SecurityInsider
Le blog des experts sécurité Wavestone

Back to basics : effacement sécurisé, mythes et implémentation terrain (partie 2)



Approche globale

La méthode la plus efficace pour mettre en place un processus d’effacement sécurisé est d’avoir une approche par classification des données, basée sur les risques et évaluée technologie par technologie. Il est également important de mettre en place un système de contrôle afin de vérifier que les données sont effectivement effacées.
Un point clef pour assurer le bon fonctionnement du système est d’avoir un processus le plus transparent possible et dont la bonne mise en œuvre ne dépend pas intégralement d’une action a posteriori. Il est par exemple préférable de chiffrer à l’avance la mémoire d’un téléphone ou le disque d’un serveur plutôt que de se reposer intégralement sur une réécriture complète (bien qu’il soit préférable d’appliquer les deux). Ainsi même en cas de perte des disques ou d’envoi en réparation chez un tiers la donnée n’est pas exposée.

Cible de sécurité et effacement sécurisé

La mise en place d’un processus étant complexe et coûteux, la première étape consiste à déterminer :
  • La cible de sécurité : contre qui / quoi l’entreprise doit elle se défendre ? De quels moyens l’attaquant dispose-t-il et quelles sont les ressources à disposition de l’entreprise ?
  • Une classification : par exemple PUBLIC, INTERNE, DIFFUSION RESTREINTE, CONFIDENTIEL, SECRET.
Puis des mesures spécifiques doivent être appliquées pour chaque niveau en fonction de la technologie. Un exemple d’approche est proposé ci-après.

Processus de contrôle

Il est primordial de mettre en place un mécanisme de contrôle, celui-ci pouvant être basé sur un mécanisme inhérent au logiciel d’effacement, un contrôle manuel aléatoire ou déclaratif.
De base il est important de tracer et suivre les médias, disposer d’un compte rendu d’effacement et de réaliser des audits aléatoires (audit simple effectué en interne avec une copie à base de dd du média et visualisation avec un éditeur hexadécimal et test avec un file carver comme photorec ou avec Autopsy/The Seuth kit ou audit externe bas niveau réalisé par une entreprise spécialisée).

Point d’attention à la sous-traitance et au stockage des disques

En l’absence de chiffrement des médias, le niveau de sécurité physique des disques pendant leur stockage ou en cas de manipulation par un sous-traitant doit être audité.
Une approche différentielle selon le niveau est recommandée, il serait par exemple possible de définir une approche de ce type :
PublicInterne / DRConfidentielSecret
N/ASous traitance possible avec traçabilité et engagement contractuelSous traitance déconseillée mais possible sous réserve de mesure complémentaires de restriction d'accès aux données.
Sécurité physique forte
Sous-traitance interdite
Manipulation des médias réservé à l'équipe sécurité ou à une liste limitée d'internes dûment habilités

Le risque peut être un peu diminué en appliquant quelques mesures rapides avant la transmission du disque pour effacement, par exemple :
  • Activation de la fonction ATA secure erase puis débranchement à chaud du disque : lorsque le disque sera rebranché, l’effacement reprendra (le comportement est cependant à valider sur un modèle test).
  • Remise à zéro constructeur d’un téléphone ou d’une imprimante.
  • Perçage rapide d’un disque ou coup de marteau sur une clef USB.
Si ces mesures ne sont absolument pas efficaces contre un attaquant un tant soit peu décidé, elles compliqueront le travail d’un opportuniste et diminueront l’intérêt d’une « récupération » des pièces.

Effacement sécurisé

Approche globale

Pour chaque système cible, il convient dans un premier temps de déterminer son niveau de sensibilité (classification) et de lister l’ensemble des médias à effacer.
Si le cas d’un disque dur est simple, une imprimante multifonctions peut contenir un disque dur pour le stockage des images, un disque flash pour le tampon, une ou plusieurs cartes SD pour la configuration (contenant par exemple des mots de passe). Une fois tous les médias listés et identifiés, la méthode la plus efficace d’effacement doit être déterminée.

