Sécurité du mot de passe du disque dur du BIOS?

12

J'ai un Dell Latitude E6400 et je voudrais savoir à quel point la configuration d'un mot de passe de disque dur BIOS est sécurisée? Cela applique-t-il une forme de cryptage au contenu du lecteur ou s'agit-il simplement d'un simple verrouillage sur l'accès au lecteur? C'est-à-dire que si le bloc-notes était perdu ou volé, les données qu'il contient pourraient-elles être consultées par quelqu'un ayant un peu de savoir-faire?

user10762
la source

Réponses:

11

Les mots de passe du BIOS sont de simples verrous. Si vous ne fournissez pas le mot de passe, le BIOS s'arrête simplement et ne poursuit pas le processus de démarrage.

Il existe deux façons de contourner ce verrou simple:

  1. Effacez la mémoire BIOS / CMOS (nécessite généralement un accès direct à la carte mère).

  2. Retirez le lecteur et connectez-le à un autre ordinateur (plus facile).


Mise à jour : Comme le mentionne la réponse de Blackbeagle, un mot de passe de disque dur est défini dans le cadre des spécifications ATA. Il s'agit également d'un simple verrou, mais il est implémenté dans le lecteur, donc aucune des étapes ci-dessus ne le contournera. Des connaissances techniques (et éventuellement du matériel supplémentaire) sont requises. Vous pourriez être intéressé par cet article d'introduction sur les mots de passe du disque dur .


Le verrouillage du BIOS est un moyen de dissuasion décent dans un certain nombre de scénarios d'intrigue de film: quelqu'un avec des connaissances techniques limitées ou des situations où l'attaquant peut accéder à l'ordinateur mais n'a pas le temps ou la liberté de le démonter. Si vous essayez simplement d'empêcher votre collègue ou un membre de votre famille d'y accéder, cela fonctionne. Cependant, ce n'est pas un moyen de dissuasion important pour un attaquant déterminé ou quelqu'un qui a un accès physique illimité.

Le verrou de niveau ATA est un meilleur moyen de dissuasion, mais il n'est pas parfait. Encore une fois, un attaquant déterminé, disposant de suffisamment de temps, obtiendra vos données.

Le chiffrement intégral du disque est disponible et offre une meilleure protection. Il existe des disques à chiffrement automatique qui le font dans le matériel et il existe de nombreuses options logicielles. Le chiffrement des données rend beaucoup plus difficile pour un attaquant d'obtenir vos données, mais il existe toujours des moyens de contourner le chiffrement. (En particulier, méfiez-vous de la cryptanalyse Lead-Pipe .)

Quack Quichotte
la source
OK, ça a du sens. La documentation Dell indique que le déplacement du disque vers un autre PC ne contournera pas le mot de passe du disque dur, mais il n'est pas fait mention de cryptage. Il semble que cela serait probablement suffisant si le système était perdu ou volé et empêcherait la plupart des gens d'accéder aux données sur le disque, mais ce n'est certainement pas une sécurité haut de gamme.
user10762
2
Nous utilisons ces SSD Samsung qui utilisent le mot de passe du disque dur dans le BIOS pour se chiffrer: samsung.com/au/consumer/pc-peripherals/solid-state-drive/… J'ai essayé de placer le lecteur chiffré sur une autre machine et Windows pense que le disque n'a pas encore été initialisé.
Matthew Lock
8

Avec tout le respect que je vous dois, il y a un malentendu entre les mots de passe du BIOS et les mots de passe du disque dur. Un autre entre mot de passe et cryptage. Un autre entre la sécurité du disque dur et la puce de sécurité sur le mobo.

  1. Les pwds du BIOS protègent uniquement le processus de démarrage: si le mot de passe n'est pas fourni au BIOS pendant la séquence de mise sous tension, la séquence de mise sous tension est arrêtée. Le BIOS pwd est stocké sur le mobo. À ce stade, le disque n'a même pas été consulté. Le mot de passe du disque dur (le nom réel est ATA Security) est fourni uniquement par le lecteur et non par le BIOS. Les commandes de disque dur sont stockées sur le disque uniquement. Cependant, le BIOS doit demander le pwd à l'utilisateur et le transmettre au lecteur (il n'est pas vérifié non plus par le BIOS). Le disque dur décidera alors s'il déverrouillera le lecteur. Sinon, aucune donnée ne peut être lue ou écrite.

