Où est stocké un mot de passe de démarrage ou de mise sous tension ?

1. BIOS/UEFI (micrologiciel) :

* L'emplacement le plus courant : C'est l'endroit le plus fréquent où vous trouverez les mots de passe de démarrage/mise sous tension. Le BIOS (Basic Input/Output System) ou son remplacement moderne, UEFI (Unified Extensible Firmware Interface), est un programme de micrologiciel qui s'exécute lorsque vous allumez votre ordinateur pour la première fois. Il initialise le matériel, puis confie le contrôle au système d'exploitation.

* Stockage non volatile : Le mot de passe (souvent une version hachée, pour des raisons de sécurité) est stocké dans la mémoire non volatile de la puce du micrologiciel de la carte mère. Cette mémoire conserve son contenu même lorsque l'ordinateur est éteint. Les types courants de mémoire non volatile utilisés incluent l’EEPROM (mémoire morte programmable électriquement effaçable) et la mémoire flash.

* Comment ça marche : Lorsque l'ordinateur démarre, le BIOS/UEFI recherche un mot de passe. S'il en est un, le système invitera l'utilisateur à le saisir *avant* le chargement du système d'exploitation. Si le mot de passe correct est saisi, le processus de démarrage continue. Si un mot de passe incorrect est saisi trop de fois, le système peut se verrouiller ou nécessiter un code administrateur spécial pour réinitialiser le mot de passe (s'il est configuré).

* Considérations de sécurité : Bien que pratique, le stockage du mot de passe dans le BIOS/UEFI n'est pas parfaitement sécurisé. Il existe des méthodes (même si elles nécessitent souvent un accès physique à l'ordinateur) pour contourner ou réinitialiser un mot de passe BIOS/UEFI, telles que :

* Réinitialisation de la batterie CMOS : Le retrait de la pile CMOS de la carte mère (une petite pile en forme de pièce de monnaie) réinitialise souvent les paramètres du BIOS, y compris le mot de passe. Cependant, cela réinitialise également d’autres paramètres du BIOS, ce n’est donc pas idéal.

* Paramètres des cavaliers : Certaines cartes mères comportent des cavaliers qui, une fois reconfigurés, peuvent forcer une réinitialisation du BIOS.

* Clignotement du BIOS : Dans certains cas, il est possible de re-flasher la puce BIOS avec une nouvelle image du micrologiciel, effaçant ainsi l'ancien mot de passe. Il s'agit d'une technique plus avancée qui comporte un risque de destruction de la carte mère si elle n'est pas effectuée correctement.

* Piratage matériel : Des attaquants sophistiqués disposant d’un équipement spécialisé peuvent parfois accéder directement au contenu de la puce du micrologiciel et la manipuler.

2. TPM (Module de plateforme sécurisée) :

* Sécurité basée sur le matériel : Un TPM est une puce de sécurité dédiée sur la carte mère qui fournit des fonctionnalités de sécurité matérielles. Il peut être utilisé pour stocker en toute sécurité des clés cryptographiques, y compris celles liées à l'authentification.

* Démarrage mesuré : Les TPM sont souvent utilisés conjointement avec des processus de « démarrage mesuré » ou de « démarrage sécurisé ». Dans ce cas, le TPM mesure le processus de démarrage, en prenant les hachages cryptographiques du chargeur de démarrage, du noyau du système d'exploitation et d'autres composants critiques. Ces mesures sont stockées dans le TPM, et le TPM peut être configuré pour libérer certaines clés uniquement si le processus de démarrage est jugé « fiable » (c'est-à-dire que les mesures correspondent aux valeurs attendues). Cela permet de protéger contre les logiciels malveillants au démarrage.

* BitLocker (Windows) et chiffrement similaire : Les TPM sont couramment utilisés pour stocker les clés des technologies de chiffrement complet du disque telles que Microsoft BitLocker. Alors que BitLocker lui-même utilise un mot de passe ou un code PIN, la *clé* permettant de déchiffrer le lecteur est souvent stockée dans le TPM. Cela signifie que si le TPM détecte une falsification du processus de démarrage, il peut refuser de libérer la clé, empêchant ainsi le déchiffrement du lecteur.

