D’après l’étude Self-encrypting deception: weaknesses in the encryption of solid state drives (SSDs) de Carlo Meijer et de Bernard van Gastel de l’université Radboud des Pays-Bas, le chiffrement matériel de nombreux SSDs est contournable.
Notamment des modèles MX100, MX200 et MX300 de Crucial, et des modèles 840, 850, T3 et T5 de Samsung.
Le problème est que la ou les clés de chiffrement créées et utilisées pour chiffrer et déchiffrer le disque dur ne dépendent pas du mot de passe choisi par l’utilisateur.
Certes, le contrôleur du SSD exige un mot de passe pour chiffrer ou déchiffrer le disque. Mais il suffit de se connecter au port de débogage du disque dur et de reprogrammer son micrologiciel pour accepter n’importe quel mot de passe, et le tour est joué.
Cette manipulation n’est pas à la portée du premier venu, mais elle est largement abordable pour une entreprise ou une organisation ayant mis la main sur un disque potentiellement intéressant, comme celui d’un cadre d’un compétiteur.
Cette reprogrammation serait ineffective si la ou les clés de chiffrement étaient dérivées du mot de passe choisi : le microcontrôleur accepterait certes n’importe quel mot de passe, mais le déchiffrement avec la mauvaise clé ne délivrerait que des données erronées.
Les chercheurs ont découvert la faille de sécurité en avril. Ils ont travaillé alors avec le National Cyber Security Centrum des Pays-Bas et alerté les vendeurs. Micron et Samsung ont publié des mises à jour des micrologiciels des SSD susmentionnés.
Pour des raisons de coût, le nombre de modèles testés était limité. Les chercheurs ont tout lieu de penser que de nombreux modèles de SSD commercialisés sont affectés par cette faille de sécurité.
Ils recommandent donc de ne pas compter sur le chiffrement matériel, et d’exploiter en plus le chiffrement logiciel, comme Bitlocker de Microsoft ou VeraCrypt, un logiciel en code source ouvert sous Windows, MacOS et Linux.
Par défaut, Bitlocker n’utilise que le chiffrement matériel sur un matériel qui offre cette possibilité. Dans ce cas, il faut modifier la stratégie de groupe de Bitlocker pour forcer l’exécution du chiffrement logiciel.
Voici comment faire.
Il faut ouvrir l’éditeur de stratégie de groupe locale, par exemple en tapant ‘stratégie ‘ dans la recherche Cortana puis en sélectionnant ‘Modifier la stratégie de groupe’.
Ensuite, il faut aller sous Configuration ordinateur / Modèles d’administration / Composants Windows / Chiffrement de lecteur BitLocker / Lecteurs du système d’exploitation / Configurer l’utilisation du chiffrement au niveau matériel pour les lecteurs du système d’exploitation et sélectionner Désactiver, puis OK.
Notez qu’il s’agit du cas le plus classique où le SSD à chiffrer est le lecteur du système d’exploitation. Le cas échéant, il faut à la place sélectionner le même paramètre, mais dans Lecteurs de données amovibles ou Lecteurs de données fixes.
Le chiffrement logiciel entraîne forcément une baisse des performances de l’ordinateur.
Comme le contournement du chiffrement matériel n’est quand même pas à la portée du premier venu, nous ne recommanderions l’option du chiffrement logiciel que dans le cadre professionnel.