vendredi 16 octobre 2009

L'attaque de la femme de ménage malveillante

"Evil Maid", c'est le nom d'une petite backdoor de l'équipe d'Invisible Things Labs, qui permet de récupérer le mot de passe d'un système dont le disque dur a été entièrement chiffré à l'aide de TrueCrypt.
Je ne vais pas revenir sur la manière de l'employer, Joanna l'explique sur son blog. Pour le fonctionnement, je vous renvoie au code source qui est simplissime.
Alors vous aussi, comme moi, vous vous dites qu'il suffit de protéger par un mot de passe l'accès au BIOS et au menu de boot afin d'empêcher une personne non autorisée à booter depuis l'USB, mais en réalité, rien n'empêche la personne souhaitant infecter le système de retirer le disque dur, le brancher sur un autre ordinateur et l'infecter depuis ce dernier. Mais cela fait pas mal de contraintes.

Q: I've disabled boot from USB in BIOS and my BIOS is password protected, am I protected against EM?
No. Taking out your HDD, hooking it up to a USB enclosure case and later installing it back to your laptop increases the attack time by some 5-15 minutes at most. A maid has to carry her own laptop to do this though.
Mais le tout étant stocké (pour le moment) sur le disque, il me semble suffisament facile de détecter cette backdoor et ses cochonneries laissées sur le disque. Plus tard, cela pourra être envoyé via le réseau (mais ça pourra être détecté par un gros parano [mais pas suffisament parano pour se faire infecter])

Pour sa version actuelle (qui n'est qu'un proof of concept), un moyen de feinter cette backdoor si on soupçonne sa présence, c'est de donner une mauvaise passphrase juste avant de partir en laissant son PC sans surveillance, dans la mesure où elle ne sauvegarde que la dernière passphrase saisie, partant du principe qu'elle est correcte:
The current implementation of Evil Maid always stores the last passphrase entered, assuming this is the correct one, in case the user entered the passphrase incorrectly at earlier attempts.
Mais bon, c'est juste la méthode du pauvre pour le moment, (jusqu'à ce qu'un workaround soit trouvé) et ça n'empêche personne de venir infecter la machine. Il faut soit ne pas laisser son PC sans surveillance, soit l'enfermer dans un coffre fort ou une malette protégée, l'un ou l'autre devant être inviolable.
Voilà j'ai du éclater mon quota de conneries pour la semaine dans ce post. Fort heureusement c'est le week-end dans quelques heures. Je vais retourner à mon écoute du tout dernier album de Rammstein qui vient de sortir. J'aurais peut-être mieux fait d'écrire une review de cet album, au lieu de disserter sur "Evil Maid" :-)

Aucun commentaire: