Des chercheurs néerlandais de l’Université de Radboud (située à Nimègue, aux Pays-Bas) ont découvert d’importantes failles de sécurités sur certains modèles de SSD des marques Samsung et Crucial. D’après leur rapport, décortiqué par TechCrunch, ces failles permettraient notamment de récupérer des informations cryptées sans avoir besoin de connaître un quelconque mot de passe.
Pour parvenir à contourner les protections, les chercheurs de l’université hollandaise ont eu recours à de la rétroingénierie sur les firmwares de plusieurs SSD mis à leur disposition. Parmi les modèles vulnérables au décryptage sauvage de leurs données, les MX100, MX200 et MX300 de Crucial et les T3, T5 (SSD externes), 840 EVO et 850 EVO (très populaires) de Samsung. Décrites comme “assez difficiles à découvrir en partant de zéro”, ces failles critiques pourraient toutefois être exploitées de manière automatisée par des “experts malveillants”, précisent les chercheurs.
Les modèles vulnérables de chez Samsung et Crucial (filiale de Micron Technology) pourraient en outre ne pas être les seuls concernés, est-il précisé dans le rapport, sans plus de détails. Ces failles (deux familles ont été découvertes) sont en outre aggravées par l’utilisation de BitLocker, le système de cryptage de données intégré à Windows.
Des SSD particulièrement vulnérables une fois leurs failles découvertes
Comme le rapporte TechCrunch, le Code Maître de l’un des SSD (servant à décrypter les données du périphérique), n’était en réalité qu’une séquence vide pouvant être facilement exploitée en ajoutant des données extérieures à la mémoire du disque. Un autre SSD testé par les chercheurs de l’Université de Radboud, pouvait quant à lui être déverrouillé par n’importe quelle entrée après avoir paralysé son système de validation des mots de passe.
Les deux constructeurs concernés par ces failles ont été contactés en avril dernier par le National Cyber Security Centre (NCSC) des Pays-Bas, 6 mois avant la publication du rapport émanant de l’Université de Radboud. Pour l’heure, seul Samsung a publié un communiqué accompagné de ses recommandations.
La marque coréenne préconise notamment l’utilisation d’un logiciel de cryptage pour “prévenir de brèches de sécurité potentielles au sein des SSD à auto-cryptage”. Micron, la maison mère de Crucial, s’est pour sa part montrée plus discrète en se contentant d’indiquer à la NCSC qu’un patch était en route. Ce dernier n’a toujours pas été déployé et la firme n’a, pour l’heure, pas souhaité répondre aux demandes de commentaires formulées en début de semaine par TechCrunch.