Je complète mon explication sur TrueCrypt (http://ift.tt/1FpeLSS) avec l’exemple d’une erreur qui peut couter très chère…
J’ai créé un volume chiffré avec un nom banal afin de ne pas éveiller de soupçon en cas de découverte.
Le volume Boulot_entreprise contient ainsi un document Word beaucoup plus confidentiel qui est une liste d’opposants politique qui m’a été transmise par une connaissance quelconque (toujours pour le besoin du scénario :)).
On part du principe que je possède le mot de passe du volume en question et que je m’apprête à consulter ce document sous Windows en utilisant TrueCrypt 7.1a.
Je monte donc mon volume chiffré (qui est situé sur une clé USB), je consulte mon document quelques secondes en le laissant à sa place et sans jamais rien sauvegarder.
montage.PNG
Une fois avoir pris connaissance du document, je le referme ni vu ni connu avant de démonter le conteneur…
Je crois n’avoir laissé aucunes traces… Pourtant, je me suis bien fait avoir.
Word, ce faux ami.
Le problème vient cette fois-ci d’une fonction bien connue de Word… La sauvegarde de récupération :p.
Je me suis un peu attardé à la lecture du document qu’on m’a transmis… Word réalise une sauvegarde de récupération du document automatiquement (par défaut toute les 10 minutes) le tout de manière transparente et dans un dossier temporaire. Chez moi comme chez beaucoup d’autres cette valeur est par ailleurs souvent plus faible (moins de 5 minutes).
larnaqueword.PNG
Le problème est donc qu’il existe maintenant une copie complète du document stocké et consultable librement sur mon ordinateur… La protection forte pensée pour mon volume chiffré se retrouve mise à mal par cette erreur stupide.
Cette copie est entièrement consultable depuis le répertoire "Temp" de Word. Par défaut celui-ci se trouve sous :
C:/users/mon_nom/AppData/Roaming/Microsoft/Word/
cheminfoutu.jpg
foutu.jpg
Toujours penser à la sécurité de l’environnement.
Même supprimé par la suite la copie du document stocké par word restera potentiellement un problème. Elle pourra en effet être retrouvée avec des logiciels spécialisés. S’il y a beaucoup à cacher il faudra peut-être réaliser un effacement sécurisé du disque :(.
Pour éviter tout problème de ce type et si la situation impose une grande prudence vis-à-vis des fichiers chiffrés, pensez à toujours utiliser un live CD tel que Parted Magic comme moyen de consultation des documents confidentiels (http://ift.tt/1FpeLSS).
PuppetMaster.
J’ai créé un volume chiffré avec un nom banal afin de ne pas éveiller de soupçon en cas de découverte.
Le volume Boulot_entreprise contient ainsi un document Word beaucoup plus confidentiel qui est une liste d’opposants politique qui m’a été transmise par une connaissance quelconque (toujours pour le besoin du scénario :)).
On part du principe que je possède le mot de passe du volume en question et que je m’apprête à consulter ce document sous Windows en utilisant TrueCrypt 7.1a.
Je monte donc mon volume chiffré (qui est situé sur une clé USB), je consulte mon document quelques secondes en le laissant à sa place et sans jamais rien sauvegarder.
montage.PNG
Une fois avoir pris connaissance du document, je le referme ni vu ni connu avant de démonter le conteneur…
Je crois n’avoir laissé aucunes traces… Pourtant, je me suis bien fait avoir.
Word, ce faux ami.
Le problème vient cette fois-ci d’une fonction bien connue de Word… La sauvegarde de récupération :p.
Je me suis un peu attardé à la lecture du document qu’on m’a transmis… Word réalise une sauvegarde de récupération du document automatiquement (par défaut toute les 10 minutes) le tout de manière transparente et dans un dossier temporaire. Chez moi comme chez beaucoup d’autres cette valeur est par ailleurs souvent plus faible (moins de 5 minutes).
larnaqueword.PNG
Le problème est donc qu’il existe maintenant une copie complète du document stocké et consultable librement sur mon ordinateur… La protection forte pensée pour mon volume chiffré se retrouve mise à mal par cette erreur stupide.
Cette copie est entièrement consultable depuis le répertoire "Temp" de Word. Par défaut celui-ci se trouve sous :
C:/users/mon_nom/AppData/Roaming/Microsoft/Word/
cheminfoutu.jpg
foutu.jpg
Toujours penser à la sécurité de l’environnement.
Même supprimé par la suite la copie du document stocké par word restera potentiellement un problème. Elle pourra en effet être retrouvée avec des logiciels spécialisés. S’il y a beaucoup à cacher il faudra peut-être réaliser un effacement sécurisé du disque :(.
Pour éviter tout problème de ce type et si la situation impose une grande prudence vis-à-vis des fichiers chiffrés, pensez à toujours utiliser un live CD tel que Parted Magic comme moyen de consultation des documents confidentiels (http://ift.tt/1FpeLSS).
PuppetMaster.
from Hackademics : Forum de hacking – hackers white hat – cours de securite informatique, apprendre langage python, tutoriels de reverse engineering http://ift.tt/1FpeNKE
via IFTTT
Aucun commentaire:
Enregistrer un commentaire