septembre 21, 2020
Articles
Aucun commentaire

Quel est le niveau de sécurité du cryptage 7z?

Jai un fichier texte dans lequel je stocke toutes mes coordonnées bancaires. Je le compresse et le crypte avec 7-Zip en utilisant les paramètres suivants:

Compression paramètres:

  • Format darchive : 7z
  • Niveau de compression : Ultra
  • Méthode de compression : LZMA2
  • Taille du dictionnaire : 64 Mo
  • Taille du bloc solide : 4 Go
  • Nombre de threads du processeur : 4

Paramètres de chiffrement:

  • Méthode de chiffrement : AES-256
  • Crypter les noms de fichiers : True

Le mot de passe pour le cryptage est choisi de telle sorte quil ne se trouve dans aucun dictionnaire et soit plutôt une chaîne presque aléatoire (composée de 15 -20 lettres majuscules et minuscules, chiffres et symboles). Je ne stocke ce mot de passe nulle part.
De plus, le nom de fichier du fichier texte est conservé de telle sorte que personne ne puisse dire que le fichier est lié à détail de la banque Du tout.

Est-ce suffisamment sécurisé, dans les scénarios suivants?

  1. Lattaquant prend le contrôle total du système, mais ne sait pas que ce fichier particulier est dimportance pour lui.
  2. Lattaquant est en possession du fichier, et essaie activement de le déchiffrer, sachant quil a les coordonnées bancaires.

Commentaires

  • À la question 1, si lattaquant peut trouver la version non chiffrée du fichier (cest-à-dire le fichier texte original non effacé du support de stockage), son travail est assez simple!
  • Maintenant quinternet connaît lexistence de ce fichier, je pense que nous pouvons statuer scénario 1;)
  • @AnmolSinghJaggi: Oui, vous ne stockez pas le fichier non chiffré nimporte où, mais 7-zip le fait automatiquement pour vous (comme cest pratique, nest pas ‘ t it?;)) Dans le répertoire Windows Temp afin que le fichier soit accessible et puisse être ouvert par un logiciel déditeur de texte externe. Le pire des cas est que très souvent, une telle application ne prendra même pas soin de supprimer le fichier, comptant sur le nettoyage automatique de Windows pour le faire à un moment donné dans le futur … (répertoire Windows Temp, comme le navigateur ‘ s cache, peut être une véritable caverne de merveilles pour les attaquants!)
  • @WhiteWinterWolf Vous avez raison. Jai remarqué le fichier temporaire lorsque jai ouvert le fichier crypté. De plus, 7-Zip supprime le fichier temporaire une fois que jai fini daccéder au fichier crypté.
  • @AnmolSinghJaggi: Oui (ils essaient de faire les choses correctement :)), mais ce ne sera vrai que si vous fermez léditeur de texte avant 7zip. Si, pour une raison quelconque, 7zip est fermé alors que le fichier est encore ouvert, le fichier restera ici jusquau prochain nettoyage général des fichiers temporaires.

Réponse

Le cryptage 7-zip (ou tout autre utilitaire similaire) est conçu pour protéger les fichiers archivés. Donc, tant que les concepteurs doutils ont bien fait leur travail, vous êtes en sécurité pour le deuxième cas (quelquun mettant la main sur le fichier chiffré et essayant de le déchiffrer).

Cependant, un tel utilitaire nest pas conçu pour vous protéger contre votre premier cas mentionné (quelquun ayant accès aux données de votre compte sur votre machine et / ou vous accédant régulièrement au contenu du fichier). En effet, une personne ayant pris un accès complet (voire minimal, pas besoin délever les privilèges) à votre système vous verra utiliser ce fichier et pourra également capturer vos frappes pendant que vous tapez votre mot de passe. Pire encore: un attaquant naura même pas à sen soucier car le fichier sera très probablement présent sous forme claire dans votre répertoire Windows Temp.

Donc, pour votre première menace, je recommanderais définitivement vous utilisez un outil conçu pour cet usage, comme KeePass qui évitera de stocker des données déchiffrées dans des fichiers temporaires et fournira une protection minimale lors de la saisie du mot de passe .

Commentaires

  • Serait-il préférable de conserver le logiciel sur un périphérique de stockage portable (pour exiger un accès physique)?
  • @ Alpha3031: I ‘ m Je ne sais pas si par  » le logiciel  » vous entendez 7zip ou KeePass. Personnellement, jaurais tendance à préférer que les fichiers exécutables soient installés dans le bon répertoire afin que le système dexploitation puisse empêcher toute modification inattendue de leurs fichiers, ce qui nest pas le cas avec un périphérique de stockage externe. Si vous utilisez un appareil externe, je mettrais dessus soit les données cryptées, soit un fichier de clé supplémentaire nécessaire pour être associé au mot de passe afin de décrypter les données (une fonctionnalité offerte par KeyPass).

Réponse

Pour continuer avec le scénario agressif.

On pourrait supposer que le fichier texte dorigine est supprimé et avec la connaissance du fichier temporaire, il peut également être supprimé.

Cependant, il existe quelques outils qui trouvent les fichiers supprimés et peuvent facilement les récupérer à moins que vous nutilisiez un programme de « déchiquetage » qui remplit les espaces « vides » sur le lecteur avec des bits aléatoires écrasant les informations dorigine.

Bien que votre méthode de masquage zip soit utile contre lutilisateur occasionnel de lordinateur, un auteur sérieux pourrait utiliser ce logiciel, récupérer les informations supprimées et accéder au fichier sensible.

Même si vous avez des noms trompeurs sur votre fichier texte, le « pirate informatique » récupérera probablement tous les fichiers supprimés quil pourrait trouver et utiliserait un outil pour rechercher rapidement dans tous les fichiers texte brut des mots clés ou des chiffres relatifs à la banque.

Réponse

Le problème avec lutilisation de 7z ou dun autre logiciel de ce type pour enregistrer un fichier texte crypté avec des coordonnées bancaires est que lorsque vous avez besoin du data, vous devrez ouvrir le fichier et le décompresser. À ce moment-là, 7z videra une copie non chiffrée de celui-ci dans le répertoire temporaire de Windows. Vous (ou le logiciel 7z) devrez effacer correctement le répertoire temporaire à chaque fois que vous ouvrez le fichier.

Ce nest pas la meilleure solution pour enregistrer les coordonnées bancaires. Utilisez un logiciel spécialement conçu pour cela. Je suggérerais dutiliser Keepass à la place. Vous naurez pas à faire face à tout ce qui nest pas chiffré et sauvegardé dans le répertoire temporaire de Windows.

Commentaires

  • 7zip a eu un bug pour cela pendant des années et le propriétaire ne ‘ t semblent penser que cest un problème, même si de nombreuses personnes se sont manifestées pour parler de lénorme problème de sécurité. sourceforge.net/p/sevenzip/bugs/1448

Réponse

Voir les liens ci-dessous pour plus de détails sur plusieurs bogues qui ont été rapportés en 2019 concernant la génération de nombres aléatoires faibles, et une faille dans la façon dont lIV est généré, dans les versions de 7zip à ce moment-là:

https://threadreaderapp.com/thread/1087848040583626753.html

https://sourceforge.net/p/sevenzip/bugs/2176/

Il semble que ces bogues aient été corrigés dans les versions ultérieures de 7zip.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *