Les chercheurs en sécurité aiment analyser les périphériques de stockage amovibles qui promettent une parfaite confidentialité des données. Malheureusement, la réalité est complètement différente.
Les clés et disques USB sont très pratiques car ils permettent de transférer facilement des données. Le revers de la médaille est que vous pouvez facilement les perdre. Par conséquent, pour assurer la confidentialité des données stockées, certains fournisseurs créent des clés et des disques USB " sécurisés , souvent avec du matériel puissant tel que l'AES 256 bits. Il intègre le cryptage, mais comme l'a montré le chercheur SySS Matthias Deeg, cette sécurité ne peut être qu'une façade facilement contournable.
Depuis quelques mois, ces Experts analysent ce type d'appareil et identifient de sérieuses vulnérabilités sur trois d'entre eux. Le premier produit concerné :" Verbatim Keypad Secure ", clé USB avec clavier pour saisir un mot de passe crypté. " Si entre les mains d'une personne malveillante, l'appareil sera verrouillé et après 20 tentatives infructueuses de saisie du mot de passe, Devra être reformaté ", souligne le fabricant dans la description. Malheureusement, c'est incorrect. Les chercheurs confirment immédiatement que ce verrouillage automatique n'est pas implémenté. OK.
Quelques secondes suffit
Autre problème : Cette clé est très facile à ouvrir. Tout ce dont vous avez besoin pour accéder au composant de stockage SSD C'est au format M.2 et très facile à retirer. C'est idéal pour les pirates car il se connecte le composant de stockage à un autre adaptateur et Cependant, ce type de processus peut être long car il peut effectuer des attaques par force brute. Matthias Deeg analyse le matériel de la clé pour déterminer exactement comment le mot de passe est vérifié. , j'ai pu écrire un programme qui trouve le clé en quelques secondes.
Le deuxième périphérique analysé est une clé USB" Verbatim Executive Fingerprint Secure ". Ici, l'authentification est effectuée par un lecteur d'empreintes digitales. L'enregistrement et la gestion de ces empreintes digitales sont installés par l'utilisateur sur son PC. Cela se fait via un logiciel dédié qui doit être fait. En analysant l'exécution de ce logiciel, les chercheurs ont remarqué que le disque USB envoie automatiquement le mot de passe administrateur au PC. Cela vous donne notamment accès à toutes les données stockées. Encore une fois, comme vous pouvez le voir dans cette vidéo, des chercheurs ont mis au point un petit programme qui intercepte instantanément ce code secret.
Le troisième appareil est" Lepin EP-KP001 ", qui possède également un clavier. Tapez votre mot de passe. Cette fois, vous devez être un bricoleur pour accéder aux données stockées. Contrairement à ce que dit le constructeur, les données ne sont pas cryptées avec AES 256 bits. L'accès aux données est simplement verrouillé par un microcontrôleur spécial. Pour pirater une clé, il suffit de dessouder cette puce et de la remplacer par un microcontrôleur d'une autre clé du même type dont vous connaissez le mot de passe.
Selon SySS, les deux autres périphériques de stockage sécurisés de Verbatim, à savoir " Store'n'Go Secure Portable HDD " et " Fingerprint Secure Portable Hard Drive {56" sont également vulnérables .est. } ". Tous ces défauts ont été signalés au fournisseur. Cependant, aucun correctif n'a été apporté jusqu'à présent. Par conséquent, l'achat de ces modèles est fortement recommandé, surtout si vous traitez des données sensibles. Non recommandé.
Source : SySS
