BitLocker est un mécanisme apparu avec Windows Vista proposant un chiffrement complet du disque. S’il était initialement réservé aux éditions Pro, il est désormais disponible dans toutes les éditions de Windows 11. Sur les machines les plus récentes, il est même activé par défaut, une décision de Microsoft qui a communiqué à ce sujet en mai dernier. Ce changement s’est produit avec les nouvelles installations de Windows 11 équipées de la dernière mise à jour majeure 24H2.
Le cryptage est basé sur XTS-AES 128 ou 256 bits. En théorie, il permet de protéger les informations stockées sur le disque en exigeant la possession d’une clé pour les décrypter. Cette clé est stockée dans la puce TPM (version 1.2 minimum). Il doit faire l’objet d’un soin particulier dans le cas d’une réinstallation de Windows, afin de ne pas perdre ses documents et autres fichiers personnels, comme nous l’indiquions l’année dernière.
Toutefois, cette protection n’est pas absolue. En février 2024, un YouTuber – Stacksmasher – a montré comment il était capable de contourner BitLocker avec moins de 10 $ de matériel. La démonstration était impressionnante, mais reposait sur une configuration spécifique. L’ordinateur devait disposer d’un connecteur LPC (Low Pin Count), ce qui était le cas sur les anciens ordinateurs portables Lenovo. Le problème était également connu et documenté par Microsoft.
Le hacker Thomas Lambertz a cependant montré il y a quelques jours que l’accès aux informations était possible sans cette technique, même si l’accès physique reste obligatoire.
Un vieux défaut remis au goût du jour
Le 28 décembre dernier, Thomas Lambertz a montré sa méthode lors du Chaos Communication Congress qui s’est tenu récemment au Chaos Computer Club (CCC), souvent présenté comme le plus grand club de hackers d’Europe.
Sa technique repose sur une ancienne faille, CVE-2023-21563, également surnommée « bitpixie ». Dans le dossier Microsoft, il apparaît comme corrigé en janvier 2023. Accompagné d’un score CVSS (3,1) de 6,8, sa dangerosité a été jugée « significative ». Exploité, il aurait permis un contournement de BitLocker et donc un accès aux données, même si cela nécessitait un accès physique.
Dans sa démonstration, Lambertz explique que cette faille pourrait encore être exploitée, la correction n’ayant pas couvert tous les angles. Pour ce faire, le hacker a redirigé le mécanisme Secure Boot pour lui faire lancer un bootloader obsolète pour Windows. La mission du chargeur est d’extraire la clé de chiffrement en mémoire, permettant à un système Linux installé de la récupérer.
La procédure est la suivante :
- Créer une clé USB bootable, dont l’espace de stockage est supérieur à la quantité de RAM sur l’ordinateur ciblé
- Redémarrez brusquement l’ordinateur au démarrage de Windows, avant que l’écran de connexion n’apparaisse, afin que la clé de cryptage soit chargée en mémoire
- Démarrez à partir de la clé USB puis chargez un shell UEFI personnalisé, afin de pouvoir exécuter des outils qui videront la mémoire
- Analysez les dumps avec des outils comme xxd et searchMem pour localiser la clé de cryptage dans des zones spécifiques
L’exploitation de cette faille n’est possible que parce qu’un correctif complet nécessite une modification de l’UEFI. Microsoft aurait été « bloqué » par les limitations d’espace de stockage de ce composant crucial.
Danger variable
Toute la question est de savoir dans quelle mesure la technique utilisée par Thomas Lambertz est dangereuse. Dans l’absolu, c’est le cas : BitLocker est contourné et les informations précédemment chiffrées peuvent être lues. Il y a cependant deux conditions importantes. D’une part, l’accès physique à la machine, qui est loin d’être une garantie, d’autant qu’il faut avoir du temps pour effectuer les manipulations. D’autre part, l’accès au réseau, via un adaptateur USB autorisant le démarrage PXE.
Il est probable que les utilisateurs traditionnels ne soient pas en danger. En revanche, les entreprises, les administrations et les gouvernements – notamment les membres de haut rang – devraient y voir un risque. Si l’opération ne peut être réalisée en toute discrétion, le vol de l’appareil reste possible. Voler l’ordinateur portable d’une célébrité peut conduire à des informations sensibles, voire classifiées.
Une correction complète n’est pas simple
Pour corriger le problème, il faudra attendre une solution plus pérenne que le correctif proposé par Microsoft il y a deux ans. Malheureusement, ce correctif complet nécessite un remplacement des certificats de sécurité, dont la révocation n’est pas possible de manière simple.
Selon Thomas Lambertz, l’éditeur est conscient du problème, mais se trouve dans une position délicate, puisque « chaque mise à jour du micrologiciel qu’il ne prédit pas correctement pourrait casser BitLocker. C’est pourquoi ils ne le font pas ».
Que faire pour se protéger ? Il existe peu de méthodes véritablement fiables. Si les PC Windows exécutant BitLocker sont gérés par un administrateur, l’activation de la règle ajoutant un code PIN pour déverrouiller BitLocker est une étape importante. Mais pour le hacker, il n’y a qu’une seule façon de bloquer le problème à la racine : « La seule chose que vous pouvez faire pour empêcher cette attaque est de désactiver l’intégralité de la pile réseau dans le BIOS. De cette façon, le démarrage PXE n’est pas possible, quel que soit le périphérique branché ».
En attendant, la technique du hacker est efficace sur n’importe quelle machine Windows 11 à jour. Microsoft n’a pas encore réagi à ces découvertes, mais a été tenu informé des avancées par Thomas Lambertz.
