Les disques durs externes Samsung et Crucial victimes de failles de sécurité

Mathieu Grumiaux
Par Mathieu Grumiaux, Expert maison connectée.
Publié le 07 novembre 2018 à 06h58
Fotolia HDD disque dur

Des chercheurs en sécurité affirment que ces failles permettent de récupérer des fichiers chiffrés sans avoir besoin de mot de passe.

Coup dur pour Samsung et Crucial. Les deux marques, parmi les plus gros vendeurs de disques durs externes, sont pointées du doigt pour la découverte de failles de sécurités dans leurs derniers supports de stockage.

Des failles "critiques" d'après les chercheurs

Les chercheurs de l'Université de Radboud, aux Pays-Bas, ont publié un rapport complet détaillant les diverses conséquences de ces trous de sécurité, considérés comme « critiques » par l'étude.

Ils ont constaté que le mot de passe principal de l'un des disques durs testés, utilisé pour déchiffrer ses données, était simplement une chaîne vide et pouvait facilement être exploité. Sur un autre disque dur, le contenu peut être déverrouillé avec n'importe quel mot de passe sans aucun contrôle lors de l'accès aux données.

Les auteurs de l'étude indiquent que même si l'utilisateur a utilisé une solution logicielle pour chiffrer ses données, elle serait inefficace. Sur les ordinateurs Windows notamment, la solution par défaut, basée sur le logiciel BitLocker, repose exclusivement sur le chiffrement matériel... donc criblé de failles.

L'expertise en sécurité pointée du doigt

Les disques MX100, MX200 et MX300 de Crucial, les disques externes USB de T3 et T5 de Samsung ainsi que ses disques durs internes 840 EVO et 850 EVO font partie des modèles incriminés. Mais les chercheurs ont averti que de nombreux autres disques pourraient également être victimes des mêmes failles de sécurité.

L'équipe mettent en cause les bases de données cryptographiques utilisées par les constructeurs. Ces dernières sont fermées et ne prennent pas en compte les découvertes faites par d'autres organismes ou associations en cyber-sécurité. «Les fabricants qui prennent la sécurité au sérieux devraient publier leurs schémas de cryptographie et le code correspondant afin que les revendications de sécurité puissent être vérifiées de manière indépendante » concluent les chercheurs dans leur étude.

Ils encouragent enfin d'utiliser un logiciel de chiffrement open-source et gratuit, comme VeraCrypt, afin de protéger efficacement leurs données et passer outre ces failles de sécurité.

Source :TechCrunch
Mathieu Grumiaux
Par Mathieu Grumiaux
Expert maison connectée

Journaliste pour Clubic, je couvre essentiellement les sujets concernant la maison connectée et les objets connectés, mais aussi les dernières nouvelles de l'industrie du streaming vidéo, entre autres sujets. Je suis également l'actu d'Apple, marque qui m'accompagne depuis mon premier iPod mini en 2005 (ça ne nous rajeunit pas…)

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (4)
Etre_Libre

Bonjour,

Il y a pas mal d’erreur dans la news : à aucun moment il s’agit de disques durs, mais uniquement de SSD… ce qui n’a juste rien à voir.

Badulesia

Bonjour.
Oui pareil cette information a déja été publiée ailleurs, par exemple

Il est question d’une faille dans le chiffrement interne des SSD : il ne s’agit pas de disque dur, au sens mécanique du terme.

cirdan

Ca date pas d’aujourd’hui la confusion sur Clubic entre disques durs et SSD. Du temps de M6 ça revenait régulièrement, et apparemment c’est toujours pas fini. Pas très sérieux pour un site pro.

Krypton_80

“L’équipe MET en cause les bases de données cryptographiques utilisées par les constructeurs.”. Il faudrait aussi faire des progrès en français.

Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles