Sécurisation des données par CHIFFREMENT des PC Utilisation de TrueCrypt C. Yohia Centre d'Océanologie de Marseille – UMS 2196 CNRS Journée métier ASR RESINFO 24/6/2011 Réseau CESAR

Plan ● Pourquoi chiffrer les PC ? ● Les résultats du groupe de travail CNRS – différents logiciels de chiffrement et recommandations ● Cas du chiffrement sous Linux et MacOS ● Exemple d'utilisation de TrueCrypt ● Séquestre des clés (exemple dans Pytheas) ● Démonstration sur container et partition

Pourquoi chiffrer les données ? ● Nécessité de protéger le patrimoine scientifique ● Une étude statistique montre que un grand nombre d'ordinateurs portables des personnels CNRS sont régulièrement volés ou perdus – (tous les vols ou pertes ne sont pas déclarés) ● Des données de nature ”sensible” (publications, brevets, mots de passe, documents classés confidentiels, données personnelles et privées, notes exam, sujet exam, Photos perso, CV, marchés publics) circulent hors de l'établissement ● Conséquences graves dans le cas d'informations à forte valeur économique (document pour dépot de brevet) ● Conséquences facheuses pour des données à caractère ”privé” et confidentielles

Pourquoi chiffrer ? ● Le chiffrement est une mesure efficace pour rendre le disque illisible (lorsque le PC est éteint) et... – limiter les conséquences d'un vol ou d'une perte de poste nomade ou media amovible (clés USB). ● C'est l'orientation choisie par le CNRS est préconisée par sa PSSI ● La note du 16 janvier 2011 définit la politique de chiffrement à mettre en œuvre pour assurer la protection des ordinateurs portables – Elle traduit la volonté de garantir au mieux la sécurité des données dans un souci de facilité de déploiement et surtout d’utilisation, gage d’appropriation pérenne par les utilisateurs.

Les différents méthodes de chiffrement ● Plusieurs logiciels ont été testés par un groupe de travail du CNRS – Zone Central (Windows, MacOS, Linux) – Dm-crypt (Linux) – FileVault (MacOS) – TrueCrypt (Windows, MacOS, Linux) ● Une solution matérielle : – Les ”disques chiffrants” (font partie de l'offre DELL)

Les différents logiciels de chiffrement ● Solution logicielle : plusieurs critères ont été déterminants... – pertes de performances insignifiantes – Usage simple, peu contraignant pour l'utilisateur – Déploiement souple et aisé pour l'administrateur – Le produit de chiffrement doit être sûr, qualifié et certifié – Interopérable sur différents OS – Si possible gratuit et openSource ? ● Solution matérielle : logiciel de gestion de chiffrement ”wave” propriétaire... tourne sous Windows.

Les différents logiciels de chiffrement ● Les logiciels offrent plusieurs manières de chiffrer : – chiffrement de portions de disques ”containers” – chiffrement de partitions entières – chiffrement du disque entier ● Seul le chiffrement du disque tout entier permet de se prémunir contre la fuite d’informations en cas de perte ou de vol. ● Les outils informatiques qui chiffrent les répertoires ou les fichiers sont insuffisants : ils ne ciblent pas les fichiers temporaires (/tmp, swap) – ”Utiles” pour échanger un document (clés USB, transferts FTP...)

Les différents logiciels de chiffrement ● Solutions logicielles retenues : – TrueCrypt (Windows, MacOS, Linux) – FileVault (MacOS) – Dm-crypt (Linux) ● Disques chiffrants... le ”must” mais logiciel de gestion fonctionne sous Windows uniquement – Le disque chiffrant doit avoir préalablement initialisé sous Windows par un administrateur → gymnastique” pour le faire fonctionner sous Linux (enlever le disque, le mettre sur un pc windows activer le chiffrement, l'enlever le remettre sous linux)

Séquestre de clés et recouvrement ● Chiffrer c'est bien... mais il faut assurer une possibilité de retrouver les données en cas de perte du mot de passe de chiffrement ou de corruption du ”header” contenant la clé de chiffrement ● Il faut donc mettre en place un ”séquestre” des clés et de mot de passe permettant de déchiffrer le disque ● Le recouvrement est la procédure qui permet d’accéder à une information qui a été chiffrée en cas d’oubli du mot de passe ou de l’indisponibilité de son détenteur.

Le chiffrement sous MacOSX ● Cryptage sous MacOSX – Préférences système / Sécurité / FileVault – Mise en oeuvre très simple, quelques cases à cocher. – Seul le répertoire utilisateur est chiffré – Possibilité de chiffrer le swap – Un seul mot de passe de chiffrement ● Recouvrement: – Le mot de passe à conserver est le mot de passe maître qui a été choisi lors de l’initialisation du chiffrement du répertoire personnel de l’utilisateur. – Il permet de débloquer un utilisateur qui aurait perdu son mot de passe. Il n’est donc pas utile de séquestrer le mot de passe de l’utilisateur.

