Faire face à la protection de données qu’elles soient confidentielles ou personnelles. De l’entreprise qui nécessite la protection en termes de confidentialité de ces données sensibles, notamment avec la multiplication des utilisateurs nomades qui promènent avec eux une partie du patrimoine documentaires et autres types de données de l’entreprise sur leurs ordinateurs portables. Bien souvent cachés dans le coffre de leurs voitures ou simplement posé sur la banquette arrière de leurs véhicules, lorsqu’ils vont déjeuner ou faire leurs séances de sport en rentrant le soir. Aux utilisateurs domestiques qui souhaitent protéger leurs propres données personnelles stockées sur l’ordinateur dans le salon….
En passant par les adeptes de tous les logiciels de type Peer-to-Peer, qui pratique de douces séances de téléchargement quotidien de musiques, de films et autres médias copyrighté …
C’est à ces sujets que s’attaque cet article et l’on peut se rendre compte que la frontière entre la protection de données légitimes et illégitimes n’existe pas et que pour toutes ces données, même but, même combat…
Une fois n’est pas coutume, voici donc un article coécrit par deux personnes que j’ai eu l’occasion de rencontrer à plusieurs reprises.
Le sujet me paraît, à mon sens, intéressant et d’actualité. Je me suis juste permis d’ajouter quelques précisions par-ci par-là.
*****************************************************************
1. Introduction
Depuis les années 70, Internet n’a cessé d’évoluer, avec une accélération considérable depuis le début du 21ieme siècle. Cette accélération est principalement due à la démocratisation des accès ADSL, augmentant ainsi les débits, et donc, le partage d’informations.
Parallèlement à cette évolution, les ordinateurs, ainsi que les logiciels utilisés, ont réussi une importante mutation. De nouveaux procédés de compression de données (images, son, vidéo,…) facilitent les échanges et les partages.
Ainsi, un grand nombre d’internautes proposent des films, des musiques, et des images d’une taille raisonnable pour une qualité remarquable. Mais ces fichiers ainsi partagés n’ont pas tous le droit d’être mis à la disposition du monde.
Cet état de fait a incité le législateur à promulguer, au fil des ans, différentes mesures afin de contenter les ayants droit. La dernière en date : HADOPI. Cette mesure agit en étudiant l’importance de la taille des données partagées, ainsi que la légalité de ces échanges.
Un internaute pris sur le fait sera traîné en justice et se verra supprimer son droit d’accès à Internet. Pour certains cas plus graves, de plus importantes sanctions peuvent être décidées. C’est ainsi que beaucoup de développeurs et d’internautes se sont penchés sur des solutions pour contourner ces restrictions, et ainsi empêcher un superviseur étranger d’accéder au contenu de son ordinateur.
Comment garantir la confidentialité des données stockées sur son ordinateur ? Quelles sont les solutions aujourd’hui disponibles ?
2. Solutions
De nombreuses solutions de protection des données existent à ce jour, et sont disponibles sur de nombreux systèmes d’exploitation. La difficulté est de choisir la solution « la moins pire » répondant aux critères suivant :
-
Une compatibilité maximale avec le système d’exploitation, améliorant ainsi la stabilité de l’ensemble
-
Une efficacité maximale garantissant la sécurité des données mais aussi du système
Les dangers auxquels il faut faire face aujourd’hui sont :
-
L’accès physique au système d’exploitation, pour en visualiser le contenu dans le contexte de l’utilisateur propriétaire
-
L’accès aux données stockées sur les disques durs en externalisant ceux-ci sur une autre machine
-
La protection des données sensibles stockées sur la machine de l’utilisateur.
La solution qui sera exposée dans cet article a vu le jour grâce à la venue au monde du nouveau système d’exploitation de Microsoft : Windows Seven.
En effet, celui-ci intègre nativement différentes fonctionnalités qui s’avèrent très utiles pour conserver la confidentialité des données.
Nous allons travailler sur trois principales catégories :
- L’ouverture de session
- Le chiffrage des données
- Le chiffrage des volumes.
