Contre-mesures BitLocker

Windows utilise des solutions matérielles et des fonctionnalités de sécurité qui protègent les clés de chiffrement BitLocker contre les attaques. Ces technologies incluent le module de plateforme sécurisée (TPM), le démarrage sécurisé et le démarrage mesuré.

Protection avant le démarrage

Avant le démarrage de Windows, les fonctionnalités de sécurité implémentées dans le cadre du matériel et du microprogramme de l’appareil doivent être utilisées, notamment le TPM et le démarrage sécurisé :

  • Un module TPM est une puce conçue pour fournir des fonctions de sécurité de base, impliquant principalement des clés de chiffrement. BitLocker lie les clés de chiffrement au TPM pour s’assurer que l’appareil n’a pas été falsifié pendant que le système est hors connexion. Pour plus d’informations sur TPM, consultez Module de plateforme sécurisée
  • L’interface UEFI (Unified Extensible Firmware Interface) est un environnement de démarrage programmable qui initialise les appareils et démarre le chargeur de démarrage du système d’exploitation. La spécification UEFI définit un processus d’authentification d’exécution de microprogramme appelé démarrage sécurisé
  • Le démarrage sécurisé empêche le microprogramme et les chargeurs de démarrage non approuvés (signés ou non signés) de pouvoir démarrer sur le système. Par défaut, BitLocker fournit une protection d’intégrité pour le démarrage sécurisé en utilisant la mesure TPM PCR[7]. Un microprogramme EFI non autorisé, une application de démarrage EFI ou un chargeur de démarrage ne peut pas s’exécuter et acquérir la clé BitLocker

Attaques BitLocker et de réinitialisation

Pour se défendre contre les attaques de réinitialisation malveillantes, BitLocker utilise l’atténuation des attaques de réinitialisation TCG, également appelée mor bits (demande de remplacement de mémoire), avant d’extraire les clés en mémoire.

Stratégies de sécurité

L’authentification préalable et les stratégies DMA fournissent une protection supplémentaire pour BitLocker.

Authentification de prédémarrage

L’authentification de prédémarrage avec BitLocker peut nécessiter l’utilisation d’une entrée utilisateur, telle qu’un code confidentiel, une clé de démarrage, ou les deux pour s’authentifier avant de rendre le contenu du lecteur système accessible.

BitLocker accède aux clés de chiffrement et les stocke en mémoire uniquement une fois l’authentification préalable au démarrage terminée. Si Windows ne peut pas accéder aux clés de chiffrement, l’appareil ne peut pas lire ou modifier les fichiers sur le lecteur système. La seule option permettant de contourner l’authentification préalable au démarrage consiste à entrer la clé de récupération.

L’authentification de pré-démarrage est conçue pour empêcher le chargement des clés de chiffrement dans la mémoire système sans que l’utilisateur approuvé fournisse un autre facteur d’authentification. Cette fonctionnalité permet d’atténuer les attaques de rémanence DMA et de mémoire.

Sur les appareils dotés d’un module TPM compatible, les lecteurs de système d’exploitation protégés par BitLocker peuvent être déverrouillés de quatre manières :

  • TPM uniquement : cette option ne nécessite aucune interaction avec l’utilisateur pour déverrouiller et fournir l’accès au lecteur. Si la validation du module TPM réussit, l’expérience de connexion utilisateur est identique à celle d’une connexion standard. Si le module TPM est manquant ou modifié, ou si BitLocker détecte des modifications apportées à la configuration BIOS ou UEFI, aux fichiers de démarrage critiques du système d’exploitation ou à la configuration de démarrage, BitLocker passe en mode de récupération. L’utilisateur doit ensuite entrer un mot de passe de récupération pour récupérer l’accès aux données. Cette option est plus pratique pour la connexion, mais moins sécurisée que les autres options, qui nécessitent un facteur d’authentification supplémentaire
  • TPM avec clé de démarrage : en plus de la protection que fournit le module de plateforme sécurisée uniquement, une partie de la clé de chiffrement est stockée sur un lecteur flash USB, appelé clé de démarrage. Les données du volume chiffré ne sont pas accessibles sans la clé de démarrage
  • TPM avec code confidentiel : en plus de la protection qu’il fournit, BitLocker exige que l’utilisateur entre un code confidentiel. Les données du volume chiffré ne sont pas accessibles sans entrer le code confidentiel. Les TPM disposent également d’une protection anti-marteau conçue pour empêcher les attaques par force brute qui tentent de déterminer le code confidentiel
  • TPM avec clé de démarrage et code confidentiel : en plus de la protection que fournit le module TPM, une partie de la clé de chiffrement est stockée sur un lecteur flash USB et un code confidentiel est requis pour authentifier l’utilisateur auprès du module de plateforme sécurisée. Cette configuration fournit une authentification multifacteur de sorte que si la clé USB est perdue ou volée, elle ne peut pas être utilisée pour l’accès au lecteur, car le code confidentiel est également requis

L’authentification de prédémarrage avec un code pin peut atténuer un vecteur d’attaque pour les appareils qui utilisent un eDrive de démarrage, car un bus eDrive exposé peut permettre à un attaquant de capturer la clé de chiffrement BitLocker au démarrage. L’authentification de prédémarrage avec un code pin peut également atténuer les attaques de port DMA pendant la fenêtre de temps entre le moment où BitLocker déverrouille le lecteur et windows démarre au point que Windows peut définir toutes les stratégies liées aux ports qui ont été configurées.

