Sécurisation des données par CHIFFREMENT des PC Utilisation de TrueCrypt C. Yohia Centre d'Océanologie de Marseille – UMS 2196 CNRS Journée métier ASR.

Slides:



Advertisements
Présentations similaires
Installation du PGI – CEGID
Advertisements

GCstar Gestionnaire de collections personnelles Christian Jodar (Tian)
Outil Système Complet d'Assistance Réseau CRDP de l'académie de Lyon Documentation librement inspirée de la présentation.
Ghost (Création d'image Système)‏ C.R.I.P.T Informatique (BOYER Jérôme)‏
Les sauvegardes Pourquoi sauvegarder ? Que sauvegarder ? Quand sauvegarder ? Ou sauvegarder ? Et comment ?
AbulEdu – Solution libre pour l'école AbulÉdu Solution logicielle sur mesure pour l'Éducation.
Composants Matériels de l'Ordinateur Plan du cours : Ordinateurs et applications Types d'ordinateurs Représentation binaires des données Composants et.
CREER SON SERVEUR DOMESTIQUE LIBRE Régis VINCENT – Octobre 2011 Benjamin.
Projet tuteuré 2009 Les clients légers Alexandre Cédric Joël Benjamin.
Travailler à l'ensimag avec son matériel personnel (dans les locaux Ensimag ou depuis l'extérieur) 1.Introduction 2.La clé USB Ensilinux 3.Rappels : Accès.
Présentation du système GNU/ LINUX Journée des Logiciels Libres - 10 Décembre 2006.
Les Logiciels Libres en pratique Samedi 25 mars 2006 Toulibre
LES FONCTIONS D'UN SYSTEME D'EXPLOITATION ● Le système d'exploitation contrôle entièrement les ressources matérielles locales. ● Il est responsable de.
Sécurité des systèmes d'information des EPLEFPA D. COLISSON DRTIC DRAAF/SRFD Rhône-Alpes Octobre 2010.
Pour la fixation des erreurs de registre de Windows 8.2 vous devez soit faire usage de la méthode manuelle ou vous pouvez même utiliser l'outil de réparation.
Le système Raid 5 Table des matières Qu'est ce que le RAID ? Les objectifs Le raid 5 Les avantages et les inconvénients Les composants d’un Raid.
Remplacement du disque dur par un SSD avec le logiciel Acronis Doubleclic Alain Coutin Avant il faut mettre physiquement le SSD en place dans son logement.
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.
Présentation du programme
La sécurité Un sujet TRES vaste ! Qu'est ce qu'un « hacker » ? Risques pour un utilisateur lambda ? Comment s'y prennent-ils !? Comment se protéger ? Tout.
15/11/20161DRT du CRDP de l'académie de Lyon Eole – Scribe Votre nouvelle organisation du réseau informatique pédagogique DRT : Département Ressources.
ATEMPO Live Navigator. Présentation → Besoin d'un outil de sauvegarde facile à déployer et indépendant du système ( Linux / Mac OS X et Windows ) → qui.
L’intérêt de sauvegarder certaines données stockées localement sur les postes clients est souvent trop sous-estimée par nos utilisateurs. Casse matérielle,
GABRIEL G estion A ssociée des B ases et R éseaux de l’ E nseignement L ibre 12/10/2016 Observatoire SOLFEGE – Nice & Corse.
Les mémoires de l’ordinateur
L’ordinateur et ses composants
Architecture des ordinateurs, Environnement Numérique de Travail
Téléchargement de fichiers
Rappels et présentation du réseau local
Mise en place d’un système de partage de fichiers
Outil Système Complet d'Assistance Réseau
Sécurité informatique
PPE : Gestion de parc informatique
Celine L, Germain T, Pauline W, Josephine R, Hortense C.
Chiffrement de bout en bout
Installer linux sur VMware
Centralisation de logs
République algérienne démocratique et populaire Ministère de la Formation Et de l’Enseignement Professionnel Institut National Spécialisé en Formation.
Pack business Entrepreneurs intégral la solution tout en 1 !
Présentation J GUIRANDE.
Support – info Sauvegarde des données locales des postes clients
Bienvenue Comment peut-on disposer d’un espace numérique permettant de stocker toutes sortes de documents pouvant être utilisés par n’importe quel membre.
Introduction Présentation du formateur : Adresse
Cyril Bras Journée « Sécu »
Chapitre 7 Configuration de l'environnement du bureau
Windows Server 2012 Objectifs
Actu truecrypt. VVT. 4 Juillet 2014
Dématérialisation des faxs
Le cloud authec Le cloud privé d’authec : nouvelle plateforme d’échange & consultation de vos données.
Règles d'utilisation des images sur Internet
Projet sur l’ordinateur
Mise en œuvre d’une solution de portail
Outils et principes de base. Exemple d’application  Gestion de données d’enquête : Interface de saisie en ligne  insère directement les données dans.
Architecture des ordinateurs
Introduction Présentation du formateur : Adresse
Bienvenue sur Coursinfo.fr
Système d’exploitation UNIX
Gestion des photos Organisation du disque dur, Navigation
Présentation de la base Frantext
Configurations possibles
Mots de passe Apprenez à composer.
La sécurisation du poste de travail
PLATE FORME DE GESTION ÉLECTRONIQUE DE DOCUMENTS Présenté par: Amine LARIBI.
Formation SpeechExec Enterprise Dictate
SyncBackFree : des données en sécurité!
Backup des Postes de Travail
1 DEPLOIEMENT D’UN SYSTEME DE REPARTITION DE CHARCHE (LOAD BALANCING) Abasse KPEGOUNI, Ingénieur Systèmes et Réseaux.
FORMATION DANE NC RNE Le 05/09/2018
Transcription de la présentation:

