Londres (Infosecurity) – Les chercheurs du groupe SySS viennent de mettre à jour l’existence de failles sur les clés USB Kingston, SanDisk et Verbatim. Ils ont découvert le moyen de passer outre le chiffrement de ces clés. Explications.
Les scientifiques du groupe allemand SySS ont, semble t-il mis un pied sur une fourmilière. En analysant certains logiciels de chiffrement et de vérification des mots de passe souvent associés au matériel de stockage, des spécialistes de la sécurité ont ainsi fait une découverte. Il serait alors possible de déverrouiller les protections de clés chiffrées sans pour autant nécessiter un quelconque mot de passe.
Pourtant, ces clés portaient l’assentiment du gouvernement américain et disposaient de la certification FIPS 140-2 (Federal Information Processing Standard). Si cette sécurité est basée sur le principe du chiffrement AES en 256 bits, les scientifiques remarquent que le chiffrement en lui-même ne pose pas problème. SySS s’est alors borné à analyser le logiciel de vérification de mots de passe et a ainsi estimé qu’ils pouvaient facilement déverrouiller les clés chiffrées…
Si les sociétés Sandisk, Verbatim et Kingston ont expliqué qu’elles avaient rappelé les produits« défectueux » et proposé une mise à jour du chiffrement, la réponse la plus concrète est venue d’Ironkey, société spécialisée dans le chiffrement.
Dave Jevans, son p-dg, présent à Londres pour le rendez-vous Infosecurity commente : « La validation du chiffrement grâce à la certification FIPS 140-2 reste une méthode valable. Cela dit, le fait est qu’un simple outil peut débloquer tous ces produits qui possèdent des défauts de conception dans leur architecture. Il confie ensuite, la faille provient du fait que les matériels de stockage font confiance au logiciel chargé du chiffrement afin de valider un mot de passe par exemple. »
Ironkey se base sur sa propre solution de clé sécurisée baptisée Cryptochip. Chaque clé possède alors une carte unique de chiffrement générée lors de son initialisation.
Face à ce nouveau cas de piratage, le p-dg d’Ironkey (notre photo) reste ironique. En guise de conclusion il explique : « Il est logique de voir ces attaques. Ce type de hack est visible mais pour autant, le seul ordinateur sécurisé que je connaisse est un poste éteint... »
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…