Le chiffrement

  1. Protection de confidentialité
  2. Chiffrement de surface versus chiffrement de données
  3. Les pièges
  4. L'offre de service de la DSI (décembre 2019)
  5. Pour les postes non gérés par la DSI ?
  6. Chiffrement de container

Protection de confidentialité

Dans un modèle dit de « protection en profondeur », on associe toujours plusieurs protections complémentaires de sorte que le contournement de l’une d’elles ne soit pas suffisant pour invalider un objectif de sécurité.
Ainsi, concernant la confidentialité, on associe en général des protections réseaux qui évitent une exposition directe des données à toutes les menaces de l’internet et une authentification (contrôle des accès par mot de passe) mais ces deux classes de protection ne couvrent pas toutes les menaces. Si la confidentialité des données est importante, il est indispensable d’appliquer, en plus de la limitation des accès et de l’authentification, une mesure de chiffrement des données seule capable de contrer certaines menaces.  Ainsi, en cas de vol d’un PC (plus fréquent pour les portables) la protection réseau est inopérante et le vol des données n’est pas non plus empêché par le contrôle des ouvertures de session avec un compte. Ce dispositif est alors totalement sans effet par exemple si l’utilisateur démonte et installe le disque dans un autre matériel.
 

Toute donnée stockée sans chiffrement sur un poste qui a été volé doit être considérée comme potentiellement divulguée.
 
A posteriori du vol d’un poste de travail, sauf exception, on ne peut en général plus rien faire pour empêcher la compromission des données qu’il contient. 

 

Chiffrement de surface versus chiffrement de données

Signalons pour mémoire le chiffrement des communications. Cette couche de chiffrement est déjà très largement déployée dans le système d’information de Rennes 1 avec https, ldaps, ftps, ssh. L’objectif vise à protéger l’interception de données sur le réseau.
Reste deux grandes familles de chiffrement : le chiffrement « de surface » et le chiffrement de données.

Le chiffrement de données ou de fichiers

Le chiffrement de fichiers permet de protéger la confidentialité des données (il faut disposer de la clé de déchiffrement pour accéder aux données). Vous pouvez le faire par exemple avec 7zip qui propose en option de chiffrer le fichier « .7z ». Un fichier chiffré peut être facilement envoyé par le réseau à un partenaire qui détient les clés de déchiffrement.

 Le chiffrement de surface

Le chiffrement « de surface » désigne l’opération consistant à chiffrer entièrement un support de stockage. Le vol de ce support (PC entier ou clé USB par exemple) ne permet pas au voleur d’accéder aux données faute de disposer des clés de déchiffrement. Cette opération est idéalement transparente : une fois le déchiffrement ouvert aucune incompatibilité avec les applications existantes ne doit être redoutée.
 

Le chiffrement de surface et le chiffrement de fichiers n’adressent pas les mêmes menaces et ne posent pas les mêmes contraintes d’usage.

Chiffrement de surface Chiffrement de données
Tout fichier déposé sur le support chiffré est de fait chiffré L’utilisateur choisi de chiffrer ou pas chaque fichier, le risque d’oublier de chiffrer des données sensibles est important (exemple : même si on chiffre un document produit avec une suite bureautique, il est probable que les fichiers temporaires créés par le produit de bureautique ne soient pas chiffrés)
Les données sont protégées uniquement en cas de vol du support. Les données sont protégées contre la compromission via le vol du support mais aussi contre les logiciels espions ou prise de contrôle à distance du poste de travail)
Aucun impact sur les applications. Les applications doivent disposer de fonctionnalité de déchiffrement sinon l’utilisateur doit déchiffrer les données puis les manipuler « en clair ».
Un agent de sauvegarde non spécifique sauvegardera les données en clair. Les sauvegardes deviennent un point faible de la confidentialité. Les sauvegardes sont chiffrées. En cas de perte des clés de déchiffrement, elles ne sont d’aucun secours, les données sont en général perdues.
On ne peut pas envoyer un fichier chiffré par le réseau (il faudrait envoyer le disque lui-même). On peut échanger des fichiers chiffrés par exemple en attachement d’un mail.

Les pièges

Chiffrer des données améliore la protection de leur confidentialité, qu’en est-il de leur intégrité ? Parce qu’on aura retenu un algorithme de chiffrement fort, impossible d’accéder aux données sans la clé de déchiffrement. Donc, la perte des clés de chiffrement entraine la perte des données.  Or, la perte des clés de chiffrement n’est pas un évènement rare. Il faut se souvenir qu’il n’existe pas nativement une procédure « clé de chiffrement perdue » comme il existe une procédure « mot de passe perdu ». Ainsi le trou de mémoire en rentant de vacance, le départ ou l’empêchement d’une personne peut entrainer la perte de données qui appartiennent à l’établissement. En outre, sur réquisition judiciaire l’établissement est tenu de pouvoir produire en clair les données chiffrées.

