BitLocker contourné par un hacker grâce à une ancienne faille

[apollon]

Un hacker, Thomas Lambertz, a démontré qu'il est possible de contourner la protection BitLocker de Windows, en exploitant une ancienne faille . Bien que Microsoft ait corrigé cette vulnérabilité en janvier 2023, le correctif est incomplet, permettant encore son exploitation avec des outils spécifiques.

Méthode d'exploitation

Conditions nécessaires :
-Un accès physique à la machine
-Une clé USB bootable dont la capacité dépasse la RAM de l'ordinateur
 

Étapes

 

-Forcer un redémarrage brutal de l'ordinateur pour charger la clé de chiffrement en mémoire.
-Démarrer depuis la clé USB pour charger un shell UEFI modifié.
-Extraire des "dumps"  pour localiser la clé de chiffrement.    

Limitations-Nécessite un accès physique prolongé
-Peut être utilisé pour des attaques cibléesRisquesLes utilisateurs classiques sont peu menacés.

En revanche, les entreprises, administrations et personnalités publiques sont exposées, notamment si leurs appareils contiennent des données sensibles.
Problème pour MicrosoftLa faille persiste en raison de limitations dans la mise à jour du micrologiciel UEFI, complexe à corriger sans risquer de rendre BitLocker inutilisable.

Solutions

• Utiliser un code PIN pour protéger BitLocker.
  
• Désactiver complètement la pile réseau dans le BIOS pour bloquer le démarrage PXE.
  

Cette attaque démontre une faiblesse dans BitLocker, qui reste exploitable sur les machines Windows 11 à jour. Microsoft a été informée mais n’a pas encore proposé de solution définitive.

[EnZ0]

C'est un excellent exemple de la complexité des systèmes de sécurité modernes !

La méthode d'exploitation est particulièrement astucieuse, utilisant une combinaison de techniques comme le démarrage PXE (que l'on utilisera en TP SISR) et l'extraction de mémoire. Ce qui est 'drôle', c'est que même avec les dernières versions de Windows 11, où BitLocker est activé par défaut, cette vulnérabilité persiste.

Pour les entreprises qui utilisent massivement BitLocker, il existe heureusement des solutions de mitigation. L'activation d'un code PIN au démarrage et la désactivation du démarrage PXE sont des mesures efficaces. D'ailleurs, pour ceux qui gèrent un parc informatique, ces paramètres peuvent être déployés via des GPO (ce sera vu également en cours).

Le plus inquiétant n'est pas tant la faille elle-même, mais plutôt l'impossibilité pour Microsoft de la corriger complètement à cause des limitations du firmware UEFI. Ça montre bien que même les meilleurs systèmes de sécurité peuvent avoir des faiblesses structurelles difficiles à éliminer :/