Pour cela, nous allons étudier deux technologies intégrées dans Windows 7 :
- Système de Chiffrage de Fichier ou EFS : il permet le chiffrement des données par certificat
- BitLocker : outil de chiffrage de volume.
Cela nous permet d’obtenir une double sécurité de chiffrement des données grâce à ces deux technologies.
Concernant l’ouverture de session sécurisée, Windows 7 n’a vraisemblablement pas intégré dans ses fonctionnalités l’authentification par support amovible (autre que carte à puce).
En attendant de voir si cette technologie sera intégrée dans une future version de Windows, cet exposé énoncera un logiciel tiers permettant très simplement d’effectuer cette opération.
a. Encrypted File System et AD RMS (Rights Management Services)
- EFS (Encrypting File System) est un système de chiffrement de fichiers disponible depuis Windows 2000. Ces fichiers ne seront lisibles que grâce au certificat de(s) l’utilisateur(s) accepté(s) dans les Access List définies lors du chiffrement.
Ces certificats sont évidemment installés sur la machine locale, mais peuvent également être exportés pour sauvegarde sur support amovible.
Ici, l’intérêt d’EFS est de fournir une première couche de chiffrement, empêchant tout utilisateur non autorisé à consulter les données.
Le chiffrement par EFS s’appuie uniquement sur le système de fichier NTFS de Microsoft. Il est incompatible avec le système de fichier FAT32 et inférieur. Ainsi, toute donnée chiffrée sur un volume NTFS sera alors déchiffrée au moment de la copie vers un autre système de fichier.
EFS utilise une clé de chiffrement dite « symétrique », appelée FEK. Combiné avec la clé publique de l’utilisateur, cette clé permet un temps de chiffrement / déchiffrement relativement court.
Voici le schéma de chiffrement d’EFS :
En bref, cette technologie interdit la lecture des données par un utilisateur non-propriétaire lorsque celui-ci ne possède pas le certificat approprié, même si les disques sont externalisés sur un autre ordinateur.
-
AD RMS qui offre la possibilité de protéger l’information de manière totalement indépendante de la technologie et de l’application. La protection de l’information devient difficile face aux moyens modernes de communication utilisée dans les entreprises. Qu’est-ce qui empêche un utilisateur de transférer un document, une présentation, des classeurs de chiffres d’affaires Excel vers une messagerie personnelle ou encore la messagerie d’un concurrent.
AD RMS permet donc de maintenir la sécurité des fichiers même lorsqu’ils sont en dehors de l’entreprise et lorsqu’ils ne sont pas stockés sur des supports de stockage qui n’appartiennent pas à l’entreprise et que les administrateurs ne peuvent pas gérer.
(Source Microsoft)
Bien évidemment nous n’aborderons pas dans cet article la mise en place d’une solution tel qu’AD RMS, cela serait bien trop long. Mais le but étant juste de savoir que cette solution existe et qu’elle s’inscrit bien dans le processus de protection des données nécessaire aux entreprises aujourd’hui.
b. BitLocker
Sous Windows Vista, BitLocker ne permettait de chiffrer que le disque système. Avec Windows Seven, celui-ci a considérablement évolué puisqu’il est désormais possible de chiffrer n’importe quel volume.
Lors du chiffrement du disque système, BitLocker nécessite un démarrage à partir d’un support externe. Il peut s’agir d’un TPM (composant de la carte mère agissant comme micro puce sécurisée) ou d’une clé USB (contenant les fichiers nécessaires au chiffrage).
Si les informations ne sont pas trouvées sur le support, la saisie d’une clé d’une totalité de 40 chiffres sera nécessaire. Le volume système se déchiffre alors pour l’utilisateur, et le démarrage de l’ordinateur peut alors continuer.
Le chiffrage d’un disque secondaire peut s’effectuer quant à lui de deux façons : chiffrement du disque par mot de passe (qui peut s’étendre à 255 caractères, comportant des caractères spéciaux, majuscules, minuscules, chiffres) ou par carte à puce. Après le démarrage du système, le volume reste inaccessible tant que l’utilisateur ne l’a pas déverrouillé. De plus, les partages éventuels présents sur le volume restent fermés tant que le volume est verrouillé.
