Sécurité et fiabilité des SI : Chiffrement de disques durs

Download (0)

Full text

(1)

Facult´ es Universitaires Notre Dame de la Paix Namur

S´ ecurit´ e et fiabilit´ e des SI : Chiffrement de disques durs

D´ecembre 2011

BENATS Pol JEANJOT Arno

MAES Jerome

Cours : INFO-M115 Professeur : J-N Colin Assistant : S. Dynerowicz

(2)

Table des mati` eres

Table des mati`eres 1

1 Introduction 2

2 R´ecup´eration de donn´ees 3

2.1 Sur target.fat16 . . . 3 2.2 Sur target.ext3 . . . 5

3 Chiffrement d’une partition 7

4 Conclusion 8

(3)

1 Introduction

Dans le cadre du cours de s´ecurit´e et fiabilit´e des SI, il nous ´etait demand´e dans un premier temps de r´ecup´erer des fichiers supprim´es (volontairement ou non) sur une partition format´ee en ext3 et sur une autre en f at16. ext3 et f at16 sont des syst`emes de fichiers permettant d’organiser les fichiers sur un support tel que des disques durs, cl´e usb, . . .Le premier est support´e par Linux, tandis que le second l’est par Windows.

Dans un second temps, nous devions construire un volume LUKS1 utilisable par un seul utilisateur. LUKS est une sp´ecification de chiffrement de disques, destin´e `a Linux.

1. = Linux Unified Key Setup

2

(4)

2 R´ ecup´ eration de donn´ ees

Afin de nous aider `a r´ecup´erer les fichiers supprim´es de partitions, nous avons utilis´e des outils sp´ecialement con¸cus pour cet usage. Le premier est The Sleuth Kit (TSK) qui est une libraire d’outils qui permettent d’examiner les volumes et les syst`emes de fichiers.

Le second est Autopsy Forensic Browser; il propose une interface graphique compl´etantThe Sleuth Kit .

2.1 Sur target.fat16

Comme le montre la figure 1 , Autopsy est parvenu `a reconstruire la hi´erarchie du syst`eme de fichiers de la partition, et `a localiser les fichiers supprim´es ou non.

Figure 1 – Liste des fichiers supprim´es sur target.f at16

(5)

Le tableau 1 montre les 3 fichiers qui avaient ´et´e effac´es et que nous avons pu r´ecup´erer grˆace `a ce programme.

Fichier Secteurs Adresse en octets

big bang theory 4901.jpg 2048 - 2119 1048576 - 1084928 Mail ; [Info] Nouveau compte eml 1792 - 1795 917504 - 919040

dsc00562.jpg 2432 - 7934 1245184 - 4062208

Table 1 – Les fichiers r´ecup´er´es sur target.f at16

La r´ecup´eration des fichiers s’est faite grˆace `a la commande sudo dd if=/dev/loop0 of=fichier bs=1024 count=x skip=y o`u x est le nombre de segment, ety le premier segment.

Le contenu de ces 3 fichiers a pu ˆetre r´ecup´er´e, comme le montre la figure 2, qui illustre la d´ecoupe en blocs de l’image ”big bang theory 4901.jpg”.

Figure 2 – Contenu de l’image

4

(6)

2.2 Sur target.ext3

Autopsy est ´egalement capable de reconstituer l’organsation des fichiers sur un volume enext3. Comme le pr´esente la figure 3, les fichiers actuellement sur le disque et ceux qui ont

´

et´e supprim´es sont bien dans la liste.

Figure 3 – Liste des fichiers sur target.ext3, dans le r´epertoire /pictures/

Cependant le contenu des fichiers effac´es ´etait, dans ce cas-ci, plus subtile `a retrouver.

Ainsi, pour retrouver l’image de Big Bang Theory, nous avons regard´e son num´ero Inode 1810. Les images avec les num´eros d’inode 1809 et 1811 n’´etant pas supprim´ees, nous avons pu retrouv´e le dernier secteur du 1809 et le premier secteur du 1811, pour connaitre les secteurs du 1810.

Pour ˆetre certain d’avoir le bon fichier : nous avons fait une recherche sur les magic numbers f f d8 (d´ebut d’un fichier jpg) et f f d9 (fin d’un fichier jpg), et les secteurs retrouv´es corres- pondaient bien `a cela.

Malheureusement, l’image est un peu d´eform´ee.

Figure 4 – Image r´ecup´er´ee, mais endommag´ee

La mˆeme technique a ´et´e appliqu´ee pour r´ecup´erer le fichier mail, intitul´e ”[Info] Nouveau compte”.

