Mes données sont-elles en sécurité si, avec un disque dur crypté, je mets Windows en mode "veille"
Ma partition de démarrage et ma partition de données sont cryptées avec TrueCrypt. Mon mot de passe est long, donc je me retrouve à éviter autant que possible un redémarrage de mon système. Lorsque je vais déjeuner (par exemple), je mets mon ordinateur portable en mode "veille", ce qui m'oblige à saisir mon mot de passe Windows pour revenir dans Windows. (Mon mot de passe Windows est faible; plus pour garder les enfants hors de mon compte qu'autre chose.)
Je connais un logiciel qui peut supprimer facilement les mots de passe Windows, mais je ne connais pas de prise qui puisse supprimer un mot de passe sans redémarrer. (S'ils redémarrent ma machine, ils devront ressaisir mon mot de passe TrueCrypt.) Dans quelle mesure un adversaire devra-t-il être sophistiqué pour obtenir des données de mon ordinateur alors qu'il n'est qu'en mode "Veille"?
Pour pratiquement tous les outils de chiffrement de disque, votre clé de chiffrement sera stockée dans RAM lorsque l'ordinateur est en cours d'utilisation ou en mode veille. Cela présente bien sûr une vulnérabilité assez importante, car si quelqu'un peut vider le le contenu de votre RAM tout en gardant son contenu intact, il est probable qu'ils puissent extraire la clé du vidage RAM en utilisant un logiciel commercial largement disponible tel que Elcomsoft Forensic Disk Decryptor qui prétend extraire les clés Truecrypt, Bitlocker et PGP.
Pour vous protéger contre cela, vous devrez rendre plus difficile pour un attaquant d'obtenir un vidage RAM. La façon la plus simple d'obtenir un vidage RAM est en utilisant des logiciels fournis avec de nombreuses boîtes à outils médico-légales (qui sont également disponibles gratuitement). Cependant, le problème est que pour exécuter ces programmes, ils devraient d'abord déverrouiller votre ordinateur. S'ils ne peuvent pas déverrouiller votre ordinateur pour fonctionner programmes, ils ne peuvent lancer aucun RAM utilitaires de vidage. Pour cette raison, il est important d'avoir un mot de passe d'écran de verrouillage Windows fort!
(De plus, juste pour être réaliste et énoncer l'évidence, le mot de passe de l'écran de verrouillage est également important parce que si un attaquant est en mesure de le deviner, il pourrait simplement saisir une copie de vos fichiers tout de suite et sans même vous soucier de trouver votre cryptage Pour un voleur ordinaire souhaitant obtenir vos données, ce serait probablement la menace la plus réaliste de l'OMI)
Une manière plus sophistiquée consiste à utiliser une attaque de démarrage à froid ; cela profite du fait que le contenu de la mémoire y restera pendant un certain temps (de quelques secondes à quelques heures si le RAM est refroidi avec un réfrigérant) même après la mise hors tension. L'attaquant peut alors contourner Windows et démarrer dans un RAM utilitaire de vidage ou déplacer physiquement le RAM vers une autre machine pour la lecture. Ce type d'attaque est beaucoup plus difficile à protéger contre.
Enfin, je mentionnerais également que le développement de Truecrypt arrêté il y a un an pour des raisons inconnues et qu'il n'est plus pris en charge, donc je recommanderais de passer à l'une de ses fourches telles que Veracrypt =.
Un attaquant pourrait effectuer ce que l'on appelle une attaque de "démarrage à froid". Le mode veille maintient tout le contenu de la mémoire actif et la clé de votre volume Truecrypt est stockée en mémoire. Le contenu de la mémoire persiste plus longtemps sans alimentation lorsque la mémoire est froide. Tout ce qu'un attaquant a à faire est de refroidir l'ordinateur (par exemple en le mettant dans un congélateur) et de redémarrer la machine avec un système d'exploitation spécialement conçu qui peut lire le contenu de la mémoire et rechercher la clé.
La sophistication de cette attaque ne repose que sur les outils, qui n'ont besoin d'être écrits qu'une seule fois et pourraient ensuite être utilisés par toute personne possédant un congélateur et une clé USB. Je ne sais pas s'il existe actuellement des outils faciles à utiliser pour exploiter TrueCrypt via un démarrage à froid, mais il ne serait probablement pas terriblement difficile à écrire. En général, les attaques comme celle-ci qui s'appuient sur l'automatisation ne deviennent plus faciles qu'avec le temps, et filtrent en attaquants de moins en moins qualifiés.
Si vous n'avez pas à ressaisir votre mot de passe TrueCrypt, Windows a toujours accès au contenu du volume TrueCrypt. Un attaquant n'aurait qu'à deviner le mot de passe Windows pour accéder à vos données pendant que vous déjeunez.
TrueCrypt (ou tout autre chiffrement de disque) protégera uniquement les données contre la copie directement à partir du disque lui-même, et non l'accès via le système d'exploitation. (L'exemple courant est un disque dur volé ou un ordinateur portable hors tension.)
Je voudrais simplement réveiller votre ordinateur et le mettre en veille prolongée qui stocke RAM sur le disque dur ... alors je peux couper l'alimentation de votre box, retirer le disque dur, copier le contenu sur un autre disque (qui comprend le fichier d'hibernation - essentiellement une copie de votre RAM), remettez-le en place, puis remettez le disque dur et allumez le système .... Ensuite, remettez-le en mode veille. Cela ne nécessiterait aucune sophistication importante et ne souffre pas de démarrage à froid ou d'autres limitations.
Bien que je ne sois pas allé tester cela avec Truecrypt, cela devrait (en théorie) fonctionner.
Je recommanderais que vous puissiez désactiver l'hibernation pour rendre cela impossible.