Attaque de démarrage à froid est encore une autre méthode utilisée pour voler des données. La seule chose spéciale est qu'ils ont un accès direct à votre matériel informatique ou à l'ordinateur entier. Cet article explique en quoi consiste l'attaque au démarrage froid et comment rester à l'abri de telles techniques.
Qu'est-ce que Cold Boot Attack?
Dans un Attaque de démarrage à froid ou un Attaque de réinitialisation de la plate-forme, un attaquant ayant un accès physique à votre ordinateur procède à un redémarrage à froid pour redémarrer la machine afin de récupérer les clés de cryptage du système d'exploitation Windows
Ils nous ont appris dans les écoles que la RAM (Random Access Memory) est volatile et ne peut pas contenir de données si l'ordinateur est éteint. Ce qu'ils auraient dû nous dire aurait dû être…ne peut pas conserver les données longtemps si l'ordinateur est éteint. Cela signifie que la RAM conserve des données de quelques secondes à quelques minutes avant de s’effacer par manque d’alimentation en électricité. Pendant très peu de temps, toute personne disposant des outils appropriés peut lire la RAM et copier son contenu dans un stockage sûr et permanent en utilisant un système d'exploitation léger différent, sur une clé USB ou une carte SD. Une telle attaque est appelée attaque au démarrage à froid.
Imaginez un ordinateur sans surveillance dans une organisation pendant quelques minutes. Tout pirate informatique doit juste mettre ses outils en place et éteindre son ordinateur. Lorsque la RAM se refroidit (les données s'effacent lentement), le pirate informatique branche une clé USB amorçable et démarre via celle-ci. Il ou elle peut copier le contenu dans quelque chose qui ressemble à la même clé USB.
Étant donné que la nature de l'attaque consiste à éteindre l'ordinateur puis à utiliser le commutateur d'alimentation pour le redémarrer, on parle de démarrage à froid. Vous avez peut-être entendu parler du démarrage à froid et du démarrage à chaud au cours de vos premières années informatiques. Le démarrage à froid est l'endroit où vous démarrez un ordinateur à l'aide de l'interrupteur d'alimentation. Un démarrage à chaud consiste à utiliser l'option de redémarrage d'un ordinateur à l'aide de l'option de redémarrage du menu d'arrêt.
Geler la RAM
Ceci est encore un autre truc sur les manches des pirates. Ils peuvent simplement vaporiser une substance (exemple: azote liquide) sur les modules de RAM afin qu'ils gèlent immédiatement. Plus la température est basse, plus la RAM peut contenir des informations. En utilisant cette astuce, ils (pirates informatiques) peuvent mener à bien une attaque au démarrage à froid et copier un maximum de données. Pour accélérer le processus, ils utilisent des fichiers d’exécution automatique sur le système d’exploitation léger sur des clés USB ou des cartes SD qui sont démarrées peu de temps après l’arrêt de l’ordinateur piraté.
Étapes d'une attaque de démarrage à froid
Tout le monde n'utilise pas nécessairement des styles d'attaque similaires à ceux donnés ci-dessous. Cependant, la plupart des étapes courantes sont répertoriées ci-dessous.
- Modifiez les informations du BIOS pour autoriser le démarrage à partir d'un port USB
- Insérez une clé USB amorçable dans l'ordinateur en question
- Éteignez de force l’ordinateur pour que le processeur n’ait pas le temps de démonter les clés de chiffrement ou d’autres données importantes; Sachez qu'un bon arrêt peut aussi aider, mais peut ne pas être aussi efficace qu'un arrêt forcé en appuyant sur la touche d'alimentation ou d'autres méthodes.
- Dès que possible, utilisez le commutateur d'alimentation pour démarrer à froid l'ordinateur piraté
- Depuis que les paramètres du BIOS ont été modifiés, le système d'exploitation d'une clé USB est chargé.
- Alors que ce système d’exploitation est en cours de chargement, ils exécutent automatiquement les processus pour extraire les données stockées dans la RAM.
- Éteignez à nouveau l'ordinateur après avoir vérifié le stockage de destination (où sont stockées les données volées), retirez la clé USB, puis quittez l'ordinateur.
Quelles informations sont à risque lors d'attaques de démarrage à froid
Les informations / données les plus courantes sont les clés de chiffrement de disque et les mots de passe. En règle générale, le but d’une attaque par démarrage à froid est de récupérer des clés de chiffrement de disque illégalement, sans autorisation.
Lors d’un arrêt approprié, les dernières choses qui se passent sont le démontage des disques et l’utilisation des clés de chiffrement pour les chiffrer. Il est donc possible que, si un ordinateur est mis hors tension brusquement, les données puissent toujours être disponibles pour eux.
Sécuriser contre Cold Boot Attack
Au niveau personnel, vous ne pouvez vous assurer que vous restez près de votre ordinateur au moins 5 minutes après son arrêt. De plus, une précaution consiste à éteindre correctement en utilisant le menu de fermeture, au lieu de tirer le cordon électrique ou d'utiliser le bouton d'alimentation pour éteindre l'ordinateur.
Vous ne pouvez pas faire grand chose car ce n’est pas un problème logiciel en grande partie. C'est plus lié au matériel. Les fabricants d’équipements doivent donc prendre l’initiative de supprimer toutes les données de la RAM dès que possible après la mise hors tension d’un ordinateur afin d’éviter et de vous protéger des attaques par démarrage à froid.
Certains ordinateurs écrasent maintenant la RAM avant d’être complètement arrêtés. Néanmoins, la possibilité d’un arrêt forcé est toujours présente.
La technique utilisée par BitLocker consiste à utiliser un code PIN pour accéder à la RAM. Même si l’ordinateur a été mis en veille prolongée (état de l’éteindre), lorsque l’utilisateur le réveille et tente d’accéder à quoi que ce soit, il doit d’abord entrer un code PIN pour accéder à la RAM. Cette méthode n’est également pas infaillible car les pirates peuvent obtenir le code PIN en utilisant l’une des méthodes de phishing ou d’ingénierie sociale.
Résumé
Ce qui précède explique ce qu’est une attaque de démarrage à froid et son fonctionnement. Il existe certaines restrictions pour lesquelles une sécurité à 100% ne peut pas être offerte contre une attaque par démarrage à froid. Mais pour autant que je sache, les sociétés de sécurité travaillent à trouver une solution plus efficace que la simple réécriture de la mémoire vive ou l’utilisation d’un code confidentiel pour protéger le contenu de la mémoire vive.
Articles Similaires:
- Les 8 meilleurs ordinateurs Compute Stick que vous pouvez acheter
- Arrêter ou redémarrer Windows 8 - 10 façons différentes de le faire
- Comment activer et configurer la stratégie de groupe de complexité des codes confidentiels dans Windows 10
- Alternatives TrueCrypt: AESCrypt, FreeOTFE et DiskCryptor
- Rester en sécurité sur Internet avec Java; ou être plus en sécurité sans elle!
