Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Dell Financial Services Partner Program Sign In
Contact Us

Your Dell.com Carts

Vulnérabilités des disques à autochiffrement (CVE-2018-12037 et CVE-2018-12038) : Mesures de réduction des risques pour les produits Dell Encryption

Summary: Faille de sécurité du disque SSD 395981 quelles sont les circonstances atténuantes ?

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Produits concernés :

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Dell Encryption - BitLocker Manager
  • Dell Encryption - Gestion des disques à autochiffrement

Réponse de Dell aux vulnérabilités signalées dans le chiffrement matériel de certains disques SSD à autochiffrement, comme décrit dans la note de vulnérabilité VU# 395981Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.. Nous étudions l'impact potentiel de ces vulnérabilités sur nos produits et fournissons des mises à jour aussi rapidement que possible. Notre première priorité est de protéger nos clients et d’assurer la sécurité de leurs données et de leurs ordinateurs.

La vulnérabilité décrite dans la note VU#395981 définit les caractéristiques d'une vulnérabilité qui peut autoriser l'accès aux disques protégés par des implémentations BitLocker accélérées par le matériel, généralement référencées comme eDrive, ainsi que de nombreux SED.

Les disques gérés par BitLocker avec le chiffrement à accélération matérielle sont basés sur la spécification eDrive , ce qui ne signifie pas nécessairement qu’il s’agit de disques à autochiffrement (SED) (laspécification eDrive exige la conformité IEEE 1667 , qui diffère de la spécification OPAL2 de nombreuses technologies de gestion de disques à autochiffrement).

Les exigences en matière de spécifications pour eDrive (le nom Microsoft de BitLocker à accélération matérielle) sont disponibles ici : https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

Cette vulnérabilité affecte également certains SED, dont beaucoup relèvent de la spécification TCG OPAL et OPAL2 , qui est définie ici : https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/ Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

Cette vulnérabilité affecte les disques eux-mêmes et non le logiciel Dell Encryption, et elle n’affecte pas tous les disques. Dell collabore avec ses fournisseurs pour en déterminer l'impact et s'assurer que des plans de mesures correctives sont en place pour les disques concernés.

Atténuation des problèmes de vulnérabilité avec Dell Encryption

Pour les clients qui utilisent la solution Dell Self-Encrypting Drive Management, Dell suggère d'ajouter une couche de sécurité supplémentaire à leurs ordinateurs. Les clients doivent appliquer le chiffrement basé sur des règles Dell sur les ordinateurs dont les disques ont été identifiés comme potentiellement vulnérables jusqu’à ce qu’une mise à jour du firmware de ces disques soit disponible.

Les périphériques exécutant le chiffrement basé sur des règles sur un SED peuvent permettre de chiffrer les SED à l'aide de la clé de chiffrement des données système. Pour en savoir plus, consultez ces articles : Activation du chiffrement SDE pour Dell Encryption Enterprise ou Dell Encryption Personal sur les systèmes dotés de disques à autochiffrement.

Si une solution de chiffrement de volume entier est requise, le chiffrement matériel peut également être remplacé par un chiffrement logiciel basé sur BitLocker.

Désactivation de l'accélération matérielle pour BitLocker avec Dell Encryption

Les clients disposant de BitLocker Manager de Dell qui craignent d'être vulnérables aux problèmes décrits dans VU#395981 peuvent limiter les risques en mettant à jour leurs règles. La désactivation des stratégies via Dell Security Management Server of Use Hardware-Based Encryption for Fixed Data Drives, et la même règle pour les lecteurs du système d’exploitation et les lecteurs amovibles (chaque type de disque a une politique similaire pour tirer parti de l’accélération matérielle, le cas échéant) désactive la possibilité d’exploiter le chiffrement accéléré par le matériel sur ces disques. Si un disque utilisait eDrive ou le chiffrement accéléré par matériel pour la protection, il décrypte et recrypte les données à l'aide d'une méthodologie logicielle.

