Des chercheurs de l’université de Radboud ont découvert que la méthode de chiffrement matériel proposée par de nombreux SSD comportait plusieurs vulnérabilités. En utilisant l’ingénierie inversée sur leur firmware, ils ont prouvé qu’il était possible de récupérer des données chiffrées (sans connaître le mot de passe) sur plusieurs SSD populaires signés Crucial ou Samsung. Plus alarmant, leur recherche démontre également que BitLocker, l’outil de chiffrement proposé par Windows, ne permet pas de se protéger contre ces vulnérabilités.

Un BitLocker trop crédule

Matthew Green, professeur de l’université Johns Hopkins, reproche à Microsoft de trop faire confiance au chiffrement matériel des SSD. Il explique, sur Twitter, qu’utiliser Bitlocker revient à sauter d’un avion en utilisant un parapluie plutôt qu’un parachute. En effet, quand un SSD indique au système d’exploitation qu’il dispose d’une méthode de chiffrement matérielle, BitLocker se repose entièrement sur cette solution. L’utilisateur pense ainsi être protégé par l’outil de Microsoft, alors que ce dernier n’agit même pas.

En réponse à cette étude, Samsung rejoint les chercheurs et conseille à ses clients d’installer une solution de chiffrement logiciel tierce. En revanche, d’après le centre national de cyber sécurité des Pays-Bas, Micron pourrait proposer une correction via un patch futur. L’étude complète est disponible sous format PDF, en téléchargement libre.