Introduction
La mémoire vive des ordinateurs, contrairement à ce que l’on croit en général, ne s’efface pas instantanément après la coupure du courant. Les états mémoires restent lisibles pendant une période assez courte, mais suffisante pour une nouvelle forme d’attaque de sécurité, découverte par des chercheurs de l’université de Princeton et de l’Electronic Frontier Foundation.
La mémoire reste après extinction.
Lors de l’extinction d’un ordinateur, la mémoire vive (RAM) de type DRAM n’est plus rafraîchie et les données sont perdues progressivement. Cependant, cette destruction n’est pas instantanée, puisque les puces de DRAM sont assimilables à des capacités. Pendant cette période, il est possible de récupérer des données importantes en mémoires, et notamment des clés de chiffrement de disques.
Vista, Leopard et Linux
Les nouveaux systèmes d’exploitation propose des méthodes de chiffrement intégral des disques, sous différent noms, mais utilisant des techniques similaires de chiffrement. BitLocker sous Windows Vista utilise des clés AES, FileVault sous Mac OS X Leopard et dm-crypt sous linux utilisent aussi des clés AES de 128 bits; TrueCrypt propose plusieurs systèmes de chiffrement, tels que AES, Serpent ou Twofish. Ces techniques permettent de conserver la confidentialité des données si un ordinateur portable ou un disque dur est volé, perdu ou si la sécurité du système est compromise. Les clés de chiffrement et de déchiffrement ne sont accessibles que dans la mémoire vive du système et ne sont pas récupérables aisément. Les chercheurs ont travaillé à température ambiante et à -50°C pour étudier la rémanence des données sur divers types de DRAM (SDRAM, DDR et DDR2).
Récupérer les données…
A température ambiante, les données sont endommagées assez rapidement, avec des taux d’erreur proches de 50%. Cependant, durant les premières secondes, les données sont récupérables aisément. En outre, à -50°C, les données sont conservées de façon quasiment intactes pendant de longues minutes. Pour aller plus loin, les chercheurs ont développés des algorithmes de récupération des clés symétriques et asymétriques lorsque les données sont endommagées, en utilisant des techniques de force brute. Ainsi les clés DES peuvent être retrouvées, avec des données perdues à 50%, avec une probabilité supérieure à 95%; la moitié des clés AES, quant à elles, sont récupérables en moins de 30 secondes, en partant de données endommagées à 30%.
Attaques physiques
Ce genre d’attaques physiques ne sont discrètes, mais sont réalisables et ne nécessitent pas beaucoup de moyens, puisqu'il est possible de prendre la mémoire d'un portable et d'utiliser des bombes aérosols réfrigérantes pour refroidir la mémoire, puis de transférer rapidement la mémoire dans un autre portable. Certains systèmes d'exploitation autorisant le branchement à-chaud de mémoire, il n'est même pas nécessaire d'attendre un redémarrage complet pour exploiter les données.