Des chercheurs en sécurité affirment que ces failles permettent de récupérer des fichiers chiffrés sans avoir besoin de mot de passe.
Coup dur pour Samsung et Crucial. Les deux marques, parmi les plus gros vendeurs de disques durs externes, sont pointées du doigt pour la découverte de failles de sécurités dans leurs derniers supports de stockage.
Des failles "critiques" d'après les chercheurs
Les chercheurs de l'Université de Radboud, aux Pays-Bas, ont publié un rapport complet détaillant les diverses conséquences de ces trous de sécurité, considérés comme « critiques » par l'étude.Ils ont constaté que le mot de passe principal de l'un des disques durs testés, utilisé pour déchiffrer ses données, était simplement une chaîne vide et pouvait facilement être exploité. Sur un autre disque dur, le contenu peut être déverrouillé avec n'importe quel mot de passe sans aucun contrôle lors de l'accès aux données.
Les auteurs de l'étude indiquent que même si l'utilisateur a utilisé une solution logicielle pour chiffrer ses données, elle serait inefficace. Sur les ordinateurs Windows notamment, la solution par défaut, basée sur le logiciel BitLocker, repose exclusivement sur le chiffrement matériel... donc criblé de failles.
L'expertise en sécurité pointée du doigt
Les disques MX100, MX200 et MX300 de Crucial, les disques externes USB de T3 et T5 de Samsung ainsi que ses disques durs internes 840 EVO et 850 EVO font partie des modèles incriminés. Mais les chercheurs ont averti que de nombreux autres disques pourraient également être victimes des mêmes failles de sécurité.L'équipe mettent en cause les bases de données cryptographiques utilisées par les constructeurs. Ces dernières sont fermées et ne prennent pas en compte les découvertes faites par d'autres organismes ou associations en cyber-sécurité. «Les fabricants qui prennent la sécurité au sérieux devraient publier leurs schémas de cryptographie et le code correspondant afin que les revendications de sécurité puissent être vérifiées de manière indépendante » concluent les chercheurs dans leur étude.
Ils encouragent enfin d'utiliser un logiciel de chiffrement open-source et gratuit, comme VeraCrypt, afin de protéger efficacement leurs données et passer outre ces failles de sécurité.
Source :TechCrunch