Facult´ es Universitaires Notre Dame de la Paix Namur
S´ ecurit´ e et fiabilit´ e des SI : Chiffrement de disques durs
D´ecembre 2011
BENATS Pol JEANJOT Arno
MAES Jerome
Cours : INFO-M115 Professeur : J-N Colin Assistant : S. Dynerowicz
Table des mati` eres
Table des mati`eres 1
1 Introduction 2
2 R´ecup´eration de donn´ees 3
2.1 Sur target.fat16 . . . 3 2.2 Sur target.ext3 . . . 5
3 Chiffrement d’une partition 7
4 Conclusion 8
1 Introduction
Dans le cadre du cours de s´ecurit´e et fiabilit´e des SI, il nous ´etait demand´e dans un premier temps de r´ecup´erer des fichiers supprim´es (volontairement ou non) sur une partition format´ee en ext3 et sur une autre en f at16. ext3 et f at16 sont des syst`emes de fichiers permettant d’organiser les fichiers sur un support tel que des disques durs, cl´e usb, . . .Le premier est support´e par Linux, tandis que le second l’est par Windows.
Dans un second temps, nous devions construire un volume LUKS1 utilisable par un seul utilisateur. LUKS est une sp´ecification de chiffrement de disques, destin´e `a Linux.
1. = Linux Unified Key Setup
2
2 R´ ecup´ eration de donn´ ees
Afin de nous aider `a r´ecup´erer les fichiers supprim´es de partitions, nous avons utilis´e des outils sp´ecialement con¸cus pour cet usage. Le premier est The Sleuth Kit (TSK) qui est une libraire d’outils qui permettent d’examiner les volumes et les syst`emes de fichiers.
Le second est Autopsy Forensic Browser; il propose une interface graphique compl´etantThe Sleuth Kit .
2.1 Sur target.fat16
Comme le montre la figure 1 , Autopsy est parvenu `a reconstruire la hi´erarchie du syst`eme de fichiers de la partition, et `a localiser les fichiers supprim´es ou non.
Figure 1 – Liste des fichiers supprim´es sur target.f at16
Le tableau 1 montre les 3 fichiers qui avaient ´et´e effac´es et que nous avons pu r´ecup´erer grˆace `a ce programme.
Fichier Secteurs Adresse en octets
big bang theory 4901.jpg 2048 - 2119 1048576 - 1084928 Mail ; [Info] Nouveau compte eml 1792 - 1795 917504 - 919040
dsc00562.jpg 2432 - 7934 1245184 - 4062208
Table 1 – Les fichiers r´ecup´er´es sur target.f at16
La r´ecup´eration des fichiers s’est faite grˆace `a la commande sudo dd if=/dev/loop0 of=fichier bs=1024 count=x skip=y o`u x est le nombre de segment, ety le premier segment.
Le contenu de ces 3 fichiers a pu ˆetre r´ecup´er´e, comme le montre la figure 2, qui illustre la d´ecoupe en blocs de l’image ”big bang theory 4901.jpg”.
Figure 2 – Contenu de l’image
4
2.2 Sur target.ext3
Autopsy est ´egalement capable de reconstituer l’organsation des fichiers sur un volume enext3. Comme le pr´esente la figure 3, les fichiers actuellement sur le disque et ceux qui ont
´
et´e supprim´es sont bien dans la liste.
Figure 3 – Liste des fichiers sur target.ext3, dans le r´epertoire /pictures/
Cependant le contenu des fichiers effac´es ´etait, dans ce cas-ci, plus subtile `a retrouver.
Ainsi, pour retrouver l’image de Big Bang Theory, nous avons regard´e son num´ero Inode 1810. Les images avec les num´eros d’inode 1809 et 1811 n’´etant pas supprim´ees, nous avons pu retrouv´e le dernier secteur du 1809 et le premier secteur du 1811, pour connaitre les secteurs du 1810.
Pour ˆetre certain d’avoir le bon fichier : nous avons fait une recherche sur les magic numbers f f d8 (d´ebut d’un fichier jpg) et f f d9 (fin d’un fichier jpg), et les secteurs retrouv´es corres- pondaient bien `a cela.
Malheureusement, l’image est un peu d´eform´ee.
Figure 4 – Image r´ecup´er´ee, mais endommag´ee
La mˆeme technique a ´et´e appliqu´ee pour r´ecup´erer le fichier mail, intitul´e ”[Info] Nouveau compte”.
