Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Chiffrement total des disques : de nouveaux standards

Chiffrement total des disques : de nouveaux standards
2009-03-312013-02-11lois, réglementations, standards et certificationsfr
   Après 6 ans d'efforts, les grands noms des fabricants de disque viennent de publier les spécifications d'un standard en terme de chiffrement(full-disk encryption). Ce standard s'applique aux disques dur, SSD (solid state drives) ainsi qu'aux applications de gestion de...
Publié le 31 Mars 2009 par Christophe Roland dans lois, réglementations, standards et certifications
   Après 6 ans d'efforts, les grands noms des fabricants de disque viennent de publier les spécifications d'un standard en terme de chiffrement(full-disk encryption). Ce standard s'applique aux disques dur, SSD (solid state drives) ainsi qu'aux applications de gestion de clés.

   L'ensemble du disque sera chiffré indépendamment du type de partition utilisé. L'utilisateur devra renseigner un mot de passe avant le démarrage de la machine afin de déverrouiller la clé utilisée pour déchiffrer les données.

   Le bénéfice pour les entreprises est évident. Il sera possible d'élever leur niveau de sécurité sur les PCs/serveurs sans pour autant grever les performances des machines ni ajouter une charge d'installation et de configuration qui pourrait encore paraitre rédhibitoire à certains. Rappelons que le chiffrement ainsi mis en place ne pourra pas être désactivé par les utilisateurs.

   La transparence de la solution est également à mettre en avant. Transparence pour l'utilisateur qui aura juste un mot de passe à renseigner pour faire démarrer sa machine. Par la suite rien de changé. Mais transparence également pour le système d'exploitation et ses applications auxquels les données seront présentées en clair.

   Loin d'être juste un standard papier, cette "norme" est déjà implémentée par certains fabricants de disque ainsi que par certains logiciels de gestion de chiffrement.

   Le procédé a toutefois ses limites. En effet, ce type de protection permet de protéger les données "au repos", mais pas quand l'ordinateur est en marche. Ceci permet de se prémunir contre le vol/perte de votre laptop ou de votre clé USB. Toutefois, dès que l'utilisateur est en session, les données sont accédées de façon transparente.

Un cheval de troie ou autre programme malveillant n'aura donc aucun mal à accéder aux données comme s'il s'agissait d'un utilisateur légitime. Je développerai plus avant le revers de cette médaille lors d'un prochain post.

A suivre...

2 Commentaires

  • 2 Avril 2009
    2009-04-02
    par
    Terry Thomas
    Pour rejoindre Florent sur son commentaire et également rebondir sur sa conclusion concernant le chiffrement effectué de façon matérielle avec une sur-couche logicielle, l'avenir n'est-il dans les solutions de file encryption?

    J'attends un article sur le sujet avec impatience :)
  • 1 Avril 2009
    2009-04-02
    par
    Florent
    Je ne voudrais pas vous voler votre prochain article, alors je vais juste détailler des problèmes que peut impliquer le chiffrement matériel du disque dur.

    Pour l'instant les solutions dites "matérielles" pures ont plein d'inconvénients :
    - Pas de gestion centralisée des mots de passe et des utilisateurs. Indispensable pour le dépannage des personnes qui oublient leur mot de passe.
    - Un seul mot de passe par poste. Par exemple un poste de travail mutualisé devrait utiliser les mots de passe des utilisateurs, sinon on retrouvera un post-it avec le mot de passe dessus.
    - Un utilisateur qui oublie son mot de passe ne peut plus accéder à ses données...
    - L'utilisateur va devoir taper deux fois son mot de passe. Une fois au démarrage du poste et une fois dans Windows.
    - Un administrateur qui doit dépanner un ordinateur pendant que l'utilisateur est en réunion et qui n'a pas eu le mot de passe...
    - Une entreprise qui doit formater le disque après le départ de l'employé de l'entreprise.
    - Une entreprise qui utilise des cartes à puce pour l'authentification forte devra imposer à nouveau l'utilisation d'un mot de passe aux employés...
    - Un serveur qui plante nécessitera alors une intervention humaine pour redémarrer...
    - Un VIP qui fait tomber son ordinateur et qui casse le disque dur... Les sociétés de récupération de données ne récupèrent que les données chiffrées et passent la balle à l'éditeur pour le déchiffrement. Il faudra maintenant qu'elles travaillent avec les constructeurs.
    - La gestion de l'authentification par carte à puce imposerait à tous les constructeurs de disque dur d'implanter des drivers pour tous les lecteurs de carte à puce, tous les middlewares, tous les constructeurs de carte à puce ? Plus la gestion du réseau pour savoir si les certificats sont révoqués ?
    Ceci est actuellement géré (avec difficulté) par les éditeurs tels qu'Utimaco car ils doivent sans arrêt intégrer de nouveaux drivers dans leur système.

    Ce qui a l'air de s'annoncer, c'est que le chiffrement sera effectué de façon matérielle et qu'une sur-couche logicielle va gérer la centralisation des données (utilisateur et mot de passe/certificat). A ce jour quelques éditeurs ont déjà intégré bitlocker (logiciel pour le chiffrement, mais gestion des clés avec TPM).

    Et ce n'est que pour la gestion de l'authentification. Après il reste évidemment la protection du poste de travail une fois allumé ! (J'attends l'article pour faire mes commentaires sur le sujet ;-)

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage