Aller au contenu


Photo

Truecrypt : Faille avec les headers


  • Veuillez vous connecter pour répondre
21 réponses à ce sujet

#1 laquiche

laquiche

    Petit nouveau

  • Membres
  • Pip
  • 6 messages

Posté 20 July 2012 - 20:39

Bonjour,

Je viens de découvrir un problème très gênant sur truecrypt et je ne trouve aucune informations sur internet, peut-être pourrez vous m'aider.

Imaginons que nous ayons une partition crypté (nommée partition1) avec truecrypt (pas le démarrage), et que nous ayons perdu le mot de passe.

Si vous créez une autre partition crypté (nommée parition2) à coté, de genre 100Mo. Vous faites ensuite une sauvegarde des en-têtes du volume dans un fichier.
Vous retourner sur votre partition1 et vous faites un restore des en-têtes avec la sauvegarde des en-têtes de la partition2

et la ...

votre partition1 récupère le mot de passe de la partition2, sans avoir eu besoin une seule fois du mot de passe original de la partition1

imaginons maintenant que j'ai volé l'ordinateur .... j'ai accès a tous les fichiers très facilement.

Il n'y a que moi qui est ce soucis ?

Merci

#2 aciD

aciD

    Super Korbenaute

  • Moderateurs
  • 1249 messages

Posté 20 July 2012 - 21:54

Tu as fait la manipulation ?

IRC : #Korben @ irc.recycled-irc.net
vpnfr.png
Parrainage vers VPN Tunnel


#3 Ravaged

Ravaged

    Super Korbenaute

  • Membres
  • PipPipPip
  • 859 messages

Posté 21 July 2012 - 00:47

Korben - Truecrypt à l'épreuve du FBI

Si effectivement ça marche, et que le FBI peut enfin ouvrir un tas de disques durs avec cette méthode, attends-toi à la visite de quelques mecs dangereux à cause de ta découverte /-)

edit :
D'après ce tuto que je viens de trouver, la sauvegarde des headers est fortement recommandée car elle contient toutes les clés maîtresses du chiffrage, mais il faut créer un nouveau volume chiffré, afin d'y placer la sauvegarde de headers du volume original.

Je vais quand-même me lancer dans des petits tests pour me faire une idée. Mais c'est clair qu'il faut le savoir !
679607490278newtwitter.png @ravaged_
Boîtier NZXT Phantom Blanc - Bleu USB3 || CM Asus P8P67 Pro Rev 3.1 (Révision B3) || Proc. Intel Core i5 2500K || CG MSI Geforce 780 Twin Frozr 2 Gb) || RAM G.Skill Kit Extreme3 2 x 4 Go PC12800 Sniper || SSD Sandisk 256 Go SATA || SSD Intel 330 Maple Crest 120 Go SATA || DD Western Digital Caviar Black SATA Revision 3.0 1To -64 Mo || DD Western Digital Velociraptor 600 Go 10 000 tr/min || Alim Corsair TX650M || Refroidissement Noctua NH-U12P SE2 || Win 8 RTM x64

#4 Korben

Korben

    Tonton

  • Administrateurs
  • 12282 messages

Posté 21 July 2012 - 10:16

@Ravaged : Tiens moi au courant de tes tests, ça m'intéresse. Merci

#5 Ravaged

Ravaged

    Super Korbenaute

  • Membres
  • PipPipPip
  • 859 messages

Posté 21 July 2012 - 12:10

Hello.

Alors j'ai effectivement créé un premier volume - 100 MB - chiffrage fort - mot de passe fort - avec un fichier PDF très important caché dans ce volume.
Puis j'ai démonté ce volume.

Ensuite, j'ai créé un volume 2 - 100 MB - avec un autre chiffrage - et mon mot de passe simple.
Ce volume sélectionné, j'ai fait Outils > Sauvegarder l'en-tête du volume.
Première étape de cette sauvegarde : je dois entrer le mot de passe du volume lié. (ici volume 2 que je viens de créer)

Et j'apprends aussi ceci :

Image IPB

Que si je cherche à faire une restauration sur un autre volume, je pourrai monter ce volume, mais pas déchiffrer ce qu'il contient.
Alors j'ai tout de même essayé, comme tu dis que tu as accès à tous les fichiers très facilement, mais moi je n'ai pas eu accès au fichier. Quand je cherche à accéder au volume, mon système me dit que je dois commencer par le formater.
679607490278newtwitter.png @ravaged_
Boîtier NZXT Phantom Blanc - Bleu USB3 || CM Asus P8P67 Pro Rev 3.1 (Révision B3) || Proc. Intel Core i5 2500K || CG MSI Geforce 780 Twin Frozr 2 Gb) || RAM G.Skill Kit Extreme3 2 x 4 Go PC12800 Sniper || SSD Sandisk 256 Go SATA || SSD Intel 330 Maple Crest 120 Go SATA || DD Western Digital Caviar Black SATA Revision 3.0 1To -64 Mo || DD Western Digital Velociraptor 600 Go 10 000 tr/min || Alim Corsair TX650M || Refroidissement Noctua NH-U12P SE2 || Win 8 RTM x64

#6 Quezako!