Sécurisation des données par CHIFFREMENT des PC Utilisation de TrueCrypt C. Yohia Centre d'Océanologie de Marseille – UMS 2196 CNRS Journée métier ASR RESINFO 24/6/2011 Réseau CESAR

Plan ● Pourquoi chiffrer les PC ? ● Les résultats du groupe de travail CNRS – différents logiciels de chiffrement et recommandations ● Cas du chiffrement sous Linux et MacOS ● Exemple d'utilisation de TrueCrypt ● Séquestre des clés (exemple dans Pytheas) ● Démonstration sur container et partition

Pourquoi chiffrer les données ? ● Nécessité de protéger le patrimoine scientifique ● Une étude statistique montre que un grand nombre d'ordinateurs portables des personnels CNRS sont régulièrement volés ou perdus – (tous les vols ou pertes ne sont pas déclarés) ● Des données de nature ”sensible” (publications, brevets, mots de passe, documents classés confidentiels, données personnelles et privées, notes exam, sujet exam, Photos perso, CV, marchés publics) circulent hors de l'établissement ● Conséquences graves dans le cas d'informations à forte valeur économique (document pour dépot de brevet) ● Conséquences facheuses pour des données à caractère ”privé” et confidentielles

Pourquoi chiffrer ? ● Le chiffrement est une mesure efficace pour rendre le disque illisible (lorsque le PC est éteint) et... – limiter les conséquences d'un vol ou d'une perte de poste nomade ou media amovible (clés USB). ● C'est l'orientation choisie par le CNRS est préconisée par sa PSSI ● La note du 16 janvier 2011 définit la politique de chiffrement à mettre en œuvre pour assurer la protection des ordinateurs portables – Elle traduit la volonté de garantir au mieux la sécurité des données dans un souci de facilité de déploiement et surtout d’utilisation, gage d’appropriation pérenne par les utilisateurs.

