SecurityInsider
Le blog des experts sécurité Wavestone

Back to basics : effacement sécurisé, mythes et implémentation terrain (partie 1)



L’effacement sécurisé est un sujet largement documenté, il fait partie de la panoplie du RSSI depuis des années et le NIST a même édité une publication à ce sujet (la 800-88 [NIST]).

Pourquoi donc consacrer un focus sur ce thème ?

Au-delà de certains mythes a priori persistants comme l’obligation de faire de nombreuses passes d’effacement successifs, de nombreuses procédures rédigées il y a de cela quelques années visent avant tout les médias électromagnétiques (disque dur, disquettes, bandes, etc) et ne prennent pas toujours en compte certaines évolutions comme l’arrivée massive des smartphones ou les SSD.

Le cas des smartphones est particulièrement parlant : comme il est impossible de retirer l’espace de stockage principal, la procédure repose souvent sur la fonction de remise à zéro du constructeur. Une étude de Ross Anderson & al [CAMBRIDGE ANDROID] parue il y a une dizaine de jours a analysé et exposé de nombreuses vulnérabilités dans le mécanisme d’effacement constructeur. Dans le cas présent, des informations (token google permettant d’accéder à la messagerie, fichiers, emails, SMS, photos,  etc) ont pu être retrouvés. Les statistiques sont assez parlantes (les barres représentent le pourcentage de système n’implémentant pas un effacement sécurisé suffisant selon la version d’Android) :


Ce premier article reprend les bases de l’effacement sécurisé et revient sur quelques mythes. Les différents approches possibles seront évoquées dans un second article.
Pour une explication détaillée des mesures à mettre en place, le NIST [NIST], l’ANSSI [ANSSI] ou le département de la défense australien (Information Security Manuel de 2010) ont réalisés d’excellents documents présentant les différentes approches possibles.

1) Rappels

Sans s’appesantir sur les risques liés au mauvais effacement sécurisé de médias - pour cela il suffit d’imaginer que le disque dur d’un serveur critique, le téléphone d’un directeur ou une clef USB contenant des données médicales ou RH soit perdu ou tombe entre de mauvaises mains - la nécessité de procéder à un effacement sécurisé des médias dit sensibles s’impose et est globalement bien appréhendé par les différents acteurs.

À l’origine du problème

De façon très simplifiée, un effacement  classique ne suffit pas, dans la mesure où la majorité des systèmes actuels ne procèdent pas à l’effacement de la données elles-mêmes mais uniquement du pointeur.

Il est possible d’imaginer la situation comme une encyclopédie avec un index et plusieurs volumes sous forme de palimpsestes :
  • Lorsqu’un fichier est ajouté, une page est écrite et la référence ajoutée dans l’index
  • Lorsqu’un fichier est effacé, afin en particulier de ne pas trop dégrader les performances, seule l’entrée de l’index est enlevée, indiquant la page comme libre (même si le texte est encore présent) 
  • Lorsqu’un nouveau fichier est ajouté, la page est réécrite
Ainsi même si un disque est indiqué comme vide, il suffit de parcourir le contenu du disque (dans le parallèle feuilleter directement les volumes page par page) pour lire la donnée.

Une telle récupération est triviale à réaliser avec des outils  de carving comme photorec [PHOTOREC] ou pc inspector file recovery [PCIFR].

Mémoires flash

Historiquement la solution pour procéder à un effacement sécurisé a été soit la destruction physique du média soit la réécriture (par sur-impression de signal électromagnétique), afin d’empêcher un tiers de retrouver l’information. Une analyse intéressante par Gutmann [GT2] décrit plusieurs principes de rémanence dans les semi-conducteurs.

Si une petite quantité de données pouvait se retrouver en « zone constructeur » du disque (une partie du disque servant de réserve pour remplacer des secteurs défectueux), la quantité était relativement limitée et ce type de risque était surtout à couvrir dans le cas de médias jugés particulièrement sensibles. 