Quezako!

    Korbenaute

  • Membres
  • PipPip
  • 240 messages

Posté 22 July 2012 - 17:00

Impossible que ca marche cette manip, a ce niveau ce ne serait pas une faille mais un trou beant...

#7 laquiche

laquiche

    Petit nouveau

  • Membres
  • Pip
  • 6 messages

Posté 23 July 2012 - 19:24

Bonjour,

Je reviens car suites à vos tests j'ai refait les miens.

Je vous reexplique ma methode :

je crée une partition1 de 100Mo avec le mdp : toto, je place dedans un fichier texte avec de l’écriture.
Je démonte ma partition1

je crée une partition2 de 100Mo avec le mdp : tata, je démonte la partition et sauvegarde le header.

Je restore le header de la partition 1 avec celui de la partition2, je monte la partition 1 avec le mdp tata, et j'ouvre mon fichier texte.

Magique mais je peux lire le contenu du fichier.

Je pense que c'est trop gros pour être une faille en effet, mais ce que je comprend pas alors, c'est où je fait une connerie ?

Ma plateforme de test est une VM virtualbox avec Windows 7 ultimate.
TrueCrypt est en version 7.1a de langue Anglaise.

Merci a tous
Romain

#8 Quezako!

Quezako!

    Korbenaute

  • Membres
  • PipPip
  • 240 messages

Posté 23 July 2012 - 19:55

par curiosite, j'ai refait exactement cette manipulation, le montage de la partition 1 s'effectue avec le mot de passe de la partition 2 apres application du header, mais truecrypt sort un message de demande de formatage du disque, donc impossible de l'utiliser ou d'acceder a ces donnees...

#9 laquiche

laquiche

    Petit nouveau

  • Membres
  • Pip
  • 6 messages

Posté 23 July 2012 - 20:02

C'est fou cette histoire. J'ai pas encore commencer l'apero pourtant :P

#10 Dodutils

Dodutils

    Petit nouveau

  • Membres
  • Pip
  • 72 messages

Posté 25 July 2012 - 17:02

Il normalement impossible que cette opération réussisse à moins que la clé de chiffrement soit la même sur les deux partitions auquel cas oui un mot de passe différent ne pose pas de problème.

Le mot de passe n'est pas ce qui sert à chiffrer le contenu du disque mais à protéger la clé de chiffrement générée lors de la création de la partition, c'est ce qui permet d'ailleurs de changer de mot de passe en cours de route sans avoir besoin de re-chiffrer le contenu du disque.

#11 laquiche

laquiche

    Petit nouveau

  • Membres
  • Pip
  • 6 messages

Posté 28 July 2012 - 05:04

Mais pourtant la clé est régénérée aléatoirement, donc il est impossible que ca soit la meme non ?

#12 Dodutils

Dodutils

    Petit nouveau

  • Membres
  • Pip
  • 72 messages

Posté 28 July 2012 - 09:50

En théorie cela semble en effet improbable, mais c'est la seule explication (que les deux clés soient identiques) au fait que la clé ayant chiffré le disque 2 puisse déchiffrer le disque 1.

#13 laquiche

laquiche

    Petit nouveau

  • Membres
  • Pip
  • 6 messages

Posté 30 July 2012 - 20:19

Etant donné que j'ai fait cette manipulation a de nombreuses reprises, c'est clairement impossible. Mais alors je ne comprend pas où je fait une mauvaise manipulation.

#14 Dodutils

Dodutils

    Petit nouveau

  • Membres
  • Pip
  • 72 messages

Posté 30 July 2012 - 22:34

Je te dirais bien de publier screencast de toute l'opération pour que l'on puisse voir ce que tu fais exactement et éventuellement trouver l'erreur.

#15 Quezako!

Quezako!

    Korbenaute

  • Membres
  • PipPip
  • 240 messages

Posté 31 July 2012 - 13:33

La seul explication plausible, c'est que tu cree la premier volume avec truecrypt et tu fais directement une copie physique pour le deuxieme volume, dans ce cas la cle sera la meme pour les deux volumes, c'est d'ailleurs deconseille de faire ce genre de chose dans la doc de truecypt...

#16 Ravaged

Ravaged

    Super Korbenaute

  • Membres
  • PipPipPip
  • 859 messages

Posté 31 July 2012 - 13:37

Etant donné que j'ai fait...