Principales approches

Les principales approches sont les suivantes :

  • Méthode « élémentaire » : basée sur le fonctionnement inhérent du système d’exploitation ou de l’objet (effacement OS, remise à zéro du constructeur, etc). Cette méthode ne doit pas être considérée comme fiable et permet juste de couvrir les cas les plus simples. L’effacement constructeur peut être considéré comme fiable après audit approfondi de son mécanisme. 
  • Méthode basée sur la réécriture (surcharge électromagnétique, ATA secure erase) : efficacité à évaluer selon la présence de mécanisme de wear leveling. Dans le cas de disques durs cette méthode est efficace, mais elle n’est pas toujours suffisante dans le cas de disques flashs.
  • Méthode basée sur la démagnétisation : méthode efficace mais uniquement sur les disques électromagnétiques, elle est inefficace sur un CD ou une mémoire flash. Un démagnétiseur efficace et validé par une autorité de confiance (ANSSI, BSI, NDSA, etc) est coûteux et rentable uniquement à partir d’un certain volume.
  • Méthode basée sur des mécanismes cryptographiques : méthode particulièrement efficace si le mécanisme est correctement implémenté et utilisé. Seule méthode réellement efficace (outre bien sur la destruction physique) pour les médias flash ou les systèmes non complètement maîtrisés. Idéalement il faut procéder à l’effacement sécurisé de la clef de chiffrement (zéroisation de la clef de chiffrement).
  • Méthode basée sur la destruction physique : méthode la plus efficace, mais également coûteuse.
Compte tenu de la complexité croissante des systèmes et de l’usage massif de mémoire flash, l’approche par mécanisme cryptographique tend à se développer.

Points d’attention vis-à-vis des systèmes non maîtrisés de bout en bout

S’il est aisé de retirer et d’effacer le disque dur d’un ordinateur portable, il n’est est pas de même dans le cas d’un système qui n’est pas maîtrisé de bout en bout comme le stockage dans un Cloud ou dans le cas de SAN (ou des disques peuvent être remplacés à la volée par le constructeur) ou encore dans le cas de systèmes complexes où la donnée peut être répliquée à de multiples endroits.
Si le système ne peut pas être maîtrisé de bout en bout, la seule approche viable est celle par chiffrement des données, qui dissocie de fait la souveraineté de l’information du média vers un sous-système mathématique contrôlé par l’entreprise.

Niveau d’effacement

Afin de simplifier les références aux recommandations du NIST, une correspondance sur les 3 niveaux d’effacement (« clear », « purge » et « destroy » a été faite avec quelques adaptations).
Ces 3 niveaux sont détaillés en section 5 du NIST SP 800-88, de façon très simplifiée :

  • Clear 
    • Approche par remplacement de l’information : réécriture, remise à zéro constructeur évalué.
    • Fonctionnement limité aux zones accessibles, ne permet pas d’effacer les zones endommagées. Une attaque en laboratoire peut permettre de récupérer des données.
  • Purge
    • Méthode cryptographique, démagnétisation qualifiée, commandes spécifiques d’effacement sécurisé qualifiées.
    • Permet de s’assurer que les données sont inaccessibles même en cas d’attaque en laboratoire.
  • Destroy
    • Destruction physique.
    • Permet de s’assurer que les données sont physiquement inaccessibles.

L’efficacité de chaque approche est à évaluer dans chaque contexte spécifique, mais le tableau ci-dessous peut donner un premier ordre d’idée :
Niveau de l'attaquantExempleNiveau d'effacement
Attaquant sans qualification techniqueVoleur, employé non technicienClear
Attaquant peu à moyennement qualifiéIndividu disposant de quelques capacités techniques (usage d’un file carver par exemple)Purge
Attaquant qualifié disposant d'une salle blanche et de moyens importantsHacker qualifié, attaquant peu qualifié mais sous-traitant l’analyse à une entreprise spécialiséePurge
Attaquant très qualifié et disposant de moyens très importantsGouvernementsDestroy


Mesure par type de média

Les mesures à appliquer en fonction de chaque media sont détaillées dans l’annexe A du NIST SP 800-88, ce document étant à la fois complet et la référence dans le domaine, seul un résumé légèrement adapté sera présenté ci-après avec un focus sur quelques technologies :

Focus sur des technologies spécifiques

Focus IOS

  • Clear et purge : utilisation de la fonction de reset intégrée. Sur des versions récentes d’idevices le chiffrement étant opéré au niveau matériel, cette méthode peut être jugée comme globalement efficace.

Focus BlackBerry

  • Clear : utilisation de la fonction « Option > Security > Security Wipe ».
  • Purge : le NIST considère un Security Wipe comme étant suffisant (celui-ci pouvant durer plusieurs heures). Il est cependant recommandé de chiffrer les données en plus de l’effacement.
  • Note : certaines informations peuvent être présentes dans les backups sur le poste de travail de l’utilisateur ou sur le BlackBerry Enterprise Server (SMS, contacts, etc) selon sa configuration.

