C'est qui ce Ivan ? Quelle est l'intention du partage de ce lien : juste "alerter" que les forces de l'ordre peuvent déchiffrer un disque dur ? Ou autre chose ?
En lisant l'article, j'avais quand même un fort sentiment de pas savoir où j'avais les pieds. Sentiment Ô combien désagréable.
Un peu pareil mais je me suis raccroché à ce bout là :
Celui du travail, sur lequel est installé Windows, est chiffré avec BitLocker. (…) Dans le PV, ils expliquent seulement qu’ils ont démarré l’ordinateur avec une clef USB bootable et que, ensuite, ils ont utilisé le logiciel AccesData FTK imager 3.3.05 pour copier le disque dur. Mais ils ne parlent pas du déchiffrement en soi.
Mon ordinateur personnel, qui tourne avec Ubuntu 18, est chiffré avec Luks (le mot de passe est de plus de vingt caractères : lettres, chiffres, signes de ponctuation…). Je n’ai trouvé dans le dossier aucune indication sur le moyen qu’ils ont utilisé pour le déchiffrer, mais là aussi ils ont fait une copie du disque dur. Il y a même des fichiers qui avaient été effacés et des e-mails qui avaient été téléchargés avec Thunderbird (et ensuite effacés).
D'ailleurs, ils font toujours des copies des disques bruts avant de travailler dessus pour éviter de détruire une pièce à conviction. Ça ne veut pas dire qu'ils l'ont déchiffrés.
Ensuite, j'ai compris que dans le dossier il y avait une copie de certains mails supprimés. Est-ce que ça vient forcément des disques ou de demandes juridiques auprès des serveurs ou de perquisitions chez d'autres personnes ? Pas très clair.
Posté par bistouille .
Évalué à 7.
Dernière modification le 11 avril 2023 à 11:32.
Idem, sans contexte c'est difficile de comprendre.
De ce que j'ai compris Ivan serait un anarchiste administrant le site bureburebure.info dédié à la lutte contre le site d'enfouissement de déchets nucléaires dans la Meuse.
Sur ce site figurent quelques billets d'info des luttes qui relatent avec satisfaction et emphase des incendies de véhicules d'entreprises comme Enedis, Eiffage, ou d'un journal ("L'Est Républicain").
Par association, Ivan est donc accusé d'être l'auteur de dégradations ou de menaces sur des biens ou des personnes, et à ce titre il est en détention à Villepinte en attente d'être jugé. Dans le cadre de l'instruction, des PCs lui appartenant ont été saisis et envoyés aux experts pour analyse.
Pas certain d'avoir vraiment compris mais: les enquêteurs auraient réussi à accéder à des données dans des partitions chiffrées sur ses machines?
les enquêteurs auraient réussi à accéder à des données dans des partitions chiffrées sur ses machines?
IL dit bien que son PC personnel sous Ubuntu 18 chiffré avec Luks, a été déchiffré et il précise même que des fichiers et emails effacés ont été retrouvés. Pour celui "de son travail" sous Windows chiffré avec BitLocker, il n'en sait rien.
Ivan : "Mais je pense que le fait même qu’ils aient pu avoir accès à des disques durs chiffrés avec des logiciels censés être inviolables doit être connu le plus largement possible".
Quand il dit "avoir accès" il entend par là sans doute "avoir pu déchiffrer et lire". Tous les courriers entrants et sortants de sa cellule étant systématiquement inspectés, il ne cherche sans doute pas à être plus précis (je suis déjà étonné que de telles infos soient passées…) Et au passage, je pense que c'est cette phrase qui a motivé l'auteur du lien.
Je me suis posé les mêmes questions que vous, surtout étonné par le fait qu'on puisse déchiffrer facilement un disque chiffré avec cryptsetup. Pour « bitlocker » je ne suis pas du tout étonné.
Donc pour cryptsetup, mes hypothèses:
- choix d'un algo trop facile à déchiffrer (il a peut-être du vieux matos et privilégié la rapidité en changeant l'algo choisi par défaut ou en suivant un tuto de la CIA).
- les services secrets ont asséché les stocks de carte graphiques du marché pour monter leur hashrate. Et dire qu'on accusait le bitcoin.
- quelqu'un de l'entourage de « Ivan » a parlé. Ou alors il avait noté son mot de passe sous son clavier, qui a été inspecté lors de la saisie.
- et je n'y avais pas pensé en effet, mais les mails versés au dossier ne viennent peut-être pas de son thunderbird.
