Tweet
Bonjour, ancien membre du forum je présente aujourd’hui une méthode relativement classique et simple permettant l’accès sécurisé à des fichiers chiffrés avec TrueCrypt.
Où est le problème ? Rien de nouveau… Autant simplement chiffrer les fichiers avec truecrypt et puis c’est bon ? Avec un mot de passe fort ça passe ? Personne ne saura ce que peut bien contenir mon volume ?
Hé bien non, l’un des problèmes classiques en sécurité réside dans la méthode d’accès au fichier chiffré et non dans le chiffrement en lui-même.
Je présente ici quelques cas concrets qui permettent très simplement à un enquêteur, par exemple, de monter facilement un début de « chain of custody » autrement dit une suite d’évidence à votre encontre dans le cas où pourtant, vous pensiez avoir pris en compte toutes les mesures nécessaires pour vous en prémunir.
Dans la deuxième partie, je montre une méthode simple basé sur l’utilisation du liveCD « Parted Magic », qui me permet d’accéder de manière sure aux fichiers.
Démonstration en image du problème :
J’ai créé ici le volume « Boulot_Entreprise » sous windows, le fichier a été chiffré au moyen d’un algorithme fort sous TrueCrypt, son nom a été choisi pour ne pas éveiller de soupçons particuliers quant à son contenu. Le mot de passe choisit est donc : « A1t4J5l6M3o5I3y6BjGdTrYjBfTuBNf;, » ce qui rend le volume théoriquement inviolable en bruteforce.
Ce volume contient en réalité un fichier word nommé « liste_des_dissidents », ainsi qu’un autre fichier .avi nommé « camera_cache_regime.avi » pour le scénario.
Volume créé.PNG
On part du principe que les fichiers sont consultés relativement régulièrement et sous l’OS, ce que 95 % des gens font avec TrueCrypt.
Comment l’informatique légale peut donc me permettre dans ce cas de prouvé en partie la culpabilité du suspect ?
Mettons-nous dans la peau de celui qui recherche ici un élément compromettant. Dans ce cas précis, Le suspect a ainsi de grandes chances d’utiliser l’OS afin de pouvoir consulter régulièrement ou non ses fichiers.
A partir de ce postulat, il m’est déjà possible si je connais un peu le nom des fichiers incriminés de faire une première analyse.
Le volume étant démonté, l’utilisation de l’historique de Windows pour les documents récemment ouverts est un premier indice :
history.jpg
Ici on retrouve la consultation de fichiers au nom suspect. Si les fichiers portent un nom atypique et explicite comme c’est le cas ci-dessus, vous êtes déjà mal
.
Oui très bien du coup je désactive l’historique des fichiers récemment ouvert sous windows et c’est OK ? Nan ?
Non, le problème se pose dans de nombreux cas, ci-dessous par exemple, on retrouve sous vlc un historique du même ordre qui m’indique clairement la lecture récente d’un de mes documents chiffré, on note également un chemin suspect (P :/) qui peut me convaincre de la présence de ce document sur un volume chiffré (car généralement les périphériques pluggé sous windows garderont une même lettre d’accès. Ici P:/ n’appartient à aucun de mes périphériques, c’est un indice supplémentaire auquel vient s’ajouter l’heure d’accès etc.).
camera.jpg
Que puis-je faire contre tout cela ?
Rien de vraiment concluant si on utilise un OS classique (sur disque dur ou SSD). En effet, rien n’indique que des métadonnées qui concernent vos fichiers chiffrés ne s’envoleront pas ici et là au moment de l’ouverture avec tel ou tel programme (adobe reader ou autre). A partir du moment où ces données se retrouve même pour un très court laps de temps sous un dossier « TEMP/ » du disque dur elles peuvent être potentiellement retrouvé avec un logiciel de récupération adapté pour le grand publique.
Une solution intéressante à ce problème est l’utilisation d’un Live CD permettant de consulté vos données chiffrés et d’interagir avec celles-ci dans un environnement plus sécurisé.
L’avantage du Live CD est l’utilisation de la RAM qui est volatile et non d’un disque dur, ou autre périphérique qui permettrait de stocker des données confidentielles pour un long moment.
Utilisation de Parted Magic :
Parted Magic est une distribution linux bootable particulièrement utile et qui comprend, de base, l’utilitaire TrueCrypt.