Pour le dernier fichier, une recherche par mot cl´e a ´et´e n´ecessaire : le mot cl´e ´etait ”Belnet”
(voir figure 5). On trouve le fragment 11778 qui contient le mot ”Belnet”. Il suffit de regarder les fragments pr´ec´edents et suivants pour r´ecup´erer l’enti`eret´e du mail.
Figure 5 – Recherche par mot cl´e
Finalement, nous avons r´ecup´er´e les 3 fichiers et leur contenu, tel que d´ecrit dans le tableau 2.
Fichier Secteurs Adresse en octet
big bang theory 4901.jpg 6573 - 6609 6730752 - 6768430 Mail ; [Info] Nouveau compte eml 11786 - 11787 12068864 - 12069888 Politque acceptable Belenet 11777 - 11780 12059648 - 12062720
Table 2 – Les fichiers r´ecup´er´es sur target.ext3
La r´ecup´eration des fichiers s’est faite grˆace `a la commande sudo dd if=/dev/loop0 of=fichier bs=1024 count=x skip=y o`u x est le nombre de segment, ety le premier segment.
6
3 Chiffrement d’une partition
Dans la seconde partie de ce TP, il nous ´etait demand´e de construire un volume chiffr´e, en utilisant LUKS2. LUKS est un standard pour le chiffrement de volumes pour Linux, per- mettant de prot´eger ces diff´erents volumes par une ou plusieurs cl´es.
LUKS stocke toutes les informations de configuration dans l’entit´e de la partition, autorisant ainsi l’utilisateur `a transporter ou `a transf´erer ses donn´ees de fa¸con transparente.
Dans le cadre de ce TP, nous avons donc construit une partition, format´ee en ext3, de 5,2Mo. Nous avons chiffr´e ce volume avec la commande
sudo cryptsetup --verbose --verify-passphrase luksFormat -c aes -h sha256 /dev/loop0 La passphrase choisie est
maphraseintrouvable
Nous y avons ensuite ajout´e des fichiers : un fichier image (lemonde.png), un email (mon- mail.emlx) et un simple fichier texte (monfichierText.txt). La partition chiffr´eetarget.luks se trouve en annexe de ce rapport.
Figure 6 – Resultat de’Autopsy sur la partition chiffr´ee
Autopsy est incapable de reconstruire l’arborescence du fichier. On ne peut que parcourir les segments 1 par 1 ou effectuer une recherche par mot cl´e(inutile `a cause du cryptage).
Comme le montre la partie haute de la figure 6, l’entˆete contient bien les informations sur le chiffrement (ici, sha256). La partie basse de cette figure pr´esente le r´esultat illisible des fichiers.
2. = Linux Unified Key Setup
4 Conclusion
Grˆace `a ce travail, nous avons r´ealis´e qu’il ´etait possible de r´ecup´erer des fichiers qui avaient ´et´e pr´ealablement supprim´es d’un volume. Pour cela, il a suffi d’utiliser un certain nombre de lignes de commandes qui ont permis d’afficher, grˆace `a une interface, un certain nombre de fichiers qui ont ´et´e retrouv´es sur le volume. Ces fichiers, ´ecrit sur des secteurs de m´emoire sur le volume, ´etaient accessibles malgr´e tout du fait que le volume n’avait pas subi des ´ecritures sur les secteurs qui avaient ´et´e utilis´es pour stocker ces fichiers. Bien que malgr´e tout, un certain nombre de fichiers, ou parties de fichiers restent accessibles mˆeme apr`es suppression et ´ecriture ult´erieure sur les secteurs qui avaient ´et´e utilis´es. Ces moyens pour retrouver des fichiers supprim´es posent toutefois probl`eme d’un cot´e s´ecurit´e. En effet, il est d`es lors plus difficile de garder certains fichiers secrets, mˆeme apr`es suppression, ce qui pose un grand probl`eme pour la vie priv´ee.
Dans un second temps, nous nous sommes pench´es sur l’aspect chiffrement des fichiers sur un volume. Ainsi, nous en sommes arriv´es `a utiliser la technologie LUKS qui nous a permis, grˆace `a une phrase de chiffrement, de s´ecuriser ces fichiers ; ceux-ci ´etant devenus illisibles sans connaˆıtre cette phrase. De tels moyens de protection permettent d’am´eliorer la s´ecurit´e de nos fichiers afin de prot´eger au mieux notre vie priv´ee.
8