Le chiffrement sous Linux ● Chiffrement sous Linux : utilisation de DM-Crypt (LUKS Linux Unified Key Setup) – Intégré au noyau depuis la version 2.4 ● On peut chiffrer le disque a posteriori mais....c'est plus lourd ● Les distributions Linux proposent désormais le chiffrement des partitions LVM dès l'installation du PC... – Plus facile... ● Au COM sur les PC portables Linux ”clients” on utilise la ”Ubuntu-alternate” – On chiffre la totalité d'un volume LVM

Le recouvrement sous Linux ● Pour le recouvrement il faut sauvegarder le mot de passe et une copie de l’”en-tête” (header) qui contient la clé de chiffrement – si pour une raison ou une autre, le header est corrompu ou illisible (secteur défectueux par exemple), il ne sera pas possible de récupérer les informations. ● Il est donc vivement conseillé de conserver le mot de passe, et une sauvegarde de l’en-tête : – On rajoute un password de déchiffrement dans l'entête ● # cryptsetup luksAddKey /dev/hda7 – Sauvegarde de l'entete ● # cryptsetup luksHeaderBackup --verbose – header-backup

Le chiffrement des PC Windows avec TrueCrypt ● TrueCrypt fonctionne sous Windows, Linux, MacOS et permet : – Le chiffrement de ”conteneur” (zone chiffrée qui va contenir des fichiers à protéger) – Le chiffrement de partitions entières D: /dev/sda1 – Le chiffrement intégral du disque avec authentification au démarrage uniquement pour windows. ● Logiciel openSource (gratuit) et... certifié par l'ANSSI. ● Pour l'échange de conteneurs entre machines, c'est le seul qui soit multiplateforme (Windows, Linux, Mac)

Chiffrer un disque entier avec TrueCrypt ● Lancement de TrueCrypt : Sélectionnez « Outils / Assistant de création de volume » ou le bouton ”Create Volume”.

Chiffrer un disque entier avec TrueCrypt ● Choix du type de volume à crypter (conteneur, partition ou disque)

Chiffrer un disque entier avec TrueCrypt ● Chiffrement du disque entier ou uniquement la partition système

Chiffrer un disque entier avec TrueCrypt ● Inclusion des zones disques cachées ou pas ?

Chiffrement avec TrueCrypt ● Multiboot ou single boot ? (au COM on ne fait plus de multi boot)

Chiffrer un disque entier avec TrueCrypt ● Choix de l'algorithme de cryptage (valeurs par défaut très bonnes)

Chiffrer un disque entier avec TrueCrypt ● Important: choix du mot de passe permettant de protéger la clé de chiffrement

Chiffrer un disque entier avec TrueCrypt ● Génération aléatoire de la ”Master Key” de chiffrement, en bougeant la souris

Chiffrer un disque entier avec TrueCrypt Disque de secours ● Creation d'un CD de recouvrement (rescue cd) – Produit une image Iso bootable à graver sur un CD

Chiffrer un disque entier avec TrueCrypt Disque de secours ● Gravage de l'image iso sur CD (rescue cd) – Ce CD de recouvrement permet de booter et de déchiffrer le PC depuis le CD : le header et mot de passe sont conservés sur le CD

Séquestre des clés (exemple dans Pytheas) ● Le séquestre de clé dans le cas d'un disque entier consiste à: – Sauvegarder le ”header” contenant la clé de chiffrement (image ISO sauvegardée et gravée) – Sauvegarder le mot de passe débloquant la clé dans un fichier ou une BD MySQL ● afin de pouvoir redémarrer la machine en cas d'oubli de celui-ci ou de corruption du header ● Sauvegarde de toutes les images iso générées par TrueCrypt dans un qtree du Netapp

Chiffrer un disque entier avec TrueCrypt ● Dernière étape: Série de tests effectués par TrueCrypt pour vérifier que tout est ok : [preboot truecrypt, clé de chiffrement, et mot de passe d'accès au header]

Chiffrement avec TrueCrypt ● Etape finale : Le PC reboote

Chiffrement avec TrueCrypt ● Le chiffrement de la totalité du disque commence – Compter 1h pour 100 Go environ (dépend de la puissance du proc)

Recouvrement ? 1. Le Rescue-CD a été produit avec le mot de passe du service informatique 2. on a changé le mot de passe dans le header disk de true crypt … le PC a été livré à l'utilisateur avec son propre mot de passe ● Si un utilisateur perd ou oublie son mot de passe de dé- chiffrement ? – Ces mots de passe ont été sauvegardés dans une BD MySQL (PK numéro de série) – Si le passwd de l'utilisateur ne fonctionne plus (oubli), le CD de recouvrement permet d'écraser le header du disque et de déchiffrer avec le mot de passe du Service info

Sequestre des clés (exemple dans Pytheas) ● Structure de la table ● Exemple d'enregistrement

Démonstration ● Démonstration de chiffrement – Création d'un conteneur ou d'une partition sur clé USB – Sauvegarde du header dans un fichier – Modification du mot de passe du header du container – Restitution du header à partir du fichier sauvegardé ● Échange avec un autre poste sous MacOS

... Merci de votre attention... Questions?