J’allais traiter en « back to basics -épisode 10-«  le problème des clefs USB, disques durs et autres PC portables, smartphones et tablettes qui sortent du
site de l’entreprise ou qui servent de moyen de transfert entre deux partenaires, mais l’actualité récente me fait traiter ce sujet avec plus de priorité:

Les plans de l’Élysée dérobés

Un homme qui était venu récupérer un proche dimanche à la gare de Lyon à Paris s’est fait dérober dans sa voiture une clé USB pas comme les autres. Cet entrepreneur d’une société chargée de
l’installation de la fibre optique dans des hauts lieux de l’État français a constaté le vol de ses fichiers: les plans du palais de l’Élysée, du ministère de l’Intérieur et de la préfecture de
police de Paris, rapporte le Parisien.

« Pas des documents classifiés »

Ces documents hautement confidentiels entraient dans le cadre d’un plan de vidéoprotection de la ville de Paris, selon le quotidien. Sensibles puisqu’ils représentaient
l’emplacement de chacune des pièces de ces bâtiments, les fichiers n’étaient pas cryptés pour autant. La police judiciaire s’interroge sur le motif du vol: cette clé USB
était-elle ciblée ou les voleurs l’ont emporté par hasard lors d’un banal vol. « Dans les deux cas, il est quand même regrettable que de tels éléments soient dans la nature », avouait lundi une
source judiciaire.

————————————-

En plus de l’Elysée la clef contenait les plans de la Prefecture de Police et également du Ministère de l’Intérieur…

Ma première remarque réside dans la classification: autant l’armée et les administrations sont précises dans leur classification de documents, notamment papier,
avec les « TSD », 

• Très Secret Conseil pour le Conseil de défense et de sécurité nationale
• Très Secret Rubis pour le militaire
• Très Secret Diamant
• Très Secret Habile
• Très Secret Olifant
• Très Secret Cosmic (Control of secret material in an international command) pour l’OTAN.

« SD » et les « CD », Article L2311-1, y
compris sur les procédures de diffusion, autant les classifications des documents électroniques, notamment les scans de plans et autres sont inexistantes ou peu claires pour les
sous-traitants.

Deuxième remarque: La « désinvolture » pour un utilisateur de laisser une clef USB dans sa voiture, dans sa chambre d’hotel, dans un bagage, est aussi banale que de
le voir jeter un mégot par terre… 

La solution ne peut donc pas résider dans des consignes données aux utilisateurs: elle doit être transparente à l’usage sinon elle sera contournée
ou non appliquée.

La solution existe.

Il s’agit donc de chiffrer (on ne dit pas crypter en français dans ce cas) les données qui se trouvent sur tous les supports amovibles:
clefs USB mais aussi disques durs externes et disques durs qui sont dans les ordinateurs portables. C’est aussi simple que cela, et il existe même des logiciels gratuits et labellisés par
l’ANSSI; Alors pourquoi presque personne ne le fait ?! La réponse est toujours dans l’ergonomie: personne ne le fait parce qu’il faut faire une action spécifique lors du chiffrement, comme
d’indiquer un mot de passe ou un code PIN…

La solution ergonomique existe.

Plutot que de contraindre les utilisateurs à chiffrer leur clef, livrons leur une clef, un disque dur, un ordinateur portable qui chiffre et dechiffre
automatiquement les données ! Mais comment ? En utilisant un critère que le voleur ne pourra pas usurper: les empreintes digitales.

Il existe des clefs USB, des disques durs amovibles et des ordinateurs portables équipés d’un tel dispositif. Ainsi pas besoin d’un mot de passe à retenir,
l’empreinte digitale suffit. On peut enrôler plusieurs empreintes de manière à pouvoir utiliser la clef ou le disque entre partenaires. C’est l’empreinte digitale qui déclenche le dechiffrement
du média et son accès. Ainsi, lors de la perte -ineluctable- d’un tel disque le voleur aura juste gagné le support mais pas son contenu. 

Voici par exemple IMATION (comme d’habitude, je n’ai aucun lien ou intérêt avec cette entreprise) dont j’utilise les produits pour protéger les rapports de
tests d’intrusion et d’audits de sécurité que j’effectue chez les clients.

Par ailleurs nous utilisons le disque dur pour ranger le « kit de survie documentaire » en cas de perte du site de notre entreprise dans le cadre du plan de
continuité d’activité. Les dirigeants de l’entreprise ont enrôlé leurs empreintes sur plusieurs de ces disques qui sont situés à l’extérieur du site et qui pourront servir de secours de données
en cas de perte physique de notre site ou de ses serveurs.

De même pour les ordinateurs portables de notre entreprise, ils sont dotés de capteurs biométriques qui sont liés au chiffrement du disque soit avec BitLocker sur
Windows 7, soit avec Truecrypt (validé par l’ANSSI) pour les versions en Windows XP.

Et la CNIL dans tout ça?

Suivant la loi Informatique & Libertés et plus récemment la LCEN, il n’y a aucune obligation de l’entité qui souhaite s’équiper de
faire une demande d’autorisation préalable à la CNIL d’utilisation de la biométrie, car les empreintes digitales sont stockées localement: il n’y a aucun traitement
centralisé des empreintes. L’utilisateur du dispositif maîtrise donc ses empreintes. Ceci dit la CNIL serait bien inspirée de publier un avis indiquant que ce type d’utilisation
de la biométrie n’est soumis à aucune contrainte déclarative ou autre, et qu’elle recommande même son utilisation dans le cadre de la protection des données personnelles (clients
notamment).

Le coût de ces dispositifs biométriques est naturellement supérieur aux clefs USB et disques ‘ »normaux », de l’ordre de quelques dizaines d’euros pour les clefs USB
et quelques centaines d’euros pour les disques durs. Pas de quoi en faire une montagne budgétaire, surtout par rapport aux enjeux des données à protéger.

De même on pourra envisager dans certains domaines sensibles, d’obliger le sous-traitant dans sa réponse au cahier des charges d’utiliser de tels
dispositifs.

Enfin, pour faciliter le choix il serait bon que l’ANSSI labellise un certain nombre de dispositifs (comme le DoD l’a fait aux USA après les pertes
de clefs USB au FBI il y a 4-5 ans), sans attendre que les fabricants fassent un démarche de certification. Ainsi les administrations et les entreprises n’auront qu’à piocher
dans la liste !

Il reste le sujet des smartphones et tablettes qui ne disposent pas de tels dispositifs mais il existe des solutions originales pour pallier le vol
et donc le potentiel accès au système et aux données de l’entreprise. Je le traiterai avec le nomadisme dans un article ultérieur.

 Enfin, il faut traiter le sujet de la protection des données sensibles une fois que le média est mis au
rebut (notamment les disques des PC portables). En dehors de la solution qui consiste à détruire physiquement le disque, certes définitive mais qui empêche la possibilité de
reutilisation dans le cadre d’opérations de revente ou de don, il existe des solutions de formatage de bas niveau tout à fait efficaces. Ca sera l’objet de mon prochain article.