(7)

Pour le dernier fichier, une recherche par mot cl´e a ´et´e n´ecessaire : le mot cl´e ´etait ”Belnet”

(voir figure 5). On trouve le fragment 11778 qui contient le mot ”Belnet”. Il suffit de regarder les fragments pr´ec´edents et suivants pour r´ecup´erer l’enti`eret´e du mail.

Figure 5 – Recherche par mot cl´e

Finalement, nous avons r´ecup´er´e les 3 fichiers et leur contenu, tel que d´ecrit dans le tableau 2.

Fichier Secteurs Adresse en octet

big bang theory 4901.jpg 6573 - 6609 6730752 - 6768430 Mail ; [Info] Nouveau compte eml 11786 - 11787 12068864 - 12069888 Politque acceptable Belenet 11777 - 11780 12059648 - 12062720

Table 2 – Les fichiers r´ecup´er´es sur target.ext3

La r´ecup´eration des fichiers s’est faite grˆace `a la commande sudo dd if=/dev/loop0 of=fichier bs=1024 count=x skip=y o`u x est le nombre de segment, ety le premier segment.

6

(8)

3 Chiffrement d’une partition

Dans la seconde partie de ce TP, il nous ´etait demand´e de construire un volume chiffr´e, en utilisant LUKS2. LUKS est un standard pour le chiffrement de volumes pour Linux, per- mettant de prot´eger ces diff´erents volumes par une ou plusieurs cl´es.

LUKS stocke toutes les informations de configuration dans l’entit´e de la partition, autorisant ainsi l’utilisateur `a transporter ou `a transf´erer ses donn´ees de fa¸con transparente.

Dans le cadre de ce TP, nous avons donc construit une partition, format´ee en ext3, de 5,2Mo. Nous avons chiffr´e ce volume avec la commande

sudo cryptsetup --verbose --verify-passphrase luksFormat -c aes -h sha256 /dev/loop0 La passphrase choisie est

maphraseintrouvable

Nous y avons ensuite ajout´e des fichiers : un fichier image (lemonde.png), un email (mon- mail.emlx) et un simple fichier texte (monfichierText.txt). La partition chiffr´eetarget.luks se trouve en annexe de ce rapport.

Figure 6 – Resultat de’Autopsy sur la partition chiffr´ee

Autopsy est incapable de reconstruire l’arborescence du fichier. On ne peut que parcourir les segments 1 par 1 ou effectuer une recherche par mot cl´e(inutile `a cause du cryptage).

Comme le montre la partie haute de la figure 6, l’entˆete contient bien les informations sur le chiffrement (ici, sha256). La partie basse de cette figure pr´esente le r´esultat illisible des fichiers.

2. = Linux Unified Key Setup

(9)

4 Conclusion

Grˆace `a ce travail, nous avons r´ealis´e qu’il ´etait possible de r´ecup´erer des fichiers qui avaient ´et´e pr´ealablement supprim´es d’un volume. Pour cela, il a suffi d’utiliser un certain nombre de lignes de commandes qui ont permis d’afficher, grˆace `a une interface, un certain nombre de fichiers qui ont ´et´e retrouv´es sur le volume. Ces fichiers, ´ecrit sur des secteurs de m´emoire sur le volume, ´etaient accessibles malgr´e tout du fait que le volume n’avait pas subi des ´ecritures sur les secteurs qui avaient ´et´e utilis´es pour stocker ces fichiers. Bien que malgr´e tout, un certain nombre de fichiers, ou parties de fichiers restent accessibles mˆeme apr`es suppression et ´ecriture ult´erieure sur les secteurs qui avaient ´et´e utilis´es. Ces moyens pour retrouver des fichiers supprim´es posent toutefois probl`eme d’un cot´e s´ecurit´e. En effet, il est d`es lors plus difficile de garder certains fichiers secrets, mˆeme apr`es suppression, ce qui pose un grand probl`eme pour la vie priv´ee.

Dans un second temps, nous nous sommes pench´es sur l’aspect chiffrement des fichiers sur un volume. Ainsi, nous en sommes arriv´es `a utiliser la technologie LUKS qui nous a permis, grˆace `a une phrase de chiffrement, de s´ecuriser ces fichiers ; ceux-ci ´etant devenus illisibles sans connaˆıtre cette phrase. De tels moyens de protection permettent d’am´eliorer la s´ecurit´e de nos fichiers afin de prot´eger au mieux notre vie priv´ee.

8

Figure

Updating...

References

Related subjects :