DECAF, l'antidote contre COFEE
Début novembre, une fuite répandait COFEE sur internet, au grand désarroi de Microsoft. COFEE (Computer Online Forensic Evidence Extractor) est en effet le paquet de logiciels concocté par Microsoft pour aider les officiers de police non experts en informatique à récupérer rapidement sur le terrain des informations contenues sur les ordinateurs de suspects. En pratique il s'agit d'une clé USB contenant environ 150 logiciels dont l'exécution est automatisée. Un mois après cette fuite, des hackers ont mis au point DECAF, un antidote taillé sur mesure contre COFEE.
Une fois installé, DECAF (Detect and Eliminate Computer Assisted Forensics) surveille toute clé USB insérée sur l'ordinateur à la recherche de la signature de COFEE. Si cette dernière est détectée, DECAF lance une série de contre-mesures, comme l'effacement des logs de COFEE, l'éjection des clés USB ou le verrouillage automatique du PC. On peut même programmer d'autres actions comme la désactivation de certains périphériques ou l'effacement de certains fichiers. Les auteurs de DECAF précisent malgré tout qu'on ne doit pas utiliser DECAF à des fins illégales.
- Mais d’où sort ce Core i7-810 ?
- 70 % des français à très haut débit d'ici 2020
- AMD : 1 million de GPU DirectX 11 en 2009
- 13 Xeon Westmere dans les cartons d’Intel
- CUDA aide les antivirus
- Twitter pense aux entreprises
- Oracle tente de convaincre l’Europe
- Le PC aux 13 GPU
- Les authentifications fortes affaiblies
- ViewSonic : nouveau netbook, mais vieil Atom
- [10 ans] Pierre Le Pivain "1999 a été l’année des deux plus belles arnaques du siècle"
- Contrôleurs SandForce : A-Data aussi
- 64 Go de NAND en 32 nm chez Toshiba
- Parallels pour les cloud en entreprise
- Le premier pare-feu cloud
- Psystar perd, Apple gagne
- Un lecteur Blu-ray sur un iMac
- TDJ : G.Skill Falcon II
Et le prochain ce sera quoi, EXPRESSO ? ^^
Le nom, les contremesures. Enorme.
Une question me chiffonne à la lecture de cet article. COFEE ne fonctionnerait que si le pc est démarré et que l'utilisateur a les droits d'exécution?? Et ça ne fonctionnerait que sur Windows bien sûr?
Si c'est le cas, même pas besoin de Decaf, on met un mot de passe utilisateur et on reset son pc si quelqu'un rentre... (ou on passe à Linux)
Nan nan, il me semble que justement, n'importe qui ayant un accès physique à l'ordinateur peut lancer la clée
Une question me chiffonne à la lecture de cet article. COFEE ne fonctionnerait que si le pc est démarré et que l'utilisateur a les droits d'exécution?? Et ça ne fonctionnerait que sur Windows bien sûr?Si c'est le cas, même pas besoin de Decaf, on met un mot de passe utilisateur et on reset son pc si quelqu'un rentre... (ou on passe à Linux)
Tu veux parler de ce machin qui saute en moins d'une minute avec le CD qui va bien ? Tu crois vraiment dans la sécurité apportée par le mot de passe utilisateur ?
Tu veux parler de ce machin qui saute en moins d'une minute avec le CD qui va bien ? Tu crois vraiment dans la sécurité apportée par le mot de passe utilisateur ?
Et tu boote comment sur le CD qui va bien ? (indice : le bios est protégé, pas drôle sinon).
De toute façon les gens qui utilisent COFEE ne peuvent être que des gros nuls, puisque :
- On fait confiance à la machine du suspect, qui peut très bien être trafiquée
- On fait confiance à l'OS du suspect, qui peut être trafiqué encore plus facilement
- Si on verrouille pas assez l'écriture, l'OS ou le bidouillage hardware (genre le bidule ARM qu'on met entre la CM et le connecteur) peut librement écrire des trucs sur la clef histoire de contaminer plein de gens et de mettre des backdoor chez la police ...
Hum... Suffit de mettre la clé en read-only, mais le soucis est alors si on souhaite récupérer des documents. Je ne saurais dire là car c'est un vrai problème...
Et tu boote comment sur le CD qui va bien ? (indice : le bios est protégé, pas drôle sinon).
De toute façon les gens qui utilisent COFEE ne peuvent être que des gros nuls, puisque :
- On fait confiance à la machine du suspect, qui peut très bien être trafiquée
- On fait confiance à l'OS du suspect, qui peut être trafiqué encore plus facilement
- Si on verrouille pas assez l'écriture, l'OS ou le bidouillage hardware (genre le bidule ARM qu'on met entre la CM et le connecteur) peut librement écrire des trucs sur la clef histoire de contaminer plein de gens et de mettre des backdoor chez la police ...
Je sais pas, un Clear CMOS, par exemple ?
Maintenant, c'est clair que si le PC est dans un Bunker, au milieu de Fort Knox, surveillé par l'ensemble des troupes américaines, tu vas avoir du mal, même pour simplement introduire la clé USB !!
Plus sérieusement, il y a toujours des exceptions, mais en général, les utilisateurs se croient protégés parce qu'ils ont mis un mot de passe sur le BIOS et sur leur compte. Et là, je me gausse ! Le nombre de clients qui ont perdu leur mot de passe et qui m'appellent ... La tête qu'ils font quand ils voient avec quelle facilité ça saute ...
Je sais pas, un Clear CMOS, par exemple ?
![[:ptdr2]](http://img.infos-du-net.com/forum/images/perso/ptdr2.gif)
Maintenant, c'est clair que si le PC est dans un Bunker, au milieu de Fort Knox, surveillé par l'ensemble des troupes américaines, tu vas avoir du mal, même pour simplement introduire la clé USB !!
Plus sérieusement, il y a toujours des exceptions, mais en général, les utilisateurs se croient protégés parce qu'ils ont mis un mot de passe sur le BIOS et sur leur compte. Et là, je me gausse ! Le nombre de clients qui ont perdu leur mot de passe et qui m'appellent ... La tête qu'ils font quand ils voient avec quelle facilité ça saute ...
Correction: le clear CMOS fonctionne sur une bonne majorité de CM, mais pas partout. il s'avère (sur les portables IBM par exemple) que le BIOS ne peut pas réellement être réinitialisé de la sorte, car seuls les paramètres de type configuration technique sont remis à zéro. Les mots de passe, la configuration de boot ne sont pas réinitialisés par l"opération.
Tu as raison sur la majorité du matériel
det tt facon j'ai test é cofee et a vrai dire seulement 45 des 150 outils sont disponibles et aucun ne concernent la vie privé ils ne donne qu'acces au information des composants et des drivers de la machine en gros,a pres il se peux que la version mise en ligne ne soit que "light"
Tu veux parler de ce machin qui saute en moins d'une minute avec le CD qui va bien ? Tu crois vraiment dans la sécurité apportée par le mot de passe utilisateur ?
bios et disque dur password nécessaire au demmarage du pc. AES en physique sur le disque et ils sont bons pour devoir envoyer sa au ''labo''