Ainsi, nous avons la possibilité d’adapter cette solution à deux de nos besoins :
Le chiffrage du dossier système nous permet d’empêcher le démarrage de la machine, sous réserve de ne pas posséder pas la clé de récupération ou le support amovible de démarrage. De plus, après le démarrage (et donc déverrouillage) du disque système, nous avons la possibilité de déconnecter le support amovible et de le stocker ailleurs.
Le chiffrement des disques secondaires, grâce à un bon mot de passe, ou mieux d’une carte à puce, interdit l’accès à d’éventuels disques de stockage de données.
Pour résumer, ce que nous attendons de cette technologie dans notre situation, c’est d’empêcher un utilisateur étranger de démarrer la machine, et que celui-ci ne puisse pas accéder aux données via tout autre moyen (branchement des disques sur une autre machine, accès réseau…).
c. Ouverture de session sécurisée
Comme évoqué précédemment, il semblerait que Windows 7 ne dispose pas d’un système d’ouverture de session par certificat sur clé USB, contrairement à ce qu’avait annoncé Microsoft. Espérons qu’une future version de Windows accueillera cette fonctionnalité.
Toutefois, nombre d’éditeurs proposent des solutions permettant l’ouverture de session par clé USB, tel que l’excellent Rohos, malheureusement payant, mais très simple d’utilisation.
Ce sujet ne sera donc pas développé dans cet exposé, tant que cette fonctionnalité ne sera pas intégrée à de futures versions de Seven. Je souhaite simplement évoquer le fait que cette possibilité existe.
3. Mise en œuvre
a. EFS
Pour pouvoir utiliser EFS, le volume contenant les fichiers à chiffrer doit être formaté avec le système de fichier NTFS. Si ce n’est pas le cas, il est alors impossible d’utiliser cette fonctionnalité.
La procédure de chiffrement est très simple. L’outil de configuration est accessible dans les propriétés du (des) fichier(s) et / ou dossier(s) à chiffrer :
Sélectionner les données à chiffrer
Click droit -> Propriétés
Onglet Général –> Bouton « Avancé »
Cliquer sur « Chiffrer le contenu pour sécuriser les données ».
Valider par OK deux fois.
Les fichiers cryptés sont passés en vert.
Par défaut, seul l’auteur du chiffrement du fichier est autorisé à manipuler leur contenu. Pour autoriser un autre utilisateur à accéder au fichier, il suffit de revenir dans les Attributs avancés du fichier et de cliquer sur le bouton « Détails ». La fenêtre suivante apparait :
Il est alors possible de rajouter un utilisateur dans la liste des utilisateurs pouvant accéder au fichier.
Lors du premier chiffrage, le système nous signale qu’il ne possède aucun certificat de récupération pour le chiffrement EFS, et propose de le générer et de le sauvegarder sur un support amovible.
Un fichier apparaît alors sur le support amovible :
b. BitLocker Drive Encryption
Par défaut, Windows Seven stocke la clé de démarrage dans le TPM (micropuce sécurisée soudée sur la carte mère). Ceci n’est possible que si la carte mère en est équipée.
Il convient donc de modifier la configuration par défaut afin de stocker la clé de démarrage sur un support amovible de type clé USB.
En cliquant sur l’orbe (Menu Démarrer) et en tapant dans la zone de recherche gpedit.msc, nous accédons aux stratégies de sécurité locales.
Développons l’arborescence :
Configuration Ordinateur -> Modèles d’administration –> Composants Windows –> Chiffrement de lecteur BitLocker.
Dans le volet de droite, double-cliquer sur « Activer les options de démarrage avancées » et autoriser L’utilisateur à créer une clé de démarrage sur support USB : Activer la stratégie, et vérifier que la première case est cochée.
Fermer les fenêtres ouvertes et cliquer sur l’orbe, puis taper dans la zone de recherche cmd, puis entrée.
