SSTIC 2011 - Bitlocker

Bitlocker (Aurélien Bordes)

Bon, allez, un petit crash course sur bitlocker avec des slides qui fusent (ouch). Pour restituer, bitlocker est un système de chiffrement intégral du disque dur présent depuis vista (version intégrale et entreprise uniquement) pour pallier aux problématiques d’intégrité en cas de vol du portable. Le tout repose sur TPM et offre différentes modalités pour sécuriser les clefs de chiffrement du disque. Après ce récapitulatif, on à droit a un récapitulatif des scénarios d’attaque :

• ordinateur éteint
• en suspend to disk avec protection du fichier de swap pagefile.sys
• allumé et verrouillé
• allumé et non verrouillé (ce qui est peu probable 😉 )

On a droit à quelques démonstrations de récupération des clefs de chiffrement (vmk) dans le cas ou l’ordinateur n’est pas éteint (« quelques lignes de code dans un shellcode »). Les clefs peuvent être aussi récupéré dans l’AD quand elles y sont pour récupérer les données en cas d’oubli. Il vaut mieux donc préférer le mode de récupération par certificat. Le gros de cette sécurité repose hélas sur la qualité du module TPM, et une BCD partiellement validée.