L’usure des médias flash étant de loin plus importante, cette zone réservée est beaucoup plus volumineuse dans le cas d’un SSD ou d’une clef USB (pouvant dans certains cas aller jusqu’à 20-30% de la taille total du disque selon les technologies utilisées). Ainsi sur un disque de 100 Go, si 20 Go (chiffre arbitraire) sont réservées pour ce mécanisme dit de wear levelling, un grand nombre d’informations peuvent être contenues. Cette zone spéciale n’étant pas accessible (le remapping de secteurs défectueux étant géré directement par le microcontrôleur) même si l’utilisateur réécrit tout le disque, il ne réécrira que les 100 Go visibles et exposés par le contrôleur. Un tiers, passant outre ce dernier, et allant lire directement les données sera donc en mesure d’y accéder.

Bien sur différents constructeurs ont proposé des commandes pour l’effacement sécurisé intégré, mais l’implémentation étant assez aléatoire, il est difficile de se fier à cette méthode sans test approfondi modèle de disque par modèle de disque, ce qui n’est pas réalisable pour la majorité des entreprises.

Ainsi d’autres solutions basées en particulier sur le chiffrement ont émergées. Avant de voir celles-ci en détails, il est important de se pencher sur quelques mythes.

2) Mythes de l’effacement sécurisé

Mythe 1 : il est impératif de faire plusieurs passes pour avoir un effacement sécurisé sur un disque

Plutôt FAUX en pratique et le résultat peut même être contraire à l'objectif.

Depuis la parution d’un article de Gutmann [GUTMANN] de nombreuses écoles existent quant au nombre de passes à effectuer : 3, 7 voire 35 passes.

Si effectuer plusieurs passes était nécessaire il y a quelques années de cela avec d’anciens modèles de disque, selon les dernières recommandations du NIST [NIST] la plupart des médias actuels (en principe la majorité des disques ayant moins de 5-7 ans) ne nécessitent qu’une seule passe pour garantir un niveau d’effacement jugé comme suffisant. Ce point suscitant régulièrement des débats, rappelons  trois études :
  • Le Center for Magnetic Recording Research (organisme de référence aux USA sur le sujet) a fait des recherches sur ce point et a également conclu que plus d’une passe n’apportait pas d’avantages significatifs [CMRR] :
    • "Q:  Do multiple overwrites work better than a single overwrite:
    • A:  Many commercial software packages are available using some variation of DoD 5220, some going to as many as 35 overwrite passes.  Unfortunately the multiple overwrite approach is not very much more effective than a single overwrite since it does not do much to the remaining track edges where most of the very low level distorted remnant data remains after an overwrite and it takes a lot more time"
  • Le SANS a mené une étude sur le sujet avec un microscope à force magnétique (l’argument des tenants des passes multiples étant justement que l’usage d’un tel outil permettait de retrouver les données) arrivant aux même conclusions [SANS AP] (Gutmann conteste une partie des résultats dans une mise à jour de son article, mais à mis à jour son analyse initiale suite aux évolutions technologiques) 
  • Le SP 800-88 du NIST indique en page 7 :
    • "For storage devices containing magnetic media, a single overwrite pass with a fixed pattern such as binary zeros typically hinders recovery of data even if state of the art laboratory techniques are applied to attempt to retrieve the data"
D’un point de vue terrain, soit une passe est jugée suffisante vis-à-vis du niveau de sensibilité du système soit la méthode par surimpression est considérée comme non suffisante (médias très sensibles requérant une destruction physique) ou inefficace (dans le cas de système ayant un mécanisme de wear levelling). Une exception peut être faite pour des médias jugés très sensibles pouvant faire l’objet de plusieurs passes d’effacement suivi d’une destruction physique.

L’usage de plusieurs passes aggrave même la situation dans la mesure où réécrire 7 ou 35 fois un disque dur de plusieurs tera octet demande des heures voir des jours. Face à ces durées, les disques sont souvent empilés en attente d’effacement (et ne le seront jamais car simplement jetés quelques années après) ou l’activité sera sous traitée à des prestataires. L’effacement n’est pas alors toujours réalisé dans l’état de l’art :
  • Dans un cas constaté par l’auteur seul le premier giga du disque était effacé pour gagner du temps (le prestataire en question ayant remarqué que l’audit interne ne faisait qu’un relevé sur des octets aléatoire du début du disque)
  • Dans un autre cas des disques étaient soustraits à l’entrepôt principal du prestataire et revendus d’occasion par certains employés peu scrupuleux
  • Dans un troisième cas le disque était défectueux et celui-ci donnait l’impression qu’il effaçait les données alors qu’il n’y avait en réalité pas d’écriture (l’erreur a été particulièrement difficile à identifier dans la mesure où celui-ci s’arrêtait aléatoirement après 5 à 20 minutes d’usage)
D’autre part, le temps nécessaire à cette activité génère des coûts non négligeables alors que cette énergie aurait pu être utilisée pour d’autres approches complémentaires (chiffrement, etc).