Mais si c'est de la force brute sur son disque, cela signifie qu'un mot de passe de 20 caractères avec un large spectre (pas seulement [:ALNUM:] ) serait décodé facilement et rapidement. Le gars n'a pas l'air exactement super dangereux, et amha son dossier n'est pas en haut de la pile du juge anti-terroriste (qui met plus d'un mois à lire son courrier). Donc le coût de déchiffrage est forcément négligeable, si c'est bien ça.
Discussions en français sur la création de jeux videos : IRC freenode / #gamedev-fr
Posté par Psychofox (Mastodon) .
Évalué à 5.
Dernière modification le 11 avril 2023 à 13:16.
Si sa passphrase est basée sur des mots réels ce n'est pas forcément très compliqué. Je serais enquêteur en dehors des combinaisons des noms/prénoms de connaissances, des animaux de compagnie, je commencerais par prendre des copies digitales de tous les livres et disques de la bibliothèque du suspect pour y mettre des titres, des noms d'auteurs, les premiers et derniers mots de chaque chapitre, les infos d'un CV ainsi que des combinaisons en leet speak.
Ça peut être compliqué pour un voleur qui récupère ton pc, mais quand on peut créer un dictionnaire via tous les indices biographiques et de perquisition, ça peut accélérer grandement les choses et on peut tenter du bruteforce sur des dictionnaires pas trop énormes en terme de taille.
Après l'auteur mentionne utiliser ubuntu 18 mais ne précise pas si toute. Il y a eu des erreurs sur certaines versions d'ubuntu où les passphrases étaient stockées dans des fichiers. Exemple: https://github.com/Staubgeborener/CVE-2020-11932
Si seulement le home mais pas tout le disque était chiffré et la passphrase est dedans, c'est game over.
Personnellement je chiffre mes données dans l'unique but de les protéger face à un vol ou une perte mais je ne me fais aucune illusion face à une équipe d'experts en forensique.
Posté par jseb .
Évalué à 4.
Dernière modification le 11 avril 2023 à 14:23.
Ce que tu décris ne parait pas s'adapter à un rigolo (pardon pour l'OP) qui écrit sur « paris-luttes ». Les moyens à mettre en œuvre sont quelque peu disproportionnés par rapport au gibier qui sera surement remis dans la nature sans autre forme de procès.
Mis à part le cas du forensiqueur qui s'ennuie, ou qui en veut à l'OP pour une raison ou pour une autre.
D'où mon hypothèse qu'il y a peut-être des centres de calculs à qui 20 caractères ne font pas du tout peur.
Discussions en français sur la création de jeux videos : IRC freenode / #gamedev-fr
Ce que tu décris ne parait pas s'adapter à un rigolo (pardon pour l'OP) qui écrit sur « paris-luttes ». Les moyens à mettre en œuvre sont quelque peu disproportionnés par rapport au gibier qui sera surement remis dans la nature sans autre forme de procès.
S'il est jugé coupable des faits je ne crois pas. D'après ce que j'ai compris on parle de menace sur des biens mais aussi des personnes, donc c'est considéré plus ou moins comme du terrorisme.
Mis à part le cas du forensiqueur qui s'ennuie, ou qui en veut à l'OP pour une raison ou pour une autre.
Je ne crois pas que c'est l'expert en forensique qui choisit ça mais le juge d'instruction ou l'officier mandaté pour cela.
D'où mon hypothèse qu'il y a peut-être des centres de calculs à qui 20 caractères ne font pas du tout peur.
J'imagine que des experts peuvent avoir accès à du classe F voir mieux maintenant. Il y a sûrement des entreprises privées qui louent maintenance ce genre de service aux services de police et aux gouvernements. On est clairement dans le genre d'infra qui peut être difficile à justifier pour une entité individuelle mais relativement facile de mutualiser.
Je plusseoie le commentaire ci-dessus : en fait, rien n’indique clairement que les disques durs ont été réellement déchiffrés. La copie des disques est une procédure standard, cf le blog de Zythom pour plein de détails sur le fonctionnement d’une expertise judiciaire (il n’est plus expert judiciaire maintenant, certaines techniques ont pu évoluer, mais le fond devrait rester le même. Ah, et certains articles sont durs à lire aussi, normal, vu le thème…)
Les fichiers et surtout les emails peuvent provenir d’une autre source (fichier qui s’est retrouvé sur une partition temporaire non chiffrée – c’est très facile à faire si on se plante dans le partitionnement –, emails qui, par nature, sont copiés partout dans la nature…)
Je pousse un peu plus loin mes investigations. Comment ai-je pu trouver des données en clair au milieu d’un disque dur chiffré ? Après quelques heures d’analyse avec mon éditeur hexadécimal, je comprends que le système d’exploitation de l’ordinateur portable que j’ai à analyser a un petit défaut (corrigé par Apple depuis) : lorsque les batteries de l’ordinateur arrivent au bout du bout, l’ordinateur fait en urgence une copie non chiffrée de la mémoire sur le disque dur, pour permettre une récupération des données de l’ordinateur lors du redémarrage. C’est ce dump que je peux explorer en clair, avec la chance d’y trouver la trace d’accès au fichier demandé…
# Les limites des liens...
Posté par Dring . Évalué à 8.
