Le chiffrement des fichiers et terminaux expliqué simplement par Laurent Heslault, directeur des stratégies de sécurité de Symantec.
Qu’il s’agisse de protection des données ou de la vie privée, on parle beaucoup de chiffrement, parfois en galvaudant le terme. Le chiffrement, ou cryptage, permet de réserver la compréhension d’un document ou de données de nature diverse aux seules personnes habilitées, et ce via une clé dite de déchiffrement. Que chiffre-t-on et pourquoi ? Comment cela fonctionne-t-il ? Comment peut-on restaurer et récupérer les données ? Petit tour d’horizon des principaux points techniques pour démystifier et expliquer le chiffrement.
Chiffrement des terminaux et / ou chiffrement des fichiers ?
Lorsqu’il s’agit de chiffrer des données, différentes approches sont possibles. Le chiffrement des terminaux protège un disque en cas de vol ou de perte accidentelle grâce au chiffrement de l’intégralité du disque, y compris des fichiers d’échange, des fichiers système et des fichiers d’hibernation. En cas de perte, de vol ou d’insertion d’un disque chiffré dans un autre ordinateur, le chiffrement du disque reste intact, garantissant ainsi que seul un utilisateur autorisé peut accéder à son contenu.
Toutefois, le chiffrement des terminaux ne permet pas de protéger les données lors d’une connexion au système et que l’ordinateur est laissé sans surveillance. Dans ce cas, le système a été déverrouillé et des utilisateurs non autorisés peuvent y accéder aussi facilement qu’un utilisateur habilité. C’est là que le chiffrement de fichiers entre en jeu.
Tout comme un système d’alarme protège toute une maison et un coffre-fort apporte une sécurité supplémentaire, le chiffrement des terminaux protège l’ensemble du système et le chiffrement de fichiers offre une couche de sécurité supplémentaire. Ce dernier concerne des fichiers spécifiques de telle sorte que lorsqu’un utilisateur accède à un système d’exploitation, le contenu du fichier reste chiffré avec un accès autorisé par une phrase secrète. L’intervention de l’utilisateur est alors nécessaire tandis que le chiffrement de disque chiffre automatiquement tout ce que celui-ci ou le système d’exploitation crée. En outre, le chiffrement de fichiers peut être associé à un serveur de politiques de chiffrement qui permet aux administrateurs informatiques de créer et fournir des règles de chiffrement au sein d’une organisation, tout en chiffrant automatiquement les fichiers issus de différentes applications et/ou dossiers.
Comment ça marche ?
Pendant le processus de démarrage du système d’exploitation, une séquence est exécutée. Un module de chargement (ou module bootstrap) est un petit programme informatique qui charge le système d’exploitation principal de l’ordinateur. Ce module consulte d’abord une zone de démarrage ou une table de partition, qui représente la zone logique « zéro » (ou point de départ) du disque.
Le chiffrement des terminaux modifie la zone de point zéro du disque. Le logiciel de chiffrement présente ainsi à l’utilisateur un environnement de « pré-démarrage » dont l’écran invite l’utilisateur à s’authentifier en saisissant des informations d’authentification (généralement un mot de passe plus long qui ressemble souvent à une phrase). À ce stade, l’ordinateur peut demander d’autres identifiants tels qu’une carte à puce, un jeton ou une autre authentification à deux facteurs.
Chiffrement des terminaux : comment ça marche ?
Après la saisie des informations d’authentification valides par l’utilisateur, le système d’exploitation poursuit son chargement de façon normale et l’utilisateur peut accéder à l’ordinateur.
Pendant le processus de démarrage, le système initialise donc les systèmes de fichiers de l’ordinateur.
Lorsqu’un utilisateur demande l’accès à un fichier, la demande est envoyée au gestionnaire des entrées/sorties (E/S) du système d’exploitation, qui la transmet au gestionnaire des systèmes de fichiers. Le gestionnaire des systèmes de fichiers traite les données par blocs.
Le chiffrement sans gêne, surtout pour l’utilisateur
Il va sans dire que l’expérience utilisateur est clé et que le chiffrement ne doit pas entraver l’utilisation des données, et encore moins la productivité. Lorsqu’un disque est chiffré pour la première fois, il convertit nécessairement et successivement les blocs de disque non chiffrés en blocs chiffrés. Néanmoins, l’utilisateur doit pouvoir continuer à travailler normalement pendant ce processus de chiffrement initial et la quantité d’UC affectée à ce processus doit varier selon les besoins. De même, lorsque l’utilisateur accède à un fichier, les données doivent être déchiffrées en mémoire avant d’être affichées. Si l’utilisateur modifie le fichier, les données sont chiffrées dans la mémoire et réécrites sur le bloc de disque dur approprié comme s’il n’y avait aucun chiffrement. La sécurité et l’expérience utilisateur sont ainsi optimisées : les données déchiffrées ne sont jamais disponibles sur le disque et le processus de chiffrement/déchiffrement s’effectue de façon parfaitement transparente.
Chiffrer ne signifie pas ne pas pouvoir restaurer !
La restauration de données est généralement due à la perte ou à l’oubli d’une phrase secrète. Par conséquent, le logiciel de chiffrement des terminaux doit comporter une fonction de restauration. Cette fonction repose généralement sur trois possibilités : la réponse à des questions prédéfinies et personnalisables pendant le démarrage afin d’accéder à un système chiffré et réinitialiser la phrase secrète de démarrage ; un jeu de caractères alphanumériques temporaire et à usage unique, fourni par périphérique et par utilisateur permettant de réinitialiser une phrase secrète, ou encore, et de façon plus protocolaire, la clé d’administrateur, détenue par ce même administrateur, stockée sur une carte à puce ou un jeton inviolable.
La restauration de données peut résulter, plus rarement, d’une corruption des données liée à une défaillance matérielle ou à d’autres facteurs tels que des logiciels malveillants. Cette corruption peut empêcher le démarrage d’un système. Dans ce cas, on veillera à créer un CD de restauration puis de sauvegarder le disque avant de le chiffrer avec un logiciel de chiffrement des terminaux.
Chiffrer n’est donc pas forcément compliqué, encore faut-il déterminer les données critiques à protéger et les autorisations d’accès à accorder. Qu’il s’agisse de fichiers ou de terminaux, l’essentiel est de préserver le confort de travail et la productivité de l’utilisateur, le tout dans un souci de gestion des risques et de protection optimisée.