Tu voudrais pas faire une petite démonstration en vidéo commentée? histoire qu'on voit clairement ce que tu fais et comment tu le fais, et peut-être qu'on verra mieux s'il y a quelque chose de spécial ou de différent de notre façon de faire...
679607490278newtwitter.png @ravaged_
Boîtier NZXT Phantom Blanc - Bleu USB3 || CM Asus P8P67 Pro Rev 3.1 (Révision B3) || Proc. Intel Core i5 2500K || CG MSI Geforce 780 Twin Frozr 2 Gb) || RAM G.Skill Kit Extreme3 2 x 4 Go PC12800 Sniper || SSD Sandisk 256 Go SATA || SSD Intel 330 Maple Crest 120 Go SATA || DD Western Digital Caviar Black SATA Revision 3.0 1To -64 Mo || DD Western Digital Velociraptor 600 Go 10 000 tr/min || Alim Corsair TX650M || Refroidissement Noctua NH-U12P SE2 || Win 8 RTM x64

#17 laquiche

laquiche

    Petit nouveau

  • Membres
  • Pip
  • 6 messages

Posté 31 July 2012 - 14:16

Oui je vais vous faire une petite video, par contre sans le son, puisque c'est au boulot. Mais vous verrez ce que je fais.


Edit : J'arrive pas a reproduire mon histoire maintenant que je fais la video :D. Ca me fatigue ....

Edit2 : bon faut définitivement que j’arrête le bierre, impossible de refaire le problème. Je comprend pas ce que j'ai bien pu faire.

#18 la_larve

la_larve

    Petit nouveau

  • Membres
  • Pip
  • 35 messages

Posté 15 August 2012 - 21:25

Ta manipulation est impossible dans le cas de TrueCrypt. Pourquoi ? L'objet est crypté avec ton pwd ( pour faire simple ). Pour l'opération inverse, Truecrypt a vitalement besoin de ton pwd. La substitution est donc impossible.

Par contre, ta manipulation aurait été possible pour d'autres produits de sécurité. Pourquoi ? L'objet n'est pas crypté avec ta clef personnelle mais par une clef pré-définie dans le programme. ( tous ceux qui utilisent le programme "jambon" ont la même clef ). Conclusion: la substitution est réalisable.

La larve est fatiguée maintenant...

#19 lumi

lumi

    Petit nouveau

  • Membres
  • Pip
  • 2 messages

Posté 22 August 2012 - 03:36

Bonjour, j'en profite pour poser une question sur un post ou des gens ont l'air de bien gérer true crypt. Car sur le fofo officiel il faut avoir un email payant car surcharge de bot spam.

Voila, j'ai un system composé de quatre disque dur, un pour l'OS, les trois autres pour les films, documents, tous chiffrés, même l'OS.

Cependant, j'ai commandé un nouveau SSD pour remplacer mon disque système qui est baucoup trop lent a mon goût, le ssd est un samsung 830 serie, mon os est Windows 7 edition intégrale.

J'ai fait des back up du C avec norton ghost sur un autre disque. Et j'ai vu l'option cloner un disque (même système) sur ce logiciel.

L'autre jour, j'ai voulu installer un autre os sur un nouveau disque, j'ai donc débranché l'OS chiffré avec windows 7 et installer un dd vierge a la place. Curieuse chose est arrivée, il m'a demandé le mdp de true crypt avant de pouvoir arriver a l'écran de boot sur cd. Je me pause donc la question de où ce trouve cachée cette procédure de mdp? dans mon bios? La demande de mdp viendrait d'un des disques cryptés mais non system (puisque débranché)?

Quel serait d'après vous la meilleure technique pour remplacer mon disque?

J'ai pensé à deux techniques :

1- Utiliser l'outil de duplication de norton ghost à partir de mon OS chiffré ouvert, mais là est-ce que le résultat sera crypté ou non ? et surtout utilisable ?
2- Faire une sauvegarde sur un de mes DD externes chiffrés de mon os chiffré, toujours avec norton ghost, installer mon nouveau SSD, installer W7 dessus, puis True crypt, puis norton ghost, puis lui faire mettre le back up, puis cryptage du stystem.

Pensez vous qu'une de ces deux méthodes pourraient fonctionner ou auriez-vous une autre méthode a me proposer ?

D'avance merci.

Lumi

#20 Quezako!

Quezako!

    Korbenaute

  • Membres
  • PipPip
  • 240 messages

Posté 22 August 2012 - 17:39

C'est bizarre ton histoire, normallement et logiquement truecrypt modifie le secteur de boot pour y placer un boot loader specifique dans le disque systeme crypté, la seule explication puisque tu as desactive le disque system, c'est qu'il aurait place le boot loader dans l'un des autres disques dur, verifie avec un utilitaire de partition lesquelles sont bootables...

pout ton autre question concernant norton ghost, a mon avis oublie, cela dit tu peux faire une copie exact du disque systeme meme crypté par exemple avec un live cd et le recopier sur le ssd, reste le probleme de la taille du disque systeme qui doit correspondre ou etre inferieur au ssd...

a mon avis il vaudrait mieux reinstaller windows proprement sur le ssd...