Dans l’invite de commandes, taper gpupdate afin de mettre à jour les stratégies de sécurité.
Maintenant, nous avons la possibilité d’activer BitLocker sur le volume système, avec prise en charge de la clé USB. La mise en œuvre est extrêmement simple sous Windows Seven :
Ordinateur –> click droit sur le disque à crypter –> Activer BitLocker.
En ce qui concerne le disque système, voici la procédure à suivre :
Laisser l’ordinateur effectuer ses vérifications de routine
Cliquer sur l’option « Imposer une clé de démarrage à chaque démarrage »
Ceci nous permettra d’obliger l’utilisateur à insérer sa clé USB lors du démarrage de Windows 7 pour que son disque système soit déchiffré et que le démarrage puisse continuer.
Si le support amovible n’est pas détecté lors du chargement de Windows, il sera alors possible de saisir la clé de récupération (40 caractères numériques) pour outrepasser le certificat de la clé USB.
Sélectionner le support amovible qui stockera la clé BitLocker.
BitLocker nécessite ensuite de stocker la clé de récupération, que ce soit sur clé USB, dans un fichier stocké localement, ou de l’imprimer.
Ici plusieurs solutions sont proposées. A mon sens, stocker la clé de récupération sur un support que l’on pourrait déposer en lieu sûr me paraît une bonne idée.
L’impression unique peut être intéressante aussi, sur un document précieusement rangé et conservé.
Cette option ne comporte pas de choix plus intéressant les uns des autres, l’utilisateur devra l’adapter à ses besoins et / ou ses possibilités.
BitLocker demandera ensuite de redémarrer le système pour effectuer ses vérifications. Le volume système sera alors chiffré dès le redémarrage.
Il ne faut surtout pas oublier d’insérer le support amovible qui servira de clé de démarrage avant de lancer le reboot de la machine. C’est lors de cette étape que Windows détectera si ce support est éligible ou non à cette utilisation.
La clé USB pourra être déconnectée dès la fin du démarrage. Il est alors conseillé de la stocker dans un lieu facile d’accès mais protégé, car celle-ci sera nécessaire à chaque démarrage, mais sera aussi le seul moyen pour un utilisateur externe d’accéder à votre disque système, donc à Windows.
Voyons maintenant comment chiffrer les disques secondaires. L’activation de BitLocker s’effectue de la même façon que pour le volume système. Cependant, les écrans de configuration diffèrent :
BitLocker propose trois options de cryptage :
- Par mot de passe (qui peut s’étendre à 255 caractères alphanumériques et spéciaux)
- Par carte à puce
- Par certificat local (dans ce cas le lecteur secondaire sera déverrouillé automatiquement pour l’utilisateur local qui lance le chiffrage)
Ce qui nous intéresse ici est un chiffrage par mot de passe, qui bien évidemment est plus sûr s’il répond à des normes de sécurité rigoureuses :
- Varier caractères alphanumériques et spéciaux
- Varier minuscules et majuscules
- Eviter les mots courants et les noms propres seuls
- Eviter les informations personnelles (date de naissance, école des enfants, etc…)
- Voici un exemple de mot de passe approprié :
C€c1_&-1MotDePassEsEcur1S&
-
Il est relativement facile à retenir (« Ceci est un mot de passe sécurisé »)
-
Comporte majuscules, minuscules, caractères alphanumériques et spéciaux, et certains caractères alphabétiques sont remplacés par des numériques ou des symboles.
Il faut maintenant décider où stocker la clé de récupération (comme pour le volume système. Il est d’ailleurs intéressant de la déposer sur le même support amovible par exemple).
Le chiffrage débute dès le click sur le bouton « Démarrer le chiffrement ».
La clé est apparue sur le support amovible sous la forme d’un fichier texte. Ce fichier texte contient la clé de récupération écrite en clair. Il est donc important de stocker cette clé dans un lieu bien protégé.
La clé de démarrage de BitLocker est stockée sous la forme d’un fichier système KEY invisible sur la clé USB, à moins d’activer l’affichage des fichiers protégés par le système d’exploitation.