C’est un bon point qui permet aux plus novices de lire des volumes chiffrés dans un environnement sure.
Une fois le bureau lancé, truecrypt se trouve dans la section Utilities de la barre de lancement rapide :
tcutilities.jpg
Les plus paranoïaques pourront débrancher leur câble Ethernet histoire de pousser le vice.
Note importante : veillez à avoir le minimum nécessaire de ram pour lire vos fichiers.
Quelques points importants à prendre en compte pour l’utilisation TrueCrypt par rapport à ce tuto :
- Veillez à n’utiliser que la version TrueCrypt 7.1a , il s’agit de la dernière version sure en date avant « l’affaire TrueCrypt ».
- Evitez d’utiliser des méthodes de type « Auto-mount », ces méthodes sont intéressantes pour accéder automatiquement à un volume chiffré lors du démarrage de l’ordinateur. Elles sont donc totalement inappropriées dans notre contexte (lors de la saisie complète d’un ordinateur il deviendra extrêmement simple d’accéder au disque en bypassant l’identification windows).
- Ne jamais utiliser une méthode d’accès au fichier du type chiffrement de l’os que propose truecrypt. Cette méthode a déjà montré ses faiblesses. La principale faiblesse en question réside dans l’accès en RAM au niveau du BIOS (voir travaux réalisés sur internet). En revanche c’est une façon de faire très pratique pour éviter le vol de données après s’être fait voler un pc portable, par exemple.
- Toujours utiliser un mot de passe très fort, ça va de soi. Certains logiciels comme « Passware Kit Forensic » permettent de casser un mot de passe simple très rapidement pour truecrypt.
- Toujours renommer les fichiers chiffrés par des noms peu explicites est une bonne pratique.
- Ne jamais déplacer un fichier chiffré de son emplacement. S’il est déplacé en local, sur le bureau, il sera possible de le retrouver, même supprimé par la suite.
En résumé les méthodes retenus qui permettrons un accès sécurisé aux donnés sont le chiffrement complet d’un périphérique (DD ou clé USB) et le chiffrement simple d’un volume. Il n’y a pas d’inconvénient à utiliser la méthode du « volume caché » sous TrueCrypt.
Voilà, voilà.
PuppetMaster.
Où est le problème ? Rien de nouveau… Autant simplement chiffrer les fichiers avec truecrypt et puis c’est bon ? Avec un mot de passe fort ça passe ? Personne ne saura ce que peut bien contenir mon volume ?
Hé bien non, l’un des problèmes classiques en sécurité réside dans la méthode d’accès au fichier chiffré et non dans le chiffrement en lui-même.
Je présente ici quelques cas concrets qui permettent très simplement à un enquêteur, par exemple, de monter facilement un début de « chain of custody » autrement dit une suite d’évidence à votre encontre dans le cas où pourtant, vous pensiez avoir pris en compte toutes les mesures nécessaires pour vous en prémunir.
Dans la deuxième partie, je montre une méthode simple basé sur l’utilisation du liveCD « Parted Magic », qui me permet d’accéder de manière sure aux fichiers.
Démonstration en image du problème :
J’ai créé ici le volume « Boulot_Entreprise » sous windows, le fichier a été chiffré au moyen d’un algorithme fort sous TrueCrypt, son nom a été choisi pour ne pas éveiller de soupçons particuliers quant à son contenu. Le mot de passe choisit est donc : « A1t4J5l6M3o5I3y6BjGdTrYjBfTuBNf;, » ce qui rend le volume théoriquement inviolable en bruteforce.
Ce volume contient en réalité un fichier word nommé « liste_des_dissidents », ainsi qu’un autre fichier .avi nommé « camera_cache_regime.avi » pour le scénario.
Volume créé.PNG
On part du principe que les fichiers sont consultés relativement régulièrement et sous l’OS, ce que 95 % des gens font avec TrueCrypt.
Comment l’informatique légale peut donc me permettre dans ce cas de prouvé en partie la culpabilité du suspect ?
Mettons-nous dans la peau de celui qui recherche ici un élément compromettant. Dans ce cas précis, Le suspect a ainsi de grandes chances d’utiliser l’OS afin de pouvoir consulter régulièrement ou non ses fichiers.
A partir de ce postulat, il m’est déjà possible si je connais un peu le nom des fichiers incriminés de faire une première analyse.
