Encryption disk compromise

par **Koj** sur Mer 05 Mar 2008, 23:54

http://citp.princeton.edu/memory/

C'est sans appel...

Une question pour ceux qui connaissent. Il parait qu'on peut récuperer le certificat utilisateur de cryptage EFS dans son profile (clé privé). Quelqu'un a-t-il déjà regarder cette faille ?

Parce que je reste confiant en EFS mais j'ai une connaisse qui me soutient le contraire et préfère utilise truecrypt.

Koj

nb : Star Wars sous telent : telnet towel.blinkenlights.nl

par **Timil** sur Ven 14 Mar 2008, 18:20

Tu peux utiliser la clef de l'admin pour lire les données du users... y compris sa clef.
D'où le besoin d'exporter cette clef vers un support externe et de la détruire après (pas le support, la clef).

par **Koj** sur Ven 04 Avr 2008, 13:43

Après une discution un peu ouleuse, il en résulte la constatation suivante :

- ordinateur volé avec fichier locaux crypté par EFS
- boot du PC et récupération d'une session avec un compte administrateur local du poste
- utilisation de tools récupérant le mot de passe de l'utilisateur en cache dans la SAM
- connection avec les identifiants de l'utilisateur et password, donc du certificat de l'utilisateur.

:cry:

Koj

Profil MVP · par **kazer** sur Ven 04 Avr 2008, 14:17

Koj a écrit:Après une discution un peu ouleuse, il en résulte la constatation suivante :

- ordinateur volé avec fichier locaux crypté par EFS
- boot du PC et récupération d'une session avec un compte administrateur local du poste
- utilisation de tools récupérant le mot de passe de l'utilisateur en cache dans la SAM
- connection avec les identifiants de l'utilisateur et password, donc du certificat de l'utilisateur.

Koj

Ne confond pas EFS et le chiffrement de disque

par **Timil** sur Ven 04 Avr 2008, 14:24

La méthode explicité n'est de plus pas une faille mais le comportement normal d'EFS, donc pas la peine de paniquer. Dommage que les credential soient stockées dans la SAM, mais c'est une vieille faille non corrigible sur les portables (sur les fixes on met à 0 la rétention et c'est le bonheur). C'est pas John the Reaper qui permettait de les lires(actuellement introuvable, cherchez pas...) :?:

Si tu veux crypter un disque, va voir Bitlocker plutôt pour rester chez MS.

Il est très important de connaitre les limitations des systèmes que l'on utilise.

par **bigstyle** sur Ven 04 Avr 2008, 16:06

Timil a écrit:La méthode explicité n'est de plus pas une faille mais le comportement normal d'EFS, donc pas la peine de paniquer. Dommage que les credential soient stockées dans la SAM, mais c'est une vieille faille non corrigible sur les portables (sur les fixes on met à 0 la rétention et c'est le bonheur). C'est pas John the Reaper qui permettait de les lires(actuellement introuvable, cherchez pas...)

Si tu veux crypter un disque, va voir Bitlocker plutôt pour rester chez MS.

Il est très important de connaitre les limitations des systèmes que l'on utilise.

Comment ca "faille non corigible sur les portables" ? Si tu peux en dire plus, je suis preneur

La faille dont parle Koj au début fait justement voler en éclat la sécu Bitlocker

par **Koj** sur Ven 04 Avr 2008, 16:07

Oui Timil justement je pensais à : "comment trouver une parade à l'accès d'une session admin quand on a un acces physique".
Il y a une tools MS pour vérouillé la SAM = password au boot. Mais c'est contreignant pour l'utilisateur. En plus j'ai pas d'expérience sur ce type de sécurité plutot adresse au serveur.
Je préfère encore mettre un password disk (solution Dell) qui empeche de detecter le disque dans un bios non dell et impossible d'y acceder sur un laptop dell sans le password.

Kazer tu entends quoi par "difference entre chiffrement et cryptage" ?
La je suis un peu fatigué de ma semaine et je dirais qu'a priori c'est la meme chose.

Koj

edit : chiffrement, si c'est "signer un email", a contrario de "crypter un email", alors c'est bon, on parle de la meme chose

par **Timil** sur Ven 04 Avr 2008, 16:22

La faille pour les portable est que XP/Vista/autre stock dans la SAM les 10 derniers (par défauts) users qui se connectent au poste, en stockant Login/pass avec un cryptage faible (MD5 une seule passe, avec une clef fixe..).
Il faut donc faire changer cette "mémoire" qui permet de trouver un mdp admin s'il se connecte sur le poste (même en RDP)... problème, c'est la même zone qui stock le login/pass temporaire de l'utilisateur s'il n'est pas connecté au domaine.

Donc on peut sur un fixe, mais pas sur un portable (sinon pas de connexion hors du domaine... chez soi par exemple).

Pour bitlocker, il est possible de bloquer le hack en forcant une identification boot par clef USB ou mot de passe par exemple (donc avant même d'accèder au bitlocker)... mais bon, on rappel que c'est pour éviter le vol de disque bitlocker, pas vraiment le vol de portable hein?

On ne stock sur un portable que ce qui est volatile et acceptable de perdre, cette vielle règle reste vrai, surtout avec la batterie de possibilité pour donner un accès à distance aux données critiques de manières sécurisables.

Encryption disk compromise

Encryption disk compromise

Qui est en ligne ?