Le cas d’étude est le suivant : nous sommes en possession d’un disque chiffré et d’une copie de la mémoire physique réalisée lorsque le volume était déverrouillé. L’article montre comment analyser un disque chiffré à partir de ces informations avec des méthodes compatibles avec une analyse forensique.
1. Présentation rapide de BitLocker
BitLocker est une solution de chiffrement complet de disques, apparue dans les éditions Ultimate et Entreprise de Windows Vista. Elle a ensuite été améliorée dans Windows 7, en permettant notamment l’utilisation de mots de passe complexes et le chiffrement de lecteurs amovibles, comme les clés USB.
1.1 Principe général
Son but premier est d’empêcher la récupération d’informations sur un ordinateur portable volé. Sur un portable non chiffré, la récupération des fichiers est à la portée de n’importe quel attaquant, par exemple en démarrant un système depuis un live CD ou en lisant le disque dur de l’ordinateur volé depuis une autre machine.
Afin de contrer ce type d’attaque, BitLocker chiffre l’intégralité du disque système. Les clés de chiffrement du disque sont scellées par le TPM ; ainsi, le disque ne peut pas être lu sur un autre ordinateur. Les clés ne seront descellées par le TPM que si...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première