Attaque de démarrage à froid est encore une autre méthode utilisée pour voler des données. La seule particularité est qu’ils ont un accès direct à votre matériel informatique ou à l’ensemble de l’ordinateur. Cet article explique ce qu’est Cold Boot Attack et comment rester à l’abri de ces techniques.
Qu’est-ce qu’une attaque de démarrage à froid
Dans un Attaque de démarrage à froid ou un Attaque de réinitialisation de plate-forme, un attaquant ayant un accès physique à votre ordinateur effectue un redémarrage à froid pour redémarrer la machine afin de récupérer les clés de chiffrement du système d’exploitation Windows
Ils nous ont appris dans les écoles que la RAM (Random Access Memory) est volatile et ne peut pas contenir de données si l’ordinateur est éteint. Ce qu’ils auraient dû nous dire aurait dû être…ne peut pas conserver les données longtemps si l’ordinateur est éteint. Cela signifie que la RAM contient toujours des données de quelques secondes à quelques minutes avant qu’elles ne disparaissent en raison d’un manque d’alimentation électrique. Pendant une très courte période, toute personne disposant des outils appropriés peut lire la RAM et copier son contenu dans un stockage permanent sûr à l’aide d’un système d’exploitation léger différent sur une clé USB ou une carte SD. Une telle attaque est appelée attaque de démarrage à froid.
Imaginez un ordinateur laissé sans surveillance dans une organisation pendant quelques minutes. Tout pirate informatique n’a qu’à mettre ses outils en place et éteindre l’ordinateur. Au fur et à mesure que la RAM refroidit (les données disparaissent lentement), le pirate branche une clé USB amorçable et démarre via celle-ci. Il ou elle peut copier le contenu sur quelque chose comme la même clé USB.
Étant donné que la nature de l’attaque consiste à éteindre l’ordinateur puis à utiliser l’interrupteur d’alimentation pour le redémarrer, cela s’appelle un démarrage à froid. Vous avez peut-être appris le démarrage à froid et le démarrage à chaud au cours de vos premières années en informatique. Le démarrage à froid est l’endroit où vous démarrez un ordinateur à l’aide de l’interrupteur d’alimentation. Un démarrage à chaud est l’endroit où vous utilisez l’option de redémarrage d’un ordinateur à l’aide de l’option de redémarrage dans le menu d’arrêt.
Geler la RAM
C’est encore un autre tour sur les manches des pirates. Ils peuvent simplement pulvériser une substance (exemple : azote liquide) sur les modules RAM afin qu’ils gèlent immédiatement. Plus la température est basse, plus la RAM peut contenir d’informations. En utilisant cette astuce, ils (les pirates) peuvent réussir une attaque de démarrage à froid et copier un maximum de données. Pour accélérer le processus, ils utilisent des fichiers d’exécution automatique sur le système d’exploitation léger sur des clés USB ou des cartes SD qui sont démarrées peu après l’arrêt de l’ordinateur piraté.
Étapes d’une attaque de démarrage à froid
Tout le monde n’utilise pas nécessairement des styles d’attaque similaires à celui indiqué ci-dessous. Cependant, la plupart des étapes courantes sont répertoriées ci-dessous.
- Modifiez les informations du BIOS pour autoriser d’abord le démarrage à partir de l’USB
- Insérez une clé USB amorçable dans l’ordinateur en question
- Éteignez l’ordinateur de force afin que le processeur n’ait pas le temps de démonter les clés de cryptage ou d’autres données importantes ; sachez qu’un arrêt approprié peut également aider, mais peut ne pas être aussi efficace qu’un arrêt forcé en appuyant sur la touche d’alimentation ou d’autres méthodes.
- Dès que possible, utilisez l’interrupteur d’alimentation pour démarrer à froid l’ordinateur piraté
- Depuis que les paramètres du BIOS ont été modifiés, le système d’exploitation sur une clé USB est chargé
- Même lorsque ce système d’exploitation est en cours de chargement, ils exécutent automatiquement des processus pour extraire les données stockées dans la RAM.
- Éteignez à nouveau l’ordinateur après avoir vérifié le stockage de destination (où les données volées sont stockées), retirez la clé USB du système d’exploitation et partez
Quelles informations sont à risque dans les attaques de démarrage à froid
Les informations/données les plus courantes à risque sont les clés de chiffrement de disque et les mots de passe. Habituellement, le but d’une attaque de démarrage à froid est de récupérer illégalement, sans autorisation, des clés de chiffrement de disque.
Les dernières choses à se produire lors d’un arrêt approprié sont le démontage des disques et l’utilisation des clés de cryptage pour les crypter. Il est donc possible que si un ordinateur est éteint brusquement, les données soient toujours disponibles pour eux.
Se protéger de Cold Boot Attack
Sur le plan personnel, vous ne pouvez vous assurer que de rester près de votre ordinateur jusqu’à au moins 5 minutes après son arrêt. De plus, une précaution consiste à éteindre correctement l’ordinateur à l’aide du menu d’arrêt, au lieu de tirer sur le cordon électrique ou d’utiliser le bouton d’alimentation pour éteindre l’ordinateur.
Vous ne pouvez pas faire grand-chose car ce n’est pas un problème de logiciel en grande partie. C’est plus lié au matériel. Les fabricants d’équipements devraient donc prendre l’initiative de supprimer toutes les données de la RAM dès que possible après l’arrêt d’un ordinateur pour éviter et vous protéger des attaques de démarrage à froid.
Certains ordinateurs écrasent maintenant la RAM avant de s’éteindre complètement. Pourtant, la possibilité d’un arrêt forcé est toujours là.
La technique utilisée par BitLocker consiste à utiliser un code PIN pour accéder à la RAM. Même si l’ordinateur a été mis en veille prolongée (un état d’extinction de l’ordinateur), lorsque l’utilisateur le réveille et essaie d’accéder à quoi que ce soit, il doit d’abord entrer un code PIN pour accéder à la RAM. Cette méthode n’est pas non plus infaillible car les pirates peuvent obtenir le code PIN en utilisant l’une des méthodes de phishing ou d’ingénierie sociale.
Sommaire
Ce qui précède explique ce qu’est une attaque de démarrage à froid et comment cela fonctionne. Il existe certaines restrictions en raison desquelles une sécurité à 100 % ne peut pas être offerte contre une attaque de démarrage à froid. Mais pour autant que je sache, les sociétés de sécurité s’efforcent de trouver une meilleure solution que de simplement réécrire la RAM ou d’utiliser un code PIN pour protéger le contenu de la RAM.
Maintenant lis: Qu’est-ce qu’une attaque de surf ?