmashing a révélé une faille massive dans une vidéo.
A l’aide d’un simple Raspberry Pi Pico à moins de 10 dollars, il a pu contourner Windows Bitlocker en moins d’une minute. Pour y parvenir, il lui a suffit d’obtenir l’accès aux clés de chiffrement.
Une dangereuse faille liée au Trusted Platform Module
La faille de design exploitée se retrouve en réalité dans un grand nombre de systèmes comportant un Module de Plateforme de Confiance ou TPM (Trusted Platform Module).
Sur certaines configurations, Bitlocker repose sur un TPM externe permettant de stocker les informations critiques. Il peut s’agir par exemple des Registres de Configuration de Plateforme ou de la Volume Master Key qu’on retrouve sur plusieurs CPU.
Or, sur les TPM externes, la clé TPM communique avec le CPU via un bus LPC pour envoyer les clés de chiffrement requises pour décrypter les données sur le disque.
Ce que stacksmashing a découvert, c’est que les lignes de communication (bus LPC) entre les CPU et le TPM externe sont totalement non-chiffrés au démarrage.
Un attaquant peut donc sniffer les données critiques pendant qu’elles se déplacent entre deux unités, et ainsi voler les clés de chiffrement.
Une attaque de test réussie sur un laptop
Le vidéaste a donc décidé de tester une telle attaque sur un laptop vieux de 10 ans doté du chiffrement Bitlocker. Le bus LPC de cet ordinateur portable est lisible via un connecteur sur la carte-mère, situé juste à côté de l’un des ports M.2.
Le même type d’attaque peut être exécuté contre des cartes-mères plus récentes dotées de TPM externe, mais cela requiert davantage d’efforts pour intercepter le trafic.
Afin de lire les données depuis le connecteur, le YouTuber a créé un appareil basé sur le Rasperry Pi Pico pouvant être connecté à un connecteur non sécurisé juste en établissant un contact avec ses pads en métal.
Le Pico était programmé pour lire les 1s et 0s bruts depuis le TPM, conférant l’accès à la Volume Master Key stockée sur le module.
Comment protéger votre ordinateur contre cette menace ?
Cette démonstration vidéo prouve incontestablement que Windows Bitlocker et les TPM externes ne sont pas aussi sécurisés qu’on le prétend. Pour cause, les lignes entre le TPM et le CPU ne sont pas chiffrées.
Heureusement, cette faille semble être un problème résolu sur les TPM discrets. Si vous un CPU avec TPM intégré, comme sur les CPU Intel et AMD de dernière génération, vous êtes a priori à l’abri de cette faille puisque toute communication survient au sein du CPU lui-même.
Néanmoins, c’est un réel danger pour les processeurs plus anciens. Mieux vaut ne pas compter uniquement sur Bitlocker pour la sécurité de vos données !
- Partager l'article :