Outil médico-légal pour décrypter les conteneurs et disques TrueCrypt, Bitlocker et PGP publiés

• Catégorie: Sécurité

Essayez Notre Instrument Pour Éliminer Les Problèmes

Sélectionnez Le Système D'Exploitation Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Choisissez Un Programme De Projection (Éventuellement) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Décrivez Votre Problème

Obtenez Une Réponse

Envoyez-Moi Par E-Mail Montrer Sur Le Site

Une des choses que vous pouvez faire pour protéger vos données est d'utiliser le cryptage. Vous pouvez soit crypter des fichiers individuels, créer un conteneur dans lequel déplacer les fichiers ou crypter une partition ou un disque . Le principal avantage du chiffrement est qu'une clé, généralement un mot de passe, est nécessaire pour accéder aux données. Une forme de base de cryptage est que si vous protégez par mot de passe un fichier zip, un cryptage plus avancé peut protéger l'ensemble du système y compris la partition du système d'exploitation d'utilisateurs non autorisés.

Bien qu'il soit important de choisir un mot de passe sécurisé lors de la configuration pour empêcher des tiers de deviner ou de forcer brutalement le mot de passe, il est important de noter qu'il peut y avoir d'autres moyens d'accéder aux données.

Elcomsoft vient de publier son outil Forensic Disk Decryptor. L'entreprise déclare qu'elle peut déchiffrer les informations stockées sur les disques et conteneurs PGP, Bitlocker et TrueCrypt. Il convient de noter qu'un accès local au système est nécessaire pour que l'une des méthodes utilisées par le programme fonctionne. Les clés de chiffrement peuvent être acquises de trois manières:

• En analysant le fichier d'hibernation
• En analysant un fichier d'image mémoire
• En effectuant une attaque FireWire

La clé de chiffrement ne peut être extraite du fichier d'hibernation ou du vidage mémoire que si le conteneur ou le disque a été monté par l'utilisateur. Si vous avez le fichier de vidage de la mémoire ou le fichier d'hibernation, vous pouvez lancer la recherche par clé facilement et à tout moment. Notez que vous devez sélectionner la bonne partition ou le bon conteneur chiffré dans le processus.

Si vous n'avez pas accès à un fichier d'hibernation, vous pouvez créer facilement un vidage mémoire avec le Boîte à outils de mémoire Windows . Téléchargez simplement l'édition communautaire gratuite et exécutez les commandes suivantes:

• Ouvrez une invite de commandes avec élévation de privilèges. Faites-le en appuyant sur la touche Windows, en tapant cmd, en cliquant avec le bouton droit sur le résultat et en sélectionnant pour exécuter en tant qu'administrateur.
• Accédez au répertoire dans lequel vous avez extrait l'outil de vidage de la mémoire.
• Exécutez la commande win64dd / m 0 / r / f x: dump mem.bin
• Si votre système d'exploitation est 32 bits, remplacez win64dd par win32dd. Vous devrez peut-être également modifier le chemin à la fin. Gardez à l'esprit que le fichier sera aussi volumineux que la mémoire installée sur l'ordinateur.

Exécutez ensuite l'outil d'investigation et sélectionnez l'option d'extraction de clé. Faites-le pointer vers le fichier de vidage de la mémoire créé et attendez qu'il soit traité. Vous devriez voir les touches vous être affichées par le programme par la suite.

Verdict

Forensic Disk Decryptor d'Elcomsoft fonctionne bien si vous pouvez mettre la main sur un fichier de vidage de mémoire ou d'hibernation. Toutes les formes d'attaque nécessitent un accès local au système. Cela peut être un outil utile si vous avez oublié la clé principale et avez désespérément besoin d'accéder à vos données. Bien que cela coûte assez cher, cela coûte 299 €, cela peut être votre meilleur espoir de récupérer la clé, à condition que vous utilisiez la mise en veille prolongée ou que vous ayez un fichier de vidage de la mémoire que vous avez créé alors que le conteneur ou le disque était monté sur le système. Avant de faire un achat, exécutez la version d'essai pour voir si elle peut détecter les clés.

Vous pouvez désactiver la création d'un fichier d'hibernation pour protéger votre système contre ce type d'attaque. Même si vous devez toujours vous assurer que personne ne peut créer un fichier de vidage de la mémoire ou attaquer le système à l'aide d'une attaque Firewire, cela garantit que personne ne peut extraire les informations lorsque le PC n'est pas démarré.