Contexte
Les données stockées sur un ordinateur perdu ou volé sont vulnérables aux accès non autorisés via l’exécution d’un outil d’attaque logicielle contre elles ou le transfert du disque dur de l’ordinateur sur un autre ordinateur.
Problème:
Au sein de mon technicentre, des agents utilisent leurs pc portables pour travailler depuis chez eux.
Ces PC portables voyagent partout, dans les trains, en voiture, chez un ami, dans l'avion, etc.
Il y a un risque qu'un pc portable soit volé ou perdu par un agent, donc d'exposer la SNCF à des risques financiers ou stratégiques.
Critique portfolio: Quel problème ? C'est bien de poser le contexte, encore fallait-il définir l'objectif !
Réponse apportée: Rédaction d'une partie contexte, ou j'explique le pourquoi du comment.
Premier contact et état des solutions disponibles
Avant de me lancé dans ce projet, j'ai demandé au COTIC par mail (Cellule Opérationnelle de sécurité des Technologies de l'Information et de la Communication) si il existait une solution déjà en place pour pallier à ce problème.
Ils m'ont répondu que non, que cette problématique était en cours de traitement et qu'une solution serait bien disponible. Le problème, c'est quand ? Dans 3 mois ? 6 mois ? 1 an ?
Je leurs ai proposé de travailler sur une solution que j'implémenterais sur quelques ordis portables de mon parc informatique et de leurs faire un retour.
Ils ont accepté et j'ai pu commencer à travailler sur ce projet.
L'objectif de ce projet est de proposer une solution qui permet de rendre illisible les données d'un ordinateur portable sans les identifiants du propriétaire.
Adopter les outils de communication appropriés à la situation
Bitlocker, la solution idéal ?
Le chiffrement de lecteur BitLocker est une fonctionnalité de protection des données intégrée au système d’exploitation, qui s’attaque aux menaces que constituent le vol ou l’exposition de données provenant des ordinateurs perdus ou volés.
Étant donné que notre parc informatique est composé de PC en Windows 10, je me suis orienté vers cette solution. .
La protection assurée par BitLocker est optimale lorsque ce dernier est utilisé avec un module de plateforme sécurisée (TPM). Le module TPM est un composant matériel installé sur de nombreux ordinateurs récents par les fabricants d’ordinateurs. Il fonctionne avec BitLocker pour protéger les données utilisateur et s’assurer que l’ordinateur n’a pas été falsifié pendant que le système était hors connexion.
Un module de plateforme sécurisée (TPM) est une puce conçue pour fournir des fonctions de sécurité de base impliquant principalement des clés de chiffrement. Le TPM est généralement installé sur la carte mère d’un ordinateur et communique avec le reste du système par l’intermédiaire d’un bus matériel.
Pour faire simple, la puce TPM stocke la clé de chiffrement et l'utilise à chaque démarrage du PC pour déchiffrer le disque.
Critique portfolio:
La mise en place Bitlocker couplé à la puce TPM est relativement simple, la puce TPM étant activé par défaut, il suffit simplement d'activer et de configurer Bitlocker depuis Windows. Les réglages important à mentionner sont:
Le mode de déverrouillage de l'appareil => On choisira de déverrouiller l'appareil avec la puce TPM
Comment sauvegarder la clé de chiffrement = > Via un fichier texte
Pour tester le bon fonctionnement du chiffrement, on peut démarrer sur un Live CD Ubuntu et voir que la partition Windows est bloqué, il n'est pas possible de l'ouvrir sans la clé de chiffrement.
De plus, rappelez vous, la puce TPM stocke la clé de chiffrement, il est possible de réinitialiser cette puce (donc de supprimer la clé de chiffrement) via le BIOS. Si on fait ça, WIindows nous demandera de saisir la clé de chiffrement (clé qui fait 48 caractère, composé de chiffres, de lettres en minuscules et majuscules, bonne chance...) au démarrage de l'ordinateur.
Critique portfolio: Bitlocker, la solution idéale ? Franchement, je ne vois pas ce qui se passe si on vole mon PC équipé de Bitlocker.
Réponse apportée: Modification de l'onglet en allégeant les explications et en les simplifiant.
Prévenir les problèmes de sécurité.
Organiser et tester la réaction en cas d’incident
En résumé, Bitlocker est je pense la solution qui répond le mieux à ma problématique pour les raisons suivantes:
- Permet de rendre illisible les données d'un ordinateur si il est volé
- Natif à Windows 10, aucun logiciel tier à installer/configurer
- Simple à configurer et à maintenir
- Gratuit
Automatisation du processus de chiffrement
Chiffrer un ordinateur avec Bitlocker à la main est intéressant pour apprendre, savoir ou sont les menus, les différentes options, etc. mais en prod, il est essentiel de ne pas perdre de temps sur les tâches répétitives et qui peuvent être facilement automatisées.
C'est pourquoi j'ai scripté avec Powershell le processus de chiffrement des pc portables, en sauvegardant la clé de chiffrement sur notre serveur de fichier dans un dossier sécurisé et sauvegardé.
Nous utilisons ce script lors de la préparation de nos ordinateurs portables, juste après les avoir formatés.
Le temps gagné est de 10 minutes grâce au script que j'ai réalisé, si on rapporte ça au nombres d'ordis que nous préparons par semaines, ça fait 1h/1h30 !
Bilan et conclusion
Comme convenu, j'ai écris un mail à la COTIC en leurs proposant la solution Bitlocker, que cette solution répondait parfaitement à la problématique initial et tout ça pour 0€ !
Je leurs ai également joins le script que j'ai réalisé.
J'attends jusqu'à ce jour (09/06/2019) leurs retours, en sachant que la solution Bitlocker est opérationnel sur mon parc informatique.
Ce projet fut relativement simple à mettre en place mais apporte un vrai plus en terme de compétence techniques et en terme de vision plus générale du SI.
J'ai été capable de soulever une problématique importante, de démarcher les différents acteurs concernés et de proposer une solution viable et simple. J'ai pu mettre en pratique les enseignements vu à l'IUT, notamment pour la partie scripting et sécurité.
Maintenant, nous pouvons dire à notre chef d'établissement que les ordinateurs portables sont chiffrées et que en cas de perte ou de vol de l'un de ces ordis, les données présentes sur cet ordinateur ne seront pas exploitables et ne présenteront pas de risques pour la SNCF.
(script à venir)
Ouais, bof...
Concrètement, je suis propriétaire d'un PC équipé de ce système. Chaque fois que je boote, je débloque ma partition Windows en donnant une clé de 48 caractères, c'est ça ? Si oui, comment je mémorise cette clé ? Quel rapport avec "Comment sauvegarder la clé de chiffrement = > Via un fichier texte" ?
Réponse apportée: Ajout d'un algorigramme montrant les étapes, de plus, la clé de chiffrement que l'on stock dans un fichier texte est gardée sur nos serveurs, dans le cas ou celle-ci est effacée de la puce TPM.