VeraCrypt 1.2x implémente un bureau sécurisé pour éviter les keyloggers : comment l'activer

VeraCrypt 1.2x implémente un bureau sécurisé pour éviter les keyloggers : comment l’activer

FreeBSD désormais supporté !

Avatar de l'auteur
David Legrand

Publié dans

Logiciel

16/08/2017 3 minutes
19

VeraCrypt 1.2x implémente un bureau sécurisé pour éviter les keyloggers : comment l'activer

VeraCrypt a profité de l'été pour se renforcer. L'outil de chiffrement de périphériques de stockage supporte FreeBSD, dispose de meilleures performances et propose un bureau sécurisé. Une fonctionnalité qui n'est pas (encore ?) active par défaut.

Au début de l'été, VeraCrypt a subi quelques mises à jour passées inaperçues, mais qui ont leur importance. Elles inaugurent en effet la branche 1.2x de l'outil de chiffrement des données, qui apporte de nombreuses améliorations et autres nouveautés. 

Support de FreeBSD, amélioration des performances

Parmi elles, on compte tout d'abord le support de FreeBSD, introduit avec la version 1.21. Le système d'exploitation fait ainsi son entrée dans la liste des téléchargements aux côtés de Linux, macOS, Raspbian et Windows :

L'équipe indique aussi que les performances ont été optimisées pour Twofish, Camelia et SHA-256/512. L'ASLR a été mis en place, on a droit à un support de ReFS sous Windows 10 lors de la création de volumes et la documentation passe d'une version PDF à HTML.

Implémentation d'un bureau sécurisé (Secure Desktop)

Mais c'est une autre fonctionnalité qui a attiré notre attention : la possibilité d'utiliser un bureau sécurisé (Secure Desktop) sous Windows. Derrière ce nom se cache une possibilité déjà exploitée par quelques outils, notamment des gestionnaires de mots de passe tels que KeePass ou 1Password.

Elle permet de demander à l'utilisateur de taper son mot de passe dans une fenêtre qui est située dans un bureau indépendant du reste du système, qui ne contient rien d'autre. Ainsi, une application tierce ne pourra pas tenter d'y accéder, ce qui permet d'éviter les menaces de type keylogger. 

Un simple paramètre à activer

Cette fonctionnalité n'est pas active par défaut. Elle peut être mise en place de deux manières : via l'interface ou en ligne de commande. Dans tous les cas, il vous faudra disposer au moins de la version 1.20 de VeraCrypt sous Windows.

Pour une activation permanente, il faut vous rendre dans les préférences de l'application (Paramètres > Préférences dans le menu principal), puis dans la section Windows. Ici, une option Utiliser le Bureau Sécurisé pour la demande de mot de passe sera présente :

VeraCrypt Secure DesktopVeraCrypt Secure Desktop

Une fois cochée, VeraCrypt ouvrira un bureau spécifique sur fond noir dès qu'il devra faire apparaître la fenêtre de demande de mot de passe pour le montage d'un volume. Notez que ce n'est pas le cas dans la phase de création.

Une activation à la demande est possible

Cette option peut aussi être activée à la demande via la ligne de commande. Pour cela, il suffit de lancer VeraCrypt avec un argument spécifique. Ainsi, le bureau sécurisé sera affiché même si l'option n'est pas active dans les paramètres, et ce, jusqu'au prochain lancement :

"C:\Program Files\VeraCrypt\VeraCrypt.exe" /secureDesktop

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Support de FreeBSD, amélioration des performances

Implémentation d'un bureau sécurisé (Secure Desktop)

Un simple paramètre à activer

Une activation à la demande est possible

Commentaires (19)


En effet, je ne connaissais pas cette fonctionnalité sous VeraCrypt (je suis pourtant en 1.2x), merci pour l’info :&nbsp;<img data-src=" />


C’est cool de voir que le produit continue d’évoluer :)


J’ai jamais compris clairement le concept de bureau sécurisé sous Windows. Du coup je balance pêle-mêle les questions que je me pose :

-Cela correspond à quoi ?

-Quand Windows demande de confirmer une action en assombrissant l’écran, ou dans ce genre de cas, est-ce la même chose ?

-Il se passe quoi, outre la disparition ou l’assombrissement des fenêtres de fond ?

-Est-ce que ce sont des méthodes développées dans chacune des applications ou bien des appels à des fonctions sécurisées du noyau de l’OS ?

-En quoi cela empêche les keyloggers ou autres processus en arrière-plan de “scruter” les saisies clavier/souris ?



