Qu'est-ce qu'une attaque de démarrage à froid et comment pouvez-vous rester en sécurité ?
Cold Boot Attack est une autre méthode utilisée pour voler des données. La seule particularité est qu'ils ont un accès direct à votre matériel informatique ou à l'ensemble de l'ordinateur. Cet article explique ce qu'est Cold Boot Attack et comment rester à l'abri de ces techniques.
Qu'est-ce qu'une attaque de démarrage à froid
Dans une attaque de démarrage à froid(Cold Boot Attack) ou une attaque de réinitialisation de la plate-forme,(Platform Reset Attack,) un attaquant qui a un accès physique à votre ordinateur effectue un redémarrage à froid pour redémarrer la machine afin de récupérer les clés de chiffrement du système d'exploitation Windows
Ils nous ont appris dans les écoles que la RAM(RAM) ( Random Access Memory ) est volatile et ne peut pas contenir de données si l'ordinateur est éteint. Ce qu'ils auraient dû nous dire aurait dû être… ne peut pas conserver les données longtemps si l'ordinateur est éteint(cannot hold data for long if the computer is switched off) . Cela signifie que la RAM(RAM) contient toujours des données de quelques secondes à quelques minutes avant qu'elles ne disparaissent en raison d'un manque d'alimentation électrique. Pendant une très courte période, toute personne disposant des outils appropriés peut lire la RAM et copier son contenu dans un stockage permanent sûr à l'aide d'un système d'exploitation léger différent sur une clé USB(USB) ou une carte SD(SD Card) . Une telle attaque est appelée attaque de démarrage à froid.
Imaginez un ordinateur laissé sans surveillance dans une organisation pendant quelques minutes. Tout pirate informatique n'a qu'à mettre ses outils en place et éteindre l'ordinateur. Au fur et à mesure que la RAM refroidit (les données disparaissent lentement), le pirate branche une clé USB(USB) amorçable et démarre via celle-ci. Il ou elle peut copier le contenu sur quelque chose comme la même clé USB(USB) .
Étant donné que la nature de l'attaque consiste à éteindre l'ordinateur puis à utiliser l'interrupteur d'alimentation pour le redémarrer, cela s'appelle un démarrage à froid. Vous avez peut-être appris le démarrage à froid et le démarrage à chaud au cours de vos premières années en informatique. Le démarrage à froid est l'endroit où vous démarrez un ordinateur à l'aide de l'interrupteur d'alimentation. Un démarrage à chaud est l'endroit où vous utilisez l'option de redémarrage d'un ordinateur à l'aide de l'option de redémarrage dans le menu d'arrêt.
Geler la RAM
C'est encore un autre tour sur les manches des pirates. Ils peuvent simplement pulvériser une substance (exemple : Liquid Nitrogen ) sur les modules RAM afin qu'ils gèlent immédiatement. Plus la température est basse, plus la RAM peut contenir d'informations. En utilisant cette astuce, ils (les pirates) peuvent réussir une attaque de démarrage à froid(Cold Boot Attack) et copier un maximum de données. Pour accélérer le processus, ils utilisent des fichiers d'exécution automatique sur le système(System) d'exploitation léger sur des clés USB(USB Sticks) ou des cartes SD qui sont démarrées peu après l'arrêt de l'ordinateur piraté.
Étapes d'une attaque de démarrage à froid
Tout le monde n'utilise pas nécessairement des styles d'attaque similaires à celui indiqué ci-dessous. Cependant, la plupart des étapes courantes sont répertoriées ci-dessous.
- Modifiez les informations du BIOS pour autoriser d' abord le démarrage à partir de l' USB
- Insérez une (Insert)clé USB(USB) amorçable dans l'ordinateur en question
- Éteignez l'ordinateur de force afin que le processeur n'ait pas le temps de démonter les clés de cryptage ou d'autres données importantes ; sachez qu'un arrêt approprié peut également aider, mais peut ne pas être aussi efficace qu'un arrêt forcé en appuyant sur la touche d'alimentation ou d'autres méthodes.
- Dès que possible, utilisez l'interrupteur d'alimentation pour démarrer à froid l'ordinateur piraté
- Depuis que les paramètres du BIOS ont été modifiés, le système d'exploitation sur une (BIOS)clé USB(USB) est chargé
- Même lorsque ce système d'exploitation est en cours de chargement, ils exécutent automatiquement des processus pour extraire les données stockées dans la RAM(RAM) .