…sont ici atteintes.
C'est qui ce Ivan ? Quelle est l'intention du partage de ce lien : juste "alerter" que les forces de l'ordre peuvent déchiffrer un disque dur ? Ou autre chose ?
En lisant l'article, j'avais quand même un fort sentiment de pas savoir où j'avais les pieds. Sentiment Ô combien désagréable.
[^] # Re: Les limites des liens...
Posté par alkino . Évalué à 7.
Un peu pareil mais je me suis raccroché à ce bout là :
D'ailleurs, ils font toujours des copies des disques bruts avant de travailler dessus pour éviter de détruire une pièce à conviction. Ça ne veut pas dire qu'ils l'ont déchiffrés.
Ensuite, j'ai compris que dans le dossier il y avait une copie de certains mails supprimés. Est-ce que ça vient forcément des disques ou de demandes juridiques auprès des serveurs ou de perquisitions chez d'autres personnes ? Pas très clair.
[^] # Re: Les limites des liens...
Posté par bistouille . Évalué à 7. Dernière modification le 11 avril 2023 à 11:32.
Idem, sans contexte c'est difficile de comprendre.
De ce que j'ai compris Ivan serait un anarchiste administrant le site bureburebure.info dédié à la lutte contre le site d'enfouissement de déchets nucléaires dans la Meuse.
Sur ce site figurent quelques billets d'info des luttes qui relatent avec satisfaction et emphase des incendies de véhicules d'entreprises comme Enedis, Eiffage, ou d'un journal ("L'Est Républicain").
Par association, Ivan est donc accusé d'être l'auteur de dégradations ou de menaces sur des biens ou des personnes, et à ce titre il est en détention à Villepinte en attente d'être jugé. Dans le cadre de l'instruction, des PCs lui appartenant ont été saisis et envoyés aux experts pour analyse.
Pas certain d'avoir vraiment compris mais: les enquêteurs auraient réussi à accéder à des données dans des partitions chiffrées sur ses machines?
[^] # Re: Les limites des liens...
Posté par Yves Bourguignon . Évalué à 3.
IL dit bien que son PC personnel sous Ubuntu 18 chiffré avec Luks, a été déchiffré et il précise même que des fichiers et emails effacés ont été retrouvés. Pour celui "de son travail" sous Windows chiffré avec BitLocker, il n'en sait rien.
Quand il dit "avoir accès" il entend par là sans doute "avoir pu déchiffrer et lire". Tous les courriers entrants et sortants de sa cellule étant systématiquement inspectés, il ne cherche sans doute pas à être plus précis (je suis déjà étonné que de telles infos soient passées…) Et au passage, je pense que c'est cette phrase qui a motivé l'auteur du lien.
[^] # Re: Les limites des liens...
Posté par Renault (site web personnel) . Évalué à 3.
Si son système n'est pas à jour, rien ne dit que son chiffrement de disque ne souffre pas d'une faille corrigée depuis.
[^] # Re: Les limites des liens...
Posté par jseb . Évalué à 5.
Je me suis posé les mêmes questions que vous, surtout étonné par le fait qu'on puisse déchiffrer facilement un disque chiffré avec cryptsetup. Pour « bitlocker » je ne suis pas du tout étonné.
Donc pour cryptsetup, mes hypothèses:
- choix d'un algo trop facile à déchiffrer (il a peut-être du vieux matos et privilégié la rapidité en changeant l'algo choisi par défaut ou en suivant un tuto de la CIA).
- les services secrets ont asséché les stocks de carte graphiques du marché pour monter leur hashrate. Et dire qu'on accusait le bitcoin.
- quelqu'un de l'entourage de « Ivan » a parlé. Ou alors il avait noté son mot de passe sous son clavier, qui a été inspecté lors de la saisie.
- et je n'y avais pas pensé en effet, mais les mails versés au dossier ne viennent peut-être pas de son thunderbird.
Mais si c'est de la force brute sur son disque, cela signifie qu'un mot de passe de 20 caractères avec un large spectre (pas seulement [:ALNUM:] ) serait décodé facilement et rapidement. Le gars n'a pas l'air exactement super dangereux, et amha son dossier n'est pas en haut de la pile du juge anti-terroriste (qui met plus d'un mois à lire son courrier). Donc le coût de déchiffrage est forcément négligeable, si c'est bien ça.