En revanche, les invites d’authentification de préboot peuvent ne pas être pratiques pour les utilisateurs. En outre, les utilisateurs qui oublient leur code confidentiel ou perdent leur clé de démarrage se voient refuser l’accès à leurs données jusqu’à ce qu’ils puissent contacter l’équipe de support technique de leur organization pour obtenir une clé de récupération. L’authentification préalable au démarrage peut également rendre plus difficile la mise à jour des appareils sans assistance ou administrés à distance, car un code confidentiel doit être entré lorsqu’un appareil redémarre ou reprend sa mise en veille prolongée.

Pour résoudre ces problèmes, le déverrouillage réseau BitLocker peut être déployé. Le déverrouillage réseau permet aux systèmes qui répondent à la configuration matérielle requise et dont BitLocker est activé avec TPM+PIN de démarrer dans Windows sans intervention de l’utilisateur. Elle nécessite une connectivité Ethernet directe à un serveur WDS (Windows Deployment Services).

Pour en savoir plus, consultez le paramètre de stratégie Exiger une authentification supplémentaire au démarrage.

Protéger les ports DMA

Il est important de protéger les ports DMA, car les périphériques externes peuvent obtenir un accès non autorisé à la mémoire. Selon les fonctionnalités de l’appareil, il existe différentes options pour protéger les ports DMA. Pour en savoir plus, consultez le paramètre de stratégie Désactiver les nouveaux appareils DMA lorsque cet ordinateur est verrouillé.

Contre-mesures d’attaque

Cette section couvre les contre-mesures pour des types d’attaques spécifiques.

Bootkits et rootkits

Un attaquant physiquement présent peut tenter d’installer un bootkit ou un logiciel de type rootkit dans la chaîne de démarrage pour tenter de voler les clés BitLocker. Le module de plateforme sécurisée doit observer cette installation via des mesures DEP, et la clé BitLocker n’est pas publiée.

Remarque

BitLocker protège contre cette attaque par défaut.

Un mot de passe BIOS est recommandé pour la défense en profondeur si un BIOS expose des paramètres susceptibles d’affaiblir la promesse de sécurité BitLocker. Intel Boot Guard et amd Hardware Verified Boot prennent en charge des implémentations plus fortes de démarrage sécurisé qui fournissent une résilience supplémentaire contre les programmes malveillants et les attaques physiques. Intel Boot Guard et AMD Hardware Verified Boot font partie des normes de vérification de démarrage de plateforme pour un appareil Windows hautement sécurisé.

Attaques par force brute contre un code confidentiel

Exiger le TPM + code pin pour la protection anti-marteau.

Attaques DMA

Consultez Protéger les ports DMA plus haut dans cet article.

Fichiers de pagination, vidage sur incident et attaques Hyberfil.sys

Ces fichiers sont sécurisés sur un volume chiffré par défaut lorsque BitLocker est activé sur les lecteurs de système d’exploitation. Il bloque également les tentatives automatiques ou manuelles de déplacement du fichier de pagination.

Rémanence de la mémoire

Activez le démarrage sécurisé et utilisez obligatoirement un mot de passe pour modifier les paramètres du BIOS. Pour les scénarios nécessitant une protection contre ces attaques avancées, configurez un TPM+PIN protecteur, désactivez la gestion de l’alimentation de secours et arrêtez ou mettez en veille prolongée l’appareil avant qu’il ne quitte le contrôle d’un utilisateur autorisé.

Les paramètres d’alimentation par défaut de Windows obligent les appareils à passer en mode veille lorsqu’ils sont inactifs. Lorsqu’un appareil passe en mode veille, les programmes et documents en cours d’exécution sont conservés en mémoire. Lorsqu’un appareil revient de veille, les utilisateurs ne sont pas tenus de se réauthentifier avec un code confidentiel ou une clé de démarrage USB pour accéder aux données chiffrées. Ce scénario peut entraîner des conditions où la sécurité des données est compromise.

Lorsqu’un appareil est mis en veille prolongée, le lecteur est verrouillé. Lorsque l’appareil reprend sa mise en veille prolongée, le lecteur est déverrouillé, ce qui signifie que les utilisateurs doivent fournir un code confidentiel ou une clé de démarrage s’ils utilisent l’authentification multifacteur avec BitLocker.

Par conséquent, les organisations qui utilisent BitLocker peuvent souhaiter utiliser Hibernate au lieu de Mise en veille pour améliorer la sécurité.

