Une des choses que vous pouvez faire pour protéger vos données consiste à utiliser le cryptage. Vous pouvez crypter des fichiers individuels, créer un conteneur dans lequel déplacer des fichiers ou crypter une partition ou un disque. Le principal avantage du cryptage est qu’une clé, généralement un mot de passe, est nécessaire pour accéder aux données. Une forme de cryptage de base consiste à protéger un fichier zip par un mot de passe. Un cryptage plus avancé peut protéger l'ensemble du système, y compris la partition du système d'exploitation, des utilisateurs non autorisés.
S'il est important de choisir un mot de passe sécurisé lors de la configuration pour empêcher des tiers de le deviner ou de le forcer brutalement, il est important de noter qu'il peut exister d'autres moyens d'accéder aux données.
Elcomsoft vient de publier son outil Forensic Disk Decryptor. La société déclare qu’elle peut déchiffrer les informations stockées sur les disques et les conteneurs PGP, Bitlocker et TrueCrypt. Il convient de noter qu'un accès local au système est requis pour que l'une des méthodes utilisées par le programme fonctionne. Les clés de cryptage peuvent être acquises de trois manières:
- En analysant le fichier d'hibernation
- En analysant un fichier d'image mémoire
- En effectuant une attaque FireWire
La clé de cryptage ne peut être extraite du fichier de mise en veille prolongée ou du vidage de la mémoire que si le conteneur ou le disque a été monté par l'utilisateur. Si vous disposez du fichier de vidage de la mémoire ou du fichier d'hibernation, vous pouvez lancer la recherche de clé facilement et à tout moment. Notez que vous devez sélectionner la partition ou le conteneur chiffré approprié dans le processus.
Si vous n'avez pas accès à un fichier d'hibernation, vous pouvez facilement créer un vidage de la mémoire avec Windows Memory Toolkit. Il suffit de télécharger l'édition communautaire gratuite et d'exécuter les commandes suivantes:
- Ouvrez une invite de commande avec privilèges. Faites-le avec un appui sur la touche Windows, en tapant cmd, en cliquant avec le bouton droit de la souris sur le résultat et en sélectionnant l'exécution en tant qu'administrateur.
- Accédez au répertoire dans lequel vous avez extrait l'outil de vidage de la mémoire.
- Exécutez la commande win64dd / m 0 / r /fx:\dump\mem.bin
- Si votre système d'exploitation est 32 bits, remplacez win64dd par win32dd. Vous devrez peut-être aussi changer le chemin à la fin. N'oubliez pas que le fichier sera aussi volumineux que la mémoire installée sur l'ordinateur.
Exécutez l'outil d'analyse par la suite et sélectionnez l'option d'extraction de clé. Pointez-le sur le fichier de vidage de mémoire créé et attendez qu'il ait été traité. Vous devriez voir les touches vous être affichées par le programme après.
Verdict
Forensic Disk Decryptor d’Elcomsoft fonctionne bien si vous pouvez mettre la main sur un fichier de vidage de la mémoire ou de veille prolongée. Tous les formulaires d’attaque nécessitent un accès local au système. Ce peut être un outil utile si vous avez oublié la clé principale et si vous avez désespérément besoin d’accéder à vos données. Bien que cela coûte assez cher, il vous en coûtera 299 €. Ce serait peut-être votre meilleur espoir de récupérer la clé, à condition que vous utilisiez le mode veille prolongée ou que vous disposiez d'un fichier de vidage de la mémoire que vous avez créé lors du montage du conteneur ou du disque. Avant de faire un achat, lancez la version d'évaluation pour voir si elle peut détecter les clés.
Vous pouvez désactiver la création d'un fichier d'hibernation pour protéger votre système contre ce type d'attaque. Bien que vous deviez toujours vous assurer que personne ne peut créer un fichier de vidage de la mémoire ou attaquer le système à l'aide d'une attaque Firewire, cela garantit que personne ne peut extraire les informations lorsque le PC n'est pas démarré.
