Le «cold boot» n’est pas mort

Repérée en 2018, on pensait l’attaque « cold boot » invalidée par les systèmes d’écrasement de la mémoire vive implémentés par les constructeurs. Mais une faille du firmware définissant ces paramètres permet de désactiver l’écrasement et ré-autorise ce type d’attaques.

L’attaque de type « cold boot » n’est pas neuve. Voilà maintenant plus d’une décennie que cette technique est connue. Pour mémoire, elle consiste à récupérer, par le biais d’un accès physique, les données contenues dans la mémoire RAM d’un ordinateur après son extinction. Une personne malintentionnée était ainsi en mesure de dérober des clés de chiffrement et diverses informations sensibles.

Depuis sa découverte, les fabricants d’ordinateurs portables ont corrigé cette vulnérabilité, notamment par l’écrasement des données stockées dans la mémoire RAM.  Mais c’était sans compter sur Olle Segerdahl, consultant pour F-Secure, et son équipe. Le chercheur a mis le doigt sur une vulnérabilité, décrite comme une faille des firmwares des PC portables, permettant à un attaquant d’exécuter une attaque cold boot.

Redémarrage froid

Selon F-Secure, les paramètres du micrologiciel gérant le processus de démarrage du terminal « ne sont pas protégés contre une attaque physique potentielle », laissant un attaquant réécrire à l’aide d’un « outil matériel » la puce mémoire non volatile qui contient ces paramètres, désactiver l'écrasement de la mémoire et activer le démarrage à partir de périphériques externes, pouvant alors effectuer un attaque cold boot.

« Cette nouvelle mouture est efficace contre tous les ordinateurs portables actuellement en vente que nous avons testés » écrit Olle Segerdahl. « Cette attaque survient surtout lorsque l'ordinateur a été volé ou acheté illicitement : les pirates ont alors tout le temps de procéder à ce type de manipulation ». Intel, Apple et Microsoft ont été prévenus de l’existence de cette vulnérabilité.