Il s’agit globalement d’un compromis entre la sécurité apportée et le temps / coût, le tout mis en perspective vis-à-vis de la technologie (disque magnétique ou mémoire flash).

Mythe 2 : l’usage de solutions cryptographiques permet de se soustraire à un effacement sécurisé en bonne et due forme

OUI, mais à condition que le système soit bien implémenté et utilisé.

Si l’usage de solution cryptographique permet de limiter le risque en rendant les données inintelligibles même si elles sont accédées, cette protection s’applique dans la limite de la bonne implémentation du système :
  • Si l’utilisateur  a choisi un mot de passe faible et que l’attaquant peut le retrouver il pourra accéder aux données. Par exemple sous Android 4.3, bruteforcer un code de 6 chiffres requiert moins de 10 secondes sur un PC standard [ANDROID CRYPTO]
  • En cas de porte dérobée cryptographique ou de faiblesses, un attaquant pourra passer outre le système. Dans un cas rencontré par l’auteur, l’équipe d’intégration avait oublié d’enlever  un compte générique pour le chiffrement racine des postes. Comme celui-ci était beaucoup plus court que le mot de passe imposé aux utilisateurs, il s’est rapidement passé de bouche à oreille et a fini par être même connu de prestataires externes
Si par contre le système de chiffrement est bien implémenté, correctement utilisé et si les clefs sont correctement mises à zéro, il est alors particulièrement efficace, d’autant plus qu’il n’est pas sensible au risque présenté par le mécanisme de wear levelling.

Mythe 3 : le disque est physiquement endommagé, il n’est pas possible de retrouver les données

Cela dépend des cas.

De nombreuses sociétés de récupération de données publient chaque année leur palmarès, citons par exemple [KROLL] :
  • Un ordinateur portable ayant passé 20mn dans un four
  • Un ordinateur portable trouvé sur une plage (trempé)
  • Un ordinateur portable passé par-dessus bord
  • Une clef USB ayant passé à la machine à laver
  • Des CD ayant fondu partiellement dans leur boite suite à un incendie 
  • La récupération de données sur un disque dur percé puis remplit d’huile 
  • Un PC portable tombé depuis un hélicoptère 
  • Récupération de données sur un PC situé dans un local ou a eu lieu un incendie 
  • Un disque dur remplit de cafards morts 
La récupération de données dans des situations extrêmes est spécifique à chaque cas mais, ces éléments nous donne un ordre d’idée de ce dont est capable une entité avec quelques moyens ou en sous-traitant l’action à une entreprise spécialisée.

Mythe 4 : il s’agit d’un disque RAID ou issu d’un cluster propriétaire où les données sont « entrelacées », il est impossible de les lire sans la baie de disque, logiciel, etc et il n’est donc pas nécessaire de chiffrer ou de procéder à un effacement sécurisé

FAUX.

En l’absence d’effacement sécurisé ou de mécanisme de chiffrement il est toujours possible de récupérer des morceaux d’information et dans le cas de systèmes propriétaires il s’agit surtout de rétro-ingénier le système de « codage » ou de compression.

Sources

[GUTMANN] Gutmann, P. (1996) "Secure Deletion of Data from Magnetic and Solid-State Memory", Proceedings of the Sixth USENIX Security Symposium. July 22-25, San Jose, CA., 77-90. (http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html)
[SANS AP]  Overwriting Hard Drive Data: The Great Wiping Controversy" by Craig Wright, Dave Kleiman and Shyaam Sundhar R.S. as presented at ICISS2008 and published in the Springer Verlag Lecture Notes in Computer Science

Ary KOKOS

Aucun commentaire:

Enregistrer un commentaire