Contourner Bitlocker sur Windows 10 grâce aux mises à jour et Shift+F10

Vous connaissez normalement tous Bitlocker, la solution de chiffrement de disque de Microsoft intégrée à Windows.
Si cette protection est activée, en cas de vol du PC, il n’est pas possible d’accéder aux données du disque dur.

Dans la majorité des cas, Bitlocker est configuré avec une clef secrète stockée dans la puce TPM (le coffre-fort matériel de secret intégré d’office aux cartes mères des ordinateurs depuis déjà plusieurs années). Pour faciliter la vie des utilisateurs, le système démarre sans demander de code PIN pour le déverrouiller, va chercher tout seul la clef dans la puce TPM, démarre le système et arrive directement sur l’écran d’authentification de Windows, rendant impossible l’accès au système sans compte valide*.
L’intérêt étant d’allier sécurité (le disque est chiffré) et expérience utilisateur (pas de code PIN à retenir et à saisir à moment du boot).

Mais, un article publié récemment vient « légèrement » changer la donne 😉

Lorsque l’ordinateur se met à jour, au moment du redémarrage, il suffit d’appuyer sur les touches Shift+F10 pour afficher une fenêtre de commande DOS permettant de compromettre le poste et donc de contourner son chiffrement Bitlocker.
La vidéo publiée avec l’article décrit deux méthodes et pour vous faire gagner du temps, voici les endroits intéressants :

  • 1min50 : Il utilise la combinaison magique de touches Shift+F10. Il présente ensuite deux méthodes classiques pour avoir un interpréteur de commande au niveau de la fenêtre d'authentification de Windows
  • 3min30 Méthode 1 : il copie l'interpréteur de commande DOS par-dessus l'outil d'aide à l'accessibilité
  • 5min10 Méthode 2 : il ouvre l'éditeur de registre pour modifier la configuration du système et associe
  • 7min00 : Il appuie 5 fois sur la touche "Shift" pour afficher la fenêtre des raccourcis d'accessibilité, qui est remplacée par un interpréteur de commande DOS, exécuté en tant que SYSTEM et là, c’est fini... il peut reconfigurer totalement le poste, ajouter des utilisateurs...

Je viens de tester sur un Windows 10 et cela fonctionne parfaitement :
alt

En regardant rapidement, j’ai vu que la combinaison de touches était connue depuis 2013 mais sans doute pas pour cet usage 😆. Je n’ai pas testé avec les autres solutions de chiffrement ne demandant pas de code au démarrage du système, mais je suppose que la problématique est exactement la même.

On peut imaginer deux scénarios évidents :

  • Un utilisateur non administrateur de son poste et malveillant peut attendre la prochaine mise à jour pour se donner les droits d’administrateur local pour ensuite tenter d’aller plus loin dans la compromission du poste, du réseau ou pour exfiltrer des données ;
  • Très souvent, les politiques des entreprises sont configurées pour lancer les mises à jour le soir, quand les gens ont quitté les bureaux. On peut imaginer une cousine de l’attaque « Evil Maid », avec une femme (ou homme) de ménage malveillante passant dans les bureaux le soir et compromettant des postes en ajoutant par exemple une tache planifiée exécutant un Malware (ou plutôt un « trojan ») stocké sur une clef USB, car les périphériques USB sont directement montés :

alt