Un dispositif de recouvrement des données est impératif aussi bien pour le chiffrement de surface que pour le chiffrement de fichiers. En général on privilégie le recouvrement des clés de chiffrement par rapport à la sauvegarde en clair des données chiffrées.

Le service de recouvrement sera activé selon les mêmes principes que pour toutes les données qui sont présumées appartenant à l’établissement.
 

L'offre de service de la DSI (décembre 2019)

La DSI gère des postes de travail Windows et Mac OS X. Un chiffrement de surface est activé systématiquement sur les portables W10 depuis mai 2019, sur les portable Mac OS X depuis décembre 2019. 

L'ouverture d'une session sur le poste déverouille l'outil de chiffrement, le changement de mot de passe sesame est propagé comme sur un poste non chiffré. En pratique l'utilisateur ne voit guère de différence par rapport au même poste qui ne serait pas chiffré.

Sur Windows 10, c'est produit Microsoft bitlocker qui a été retenu et sur les Mac OS X filevault. dans les deux cas ce sont des produits bien intégrés au système d'exploitation et compatibles avec les outils d'administration d'un parc important. Ces outils permettent de gérer aussi un service de recouvrement sûr, c'est à dire sans risque de ne pas pouvoir l'utiliser ni risque qu'il soit détourné pour compromettre les données à protéger. En cas de perte du mot de passe, si le poste n’est pas connecté au réseau de l’université, le recouvrement de la clé de secours par le titulaire du poste est possible sur demande en ouvrant un ticket d’assistance.

Quand une session est ouverte, le fonctionnement étant identique que un poste non chiffré, le système accède à toutes les données du poste. Si les permissions des dossiers l’autorisent, ou si la personne qui a ouvert une session dispose des droits d’administrateur, elle peut consulter normalement des fichiers locaux qui ne lui appartiennent pas, comme sur un PC non chiffré. En conséquence, le chiffrement ne protège pas les données contre un vol du PC par une personne disposant d'un compte au sein de l"université.
 

Pour les postes non gérés par la DSI ?

Pour les postes qui ne sont pas gérés par la DSI, l'exigence de pouvoir recouvrer les données, même en l’absence de la personne titulaire du poste est la même. C'est la principale difficulté à évaluer lors du choix d'une solution. Une mesure organisanionelle permet d'atteindre cet objectif en stockant systématiquement les clés de chiffrement dans un coffre-fort géré par la DSI. Ces coffres sont stockés sur un serveur dédié, ils peuvent être ouverts avec le produit KeePass certifié par l'ANSSI. Se reporter à la description du service de coffre-fort de la DSI pour ce contexte. Il conviendra de documenter l’usage de chaque clef stockée dans le coffre KeePass (quel est le PC et la partition concernée, ses paramètres, la date de sa création). Cette gestion du recouvrement est de loin moins performante que celle que propose le rattachement à un annuaire active directory, mais elle est fonctionnelle. Bien entendu, si la clé ou la passphrase de recouvrement est stockée sur le PC chiffré, celle-ci ne sera pas disponible le jour où on en aurait besoin !

 

Chiffrement de container

Il existe de nombreux logiciels de chiffrement de contenaire, c'est à dire des logiciels qui fabriquent une archive chiffrée contenant plusieurs fichiers à protéger en confidentialité. Citons 7zip qui permet en option de chiffrer les archives. Ces fichiers  peuvent être échangé avec des partenaires avec les outils usuels du réseau à condition de disposer d'un moyen sûr pour échanger les clés de chiffrement. Comme pour le chiffrement de surface, la possibilité de recouvrir les données est une exigeance légale. 

La DSI proposera prochainement un service de chiffrement de container basé sur l'outil "Zed Enterprise", ce produit est certifié par l'ANSSI. Il permet de chiffrer des fichiers assemblés dans une archive (un fichier avec l'extention ".zed"). Le chiffrement sera réalisé avec des certificats numériques ce qui résoud le problème de partage des clés de déchiffrement. Une GPO forcera une disposition permettant le recouvrement en s'appuyant sur un certificat dédié et protégé dans un coffre fort KeePass. Ce produit devra être acquis par les composantes qui le souhaitent. Il peut aussi être choisi pour des postes non gérés par la DSI.

Mise à jour : 05/05/2020 - 11:12