La valeur du chiffrement est difficile à surestimer. Lorsque cela fonctionne, cela signifie que même si vos données sont consultées sans autorisation, elles ne peuvent pas être lues (et par extension, ne peuvent pas être exploitées) par l’attaquant; ce qui fait du cryptage une couche de défense essentielle pour ceux qui sont sérieux en matière de sécurité informatique.

Alors, comment devriez-vous procéder pour chiffrer les données stockées sur vos appareils? Eh bien, ces derniers temps, les acheteurs avertis en matière de sécurité se tournent vers les disques à auto-chiffrement (SED), et il est facile de comprendre pourquoi. Avec ceux-ci, chaque fichier de données qui entre sur le lecteur est automatiquement crypté au niveau matériel. C’est rapide, efficace – et n’implique aucun logiciel supplémentaire. Qu’est-ce qu’il n’y a pas à aimer?

Fonctionnement des SED

Avec ces derniers, le processus de cryptage est effectué avec l’utilisation d’une clé de cryptage de données (DEK) unique et aléatoire. Lorsque des données sont écrites sur le lecteur, la clé DEK pour les chiffrer, et la même clé DEK pour les déchiffrer lorsque les données doivent être lues par un utilisateur autorisé.

Voici une vidéo relatant ces faits :

L’accès est contrôlé via une clé d’authentification (AK): une forme d’authentification par mot de passe qui verrouille le lecteur jusqu’à ce que la clé correcte soit entrée.

Quel est le problème ?

Des chercheurs de l’Université Radboud aux Pays-Bas ont récemment découvert ce qu’ils appellent «un ensemble de problèmes critiques» affectant les SED vendus par divers fournisseurs. Ceci constitue un souci majeur pour la sécurité.

 De manière cruciale, leurs recherches ont montré que dans de nombreux SSD à auto-cryptage populaires, il est possible de contourner complètement le cryptage, ce qui signifie qu’en théorie, vous pouvez accéder aux données, même si vous n’avez pas accès à la clé d’authentification.

À propos de l'auteur

Romain

Diplomé en CyberSécurité et désormais expert en sécurité informatique au profit de grands cabinets de conseil, j'interviens auprès de grands comptes pour les aider à mieux protéger leur infrastructure, ainsi que des structures plus petites pour des problématiques de protection.