Je puis peut-être vous aidez en citant une partie clé :
CITATION
Le MBR, en cas de FDE, n'est jamais chiffré vu qu'il est en charge du code responsable du déchiffrement du disque et cela avant même le chargement du système d'exploitation. Il existe dès lors deux scénarios possibles qui dépendent du fait que la partition système soit la seule qui soit chiffrée, ou que ce soit l'ensemble du disque dur qui le soit. Dans le premier cas, le stockage des données additionnelles (modules, MBR d'origine, ...) peut être réalisé en dehors de l'espace réservé au MBR, mais pas dans le second.
Eh oui, si vous chiffrez
un disque complet avec TrueCrypt, entièrement s'entend (FDE= Full Disk Encryption), il faut bien que ce disque continue à "exister" pour le système...
Le MBR, comme vous le savez, c'est la zone d'amorçage, le 1er secteur d'un HDD adressable par le BIOS pour lire entre autre la table des partitions et c'est aussi le secteur d’amorce de la partition active chargeant le système d'exploitation, le boot loader autrement dit...
Donc lorsque vous cryptez un HDD système, il doit être logiquement décrypter pour faire tourner le système au démarrage... Cela est effectué par le MBR, dans le cadre du Boot Loader : TrueCrypt y installant une routine de déchiffrement...
Il s'en suit également que puisque cela boot de là, c'est la partie la plus profonde jusqu'à laquelle on puisse aller et elle ne peut pas être chiffrée (Ou alors, il faudrait un BIOS spécial, avec flash sur la CM, etc. Donc il est possible d'aller plus loin, mais matériellement hors d'atteinte pour l'instant...).
Un Bootkit va se planter dans le MBR et donc être lancé par le BIOS en même temps que le système, même avant lui !
Tout comme le déchiffrage de la partition système. Il peut donc "contourner" TrueCrypt !
Vu comme cela, on pourrait se demander si ce ne pourrait pas être une faiblesse physique exploitée de manière soft...
Bin non : seules les partitions "Intel" ont un MBR... le FAT et le NTFS, mais pas les Mac, donc ces derniers sont toujours à l'abri de ce genre de virus ^^'
Autant dire qu'il ne "lit" pas une partition TrueCrypt comme tu sembles le croire, Noisette, mais qu'il
se la fait lire par les modules de déchiffrage de TrueCrypt !!!
Alors, c'est mieux comme ça ???