Ces règles sont basées sur des points de terminaison et se trouvent dans la règle de chiffrement BitLocker définie dans la catégorie respective pour le type de disque (volume du système d’exploitation, volume de données fixe, stockage amovible). Pour plus d'informations sur la modification d'une règle dans Dell Security Management Server, consultez l'article suivant : Comment modifier les règles de Dell Data Protection Server

Pour les clients qui n'exécutent pas Dell Data Security Management Server, les paramètres permettant le chiffrement matériel (s'il est disponible sur les disques) peuvent être gérés à l'aide d'entrées de GPO ou de registre. Ces données sont disponibles pour les GPO sur le site de Microsoft ici, sous les stratégies :

Comment puis-je déterminer si un point de terminaison peut être affecté ?

Pour ceux qui souhaitent déterminer rapidement si les disques sont vulnérables, Dell peut fournir le DellOpalCheckerLite, un utilitaire qui peut être utilisé à l’aide d’un script pour identifier les SED et déterminer leur état.

Remarque : Dell Data Security ProSupport peut fournir cet utilitaire par chat (États-Unis uniquement) ou par téléphone, que vous trouverez aux liens au bas de cet article.

Le DellOpalCheckerLite Peut être exécuté à l’aide de la ligne de commande. Il a besoin du numéro de lecteur du disque que l'on souhaite analyser. Par exemple, pour analyser le premier disque présenté au système d'exploitation, qui est généralement le lecteur du système d'exploitation, vous pouvez utiliser la syntaxe suivante :

DellOpalCheckerLite.exe 0

Si des numéros de lecteur supplémentaires sont présents, des lignes supplémentaires peuvent être fournies dans un script pour afficher l'état des autres disques de l'ordinateur.

Pour chaque instance, l’attribut DellOpalCheckerLite est exécutée, la variable ordinateur ERRORLEVEL est mise à jour et peut être appelée pour analyser l’état du disque.

Cette liste contient les valeurs de sortie de l’exécution de la commande DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 Le test indique que l'installation aurait réussi.
NOT_SUPPORTED 1 Le test indique que ce disque n'est pas pris en charge.
SUPPORTED_OWNED 2 Le test indique que le disque est pris en charge, mais que AdminSP est déjà assigné.
COMPATIBILITY_ERROR 3 Le test indique un problème de compatibilité.
NO_OPAL_DISK 4 Le test indique qu'il ne s'agit pas d'un disque Opal.
LOCKINGSP_ACTIVE_NOT_OWNED 6 Le test indique que le SP de verrouillage est actif, et que AdminSP a SID == MSID (le test précédent a peut-être échoué).
LOCKINGSP_ACTIVE_OWNED_TESTSID 7 Le test indique que le SP de verrouillage est actif, mais que AdminSP est déjà assigné au SID de test DellOpalChecker (le test précédent a peut-être échoué).
OTHER_ERROR 50 Autre erreur non spécifiée
PARAMETER_ERROR 100 Paramètre non valide
MUST_BE_ADMINISTRATOR 101 Le niveau d'exécution du programme doit être Administrateur pour effectuer le test.

Voici un exemple de sortie d'un disque OPAL pris en charge (code de retour ERRORLEVEL = 0).

Exemple avec ERRORLEVEL = 0

Remarque : Le client de chiffrement basé sur des règles Dell Encryption, le client de chiffrement complet du disque basé sur le logiciel et Dell Data Guardian ne sont pas exposés à ce type de vulnérabilité, car ils n'utilisent pas le chiffrement accéléré par le matériel de ces disques.

Pour plus d'informations sur cette vulnérabilité et pour obtenir les remarques de fabricants spécifiques, consultez :

United States Computer Emergency Readiness Team : https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

Samsung : https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

Crucial : http://www.crucial.com/usa/en/support-ssd Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

Informations supplémentaires sur la vulnérabilité : https://www.kb.cert.org/vuls/id/395981/ Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: How To
Last Modified: 03 Feb 2025
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.