16 mars 2015

Le disque dur chiffré

Le gendarme arrive parfaitement à l'heure au rendez-vous. Les présentations sont rapidement faites, ainsi que la vérification d'identité. Il me remet le paquet. Je lui propose de prendre un rafraîchissement, mais il décline mon offre car il a un dossier urgent en attente. Nous nous quittons sur le pas de ma porte.

Le paquet qu'il m'a remis est plutôt léger. L'étiquette marron clair so 19e indique qu'il s'agit d'un ordinateur portable de marque Apple. Une fois dans mon bureau, je brise le scellé et ouvre le paquet. Je note scrupuleusement la date et l'heure dans mon cahier de notes d'investigation.

Je sors du papier kraft un magnifique ordinateur portable que je pose délicatement sur mon bureau, dégagé pour l'occasion. La bête est superbe. Je prends quelques photos pour l'état des lieux. Aucune éraflure, aucune trace d'usure, la machine est comme neuve.

Je note la marque, le modèle, le numéro de série dans mon carnet de notes. Je regarde l'objet sous toutes les coutures : comment vais-je bien pouvoir le démonter pour pouvoir en extraire le disque dur ?

Je cherche sur internet de l'aide et, après quelques instants, trouve le site d'un passionné qui explique comment entreprendre l'opération chirurgicale. Première étape : fabriquer les outils de démontage. J'applique la devise d'Hippocrate, bien connu des médecins, et qui devrait aussi être inscrite au mur de toutes les salles serveurs : Primum non nocere, deinde curare (D'abord ne pas nuire, ensuite soigner). Comme à chaque fois, je ne dois laisser aucune trace : le matériel qui m'est confié ne doit pas être endommagé. Dans ce cas particulier, aucune vis n'apparaît. Il va falloir ouvrir l’œuvre d'art par petites pressions délicates pour déclipser les différents éléments.

Le site me conseille de fabriquer des leviers à base de plastique mou... à partir de vieilles brosses à dents. Me voilà dans mon garage à meuler des brosses à dents pour en faire des sortes de tournevis mous... Mes enfants pensent parfois que je suis fou.

Après moultes précautions et quelques litres de transpiration, j'arrive à ouvrir les entrailles de la bête et à en extraire le disque dur. Quatre heures ont déjà passé, et j'en suis à peine à photographier l'étiquette du disque dur. Le sol de mon bureau est jonché de toutes les pièces que j'ai dû démonter pour en arriver là, positionnées sur un ensemble de feuilles de papier indiquant la place de chaque pièce... Ménage interdit avant le remontage complet !

Je place le disque dur dans ma station d'analyse et démarre le processus de copie numérique avec blocage d'écriture. Il va durer toute la nuit. Pendant ce temps, je prie pour que le disque dur ne choisisse pas ce moment là, juste là, pour tomber en panne. Je n'ai nulle envie de faire jouer mon assurance d'expert judiciaire, ni d'appeler l'officier de police judiciaire pour lui annoncer ce type de nouvelle...

Nous sommes dimanche : la copie numérique s'est terminée, les hashs MD5 ante et post copie montrent que le contenu disque dur n'a pas été modifié et que la copie est fidèle. Je souffle un peu.

Je commence l'analyse inforensique de la copie numérique pour répondre à la mission. Et là, surprise : l'ensemble du disque dur est chiffré.

Aïe.

Il me faut le mot de passe pour déchiffrer et accéder au contenu du disque dur. Sans ce sésame, pas d'accès possible. Pas de porte dérobée connue, pas de contournement possible...

Je relie attentivement la procédure qui m'a été donnée : il n'y a pas de mot de passe fourni par le propriétaire, celui-ci refusant toute aide en ce sens.

Je tente alors ce que tout le monde fait dans ce cas là : essayer tous les outils de cryptanalyse en ma possession, et j'en ai une jolie collection. Je prépare un ordinateur avec le processeur le plus puissant, et la carte graphique la plus performante que j'ai, et je lance mes programmes d'attaque par force brute, avec réglages sur une grosse semaine de calculs. Je ventile la pièce pour chauffer un peu la maison...