A ce terme, nous avons d’ores-et-déjà une double couche de chiffrement, avec la combinaison EFS – BitLocker. La seule étape restante serait de protéger l’ouverture de session par l’insertion d’un support amovible.
Il faut savoir qu’il existe une sécurité supplémentaire qui peut être intéressante : le chiffrement de la base SAM.
La base SAM est un fichier contenant les noms d’utilisateur et mots de passe correspondant. Ce fichier est bien entendu crypté par défaut, dès Windows 2000, mais nous avons la possibilité d’exporter le certificat de déchiffrage de la base SAM sur un support externe…
Ceci rendra totalement impossible l’ouverture de session sur la machine protégée, à moins d’avoir inséré la clé de démarrage contenant le certificat.
La seule remarque que l’on peut observer est que l’unique emplacement accepté est A :, réservé par ailleurs au lecteur disquette. Cependant, si l’on n’utilise pas ou ne possède pas de tel lecteur, il est possible de désactiver celui-ci pour permettre à une clé USB de prendre sa place et ainsi obtenir la lettre de lecteur A. Il nous suffit ensuite de stocker le certificat sur cette clé.
J’ajoute que cette manipulation n’affecte en rien le démarrage BitLocker, et peut être combinée avec tous les autres systèmes de sécurité vous précédemment. Voici la manipulation à effectuer.
Cliquer sur l’orbe (Menu Démarrer) –> Taper « syskey » dans la zone de recherche, puis sur Entrée. Une fenêtre apparaît, nous pouvons alors cliquer sur « Mettre à jour » pour déplacer le certificat.Il faut alors insérer la clé USB et laisser SYSKey écrire le certificat sur celle-ci.
Il faut toutefois savoir que cette manipulation empêche le démarrage silencieux : lors du chargement de Windows, une fenêtre apparaîtra, indiquant d’insérer la disquette de démarrage, puis de cliquer sur Démarrer.
Même si la clé est branchée en permanence, il nous faudra tout de même cliquer sur Démarrer.
4. Conclusion
Vous êtes un fanatique inconditionnel de Kevin Mitnick, vous parlez aux mules comme personne, et vos disques durs regorgent de films et de données téléchargées illégalement. Vous craignez que la loi Hadopi ne vienne déranger vos bonnes vieilles habitudes et vos 60 films quotidiens, mais voila, HADOPI veille. Et malgré les différents mails envoyés à votre encontre, elle a transmis le dossier aux autorités compétentes.
Qu’en tant que responsable informatique, vos utilisateurs nomades ne perdent leurs portables ou encore se les fassent voler dans leurs véhicules. Qu’une personne mal intentionné piste vos données, vous identifie, vous traque pour trouver la faille et tenter d’accéder à vos données confidentielles.
Toc, toc, toc… Trois petits coups qui vous réveillent un matin, à 6h00. Ils sont là, ces messieurs de la maréchaussée, spécialement pour vous et… votre ordinateur en quête de preuves irréfutables.
Pas le temps de casser les disques durs pour leur compliquer la tâche ! Et puis un grand coup de masse, c’est trop bruyant ! Vous voilà pris au piège, fait comme un rat ! Et HADOPI se frotte les mains !
Que les principaux concurrents de votre secteur de marché, utilise des méthodes peu recommandables, voir même malhonnête…
Mais pas aujourd’hui. Car depuis Windows 7, laissons-leur le plaisir de récolter nos disques durs, nos portables et nos clés USB… Arriveront-ils à les ouvrir aussi facilement ?
S’ils ne pouvaient pas démarrer votre machine ? Et s’ils ne pouvaient casser le chiffrement utilisé pour chiffrer vos données ?
****************************************************************
Sources de cet article: Wikipédia, Microsoft
****************************************************************
Voila pour cet article que je trouve fort intérressant.
Les deux co-auteurs de cet article: YRKKILLER et Mr X. Merci à eux pour cet article bien sympathique.
