Cold boot attack – Dumper la RAM d'un PC avec 5 Ko d'assembleur

Vous branchez une clé USB sur un PC, vous démarrez dessus, et le temps de vous servir un petit café, hop, tout le contenu de la mémoire vive est recopié sur la clé. Le rêve pour les gens qui font du forensic, car dans la RAM on trouve des mots de passe, des clés de chiffrement et tout ce qui traîne. De quoi choper de sérieux indices !
Parce que oui, si vous pensiez être bien tranquille avec votre disque chiffré grâce à BitLocker, FileVault ou LUKS, sachez que la clé de déchiffrement se balade en clair dans la RAM. Pas la peine de casser de la crypto quand il suffit d’aller cueillir la clé là où elle traîne. C’est cet angle mort qu’
ElcomSoft exploitait déjà en 2012 pour cracker TrueCrypt et BitLocker
.
Sauf que pour aller cueillir cette clé, encore faut-il que la machine soit allumée, non ?
Eh bien pas forcément car contrairement à ce qu’on croit, la RAM ne s’efface pas d’un coup quand on coupe le courant.
Hé oui, les données restent lisibles plusieurs secondes, voire une minute, ce qui est largement suffisant pour récupérer des infos importantes. Et si vous refroidissez les barrettes (par exemple jusqu’à -60°C avec de l’azote liquide), le contenu peut tenir plusieurs heures !!
Ce phénomène n’a rien de neuf. On appelle ça une cold boot attack, et ce sont des chercheurs de Princeton qui l’ont mise en lumière dès 2008, en révélant un truc totalement contre-intuitif : une mémoire vive censée se vider dès qu’on l’éteint, garde en réalité ses secrets bien après.
Alors on va me dire que tout ça, c’est mitigé depuis des lustres : Le scrubbing mémoire au boot, où le firmware écrase la RAM au démarrage, les clés planquées dans les registres du CPU façon TRESOR, le chiffrement mémoire chez Intel et AMD, les barrettes carrément soudées à la carte mère… les parades existent, c’est vrai. Sauf qu’en 2018, deux chercheurs de
F-Secure
ont remis une pièce dans la machine en montrant comment désactiver ce fameux scrubbing sur quasiment tous les ordi portables modernes, Dell, Lenovo et même les Mac.
Et c’est là qu’arrive BareMetal RAM Dumper, un outil signé pIat0n qui rejoue justement cette vieille attaque de 2008. Le truc tient dans 5 Ko d’assembleur x86 et démarre directement sur le BIOS en mode legacy, avant de basculer en unreal mode pour aller taper dans toute la mémoire au-dessus de 1 Mo.
La récupération totale ne dépassera pas 4 Go par contre, car l’unreal mode ne grimpe pas plus haut, mais en général c’est bien suffisant pour repêcher quelques clés d’accès. Et surtout, ça fait gagner un temps fou aux gens qui font du forensic : plus besoin d’un labo dédié, une clé USB et le tour est joué. Ça rejoint donc la longue liste des façons d’ouvrir un disque soi-disant blindé,
comme BitPixie qui déverrouille BitLocker en cinq minutes
.
Bref, c’est aussi une bonne piqûre de rappel qu’un chiffrement ne protège vraiment vos données que quand la machine est éteinte pour de bon. Le code est
sur GitHub
sous licence AGPL !
Source : korben.info