Les différents méthodes de chiffrement ● Plusieurs logiciels ont été testés par un groupe de travail du CNRS – Zone Central (Windows, MacOS, Linux) – Dm-crypt (Linux) – FileVault (MacOS) – TrueCrypt (Windows, MacOS, Linux) ● Une solution matérielle : – Les ”disques chiffrants” (font partie de l'offre DELL)

Les différents logiciels de chiffrement ● Solution logicielle : plusieurs critères ont été déterminants... – pertes de performances insignifiantes – Usage simple, peu contraignant pour l'utilisateur – Déploiement souple et aisé pour l'administrateur – Le produit de chiffrement doit être sûr, qualifié et certifié – Interopérable sur différents OS – Si possible gratuit et openSource ? ● Solution matérielle : logiciel de gestion de chiffrement ”wave” propriétaire... tourne sous Windows.

Les différents logiciels de chiffrement ● Les logiciels offrent plusieurs manières de chiffrer : – chiffrement de portions de disques ”containers” – chiffrement de partitions entières – chiffrement du disque entier ● Seul le chiffrement du disque tout entier permet de se prémunir contre la fuite d’informations en cas de perte ou de vol. ● Les outils informatiques qui chiffrent les répertoires ou les fichiers sont insuffisants : ils ne ciblent pas les fichiers temporaires (/tmp, swap) – ”Utiles” pour échanger un document (clés USB, transferts FTP...)

Les différents logiciels de chiffrement ● Solutions logicielles retenues : – TrueCrypt (Windows, MacOS, Linux) – FileVault (MacOS) – Dm-crypt (Linux) ● Disques chiffrants... le ”must” mais logiciel de gestion fonctionne sous Windows uniquement – Le disque chiffrant doit avoir préalablement initialisé sous Windows par un administrateur → gymnastique” pour le faire fonctionner sous Linux (enlever le disque, le mettre sur un pc windows activer le chiffrement, l'enlever le remettre sous linux)

Séquestre de clés et recouvrement ● Chiffrer c'est bien... mais il faut assurer une possibilité de retrouver les données en cas de perte du mot de passe de chiffrement ou de corruption du ”header” contenant la clé de chiffrement ● Il faut donc mettre en place un ”séquestre” des clés et de mot de passe permettant de déchiffrer le disque ● Le recouvrement est la procédure qui permet d’accéder à une information qui a été chiffrée en cas d’oubli du mot de passe ou de l’indisponibilité de son détenteur.

Le chiffrement sous MacOSX ● Cryptage sous MacOSX – Préférences système / Sécurité / FileVault – Mise en oeuvre très simple, quelques cases à cocher. – Seul le répertoire utilisateur est chiffré – Possibilité de chiffrer le swap – Un seul mot de passe de chiffrement ● Recouvrement: – Le mot de passe à conserver est le mot de passe maître qui a été choisi lors de l’initialisation du chiffrement du répertoire personnel de l’utilisateur. – Il permet de débloquer un utilisateur qui aurait perdu son mot de passe. Il n’est donc pas utile de séquestrer le mot de passe de l’utilisateur.

Le chiffrement sous Linux ● Chiffrement sous Linux : utilisation de DM-Crypt (LUKS Linux Unified Key Setup) – Intégré au noyau depuis la version 2.4 ● On peut chiffrer le disque a posteriori mais....c'est plus lourd ● Les distributions Linux proposent désormais le chiffrement des partitions LVM dès l'installation du PC... – Plus facile... ● Au COM sur les PC portables Linux ”clients” on utilise la ”Ubuntu-alternate” – On chiffre la totalité d'un volume LVM

Le recouvrement sous Linux ● Pour le recouvrement il faut sauvegarder le mot de passe et une copie de l’”en-tête” (header) qui contient la clé de chiffrement – si pour une raison ou une autre, le header est corrompu ou illisible (secteur défectueux par exemple), il ne sera pas possible de récupérer les informations. ● Il est donc vivement conseillé de conserver le mot de passe, et une sauvegarde de l’en-tête : – On rajoute un password de déchiffrement dans l'entête ● # cryptsetup luksAddKey /dev/hda7 – Sauvegarde de l'entete ● # cryptsetup luksHeaderBackup --verbose – header-backup