Tous les soirs, en rentrant du boulot, je vérifie si la chance est de mon côté. Rien. Même au bout d'une semaine. La mort dans l'âme, je commence à rédiger un rapport d'expertise expliquant mon échec. Comme je le dis souvent, à l'impossible nul n'est tenu. Un bon chiffrement associé à un bon mot de passe n'est pas déchiffrable, même avec des moyens illimités. Alors, moi, avec mes petits ordinateurs de simple particulier...

Je relis une n-ième fois la mission que la justice me demande de remplir : je dois indiquer si oui ou non le fichier SECRETINDUS.xls est ou a été présent sur l'ordinateur. Impossible de le savoir si je n'arrive pas à accéder en clair aux données stockées sur le disque dur.

Et là, une idée saugrenue, parfaitement irrationnelle, me vient à l'esprit : chercher la chaîne de caractère "SECRETINDUS" sur l'ensemble du disque dur. Je lance la commande idoine. Quelques minutes se passent pendant lesquelles je me dis que je dois être bien fatigué pour chercher une chaîne en clair dans des données chiffrées. J'essaye de calculer la probabilité que cette suite de caractères apparaisse aléatoirement dans une soupe de caractères...

Puis bingo : la chaîne est présente sur le disque ! En vérifiant l'endroit où apparaît la chaîne de caractères, je trouve tout le chemin de stockage d'un fichier "SECRETINDUS.xls"... La preuve est là, sous mes yeux. Mais par quel miracle ?

Je pousse un peu plus loin mes investigations. Comment ai-je pu trouver des données en clair au milieu d'un disque dur chiffré ? Après quelques heures d'analyse avec mon éditeur hexadécimal, je comprends que le système d'exploitation de l'ordinateur portable que j'ai à analyser a un petit défaut (corrigé par Apple depuis) : lorsque les batteries de l'ordinateur arrivent au bout du bout, l'ordinateur fait en urgence une copie non chiffrée de la mémoire sur le disque dur, pour permettre une récupération des données de l'ordinateur lors du redémarrage. C'est ce dump que je peux explorer en clair, avec la chance d'y trouver la trace d'accès au fichier demandé...

Je dois admettre que j'ai eu beaucoup de chance sur ce coup là, comme la fois où erazer avait été utilisé sur l'ordinateur, effaçant tout sur son passage, sauf le contenu de petites bases MySql bien pratiques...
 
Par contre, je ne vous raconte pas le temps que j'ai passé sur cette expertise, sans commune mesure avec le temps que j'ai indiqué sur ma note de frais et honoraire. Ah, et le remontage du scellé s'est bien passé. Je n'ai laissé aucune trace ni fait de rayures et toutes les vis ont retrouvé leur place. Le propriétaire a du être content.
 

29 commentaires:

  1. Swâmi Petaramesh16 mars 2015 à 12:04

    Magnifique illustration de l'utilité du swap chiffré. Envoie-moi ton "client", je lui expliquerai comment installer un GNU/Linux avec possibilité d'hiberner la machine en fin de batterie, sur un swap chiffré quand même ;-)

    RépondreSupprimer
    Réponses
    1. Tiens, justement, on paramètre comment un swap chiffré, notamment sur une installation existante ? Je suis curieux...

      Supprimer
  2. Philippe-Claude S.16 mars 2015 à 13:34

    Excellent article, le dénouement est stupéfiant, j'ai fait des recherches avant de le lire.

    RépondreSupprimer
  3. Heu j'ai posté tout à l'heure cette question mais sous le vieil article très ancien à propos de l'erazer, je la reposte donc ici où c'est plus actual :-)

    Je m'étonnais qu'on puisse vous donner comme mission de trouver un fichier avec comme seule information son nom, sans au moins des indications de son contenu. Est-ce à dire que si le gars avait pris soin de simplement renommer le fichier sensible avant de le copier sur son disque, vous n'auriez jamais pu le retrouver? Et ce même dans un cas où le disque n'est pas du tout chiffré?

    RépondreSupprimer
    Réponses
    1. La mission était plus complète que ce que j'en ai conservé dans ce billet. Si le disque dur n'avait pas été chiffré, un changement de nom n'aurait rien changé.

      Supprimer
  4. J’imagine que les sites du genre iFixit doivent beaucoup aider.

    Comment ça se passerait avec les Chromebook ou les « ultrabook » où les tablettes, qui ont des mémoires soudées sur la carte mère ?

