Echolalie Microsoftienne (ou le bitlocker interloqué)
Alors que les universitaires de Princeton cherchaient à attirer l'attention sur l'effet de rémanence des données dans des mémoires C-Mos, en prenant exemple sur la recherche d'une clef Bitlocker Vista ou FileVault Apple, les « progman » de Microsoft se sentent agressés et contre-attaquent en utilisant soit des arguments déjà avancés par les scientifiques, soit des contre-vérités sécuritaires : Bitlocker est « rock solid », le hack de Princeton relève de l'improbable, dit en substance Russ Humphries dans son blog. Premier argument, « il est aisément possible d'éviter ce genre de hack en interdisant tout démarrage à l'aide d'une unité externe ». Un point mentionné au fil de notre précédent article, indiquant que ce genre de précaution pouvait « ralentir » le processus, mais en aucun cas le bloquer. Il est toujours possible de retrouver un « master password » d'accès au Bios. Il est, précisait l'étude visée, encore plus simple de récupérer la mémoire et de l'installer sur une machine qui ne souffre pas de ce genre de limitation. « On ne se promène pas toujours avec une bombonne d'air comprimé sur soi » (ndlr : afin de « refroidir » la mémoire devant faire l'objet d'une autopsie). C'est là l'argument désespéré de tout ingénieur acculé : nier par une généralité une vulnérabilité patente. Car malheureusement pour Monsieur Humphies, faire du froid est enfantin. A titre d'exemple, l'on peut rafraîchir des dérivés de jus de houblon à l'aide d'extincteurs à mousse carbonique, du genre de ceux que l'on trouve dans les halls d'aéroport, les couloirs de caserne et les amphis d'Universités. Le procédé est ... aussi moussant qu'efficace, et prouve combien nécessité fait loi. Les « on ne peut pas » ou « il est impensable » sont souvent des aveux de méconnaissance, le signe avant-coureur d'une tentative de « security by obscurity » ... Idem pour ce qui concerne l'improbabilité de voir un ordinateur « qui ne soit pas en mode « veille » et qui soit laissé à l'abandon, loin de son propriétaire ». Il suffit de remonter une rame de TGV Lyon/Paris un lundi matin ou un vendredi soir pour comprendre que c'est là un argument spécieux. La même chose peut être constatée sur les rames de trains drainant ses lots de « commuters » de San Francisco à Palo Alto. Le « hack Princeton » est, de l'avis même de ses auteurs, difficile à mettre en oeuvre du fait même qu'il exige ce fameux « accès direct à la console ». Il existe un certain nombre de bonnes pratiques qui le rendent encore plus compliqué à mener à bien. Là encore, le rapport des universitaires ne le cache pas non plus. Etait-ce une raison pour dénigrer cette communication avec autant de virulence ? Pour quelle raison un tel sentiment de culpabilité frappe Microsoft alors que la « faute » -si l'on peut considérer une caractéristique technique comme une « faute »- incombe aux concepteurs de barrettes mémoires ? Il faudra bien pourtant que les Crosofties s'y fassent ... c'est d'ailleurs essentiellement de leur responsabilité : en sécurisant un peu mieux, un peu plus, leurs composants logiciels, il conduisent les hackers -blancs ou noirs- à découvrir de nouvelles voies. Et ces voies passent par des chemins qui dépassent bien souvent l'esprit informaticien. Plus le « soft » sera sécurisé, plus l'on verra apparaître de nouvelles attaques « hard ». C'est déjà fortement le cas dans le domaine des transmissions sans fil, ce fut, à une époque, un fait courant dans le monde des réseaux base cuivre, ce le sera de plus en plus souvent dans le cadre des compromissions du poste de travail. A ajouter dans les « notes de lecture », ce très agréable billet du Blog de Nono sur le terme Offensique, sorte d'Hippocampelephantocamelos issu de la copulation de l'analyse « forensic » (recherche de preuves et traces) et du hack « offensif ». Outre le papier des gens de Princeton, l'on y fait mention d'un autre hack, celui de l'analyse des fichiers d'hibernation de Windows 2000 et ultérieurs. Il est possible de lire le dump mémoire d'une machine stocké dans hyberfil.sys, il est également possible d'y injecter des choses plus ou moins recommandables (travaux de MM Matthieu Suiche et Nicolas Ruff ).
