L’un des moyens les plus simples de subtiliser les données d’une entreprise reste de voler physiquement les périphériques de stockage qu’elle utilise au quotidien : que ce soient les SSD présents dans ses baies informatiques, ceux intégrés dans les ordinateurs de ses collaborateurs ou encore la myriade de disques externes et clés USB utilisée pour échanger des données ou réaliser des sauvegardes.

Comment se protéger d’un attaquant qui cherche à subtiliser des unités de stockage ou à en copier les fichiers ? En réalisant un chiffrement intégral des données qu’elles accueillent. Windows, macOS comme Linux proposent aujourd’hui en standard des outils permettant d’assurer le chiffrement des disques internes et externes : BitLocker chez Microsoft, FileVault chez Apple et LUKS dans le monde des distributions Linux.

Ces technologies s’appuient toutes sur des algorithmes de chiffrement solides (en général de l’AES-XTS) et sont capables d’exploiter les extensions des processeurs modernes, afin de minimiser l’impact du chiffrement sur les performances du système.

Des technologies qui manquent parfois de transparence

La confiance envers ces solutions de chiffrement de données ne peut cependant être totale. Le code source des outils proposés par Microsoft et Apple n’est par exemple pas librement accessible et aucun réel audit indépendant ne permet de garantir qu’il ne contient pas de failles ou de portes dérobées.

Deux solutions françaises pourront remplacer efficacement BitLocker (et un peu moins efficacement – fonctionnellement parlant – FileVault). La première est l’outil de chiffrement de disque VeraCrypt, maintenu par la société IDRIX. Il est accessible sous licence open source et intégré au catalogue de référence des logiciels libres recommandés pour l’administration française, le SILL (Socle Interministériel de Logiciels Libres). Cette solution est fiable, mais souffre d’un manque d’optimisation.

La seconde est Cryhod de PRIM’X, une offre régulièrement auditée, qui a décroché la certification de l’ANSSI, de l’Europe et même de l’OTAN. Une solution solide donc, sur laquelle les entreprises françaises devraient pouvoir s’appuyer en toute confiance.

La problématique de la gestion des clés de chiffrement

Dans la plupart des cas, les clés de chiffrement des unités de stockage sont enregistrées localement, soit dans le TPM de la machine, soit dans un vTPM, pour les machines virtuelles. Un mode de fonctionnement qui n’est pas sûr à 100%, notamment pour les TPM virtuels, et qui soulève le problème de la gestion centralisée des clés de chiffrement.

La mise en place d’un KMS (Key Management System) permettra à l’entreprise de stocker et gérer globalement ses clés de chiffrement. Et au besoin de les révoquer en cas de compromission. Le standard Oasis PKCS #11 vient ici à la rescousse pour assurer l’échange de clés entre un ordinateur et le KMS de l’entreprise. Des interfaces PKCS #11 sont aujourd’hui disponibles pour LUKS et VeraCrypt.

Cosmian kms (Key Management System) est intégré à Veracrypt et peut fournir des secrets pour ouvrir des partitions chiffrées Linux LUKS (disk encryption system for Linux).
Pour plus d’informations et de support, contactez-nous, contactez-nous.