    RépondreSupprimer
    Réponses
    1. Ce type de site aide vraiment beaucoup.
      Concernant les tablettes, il y a presque toujours moyens de booter sur une clef USB pour faire une analyse inforensique (cf par exemple cette page)
      Par contre, je refuse l'analyse des smartphones car je ne suis pas équipé. Mes confrères experts judiciaires équipés peuvent aller jusqu'à dessouder les composants pour les analyser sur les équipements adhoc.

      Supprimer
  5. Vous parlez d'assurances spécialisées pour les experts judiciaires. J'imagine qu'elles sont très onéreuses. C'est uniquement à la charge de l'expert ou la justice rembourse les frais ?

    RépondreSupprimer
    Réponses
    1. L'assurance couvrant un expert informatique coûte environ 1100 euros par an, sauf si vous êtes adhérent à une compagnie d'expert de justice. Ce n'est bien évidemment pas remboursé par la justice.

      Supprimer
  6. très intéressant, merci pour cette anecdote. Je me demandais, curieusement, comment on procède pour tenter de déchiffrer un disque avant même d'utiliser un outil. Comment identifier ce qui a chiffré le disque pour avoir quelques informations sur le format du chiffrement, afin d'essayer de le déchiffrer? Les outils que vous utilisez sont capables de reconnaître le type de chiffrement pour s'y attaquer? vous utilisez quoi comme batterie d'outils?
    merci

    RépondreSupprimer
    Réponses
    1. C'est une question que l'on me pose souvent et dont vous trouverez une partie des réponses dans ce billet, qui se trouve curieusement être le plus lu de mon blog ;-)
      http://zythom.blogspot.fr/2013/09/cracker-les-mots-de-passe.html

      Supprimer
    2. J'avais bien vu ce billet que j'avais lu attentivement. J'ai pu travailler avec la plupart de ces outils à qui il faut spécifier généralement le type de chiffrement pour qu'ils puissent œuvrer. C'est justement là ma question, quand on reçoit un disque qui, semble-t'il est chiffré, et que l'on a aucune information sur ce qui est chiffré et ce qui a chiffré, comment peut on utiliser les outils mentionnés ?

      Supprimer
  7. Bonjour cher Zythom, le MD5 est compromis, il faut passer au SHA ! Amicalement

    RépondreSupprimer
    Réponses
    1. MD5 est compromis dans le sens où l'on peut démontrer que l'on peut générer deux messages (certificat) ayant le même hash. Mais générer deux "fichiers" cohérents ayant le même hash est une autre aventure.
      Le challenge du hash d'une image inforensique tient depuis avril 2006 : vous trouverez plus d'informations en suivant ce lien
      http://www.dfrws.org/hashchallenge/index.shtml

      Supprimer
    2. Le fait qu'il n'y ai pas d'attaque préimage publique sur MD5 ne veux dire qu'il n'y en ai pas du tout. Vu que MD5 n'a plus d'utilisation répandue et que SHA1 est lui aussi en train d'être remplacé, les recherches se font plus sur des algorithmes modernes. Ça ne rend pas MD5 moins cassé et plus acceptable...

      Ce qui me surprend vraiment c'est que dans une cadre en rapport avec le secteur public, on puisse complétement d'affranchir des prescriptions du RGS... Il faudrait peut-être que l'ANSSI mette son nez (voir ses gros sabots) dans l'inforensique afin d'éliminer pratiques les plus douteuses.

      Supprimer
    3. Je ne suis pas sur que vous ayez compris à quoi me sert le hash MD5 que j'effectue sur le disque avant et après la prise d'image : il s'agit de prouver que la prise d'image n'a pas modifié les données du disque. Le fait que "MD5 soit cassé" n'intervient pas en ligne de compte. Mais je serais ravi que l'ANSSI écrive un ensemble de mémo sur les bonnes pratiques en matière d'inforensique : je serai parmi les premiers à les appliquer.
      Il n'y a que les imbéciles qui ne cherchent pas à améliorer leurs modes opératoires.

      Supprimer
    4. Bah en occurrence, ça ne prouve que la somme MD5 est identique (enfin prouve, ça repose quand même sur l'intégrité de l'expert, pas de doute quand à la votre). Si quelqu'un exhibe une autre image avec la même somme, vous aurez l'air bien.

      En utilisant un algorithme cassé vous jouez avec le feu. On peut reprocher énormément de chose à l'ANSSI, mais au moins sur la partie crypto, le RGS est de bon conseil.

