Crucial et Samsung : quand une faille sur les SSD permet le déchiffrement de données... sans mot de passe !

Chiffrer ses données apparaît comme l'un des moyens d'avoir l'assurance de protéger certains contenus ou fichiers sensibles... Une certitude devenue bien frêle depuis les récentes révélations de chercheurs Néerlandais de l'Université de Radboud.

 

 

Armés de "seulement" 100 euros, ils ont achetés le matériel et SSDs nécessaires pour parfaire leur test qui s'est porté sur 7 modèles :

  • 4 disques Samsung : 2 disques externes (T3 et T5, tout deux en USB) ainsi que 2 disques internes (840 EVO et 850 EVO) ;

  • 3 disques Crucial (Micron) : MX100, MX200 et MX300.

 

(Source : Université de Radboud)

 

De là et pour simplifier, l'étude s'est penché sur 9 types de test (comprenez : tentatives de décryptage frauduleuse de données, ici, en PoC, en exploitant à certains paramètres du firmware permettant d'instaurer le cryptage ou encore la définition d'un mot de passe au sein d'un SSD donné) de ces SSDs. Mise à part la configuration du mode ATA en "max" sur les Samsung 840 EVO et Samsung 850 EVO (au sein du BIOS), l'attaque a, au minimum, réussi une fois sur les 9 quand cela était praticable (selon les modèles) ; et le cas BitLocker de Microsoft n'échappe pas à la règle : l'outil de chiffrement de Windows est systématique / usité sur la plupart des disques du système et, du coup, la faille est automatique opérationnelle pour une personne malveillante. Si l'on peut tenter de juguler ce phénomène inquiétant en rehaussant les options de chiffrement par défaut, les chercheurs expliquent que cela sera, au final, inutile, puisque peu importe le niveau de chiffrement : la faille prend sa source, justement, dans l'option de chiffrement elle-même falsifiable...

Le National Cyber Security Center (NCSC) a informé de la situation les deux fabricants concernés depuis Avril 2018. Deux bulletins ont été assignés à ce problème sécuritaire : CVE-2018-12037 (l'ensemble des SSD) et CVE-2018-12038 (uniquement le modèle 840 EVO de Samsung). S'il est indiqué que Crucial "a indiqué son intention de fournir une mise à jour disponible" (depuis Avril...), Samsung fournit déjà les correctifs ainsi que l'ensemble des numéros d'assistance téléphonique, par pays.

Et, faute de mieux, l'étude recommande fortement d'installer un logiciel de chiffrement Open-Source tel que VeraCrypt... A veiller !

 

Source : Université de Radboud (Pays-Bas) - 5 Novembre 2018 - SSDs Crucial et Samsung : faille sécuritaire liée au chiffrement (mot de passe faillible).