Le chiffrement des PC Windows avec TrueCrypt ● TrueCrypt fonctionne sous Windows, Linux, MacOS et permet : – Le chiffrement de ”conteneur” (zone chiffrée qui va contenir des fichiers à protéger) – Le chiffrement de partitions entières D: /dev/sda1 – Le chiffrement intégral du disque avec authentification au démarrage uniquement pour windows. ● Logiciel openSource (gratuit) et... certifié par l'ANSSI. ● Pour l'échange de conteneurs entre machines, c'est le seul qui soit multiplateforme (Windows, Linux, Mac)

Chiffrer un disque entier avec TrueCrypt ● Lancement de TrueCrypt : Sélectionnez « Outils / Assistant de création de volume » ou le bouton ”Create Volume”.

Chiffrer un disque entier avec TrueCrypt ● Choix du type de volume à crypter (conteneur, partition ou disque)

Chiffrer un disque entier avec TrueCrypt ● Chiffrement du disque entier ou uniquement la partition système

Chiffrer un disque entier avec TrueCrypt ● Inclusion des zones disques cachées ou pas ?

Chiffrement avec TrueCrypt ● Multiboot ou single boot ? (au COM on ne fait plus de multi boot)

Chiffrer un disque entier avec TrueCrypt ● Choix de l'algorithme de cryptage (valeurs par défaut très bonnes)

Chiffrer un disque entier avec TrueCrypt ● Important: choix du mot de passe permettant de protéger la clé de chiffrement

Chiffrer un disque entier avec TrueCrypt ● Génération aléatoire de la ”Master Key” de chiffrement, en bougeant la souris

Chiffrer un disque entier avec TrueCrypt Disque de secours ● Creation d'un CD de recouvrement (rescue cd) – Produit une image Iso bootable à graver sur un CD

Chiffrer un disque entier avec TrueCrypt Disque de secours ● Gravage de l'image iso sur CD (rescue cd) – Ce CD de recouvrement permet de booter et de déchiffrer le PC depuis le CD : le header et mot de passe sont conservés sur le CD

Séquestre des clés (exemple dans Pytheas) ● Le séquestre de clé dans le cas d'un disque entier consiste à: – Sauvegarder le ”header” contenant la clé de chiffrement (image ISO sauvegardée et gravée) – Sauvegarder le mot de passe débloquant la clé dans un fichier ou une BD MySQL ● afin de pouvoir redémarrer la machine en cas d'oubli de celui-ci ou de corruption du header ● Sauvegarde de toutes les images iso générées par TrueCrypt dans un qtree du Netapp

Chiffrer un disque entier avec TrueCrypt ● Dernière étape: Série de tests effectués par TrueCrypt pour vérifier que tout est ok : [preboot truecrypt, clé de chiffrement, et mot de passe d'accès au header]

Chiffrement avec TrueCrypt ● Etape finale : Le PC reboote

Chiffrement avec TrueCrypt ● Le chiffrement de la totalité du disque commence – Compter 1h pour 100 Go environ (dépend de la puissance du proc)

Recouvrement ? 1. Le Rescue-CD a été produit avec le mot de passe du service informatique 2. on a changé le mot de passe dans le header disk de true crypt … le PC a été livré à l'utilisateur avec son propre mot de passe ● Si un utilisateur perd ou oublie son mot de passe de dé- chiffrement ? – Ces mots de passe ont été sauvegardés dans une BD MySQL (PK numéro de série) – Si le passwd de l'utilisateur ne fonctionne plus (oubli), le CD de recouvrement permet d'écraser le header du disque et de déchiffrer avec le mot de passe du Service info

Sequestre des clés (exemple dans Pytheas) ● Structure de la table ● Exemple d'enregistrement

Démonstration ● Démonstration de chiffrement – Création d'un conteneur ou d'une partition sur clé USB – Sauvegarde du header dans un fichier – Modification du mot de passe du header du container – Restitution du header à partir du fichier sauvegardé ● Échange avec un autre poste sous MacOS

... Merci de votre attention... Questions?