Ironkey explique les cas de piratage de clés USB chiffrées
Londres (Infosecurity) - Les chercheurs du groupe SySS viennent de mettre à jour l'existence de failles sur les clés USB Kingston, SanDisk et Verbatim. Ils ont découvert le moyen de passer outre le chiffrement de ces clés. Explications.
Les scientifiques du groupe allemand SySS ont, semble t-il mis un pied sur une fourmilière. En analysant certains logiciels de chiffrement et de vérification des mots de passe souvent associés au matériel de stockage, des spécialistes de la sécurité ont ainsi fait une découverte. Il serait alors possible de déverrouiller les protections de clés chiffrées sans pour autant nécessiter un quelconque mot de passe.
Pourtant, ces clés portaient l'assentiment du gouvernement américain et disposaient de la certification FIPS 140-2 (Federal Information Processing Standard). Si cette sécurité est basée sur le principe du chiffrement AES en 256 bits, les scientifiques remarquent que le chiffrement en lui-même ne pose pas problème. SySS s'est alors borné à analyser le logiciel de vérification de mots de passe et a ainsi estimé qu'ils pouvaient facilement déverrouiller les clés chiffrées.
Lire aussi : Six enseignements clés sur les mots de passe tirés de la mise à jour du cadre de cybersécurité du NIST
Si les sociétés Sandisk, Verbatim et Kingston ont expliqué qu'elles avaient rappelé les produits« défectueux » et proposé une mise à jour du chiffrement, la réponse la plus concrète est venue d'Ironkey, société spécialisée dans le chiffrement.
Dave Jevans, son p-dg, présent à Londres pour le rendez-vous Infosecurity commente : « La validation du chiffrement grâce à la certification FIPS 140-2 reste une méthode valable. Cela dit, le fait est qu'un simple outil peut débloquer tous ces produits qui possèdent des défauts de conception dans leur architecture. Il confie ensuite, la faille provient du fait que les matériels de stockage font confiance au logiciel chargé du chiffrement afin de valider un mot de passe par exemple. »
Ironkey se base sur sa propre solution de clé sécurisée baptisée Cryptochip. Chaque clé possède alors une carte unique de chiffrement générée lors de son initialisation.
Face à ce nouveau cas de piratage, le p-dg d'Ironkey (notre photo) reste ironique. En guise de conclusion il explique : « Il est logique de voir ces attaques. Ce type de hack est visible mais pour autant, le seul ordinateur sécurisé que je connaisse est un poste éteint... »
Sur le même thème
Voir tous les articles Cybersécurité