Focus Android

  • Clear 
    • L’étude menée par Ross Anderson [CAMBRIDGE ANDROID] montrant que l’effacement constructeur étant de loin insuffisant, contrairement à ce qui est indiqué dans le document du NIST, il est recommandé de procéder par une phase de chiffrement :
      • Si le téléphone est déjà chiffré (la probabilité qu’un mot de passe simple soit utilisé est élevé et le support matériel du chiffrement étant très limité à l’heure actuelle) il est recommandé de faire un factory reset suivi d’un rechiffrement du terminal avec un mot de passe aléatoire de plus de 16 caractères puis d’un remplissage de la mémoire.
      • Si le téléphone n’est pas chiffré, il est recommandé de procéder de même tout en étant conscient du risque de données présents.
  • Purge
    • La seule solution efficace est un chiffrement avant usage et avec un mot de passe complexe (et sous réserve d’implémentation correcte par le constructeur, certains modifiant le mode de fonctionnement natif).
    • La qualité de l’implémentation du chiffrement étant assez aléatoire selon les versions d’android, selon les modèles de smartphones  [ANDROID CRYPTO] et certaines applications pouvant écrire en dehors de la zone chiffrée, il est important de tenir à l’esprit ces limites lors de l’évaluation du modèle de risque.

Focus Windows Phone

  • Clear : utilisation de la fonction native. La qualité de ce mécanisme n’ayant pas encore fait l’objet de recherche poussée, il convient de rester prudent quant à son efficacité.
  • Purge : le mécanisme d’effacement et de chiffrement étant variable, il est recommandé d’utiliser un chiffrement applicatif en amont.

Disques disposant de fonction de secure erase

Les disques durs modernes ATA (PATA, SATA, eSATA inclus) disposent d’une fonctionnalité native d’effacement sécurisé  et certains disques chiffrants disposent de fonctions de remise à zéro cryptographiques.
Certains disques SCSI disposent d’une commande spécifique SCSI SANITIZE.

Quelques exemples de mesure d’effacement sécurisé

Deux approches sont possibles : effacement du disque entier ou effacement par fichier. Il est globalement recommandé d’opérer un effacement intégral dans la mesure où l’effacement d’un fichier ne garantit pas l’effacement des fichiers temporaires ou l’indexation de ce dernier.

Quelques exemples de programmes :

  • Windows : Eraser, CCleaner, etc.
  • Linux/Un*x/MAC : Shred, wipe, Secure-delet utils.
  • Mac : disk utility.

Dans le cas d’effacement disque, un live CD spécialisé comme DBAN peut être utilisé.
Les fonctions secure erase sont accessibles soit par des utilitaires constructeur, soit  en ligne de commande par exemple sous un linux [K ATA] :

  • Vérifier que le disque n’est pas en état « frozen » (ici le X est à adapter selon le disque).
hdparm -I /dev/X
> not frozen doit apparaître dans les sorties

  • Définir un mot de passe utilisateur (ici S3cr3t).
hdparm --user-master u --security-set-pass S3cr3t /dev/X
  • Vérifier avec hdparm -I /dev/X que le mot de passe maître est défini.
  • Lancer l’effacement sécurisé.
time hdparm --user-master u --security-erase toto /dev/X
  • Vérifier avec hdparm -I /dev/X que le mot de passe n’est plus défini (not enabled).

Certains outils commerciaux ont été qualifiés par l’ANSSI ou le CESG britannique (voir le site de l’ANSSI ou la liste des produits du CESG  [CESG]).
Pour le chiffrement, des outils comme GPG, Truecrypt (nb : en fin de vie), dmcrypt-LUKS, Filevault, OpenSSL, etc. peuvent être utilisés.

Conclusion

Si l’effacement sécurisé fait partie depuis de nombreuses années des règles classiques de sécurité, il convient de revisiter régulièrement les mécanismes pour s’adapter aux évolutions technologiques. En cas de doute sur une méthode, l’approche la plus généraliste et dont l’usage va en augmentant reste celle de l’approche cryptographique.

Références

[CAMBRIDGE ANDROID] http://www.cl.cam.ac.uk/~rja14/Papers/fr_most15.pdf 
[ANDROID CRYPTO] http://nelenkov.blogspot.fr/2014/10/revisiting-android-disk-encryption.html 
[K ATA] https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase
[CESG] https://www.ia.nato.int/Documents/CC-Directory.pdf

Ary KOKOS

Aucun commentaire:

Enregistrer un commentaire