Le volume étant démonté, l’utilisation de l’historique de Windows pour les documents récemment ouverts est un premier indice :
history.jpg
Ici on retrouve la consultation de fichiers au nom suspect. Si les fichiers portent un nom atypique et explicite comme c’est le cas ci-dessus, vous êtes déjà mal
.Oui très bien du coup je désactive l’historique des fichiers récemment ouvert sous windows et c’est OK ? Nan ?
Non, le problème se pose dans de nombreux cas, ci-dessous par exemple, on retrouve sous vlc un historique du même ordre qui m’indique clairement la lecture récente d’un de mes documents chiffré, on note également un chemin suspect (P :/) qui peut me convaincre de la présence de ce document sur un volume chiffré (car généralement les périphériques pluggé sous windows garderont une même lettre d’accès. Ici P:/ n’appartient à aucun de mes périphériques, c’est un indice supplémentaire auquel vient s’ajouter l’heure d’accès etc.).
camera.jpg
Que puis-je faire contre tout cela ?
Rien de vraiment concluant si on utilise un OS classique (sur disque dur ou SSD). En effet, rien n’indique que des métadonnées qui concernent vos fichiers chiffrés ne s’envoleront pas ici et là au moment de l’ouverture avec tel ou tel programme (adobe reader ou autre). A partir du moment où ces données se retrouve même pour un très court laps de temps sous un dossier « TEMP/ » du disque dur elles peuvent être potentiellement retrouvé avec un logiciel de récupération adapté pour le grand publique.
Une solution intéressante à ce problème est l’utilisation d’un Live CD permettant de consulté vos données chiffrés et d’interagir avec celles-ci dans un environnement plus sécurisé.
L’avantage du Live CD est l’utilisation de la RAM qui est volatile et non d’un disque dur, ou autre périphérique qui permettrait de stocker des données confidentielles pour un long moment.
Utilisation de Parted Magic :
Parted Magic est une distribution linux bootable particulièrement utile et qui comprend, de base, l’utilitaire TrueCrypt.
C’est un bon point qui permet aux plus novices de lire des volumes chiffrés dans un environnement sure.
Une fois le bureau lancé, truecrypt se trouve dans la section Utilities de la barre de lancement rapide :
tcutilities.jpg
Les plus paranoïaques pourront débrancher leur câble Ethernet histoire de pousser le vice
.Note importante : veillez à avoir le minimum nécessaire de ram pour lire vos fichiers.
Quelques points importants à prendre en compte pour l’utilisation TrueCrypt par rapport à ce tuto :
- Veillez à n’utiliser que la version TrueCrypt 7.1a , il s’agit de la dernière version sure en date avant « l’affaire TrueCrypt ».
- Evitez d’utiliser des méthodes de type « Auto-mount », ces méthodes sont intéressantes pour accéder automatiquement à un volume chiffré lors du démarrage de l’ordinateur. Elles sont donc totalement inappropriées dans notre contexte (lors de la saisie complète d’un ordinateur il deviendra extrêmement simple d’accéder au disque en bypassant l’identification windows).
- Ne jamais utiliser une méthode d’accès au fichier du type chiffrement de l’os que propose truecrypt. Cette méthode a déjà montré ses faiblesses. La principale faiblesse en question réside dans l’accès en RAM au niveau du BIOS (voir travaux réalisés sur internet). En revanche c’est une façon de faire très pratique pour éviter le vol de données après s’être fait voler un pc portable, par exemple.
- Toujours utiliser un mot de passe très fort, ça va de soi. Certains logiciels comme « Passware Kit Forensic » permettent de casser un mot de passe simple très rapidement pour truecrypt.
- Toujours renommer les fichiers chiffrés par des noms peu explicites est une bonne pratique.
- Ne jamais déplacer un fichier chiffré de son emplacement. S’il est déplacé en local, sur le bureau, il sera possible de le retrouver, même supprimé par la suite.
En résumé les méthodes retenus qui permettrons un accès sécurisé aux donnés sont le chiffrement complet d’un périphérique (DD ou clé USB) et le chiffrement simple d’un volume. Il n’y a pas d’inconvénient à utiliser la méthode du « volume caché » sous TrueCrypt.
Voilà, voilà.
PuppetMaster.
Commentaire