Le chiffrement des disques durs Western Digital totalement inefficace ?

2
197

Une équipe de chercheurs a décidé de vérifier si le chiffrement offert par les disques durs externes My Passport de Western Digital est efficace et incassable comme il se doit. Malheureusement, les résultats de leurs recherches ont révélé que les appareils sont truffés de vulnérabilités, qui pourraient être exploitées par des attaquants afin d’accéder aux données stockées.

Selon le modèle, les disques durs offrent des connexions via USB 2.0, USB 3.0, Thunderbolt ou encore Firewire. Le sont vendus pré-formatés, pré-chiffrés, et permettent de travailler avec un logiciel libre fournit par le fabricant. Les chercheurs ont testé différents modèles de la série My Passport, arborant six modèles différents, le tout menant à la publication d’une alerte globale de sécurité.

Des vulnérabilités inquiétantes

mypassport-work-21102015

Nous avons développé plusieurs attaques différentes pour récupérer les données de l’utilisateur à partir des disques durs externes entièrement chiffrés”, expliquent les chercheurs dans leur rapport“En plus de cela, d’autres menaces de sécurité ont été découvertes, telles que la modification facile du micrologiciel exécuté sur le PC de l’utilisateur, facilitant les attaques de type badUSB. La journalisation des informations d’identification de l’utilisateur et la diffusion de code malveillant est alors possible.”

La clé de chiffrement maître (KEK), est un hachage dérivé du mot de passe de l’utilisateur et est nécessaire pour déverrouiller les lecteurs et pour récupérer la clé de chiffrement des données (DEK). Il devrait, en toute logique, être difficile pour un attaquant de la cracker, mais, en raison de failles de sécurité dans le firmware des appareils, des attaques par force brute sont possibles.

Parmi les points faibles découverts, ont peut citer des générateurs de clés prévisibles, un firmware facilement modifiable, des portes dérobées pour le déchiffrement des KEK et DEK. Ces éléments sont présents dans les différentes versions des appareils, ce qui entache fortement la promesse du fabricant, à savoir de garder les données des utilisateurs en totale sécurité, assez vide de sens.

De multiples interrogations en découlent

Ces résultats soulèvent une question plus générale mais pourtant fondamentale : Comment pouvons-nous faire confiance aux revendications d’autres fabricants en matière de chiffrement des données privées ? En outre, cet exemple montre pourquoi nous avons besoin de chercheurs en sécurité pour tester ces revendications en conditions réelles, et pourquoi nous devrions soutenir ces initiatives, et ne pas essayer de les empêcher !

Western Digital a de son côté commenté les conclusions en déclarant être actuellement en cours de dialogue avec les chercheurs, et que la société “continue d’évaluer les observations.”

Nous apprécions hautement et encourageons ce genre d’engagement communautaire responsable car il bénéficie finalement à nos clients en nous permettant d’améliorer la qualité et la sécurité de nos produits. Nous encourageons tous les chercheurs en sécurité à signaler de manière responsable les failles de sécurité potentielles ou leurs préoccupations à WD Service“, a déclaré la porte-parole de WD Heather Skinner à The Register.

Il est possible d’accéder à tous les détails via ce document PDF.

Les commentaires sont fermés.