Une faille Windows contourne le chiffrement de BitLocker

En jouant avec l’authentification d’un PC sous Windows auprès du contrôleur de domaine, un chercheur est parvenu à contourner le chiffrement de BitLocker.

Les entreprises et autres utilisateurs qui croient protéger les données de leurs PC en chiffrant l’ensemble des disques durs avec BitLocker devront y regarder à deux fois. A l’occasion de la Black Hat Europe qui se tenait la semaine dernière à Amsterdam, le chercheur Ian Haken de la firme Coverity a révélé une faille de sécurité permet de contourner la fonction de chiffrement proposées sous Windows depuis l’édition Vista.

Une identification à deux niveaux à l’origine de la faille

Le problème touche avant tout les ordinateurs sous Windows qui partagent le même domaine, une situation classique dans le monde de l’entreprise. Généralement, lorsque l’authentification est requise pour l’usage de l’ordinateur dans le domaine de l’entreprise, le mot de passe de l’utilisateur est vérifié par un serveur dédié au contrôleur du domaine. Lequel vérifie également que la machine elle-même est bien référencée dans son domaine par un mot de passe propre à l’ordinateur. Une sécurité à deux niveaux qui permet d’éviter une tentative d’intrusion du réseau suite à un vol ou perte du PC.

Or, lorsque le PC sort du réseau de l’entreprise et de son contrôleur de domaine associé, en mobilité par exemple, l’authentification de l’utilisateur s’appuie sur des identifiants stockés localement dans le cache de la machine. Dans ce cas, le deuxième niveau d’authentification de la machine ne s’effectue pas puisqu’elle ne peut pas joindre le domaine de l’entreprise. De plus, le système suppose qu’un attaquant ayant volé un laptop ne peut changer les identifiants de l’utilisateur stockés dans le cache de la machine et, donc, n’aura pas accès aux données en claires stockées sur le disque dur. Or, Ian Haken démontre comment contourner cette protection.

Utiliser le contrôleur de domaine pour tromper le système

Selon le chercheur, il suffit d’installer un contrôleur de domaine fictif (par exemple depuis un serveur Samba sous Linux) avec le même nom de domaine que celui qu’utilise le laptop pour s’y connecter. Il faut ensuite créer le même compte utilisateur sur le contrôleur avec un mot de passe supposément associé à une date bien antérieure. Lorsque l’attaquant va tenter de s’identifier sur la machine usurpée en se connectant au domaine de l’entreprise, le contrôleur informera Windows que le mot de passe a expiré. L’utilisateur est alors automatiquement invité à en mettre un nouveau. Les nouveaux identifiants sont alors stockés dans le cache de la machine. Une opération qui se déroule avant que la machine soit identifiée par le contrôleur du réseau de l’entreprise.

Si la mise à jour du mot de passe ne permet toujours pas à la machine d’être reconnue par le réseau de l’entreprise (faute de posséder le mot de passe propre à son domaine), il suffit à l’attaquant de retirer la machine du domaine afin de revenir à une authentification locale en entrant le nouveau mot de passe. Laquelle est cette fois acceptée puisque le système ne passe pas par la double authentification et que les identifiants de connexion correspondent bien à ceux stockés en cache. La validation de l’authentification vaut alors pour sésame auprès de BitLocker ouvrant ainsi à l’attaquant l’accès aux contenus des disques. Mieux, il peut installer des malware sur la machine (backdoor, keylogger…) et la rendre à son propriétaire qui, sans le savoir, ouvrira alors toutes grandes les portes de l’entreprise à l’assaillant.

Un mode d’attaque fiable à 100%

Selon Ian Haken, « cette attaque est fiable à 100% sur les systèmes affectés, elle n’est pas sophistiquée […] et peut être exécuté en une poignée de secondes ». Un outil est développé pour répondre automatiquement aux requêtes DNS/Kerboros « pourrait être utilisé pour contourner l’écran de connexion en une question de secondes ». Pour peu que l’outil intègre l’installation automatique des malware et le tour est joué en un temps record « alors qu’une attaque alternative nécessitant un redémarrage complet prendrait trop de temps et serait plus visible ». Le contournement décrit par le chercheur nécessite néanmoins un accès physique à la machine. Ce qui n’est pas impossible dans nombre d’entreprise où, à l’heure du déjeuner par exemple, bon nombre de machine restent sur le bureau du salarié au moment où celui-ci va se restaurer.

Informé en amont de la conférence de Ian Haken, Microsoft a corrigé cette vulnérabilité qui permet de tromper le système pour accéder aux contenus chiffrés avec le bulletin de sécurité MS15-122 de novembre. Un correctif à appliquer sans attendre.


Lire également
Les entreprises démunies face aux cyberattaques sophistiquées
Flash Player, cible préférée des kits de piratage
Le Patch Tuesday de novembre fatal pour Outlook

crédit photo © Gajus- shutterstock