Analyse forensique de la mémoire de GnuPG — Nils Amiet, Sylvain Pelissier
Date : 01 June 2022 à 12:00 — 15 min.
Après près de 25 ans d'existence, GnuPG (GPG) est toujours une solution de chiffrement de données largement utilisée. GPG fonctionne avec un agent (gpg-agent) offrant plusieurs fonctionnalités dont la mise en cache de mots de passe. Dans un premier temps, ce travail met en évidence un problème de nettoyage de la mémoire de libgcrypt, qui permet de lire 8 octets du mot de passe dans le cache de GPG. Deuxièmement, il démontre des techniques générales pour récupérer les mots de passe complets dans le cache de GPG à partir d'une image de la mémoire de gpg-agent ou du système complet. Pour démontrer notre travail, nous fournissons deux modules d'extension pour Volatility qui permettent de récupérer un mot de passe stocké dans le cache de GPG. Nous montrons également leur utilité pour certains scénarios pratiques.