Merci à ceux qui savent et qui auront le courage d’expliquer un peu tout ça :)


Plutôt intéressant tout ça !


D’après ce que je comprends les Keyloggers surveillent les frappes clavier d’un seul bureau virtuel.

Si le keylogger est développé pour surveiller le bureau virtuel de VeraCrypt, il pourra tout de même le lire, mais il faudra que ce soit implémenté.

En tout cas c’est ce que j’en ai retiré en lisant l’article et le lien sur KeePass:



“Most currently available keyloggers only work on the user’s primary desktop and do not capture keypresses on the secure desktop. So, the secure desktop protects the master key against most keyloggers.”


Un super post (en englais) sur StackExchange qui explique même le cas Keepass :)



J’ai du mal à comprendre cette distinction. J’ai déjà “travaillé” avec un keylogger, et celui-ci s’occupait bêtement de surveiller les codes renvoyés juste au-dessus du pilote du clavier. Donc de manière totalement indépendante des innombrables couches logicielles situées au-dessus du pilote. En tout cas c’est ce que j’en avais compris.


Un doc qui peut t’intéresser concernant une attaque qui avait porté ses fruits concernant 1Password à une époque :&nbsphttps://www.blackhat.com/docs/sp-14/materials/arsenal/sp-14-Almeida-Bypassing-th…


Je pense qu’on parle de&nbsp;keylogger avec moins de droit, qui peuvent se lancer sans faire tout clignoter, et qui sont donc limité dans leur actions



edit : ah bah, je vais lire :)


SecureDesktop permet de créer un “bureau virtuel” pour un contexte d’utilisation précis.



Lorsqu’un bureau est affiché, les entrées (touche clavier, clic souris) sont capturés par ce bureau et routés uniquement vers les applications qui sont affichées dans ce bureau.



Un keylogger qui tournerait sur le bureau “normal” ne recevrait donc rien lorsqu’un bureau sécurisé est affiché.








CryoGen a écrit :



Un super post (en englais) sur StackExchange qui explique même le cas Keepass :)





Merci <img data-src=" />, je comprends déjà mieux ce que ça implique. Du coup ça confirme ce que je commence à comprendre : on ne peut pas récupérer les handle des fenêtres d’un autre bureau virtuel pour récupérer les valeurs dans les formulaires.







127.0.0.1 a écrit :



Un keylogger qui tournerait sur le bureau “normal” ne recevrait donc rien lorsqu’un bureau sécurisé est affiché.





Selon ce que je comprends maintenant, je pense qu’il faut rajouter à ta phrase : “sauf si le keylogger fonctionne au niveau du pilote.”. Je me trompe ?







David_L a écrit :



Un doc qui peut t’intéresser concernant une attaque qui avait porté ses fruits concernant 1Password à une époque :&#160https://www.blackhat.com/docs/sp-14/materials/arsenal/sp-14-Almeida-Bypassing-th…





Merci aussi <img data-src=" />









Nozalys a écrit :



Selon ce que je comprends maintenant, je pense qu’il faut rajouter à ta phrase : “sauf si le keylogger fonctionne au niveau du pilote.”. Je me trompe ?







Oui, si ton keylogger tourne à un niveau plus bas que le desktop (genre WindowStation, Session ou kernel/driver) alors il peut intercepter les evènements claviers/souris d’un bureau sécurisé.



Je n’ai toujours pas quitté Truecrypt (je sais, pas bien), est-ce que les conteneurs TC sont compatibles avec les VC ?


Oui, il y a un mode de compatibilité. Lire la doc est toujours utile ;)&nbsp;

&nbsp;

https://www.veracrypt.fr/en/Converting%20TrueCrypt%20volumes%20and%20partitions….



&nbsp;


Oui, mais j’ai un container Truecrypt qui ne monte plus avec la version 1.21 de Veracrypt (aucun problème avec une version précédente). Le plus prudent me semble de copier ses données dans un container veracrypt.


Je ne connaissais pas non plus le secure desktop. Merci NextInpact !


De ce que je comprends, cela brise la compatibilité avec mon gestionnaire de mot de passe qui est sensé monter mon lecteur en renseignant à ma place le mot de passe…

https://www.nextinpact.com/news/103303-keepass-comment-monter-automatiquement-vo…

&nbsp;


Pas testé mais à voir, ce n’est pas systématique. Après il faut peut être laisser le temps au développeur du plugin de le mettre à jour pour s’adapter si c’est nécessaire ;)