La lecture indiscrète de la mémoire vive, même appartenant à un ordinateur hors tension, a fait l’objet de très nombreuses publications ces derniers mois. L’une des plus spectaculaires (ce qui ne signifie pas l’une des plus efficaces) a été publiée par l’université de Princeton. Elle reposait sur la « rémanence » d’une cellule CMos qui, à basse température, permet de conserver une information durant une très grande période. De là à imaginer « congeler » les données en RAM à coup de bombes aérosol réfrigérantes, il n’y a qu’un pas, que franchirent les universitaires. L’affaire fit grand bruit, éclipsant d’autres techniques, telles que celles de Matthieu Suiche et Nicolas Ruff avec SandMan , de MSRamDump de McGrew, voir encore l’intrusion via bus Firewire d’Adam Boileau.
La pince Monseigneur des Saigneurs de Princeton
Depuis le début de ce mois, le code d’aspiration de Princeton est disponible en téléchargement. Il s’agit en fait d’un outil de boot en PXE (ou via une clef usb à la mode McGrew), d’un dump mémoire, d’un récupérateur de clefs AES… bref, de l’indispensable panoplie qui offrira à l’administrateur la possibilité de récupérer un certain nombre de mots de passe « oubliés ».
Il existe un moyen très simple de contrer de telles attaques. En forçant un RAZ matériel de la mémoire déclenché par le processus d’extinction de l’ordinateur (latché par le shutdown disent les hommes du hard). Cette fonction ne coûterait que quelques millièmes de Cent aux constructeurs de barrettes mémoire.