  2. Les mots de passe du disque dur ne sont pas liés au chiffrement du disque. La fonction de sécurité ATA n'est qu'un mécanisme de verrouillage / déverrouillage. Les données peuvent être cryptées ou non par le système, cela est transparent pour le contrôleur de disque dur à bord du disque dur. Notez que certains disques Hitachi Travelstar sont toujours cryptés, mais ne sont pas protégés (la clé de cryptage n'est pas libérée en dehors du lecteur, seul le lecteur le sait). Le but est de brouiller les données, et de les forcer à être lues par la puce HDD uniquement, mais elles sont fournies à tout le monde. La protection ne sera disponible qu'au moyen de la sécurité ATA.

  3. Les mots de passe et les informations d'identification en général peuvent être stockés dans un stockage simple (EEPROM nue) ou dans un stockage intelligent. L'EEPROM nue peut être lue et écrite. Le stockage intelligent est offert par des puces de microcontrôleur (similaires aux cartes MMC) comme le fameux "TPM" (un des standards du Trusted Computing Group). TPM peut stocker des mots de passe ou des clés de chiffrement en toute sécurité. Ils sont associés à l'ordinateur mobo avant d'être utilisés, donc l'échange de TPM entre les ordinateurs ne fonctionne pas. Il n'est pas possible de les lire. Ils ne peuvent être effacés que. Dit simplement que vous fournissez le pwd que vous souhaitez confirmer, la puce dit Oui ou Non mais vous ne pouvez pas deviner quel pwd mènerait à Oui. Le TPM est utilisé par le nouveau BIOS EFI pour garantir que le processus de démarrage est sûr, la signature du logiciel et du matériel de démarrage est stockée dans le TPM. S'ils diffèrent au démarrage,

bitlocké
la source
Alors, comment expliquez-vous que le mot de passe du disque dur peut être contourné par les paramètres du BIOS? (Voir ma réponse.)
jarno
3

Pour le mot de passe de démarrage du BIOS, la réponse est correcte - relativement facile à contourner. Normalement court-circuitez le CMOS.

Pour les verrous de mot de passe du disque dur - je pense qu'ils ont normalement une petite puce cryptographique sur la carte de circuit imprimé. Lorsque vous les activez, la spécification ATA envoie ensuite un signal au BIOS qui se traduit par un contrôle passant à la puce. Il demande ensuite le mot de passe. Initialement, lorsque vous le définissez, il prend le mot de passe, le chiffre et le stocke sur les plateaux de lecteur. Par la suite, lorsque le lecteur est démarré, la puce cryptographique prend le contrôle, recherche le mot de passe et le compare à la copie stockée. S'ils correspondent, la puce cryptographique permet un démarrage ultérieur.

IL Y A DES DÉCRYPTEURS DE LECTEUR. Je ne connais pas les prix, mais je les ai vus. Ils se connectent directement au lecteur et peuvent décrypter ce type de protection. Il pourrait être possible d'échanger des cartes de circuits imprimés, mais cela ne fonctionnerait pas si le fabricant du lecteur était suffisamment intelligent pour déplacer la puce cryptographique à l'intérieur du boîtier le long des plateaux.

Blackbeagle
la source
Je crois que le mot de passe du disque dur ATA n'est pas stocké sur les plateaux de disque, mais juste dans une puce sur la carte système du disque. Mais cela pourrait dépendre du fabricant ...
sleske
"envoie un signal au BIOS qui se traduit par un contrôle passant à la puce" - non. Le bios ou un autre logiciel utilisateur (tel que Linux hdparm) lit le mot de passe et l'envoie au lecteur.
psusi
0

Le mot de passe du disque dur ne semble pas sécurisé. Si je modifie les paramètres du BIOS Sécurité> Contournement du mot de passe> Redémarrer le contournement, quittez le BIOS, démarrez et quand il y a une requête de mot de passe, appuyez sur Ctrl-Alt-Suppr pour redémarrer, le mot de passe ne sera pas demandé et je pourrai lire le lecteur.

jarno
la source