      Supprimer
    5. "Si quelqu'un exhibe une autre image avec la même somme, vous aurez l'air bien"
      C'est justement l'objet du challenge dont je vous fournissais le lien dans l'une des mes réponses, challenge qui tient depuis 2006 !
      De ce point de vue donc, MD5 n'est pas cassé.
      C'est le problème avec les référentiels : ils finissent par être suivis par des personnes qui ne cherchent plus à comprendre. Parfois c'est bien, parfois non : on vous dit que MD5 est cassé pour un type d'usage, vous en déduisez qu'il ne doit plus être utilisé pour tous les usages. Vous parlez même de "jouer avec le feu"...
      Je vous rappelle qu'il ne s'agit pas ici de crypto mais d'apporter la preuve que vous n'avez pas modifié le scellé ET que la copie est identique.

      Supprimer
    6. Beaucoup de points : le premier, c'est qu'un challenge comme ça n'apporte rien, comme je ne vais pas paraphraser Schneier je vais juste donner l'URL https://www.schneier.com/crypto-gram/archives/1998/1215.html#contests.

      Accessoirement, quand bien même les challenges auraient une utilité, celui là ne semble pas avoir de prix à la clé, sachant qu'un attaque pré-image pratique sur MD5 vaut potentiellement des millions, il n'y a aucune chance que quelqu'un la révèle gratuitement dans le cadre de ce challenge. J'ai en plus peur que personne parmi les personnes les plus habilités à mettre en œuvre une telle attaque n'ai entendu parler du challenge...

      Sinon, en dehors de l'existence, hypothétique d'une attaque pré-image, vous êtes complétement vulnérable à l'attaque où le disque expertisé a été piégé avec une collision volontaire, triviale depuis 10 ans. Si vous imagez un disque, et que l'expertisé en exhibe un autre avec le même hash MD5 mais un contenu différent, votre crédibilité en prend un coup non?

      Sérieusement, quelle raison invoquez vous pour ne pas utiliser SHA-256 ou mieux?

      Supprimer
    7. La force de l'habitude...
      Sachant que personne ne m'a jamais demandé les hashs et qu'ils sont donc surtout à ma propre destination, sachant qu'avec les disques SSD cette vérification devient inutile, sachant que la chaîne de confiance (chain of custody) est pleine de failles dans le système français financièrement exsangue et qu'elle tient essentiellement sur la parole de l'expert...
      Je ne suis pas sur qu'une hypothétique image ayant le même hash ait un sens dans la vraie vie.
      Mais vous avez raison, je vais changer de méthode, simplement au moins pour que personne n'ait l'idée de la critiquer. Merci pour l'échange.

      Supprimer
  8. > Le propriétaire a du être content.
    Est-ce ironique ? Je crois qu'il aurait préféré quelques rayures et que vous ne trouviez pas de trace du fichier mentionné !

    RépondreSupprimer
  9. Sérieusement, hash MD5? Si ça arrive au tribunal ça sera un plaisir pour la partie adverse...

    RépondreSupprimer
  10. Un simple hack ... comme quoi

    RépondreSupprimer
  11. pourquoi ne pas tout simplement booter sur un DVD ou booter sur une clé USB linux et faire une copie du disque dur par le port USB.
    Ca se fait de plus en plus sur les portables Apple sans devoir tout démonter.

    RépondreSupprimer
    Réponses
    1. Vous avez déjà essayé de faire la copie d'un disque dur de plusieurs Téra par le port USB ?

      Supprimer
  12. @Zythom Merci, ce genre de récit détaillant des opérations longues et fastidieuses de façon si décontractée est vraiment un régal.
    Et bravo de réussir à garder calme et pédagogie face aux donneurs de leçons sur MD5 qui fournit, dans votre cas d'utilisation, des sommes de contrôle tout à fait acceptables. Et effectivement, si problème de confiance il y a, c'est dans l'expert, mais là on parle d'autre chose.

    En revanche, pourquoi "avec les disques SSD cette vérification devient inutile" ?

    RépondreSupprimer
    Réponses
    1. Parce que les mécanismes en jeu dans un disque SSD font qu'à chaque démarrage des données sont déplacées donc le hash du disque est modifié. C'est un problème contre lequel l'expert ne peut rien.

      Supprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.