http://blog.patrick-legand.com/ Sécurité Informatique fr Thu, 24 Jul 2008 12:55:48 +0200 http://blogs.law.harvard.edu/tech/rss Dotclear http://blog.patrick-legand.com/post/2006/12/17/Prevenir-la-perte-annoncee-de-votre-clef-USB urn:md5:f6a3e3544bb9cc40f7c4cdae2c7c0a6c Sun, 17 Dec 2006 18:26:00 +0100 Patrick Legand Sécurité Clefs USB <p><img src="http://blog.patrick-legand.com/public/images/exclam.JPG" alt="exclam.JPG" style="float:left; margin: 0 1em 1em 0;" />Avec l'accroissement de leur capacité de stockage, les clefs USB s'invitent désormais au club des éléments de la sécurité informatique. Plutôt comme trublions; ou comme les pires bêtes noires de la sécurité des données, c'est comme on voudra.</p> <p>Bien anodin au départ, ce petit support amovible reçoit au fil du temps des wagons d'informations. Les plus importantes bien sûr, les plus sensibles aussi, puisqu'on y stocke justement les données dont on se sert, celles dont on a le plus besoin. Bien entendu on ne fait jamais le ménage, on n'a pas le temps. À quoi bon d'ailleurs ? Tant qu'il reste des dizaines de méga-octets d'espace libre sur cette clef, rien ne presse...</p> <p>Seulement un jour, patatras ! On perd sa clef USB. Si, si. On la perd. Non, ne soupirez pas en pensant que l'auteur de ce billet est un sinistre rabat-joie : vous la perdrez, comme tout le monde, comme je l'ai perdue la semaine dernière...</p> <p>Et bizarrement, c'est à ce moment précis que l'on commence à cogiter... Tous ces fichiers présents sur cette maudite clef... Avaient-ils été correctement sauvegardés ? N'ai-je pas définitivement perdu des données importantes ? Et surtout, les documents professionnels sensibles... quel préjudice s'ils tombent entre des mains malintentionnées ?</p> <p>Tiens, juste pour voir, avez vous une idée de ce qui part dans la nature suite à la perte de médias amovibles ? Quelques exemples véridiques :</p> <ul> <li>Des rapports d'audits financiers sur des grandes entreprises (égarés par exemple par le consultant d'un des nombreux cabinets d'expertise travaillant pour ces entreprises)</li> <li>Des fichiers des données personnelles (numéros de sécurité sociale, numéros de comptes bancaires et de cartes de crédit profesionnelles...) de plusieurs milliers de salariés d'une entreprise</li> <li>Des résultats de recherche ou des secrets de fabrication dans des domaines ultra sensibles (laboratoires pharmaceutiques, équipementiers automobile, etc.)</li> <li>Des documents classifiés intéressant la Défense Nationale</li> <li>etc. etc. etc.</li> </ul> <p>La foire à la chaussette, la grande braderie du secret industriel, Mesdames et Messieurs. Deeeeemandez le programme !!... Le pire, c'est que c'est vrai : on retrouve parfois ces informations publiées peu après sur un site web, ou sur CD-Rom en vente à l'étalage ! Je vous laisse deviner les conséquences !</p> <p>Le problème, c'est que les clefs USB sont des composants particulièrement vulnérables : la plupart des clefs disponibles dans la grande distribution n'offrent aucun mécanisme pour protéger l'accès aux données (même les utilisateurs qui auront fait l'effort de faire appel aux mécanismes de chiffrement EFS de Microsoft en seront aussi pour leur frais ; rappelons que les clefs USB utilisent un format FAT, qui ne sait pas gérer EFS : cela veut dire que tout document chiffré avec EFS sur un disque dur NTFS est automatiquement déchiffré par Windows lorsqu'il est stocké sur la clef USB !).</p> <p>Pourtant, sachez que <strong>trois mesures simples, efficaces et faciles à mettre en oeuvre permettent d'éviter définitivement des grosses catastrophes</strong> :</p> <p>1- En règle générale, <ins>évitez systématiquement de stocker des documents sensibles sur une clef USB dénuée de système de protection</ins>. Si dans la pratique vous êtes tout de même obligé de le faire (ce qui est souvent le cas), optez pour l'une des solutions proposées aux points 2 et 3.</p> <p>2- <ins>Utilisez des clefs USB sécurisées</ins> :</p> <ul> <li>Par exemple une clef biométrique : les données stockées sur cette clef ne peuvent être lues que sur présentation de votre empreinte digitale. Des sociétés comme Zalix (<a href="http://www.zalix.fr" hreflang="fr">www.zalix.fr</a>) ou Sagem (<a href="http://www.sagem.com" hreflang="fr">www.sagem.com</a>) proposent ce genre de produit à des prix tout à fait raisonnables.</li> </ul> <p><img src="http://blog.patrick-legand.com/public/images/trustwaypps.jpg" alt="trustwaypps.jpg" style="float:left; margin: 0 1em 1em 0;" />* D'autres sociétés comme Bull (<a href="http://www.wcm.bull.com" hreflang="fr">www.wcm.bull.com</a>) offrent des systèmes de chiffrement à la volée intégrés à l'intérieur des clefs USB (TrustWay RCI). Certifiés par la DCSSI, ces mécanismes issus de la Défense délivrent un niveau de protection élevé.</p> <p>3- Si votre service achats ne voit pas l'utilité d'investir dans ce genre d'équipements (c'est bien dommage et il est temps que votre grand patron aille suivre d'urgence une formation sur la montée de la cybercriminalité !), <ins>chiffrez vous-même vos fichiers sensibles avec le meilleur logiciel du marché, gratuit de surcroît : GnuPG</ins> (voir une présentation rapide de GnuPG ici sur ce blog). Certes, cela vous imposera quelques opérations supplémentaires, mais la confidentialité de vos données sera assurée.</p> <p>N'oubliez jamais quelques règles de bon sens :</p> <ul> <li>Réfléchissez toujours à deux fois avant de stocker un fichier sensible sur une clef USB</li> <li>Une clef USB est un support de stockage, pas de sauvegarde ! Assurez vous que toutes les informations stockées sur votre clef USB sont sauvegardées correctement.</li> </ul> http://blog.patrick-legand.com/post/2006/12/17/Prevenir-la-perte-annoncee-de-votre-clef-USB#comment-form http://blog.patrick-legand.com/post/2006/12/17/Prevenir-la-perte-annoncee-de-votre-clef-USB#comment-form http://blog.patrick-legand.com/feed/rss2/comments/64201