Plusieurs failles découvertes dans le chiffrement des SSD Crucial et Samsung

Le par  |  6 commentaire(s) Source : Publication
Samsung SSD

Des chercheurs en sécurité ont mis en évidence la présence de diverses failles dans certains SSD permettant ainsi de contourner le chiffrement des données.

Un groupe de chercheurs de l'université de Radboud aux Pays-Bas a récemment annoncé avoir découvert un ensemble de failles présentes dans certaines solutions de stockage SSD (SED) proposant le chiffrement matériel des données (soit un chiffrement réalisé via une puce directement implantée dans le SSD). Si cette solution a été déployée par les fabricants, c'était avant tout parce que les protocoles logiciels de chiffrement se sont montrés de plus en plus vulnérables ces dernières années, l'implantation d'un chiffrement matériel semblait ainsi proposer une parade plus fiable, mais il n'en serait finalement rien.

Les chercheurs sont parvenus ainsi à contourner les protections des SSD Crucial MX100, MX200 et MX300 mais également des Samsung T3, T5, 840 Evo et 850 Evo. Malheureusement, les failles concernent potentiellement également l'ensemble des SSD proposant du chiffrement matériel.

Les failles découvertes se présentent sous deux volets principaux. Les failles concernent les modules "ATA Security" et "TCG Opal", deux systèmes servant à mettre en place le chiffrement matériel. Les modèles étudiés proposent ainsi aux utilisateurs de définir eux même un mot de passe pour déchiffrer leurs données, mais qu'un "mot de passe principal" est également présent et défini par le fabricant et précisé dans le manuel.

Ainsi, il suffit de connaitre ce mot de passe principal pour récupérer et déchiffrer le mot de passe de l'utilisateur, et accéder ainsi à l'ensemble des données et les déchiffrer.

Autre faille en place : il n'y a aucun lien chiffré entre le mot de passe utilisateur et la clé de chiffrement de disque (DEK). Il serait ainsi possible de récupérer la valeur DEK dans la puce du SSD et l'utiliser ensuite pour déchiffrer les données locales sans même connaitre le mot de passe de l'utilisateur.

Il est actuellement recommandé aux utilisateurs de ces SSD soucieux de protéger leurs données de passer par un logiciel de chiffrement tiers. Samsung a déjà procédé à des mises à jour à destination de ses SSD T1, T3 et T5.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2039674
Heu... c'est nullement une faille d'avoir accès aux données avec le mot de passe d'un compte prévu pour... (c'est comme dire qu'on peut avoir un accès root dans tous les serveurs du monde..... en connaissant le mot de passe root de chacune des machines....)
Le #2039702
Chitzitoune a écrit :

Heu... c'est nullement une faille d'avoir accès aux données avec le mot de passe d'un compte prévu pour... (c'est comme dire qu'on peut avoir un accès root dans tous les serveurs du monde..... en connaissant le mot de passe root de chacune des machines....)


Tu as lu l'article ?

"Ainsi, il suffit de connaitre ce mot de passe principal pour récupérer et déchiffrer le mot de passe de l'utilisateur, et accéder ainsi à l'ensemble des données et les déchiffrer."

On peut utiliser le mot de passe constructeur (PUBLIC) pour accéder au mot de passe utilisateur (PRIVE).

Et tu trouves ça logique ? Ah bon...
Le #2039716
Bah, il vont patcher logiciellement au détriment des perfs...
Le #2039751
"les protocoles logiciels de chiffrement se sont montrés de plus en plus vulnérables ces dernières années"

En quoi?
Le #2039753
Il y aura toujours des mots de passes constructeurs, pour les têtes en l'air, Dell le fait bien suivant le S/N de leurs pc
Le #2039972
CodeKiller a écrit :

Chitzitoune a écrit :

Heu... c'est nullement une faille d'avoir accès aux données avec le mot de passe d'un compte prévu pour... (c'est comme dire qu'on peut avoir un accès root dans tous les serveurs du monde..... en connaissant le mot de passe root de chacune des machines....)


Tu as lu l'article ?

"Ainsi, il suffit de connaitre ce mot de passe principal pour récupérer et déchiffrer le mot de passe de l'utilisateur, et accéder ainsi à l'ensemble des données et les déchiffrer."

On peut utiliser le mot de passe constructeur (PUBLIC) pour accéder au mot de passe utilisateur (PRIVE).

Et tu trouves ça logique ? Ah bon...


A aucun moment il n'est dit que le mot de passe maitre est public (ni même qu'il est commun à tous les produits)
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme