La technologie de chiffrement BitLocker de Microsoft est l'une des solutions de chiffrement les plus accessibles, permettant aux utilisateurs de chiffrer et de protéger les données en toute sécurité contre les menaces. Cependant, BitLocker ne semble pas aussi sécurisé qu’on le pense. Plus tôt cette semaine, l'utilisateur de YouTuber stacksmashing a publié une vidéo montrant comment il a intercepté les données BitLocker et volé les clés de cryptage, décryptant ainsi les données stockées sur le système. Non seulement cela, mais il l'a fait en 43 secondes en utilisant un Raspberry Pi Pico qui coûte probablement moins de 10 $.

Pour mener l'attaque, il a utilisé le Trusted Platform Module (TPM). Dans la plupart des ordinateurs et ordinateurs portables, le TPM est externe et utilise le bus LPC pour envoyer et recevoir des données du CPU. BitLocker de Microsoft s'appuie sur le TPM pour stocker des données critiques telles que les registres de configuration de la plateforme et les clés principales de volume.

Lors des tests, stacksmashing a découvert que le bus LPC communique avec le CPU via des lignes de communication. Ces lignes de communication ne sont pas cryptées au démarrage et peuvent voler des données critiques. Stacksmashing connecte un Raspberry PiPico aux broches métalliques d'un connecteur inutilisé pour capturer les clés de cryptage au démarrage. Le RaspberryPi est configuré pour capturer les 0 et 1 binaires du TPM au démarrage du système afin qu'il puisse reconstituer la clé principale du volume. Une fois terminé, il a retiré le lecteur chiffré et déchiffré le lecteur à l'aide d'un déverrouillage avec la clé principale du volume.

Microsoft note que ces attaques sont possibles, mais affirme qu'elles nécessiteraient des outils sophistiqués et un accès physique prolongé à l'appareil. Cependant, comme le montre la vidéo, une personne prête à mener l’attaque peut la terminer en moins d’une minute.

Il y a cependant quelques mises en garde à garder à l’esprit. Cette attaque ne fonctionne que sur les modules TPM externes, le CPU doit récupérer les données du module sur la carte mère. De nombreux nouveaux processeurs d'ordinateurs portables et de bureau sont désormais équipés de fTPM, où les données critiques sont stockées et gérées à l'intérieur du processeur lui-même. Microsoft recommande de configurer un code PIN BitLocker pour bloquer ces attaques, mais cela n'est pas facile car une stratégie de groupe doit être définie pour configurer le code PIN.