Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Copie de mémoire chiffrée : Les outils

Je ne sais pas si vous êtes au courant mais en ce moment, à New York se déroule la conférence The Last HOPE (Hackers On Planet Earth).

Une équipe de chercheurs-hackeurs de PrinceTown qui avaient montré cette année comment récupérer les clés de chiffrement à partir de la mémoire d’une machine éteinte viennent de rendre public lors de cette conférence leurs outils permettant d’effectuer cette manip.

Ces outils permettent de récupérer et de manipuler vos dumps de mémoire. Le premier soft (bios_memimage) sert à démarrer une machine via le réseau (PXE) pour copier la mémoire vive. Il y a même une petite explication sur comment utiliser un iPod pour faire ses dumps mémoire tranquillement… Efi_memimage utilise l’interface EFI et apporte la couche TCP/IP de BSD pour permettre une copie de la mémoire via TCP. Aeskeyfind quand à lui sait récupérer les clés AES 128 ou 256 bits à partir de ces dumps et rsakeyfind fait exactement pareil avec du RSA.

AesFix permet quand à lui de corriger jusqu’à 15 % d’une clé mais en réalité, lors de leurs tests, avec un dump mémoire classique, il n’y a eu que 0,1 % d’erreur et si ils congèlent les puces mémoires avant, on arrive à un taux d’erreur de 0,01 %.

Il est clair que cette technique de pénétration est une première et rend tous les ordinateurs utilisant le chiffrement faillibles. Le problème ici, c’est qu’il n’y a pas de solution pour contrer cela, mis à part effectuer un changement radical dans la façon d’architecturer la RAM. En attendant certains proposent de créer une carte sur laquelle se trouverait la RAM et qui en cas de détection d’intrusion, viderait cette dernière de son contenu.

Tous les outils sont ici


Les articles du moment