Discussions en français sur la création de jeux videos : IRC freenode / #gamedev-fr
[^] # Re: Les limites des liens...
Posté par Psychofox (Mastodon) . Évalué à 5. Dernière modification le 11 avril 2023 à 13:16.
Si sa passphrase est basée sur des mots réels ce n'est pas forcément très compliqué. Je serais enquêteur en dehors des combinaisons des noms/prénoms de connaissances, des animaux de compagnie, je commencerais par prendre des copies digitales de tous les livres et disques de la bibliothèque du suspect pour y mettre des titres, des noms d'auteurs, les premiers et derniers mots de chaque chapitre, les infos d'un CV ainsi que des combinaisons en leet speak.
Ça peut être compliqué pour un voleur qui récupère ton pc, mais quand on peut créer un dictionnaire via tous les indices biographiques et de perquisition, ça peut accélérer grandement les choses et on peut tenter du bruteforce sur des dictionnaires pas trop énormes en terme de taille.
https://www.forensicfocus.com/articles/bruteforcing-linux-full-disk-encryption-luks-with-hashcat/
Après l'auteur mentionne utiliser ubuntu 18 mais ne précise pas si toute. Il y a eu des erreurs sur certaines versions d'ubuntu où les passphrases étaient stockées dans des fichiers. Exemple:
https://github.com/Staubgeborener/CVE-2020-11932
Si seulement le home mais pas tout le disque était chiffré et la passphrase est dedans, c'est game over.
On ne sait pas non plus comment la perquisition a été faite. Si le pc fonctionnait et que la mémoire a été congelée et dumpée, il est tout à fait possible de chercher la clé en mémoire sur la copie:
https://www.usenix.org/legacy/event/sec08/tech/full_papers/halderman/halderman_html/index.html
https://diyinfosec.medium.com/scanning-memory-for-fek-e17ca3db09c9
Personnellement je chiffre mes données dans l'unique but de les protéger face à un vol ou une perte mais je ne me fais aucune illusion face à une équipe d'experts en forensique.
[^] # Re: Les limites des liens...
Posté par jseb . Évalué à 4. Dernière modification le 11 avril 2023 à 14:23.
Ce que tu décris ne parait pas s'adapter à un rigolo (pardon pour l'OP) qui écrit sur « paris-luttes ». Les moyens à mettre en œuvre sont quelque peu disproportionnés par rapport au gibier qui sera surement remis dans la nature sans autre forme de procès.
Mis à part le cas du forensiqueur qui s'ennuie, ou qui en veut à l'OP pour une raison ou pour une autre.
D'où mon hypothèse qu'il y a peut-être des centres de calculs à qui 20 caractères ne font pas du tout peur.
Discussions en français sur la création de jeux videos : IRC freenode / #gamedev-fr
[^] # Re: Les limites des liens...
Posté par Psychofox (Mastodon) . Évalué à 6.
S'il est jugé coupable des faits je ne crois pas. D'après ce que j'ai compris on parle de menace sur des biens mais aussi des personnes, donc c'est considéré plus ou moins comme du terrorisme.
Je ne crois pas que c'est l'expert en forensique qui choisit ça mais le juge d'instruction ou l'officier mandaté pour cela.
Ces données datent de 2018:
https://web.archive.org/web/20180412051235/http://www.lockdown.co.uk/?pg=combi&s=articles
J'imagine que des experts peuvent avoir accès à du classe F voir mieux maintenant. Il y a sûrement des entreprises privées qui louent maintenance ce genre de service aux services de police et aux gouvernements. On est clairement dans le genre d'infra qui peut être difficile à justifier pour une entité individuelle mais relativement facile de mutualiser.
[^] # Re: Les limites des liens...
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 5.
Je plusseoie le commentaire ci-dessus : en fait, rien n’indique clairement que les disques durs ont été réellement déchiffrés. La copie des disques est une procédure standard, cf le blog de Zythom pour plein de détails sur le fonctionnement d’une expertise judiciaire (il n’est plus expert judiciaire maintenant, certaines techniques ont pu évoluer, mais le fond devrait rester le même. Ah, et certains articles sont durs à lire aussi, normal, vu le thème…)
Les fichiers et surtout les emails peuvent provenir d’une autre source (fichier qui s’est retrouvé sur une partition temporaire non chiffrée – c’est très facile à faire si on se plante dans le partitionnement –, emails qui, par nature, sont copiés partout dans la nature…)
La connaissance libre : https://zestedesavoir.com
[^] # Re: Les limites des liens...
Posté par kna . Évalué à 6.
Ça lui est d'ailleurs arrivé de trouver des données en clair sur un disque chiffré
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.