- Éteignez à nouveau l'ordinateur après avoir vérifié le stockage de destination (où les données volées sont stockées), retirez la clé USB du système d'exploitation(USB OS Stick) et partez
Quelles informations sont à risque dans les attaques de démarrage à froid(Cold Boot Attacks)
Les informations/données les plus courantes à risque sont les clés de chiffrement de disque et les mots de passe. Habituellement, le but d'une attaque de démarrage à froid est de récupérer des clés de chiffrement de disque illégalement, sans autorisation.
Les dernières choses à se produire lors d'un arrêt correct sont le démontage des disques et l'utilisation des clés de cryptage pour les crypter. Il est donc possible que si un ordinateur est éteint brusquement, les données soient toujours disponibles pour eux.
Se protéger de Cold Boot Attack
Sur le plan personnel, vous ne pouvez vous assurer que de rester près de votre ordinateur jusqu'à au moins 5 minutes après son arrêt. De plus, une précaution consiste à éteindre correctement l'ordinateur à l'aide du menu d'arrêt, au lieu de tirer sur le cordon électrique ou d'utiliser le bouton d'alimentation pour éteindre l'ordinateur.
Vous ne pouvez pas faire grand-chose car ce n'est pas un problème de logiciel en grande partie. C'est plus lié au matériel. Les fabricants d'équipements devraient donc prendre l'initiative de supprimer toutes les données de la RAM dès que possible après l'arrêt d'un ordinateur pour éviter et vous protéger des attaques de démarrage à froid.
Certains ordinateurs écrasent maintenant la RAM avant de s'éteindre complètement. Pourtant, la possibilité d'un arrêt forcé est toujours là.
La technique utilisée par BitLocker consiste à utiliser un code PIN(PIN) pour accéder à la RAM . Même si l'ordinateur a été mis en veille prolongée (un état d'extinction de l'ordinateur), lorsque l'utilisateur le réveille et essaie d'accéder à quoi que ce soit, il doit d'abord entrer un code PIN(PIN) pour accéder à la RAM . Cette méthode n'est pas non plus infaillible car les pirates peuvent obtenir le code PIN(PIN) en utilisant l'une des méthodes de phishing ou d'ingénierie sociale(Social Engineering) .
Résumé
Ce qui précède explique ce qu'est une attaque de démarrage à froid et comment cela fonctionne. Il existe certaines restrictions en raison desquelles une sécurité à 100 % ne peut pas être offerte contre une attaque de démarrage à froid. Mais pour autant que je sache, les sociétés de sécurité s'efforcent de trouver une meilleure solution que de simplement réécrire la RAM(RAM) ou d'utiliser un code PIN(PIN) pour protéger le contenu de la RAM .
Lisez maintenant(Now read) : Qu'est-ce qu'une attaque de surf(What is a Surfing Attack) ?
Related posts
Comment activer manuellement Retpoline sur Windows 10
Comment signaler Bug, Issue or Vulnerability à Microsoft
DLL Hijacking Vulnerability Attacks, Prevention & Detection
CSS Exfil Protection Extension du navigateur propose une attaque CSS Exfil vulnerability
Bitdefender Home Scanner: Scannez votre Home Network pour les vulnérabilités
Windows 10 ne démarre pas après la restauration System
SecPod Saner Personal: Free Advanced Vulnerability Scanner
Hard Drive ne pas s'afficher sur Boot Menu
Utilisation manquante System NON Found error IN Windows 11/10
L'installation a échoué dans SAFE_OS phase pendant BOOT operation
Fix NTLDR est manquant, Press Ctrl-Alt-Del pour redémarrer une erreur dans Windows 10
Fix PXE-E61, Media test Échec, check cable boot error sur Windows 10
Comment changer le système d'exploitation par défaut; Change Boot par défaut
Fix Motherboard error code 99 sur les ordinateurs Windows
Windows 10 omet de démarrer; Automatic Startup Repair, Reset PC échoue et va en boucle
Qu'est-ce que Fast Startup et comment activer ou désactiver-le dans Windows 10
Windows 10 coincé sur Welcome screen
Boot Advanced Options dans MSCONFIG dans Windows 10 expliqué
Réparé des erreurs de disque, cela peut prendre une heure à compléter
L'ordinateur Windows 10 ne démarre pas après power outage