Remarque

Ce paramètre n’a pas d’impact sur le mode TPM uniquement, car il offre une expérience utilisateur transparente au démarrage et lors de la reprise à partir des états de mise en veille prolongée.

Tromper BitLocker pour passer la clé à un système d’exploitation non autorisé

Un attaquant peut modifier la base de données de configuration du gestionnaire de démarrage (BCD), qui est stockée sur une partition non chiffrée et ajouter un point d’entrée à un système d’exploitation non autorisé sur une autre partition. Pendant le processus de démarrage, le code BitLocker s’assure que le système d’exploitation auquel la clé de chiffrement obtenue à partir du TPM est attribuée est vérifié par chiffrement comme étant le destinataire prévu. Étant donné que cette vérification de chiffrement forte existe déjà, nous vous déconseillons de stocker un hachage d’une table de partition de disque dans le registre de configuration de la plateforme (PCR) 5.

Un attaquant peut également remplacer l’intégralité du disque du système d’exploitation tout en préservant le matériel et le microprogramme de la plateforme, puis extraire un objet blob de clés BitLocker protégé à partir des métadonnées de la partition du système d’exploitation victime. L’attaquant peut ensuite tenter de déséchantaler cet objet blob de clés BitLocker en appelant l’API TPM à partir d’un système d’exploitation sous son contrôle. Cela ne peut pas réussir, car lorsque Windows scelle la clé BitLocker sur le module TPM, il le fait avec une valeur PCR 11 de 0. Pour que l’objet blob soit correctement installé, le paramètre PCR 11 dans le module de plateforme sécurisée doit avoir la valeur 0. Toutefois, lorsque le gestionnaire de démarrage passe le contrôle à n’importe quel chargeur de démarrage (légitime ou non autorisé), il remplace toujours LE FORMAT 11 par une valeur de 1. Étant donné que la valeur DEP 11 est garantie différente après avoir quitté le gestionnaire de démarrage, l’attaquant ne peut pas déverrouiller la clé BitLocker.

Contre-mesures des attaquants

Les sections suivantes couvrent les atténuations pour différents types d’attaquants.

Attaquant sans grande compétence ou avec un accès physique limité

L’accès physique peut être limité dans un facteur de forme qui n’expose pas les bus et la mémoire. Par exemple, il n’y a pas de ports externes compatibles DMA, pas de vis exposées pour ouvrir le châssis et la mémoire est soudée à la carte principale.

Cet attaquant d’opportunité n’utilise pas de méthodes destructrices ni de matériel/logiciel d’investigation sophistiqué.

Atténuation:

  • Authentification de prédémarrage définie sur TPM uniquement (valeur par défaut)

Attaquant avec des compétences et un accès physique long

Attaque ciblée avec beaucoup de temps ; l’attaquant ouvre le dossier, le vend et utilise du matériel ou des logiciels sophistiqués.

Atténuation:

  • Authentification de prédémarrage définie sur TPM avec un protecteur de code confidentiel (avec un code pin alphanumérique sophistiqué [broche améliorée] pour faciliter l’atténuation de l’anti-hammering TPM).

    -Et-

  • Désactivez la gestion de l’alimentation de secours et arrêtez ou mettez en veille prolongée l’appareil avant qu’il ne quitte le contrôle d’un utilisateur autorisé. Cette configuration peut être définie à l’aide des paramètres de stratégie suivants :

    • Configuration de l’ordinateur>Politiques>Modèles d’administration>Composants> Windows> Explorateur de fichiers Afficher la mise en veille prolongée dans le menu des options d’alimentation
    • Configuration de l’ordinateur>Politiques>Modèles d’administration>Gestion de l’alimentation>Paramètres de veille>
      • Autoriser les états de veille (S1-S3) lorsque l’ordinateur est en veille (sur secteur)
      • Autoriser les états de veille (S1-S3) lorsque l’ordinateur est en veille (sur batterie)

Important

Ces paramètres ne sont pas configurés par défaut.

Pour certains systèmes, le contournement du module de plateforme sécurisée uniquement peut nécessiter l’ouverture du boîtier et le brasage, mais peut être effectué pour un coût raisonnable. Le contournement d’un module de plateforme sécurisée avec un protecteur de code confidentiel coûterait plus cher et nécessiterait la force brute du code confidentiel. Avec un code confidentiel sophistiqué amélioré, cela pourrait être presque impossible. Pour en savoir plus sur le paramètre de stratégie, consultez Autoriser les codes confidentiels améliorés pour le démarrage.

Pour sécuriser les stations de travail d’administration, il est recommandé de :

  • utiliser un module de plateforme sécurisée (TPM) avec un protecteur de code confidentiel
  • désactiver la gestion de l’alimentation de secours
  • arrêter ou mettre en veille prolongée l’appareil avant qu’il ne quitte le contrôle d’un utilisateur autorisé

Étapes suivantes

Découvrez comment planifier un déploiement BitLocker dans votre organization :

Guide de planification BitLocker >