Empêcher la récupération des mots de passe des clés de cryptage sur Windows
28 juillet 2015
Quels que soient les systèmes de chiffrement utilisés sur Windows, il existe une possibilité assez simple de récupérer les mots de passe protégeant les mots de passe pour protéger vos clés BitLocker, PGP ou TrueCrypt. C’est en scannant les Memory Dump et le fichiers hiberfil.sys que le logiciel Forensic Disk Decryptor édité par ElcomSoft vous permettra de les récupérer. Les spécialistes de la sécurité savent que ce sont les deux 1ères choses à désactiver sur Windows !
Désactiver le mode hibernation
L’activation de la veille prolongée sur les ordinateurs de bureau ou sur les portables se traduit par la présence à la racine du lecteur C: du fichier hiberfil.sys. Vous pouvez désactiver la mise en veille prolongée par la commande :
powercfg -h off
Par GPO via l’éditeur de stratégie (gpedit.msc en local), vous devez aller dans Configuration ordinateur -> Modèles d’administration -> Système -> Gestion de l’alimentation -> Paramètres de la veille. Donnez la valeur Activé aux paramètres Désactiver la veille hybride (secteur) et Désactiver la veille hybride (batterie).
Désactiver le l’écriture des informations de débogage en cas de défaillance du système
Outre le problème à voir se déverser des gigaoctets de données à la racine de votre disque C:, le Memory Dump est un des moyens de récupérer de nombreuses informations sur l’état de votre système et les mots de passe qui y sont mis en cache. Pour désactiver le vidage automatique en cas de défaillance de votre système, vous devez aller dans Panneau de configuration -> Système -> Paramètres système avancés -> Démarrage et récupération -> Paramètres. Choisissez alors aucun dans Écriture des informations de débogage.
Vous pouvez aussi éditer le registre avec regedit.exe et passer la valeur du paramètre CrashDumpEnabled à 0 dans la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl.