Tsunami dans le verre d’eau sécurité provoqué par une étude publiée par l’Université de Radboud, Pays-Bas. Rapport qui explique que de nombreux systèmes de stockage « auto chiffrant » utilisant le standard TGL Opal seraient loin de protéger les données contenues en raison de hiatus d’implémentation, et le problème empirerait lorsque Bitlocker, l’outil de chiffrement de Microsoft, serait utilisé. Non pas en raison d’un « suraccident » numérique, mais plus simplement parce que Bitlocker sous Windows 10 (ndlr et peut-être Windows 8.x) préfère, par défaut, déléguer les opérations aux mécanismes de protection intégrés sur le disque plutôt que d’effectuer le travail lui-même. Sur ce dernier point, l’on peut donc plus honnêtement parler de problème de confiance que de faille de sécurité.
Comme de coutume dans le monde du chiffrement, ce ne sont ni les algorithmes utilisés ni l’architecture du système qui sont mis en cause, mais l’intégration de ce même système. On y retrouve presque tous les classiques du genre, comme une « phrase de passe » vide.
Est-ce la fin du monde ? Pas franchement. Le chiffrement des unités de stockage en général et l’utilisation de Bitlocker en particulier ne concernent qu’un nombre restreint d’usagers manipulant des données sensibles, stockées sur des disques susceptibles d’être accessibles à des personnes non autorisées. En outre, l’idée même de « chiffrement intégral » du disque ne constitue une véritable protection que dans le cadre d’une attaque physique du disque. Enfin, il existe une mesure de contournement assez simple, qui consiste à désactiver le chiffrement « matériel » du SSD, ce qui fait basculer Bitlocker en mode exclusif. Une opération préalable de déchiffrement « hard-Opal » puis de re-chiffrement « soft-Bitlocker » est nécessaire, explique-t-on sur Winaero. Propos également repris par le principal concerné, Microsoft, avec une page entièrement consacrée au paramétrage de Bitlocker sur le blog du « response team ».
D’un point de vue pratique, si Crucial et Samsung sont montrés du doigt par les Universitaires de Radboud, cela ne veut pas dire que seules ces deux marques sont coupables de négligence. Le jeu du marché OEM, le « rebranding », voire la loi des séries en matière de mauvaises pratiques disqualifient d’un coup la quasi-totalité du marché des disques SSD auto-chiffrant et rend aux utilitaires logiciels leurs lettres de noblesse. Peut-être un peu plus lents, mais indiscutablement plus sûrs… tant qu’une nouvelle faille ou découverte d’erreur d’implémentation n’est pas découverte, car eux aussi sont victimes d’erreurs d’implémentation.