Détecter truecrypt : TCHunt vs FI TOOLS

truecrypt-icon

Un des points fort d’un logiciels de chiffrement de disque (outre sa capacité à chiffrer) réside dans son aptitude à masquer le fait qu’un fichier aléatoire est un fichier chiffré.

En Janvier 2009, des petits gars fortiche en math ont montré avec leur première alpha de TCHunt que les fichiers chiffrer par Truecrypt pouvait être détecté. Toutefois en janvier, l’alpha TCHunt décelait encore trop de faux positif. L’idée fut reprise fin avril 2009 par Forensic Innovation et leurs outils de recherche de fichier FI Tools. Mais c’est avec l’apparition début mai 2009 de la première version stable de TCHunt que la compétition commença réellement. Est ce que ces logiciels annoncent la fin du dénie plausible ? Nous allons le voir.

Aussi mystérieux l’un que l’autre sur la façon dont ils fonctionnent j’ai voulus savoir quels était leurs performances réelles. Pour ce faire, j’ai créé 6 fichiers avec Truecrypt de tailles différentes, avec des hash différent, des algorithmes de chiffrement différent, des mots de passe différents, des noms différents, des extensions différentes, et enfin des emplacements sur le disque différent.

Procédure de test :

Voici mon jeu de test :

Nom Taille Algo Hash Chemin
hux.oem 100Mo AES RIPEMD C:\Program Files\xerox
Jouib6.sys 599Mo AES RIPEMD C:\Documents and Settings\arti\
Comptabilité2009.doc 40Mo AES-Twofish SHA-512 C:\Documents and Settings\arti\Mes documents
ntkrnlm.exe 40Mo Twofish-Serpent Whirlpool C:\WINDOWS\Driver Cache\i386
kbdno56.dll 80Mo AES-Twofish-Serpent Whirlpool C:\WINDOWS\system32
thalassa.avi 800Mo Twofish SHA-512 C:\Documents and Settings\arti\Mes documents\Videos

Tous ces conteneurs ont été montés puis démonter et utilisé en écriture/copie.

Voici les version des logiciels :

  • File Investigator Tools 2.23
  • TCHunt 1.0
  • Truecrypt 6.2
  • Windows XP SP3
  • VirtualBox 2.2.2

Enfin, pour chaque logiciel 3 passes ont été faites

FI Tools

FI Tools aura mis 5min20s pour trouver 5 fichiers et 2 faux-positifs (qui sont les même fichier mais dans des répertoires différents). Le fichier Jouib6.sys n’a pas été détecté alors qu’il utilise le même hash que le même algo que hux.oem et qu’il se trouve dans C:\Documents and Settings\arti. Les fichiers sont détectés en temps que « Encrypted Data » :

capture_05152009_132035capture_05152009_132056capture_05152009_132104

TCHunt

TCHunt a mis 30s pour trouver les 6 fichiers TC ainsi que 2 faux-positif (les même que ceux de FI TOOLS). La version gratuite de TCHunt 1.0 n’a pas d’interface graphique alors il faut le lancer en commande pour qu’il écrive dans un fichier.

capture_05152009_133433capture_05152009_133546

capture_05152009_134110

Conclusion

Il faut d’abord rappeler que les version stable de ces logiciels n’ont que quelques semaines. Mais on peut remarquer que TCHunt a trouvé 100% des fichiers TC présent sur le disque alors que FI TOOLS n’en a trouvé que 83%. Pour les 2 logiciels il y a eu que 2 faux positifs qui se sont retrouver être les même.

Enfin TCHunt a montré une rapidité sans égale pour trouver les fichiers TC, étant 10 fois plus rapide que FI TOOLS.

La fin du déni plausible ?. La réponse n’est pas simple car ces logiciels ne permettent pas de prouver qu’un fichier aléatoire est un fichier Truecrypt. Ils permettent simplement de le suspecter très fortement. Pour prouver qu’un fichier aléatoire est un fichier Truecrypt il faut connaitre obligatoirement le mot de passe.

TCHunt apparait donc comme étant le gagnant de ce comparatif aussi bien en matière de rapidité que de qualité de la recherche.

(update : Le fichier oembios.oem est un fichier chiffré de Windows lié au WGA, ce n’est pas vraiment un faux positif)

Mon billet dédié à TCHunt.

Update 31/05/09 :

* Précisions sur la découverte de la faille modulo 512

* Précision sur le faux positif oembios.oem