* Sécurité améliorée : Le stockage des clés dans un TPM est généralement plus sécurisé que leur stockage directement dans le BIOS, car le TPM est une puce de sécurité dédiée dotée de fonctionnalités inviolables.

3. Solutions logicielles de chiffrement complet du disque (FDE) :

* Niveau du système d'exploitation : Des solutions telles que VeraCrypt, LUKS (Linux Unified Key Setup) et FileVault (macOS) chiffrent l'intégralité du disque dur. Le mot de passe que vous entrez pour déverrouiller le lecteur est utilisé pour obtenir la clé de déchiffrement.

* Stockage des clés : La clé de cryptage elle-même (ou une partie de celle-ci) *pourrait* être stockée sur le disque sous une forme cryptée, protégée par votre mot de passe. Cependant, de bonnes implémentations utilisent des fonctions de dérivation de clé (KDF) qui rendent difficile, sur le plan informatique, la déduction de la clé de déchiffrement à partir du seul mot de passe. Souvent, ils nécessitent à la fois le mot de passe *et* un secret spécifique au matériel (comme un TPM).

* Modification du chargeur de démarrage : Ces solutions modifient souvent le chargeur de démarrage pour demander le mot de passe *avant* le chargement du système d'exploitation. Cela permet à l'intégralité du disque d'être déchiffré avant le démarrage du système d'exploitation.

* Complexité du mot de passe : La sécurité de ces solutions dépend fortement de la force de votre mot de passe. Un mot de passe faible permet à un attaquant de forcer beaucoup plus facilement la clé et de déchiffrer le lecteur.

4. Cartes à puce/jetons matériels :

* Sécurité externe : Certains systèmes prennent en charge l'authentification à l'aide de cartes à puce ou de jetons matériels. Ces appareils stockent les clés d'authentification en toute sécurité et nécessitent la possession physique de l'appareil pour se connecter.

* Comment ils fonctionnent : Lorsque vous démarrez l'ordinateur, vous serez invité à insérer la carte à puce ou à connecter le jeton matériel. Le système communique avec l'appareil pour vérifier votre identité.

* Haute sécurité : Les cartes à puce et les jetons matériels offrent un haut niveau de sécurité, car les clés d'authentification ne sont pas stockées sur l'ordinateur lui-même.

En résumé :

* Très probablement : Le mot de passe de démarrage/mise sous tension est stocké dans le micrologiciel BIOS/UEFI.

* De plus en plus courant : Les TPM sont de plus en plus répandus pour sécuriser les clés, notamment en conjonction avec le chiffrement complet du disque.

* Système d'exploitation contrôlé : Les solutions de chiffrement complet du disque stockent les clés (ou les versions chiffrées des clés) sur le disque, souvent à l'aide d'un TPM.

* Sécurité la plus élevée : Les cartes à puce/jetons matériels stockent les clés d'authentification en toute sécurité à l'extérieur de l'ordinateur.

Considérations importantes :

* Force du mot de passe : Quel que soit l'endroit où le mot de passe est stocké, utilisez un mot de passe fort et unique.

* Pratiques de sécurité : Activez des fonctionnalités telles que le démarrage sécurisé et la prise en charge du TPM dans vos paramètres BIOS/UEFI, si disponibles.

* Sécurité physique : Protégez la sécurité physique de votre ordinateur pour empêcher les attaquants d'accéder au matériel.

* Sauvegarde et récupération : Assurez-vous de disposer d'un plan de sauvegarde et de récupération en cas d'oubli de votre mot de passe ou de dysfonctionnement de votre système. Pour les lecteurs chiffrés, suivez attentivement les procédures de récupération décrites par votre logiciel de chiffrement. Perdre la clé de cryptage équivaut à perdre toutes les données du disque.

L'emplacement spécifique et les mécanismes de sécurité dépendent du matériel, des logiciels et des paramètres de sécurité du système. Consultez la documentation de votre ordinateur ou la documentation de votre logiciel de chiffrement spécifique pour plus d'informations.