Guide Dépannage Informatique

Introduction

La peur de se faire voler un ordinateur portable demeure une préoccupation majeure pour l'ensemble des organisations. Cela vous est peut-être déjà arrivé (je ne vous le souhaite pas !). La solution est pourtant simple : il suffit de ne pas vous laisser voler votre ordinateur portable. (Je peux presque entendre vos rires.) Conservez-le près de vous en permanence ou laissez-le dans votre chambre d'hôtel lorsque vous ne souhaitez pas l'emporter. Oui, tout le monde a entendu parler des vols perpétrés dans les chambres d'hôtel, mais je ne m'y suis jamais fait voler quoi que ce soit alors que j'y dors plus de 200 nuits par an. (Si vous vous rendez dans des destinations à risque, choisissez des hôtels offrant des chambres sécurisées.) Il est beaucoup plus probable que vous oubliiez votre ordinateur portable, votre PDA, votre téléphone intelligent ou votre lecteur USB sur le siège d'un taxi ou sur le comptoir d'un bar.

Il est certain qu'il existe des endroits où le vol est un risque à envisager : les salles de conférences et les aéroports en sont des exemples courants. Même les bureaux ne sont pas toujours des lieux sûrs. J'emporte toujours un câble de verrouillage pour ordinateur portable dans ma sacoche, et je l'utilise pour attacher mon ordinateur portable à la table, chaque fois que j'assiste à une conférence et que je dois quitter la pièce. Je le fais seulement si je considère que le lieu est relativement sûr (oui, c'est un jugement subjectif). Si je pense qu'il existe un risque de vol, je remets l'ordinateur dans sa sacoche et je l'emporte avec moi. À l'aéroport, l'ordinateur portable est soit sur mes genoux, soit dans sa sacoche, que je conserve à la main ou que je pose par terre, près de moi. Essayez de ne pas vous endormir à l'aéroport ; les sièges de la classe affaires ont été conçus à cet effet. Si vous devez impérativement dormir à l'aéroport, pensez à une alarme par détecteur de mouvement. Mais il est très probable que vous la déclenchiez vous-même, car vous bougez pendant votre sommeil.

Quelle que soit la solution que vous choisissez, soyez discret et ne montrez pas avec ostentation que vous possédez les tout derniers gadgets fonctionnant sur batterie. Est-ce un crime de transporter un ordinateur portable, un PDA, un appareil photo numérique, un lecteur audio, ainsi qu'un téléphone et un jeu vidéo portables ? Dans quoi transportez-vous tout ce matériel ? Soyez discret et cherchez à passer inaperçu : évitez les sacoches portant des marques d'ordinateur, des marques facilement identifiables ou tout ce qui montre votre goût pour la technologie. Transporter des sacs avec des logos attire l'attention des autres ; les voleurs savent pertinemment que les entreprises vendent des milliers de sacoches avec des logos aux hommes d'affaires qui voyagent avec l'équipement électronique le plus moderne et le plus convoité. Achetez plutôt, en compagnie de votre fils, un sac à dos qui puisse contenir tout votre équipement. Cela vous fera vous sentir à nouveau jeune, ou tout du moins pourra représenter une expérience éducative utile, sans parler d'une bonne excuse pour échanger le porte-documents qui vous sciait l'épaule par quelque chose de plus ergonomique.

La mobilité des ordinateurs portables exige une protection supplémentaire des données souvent sensibles et confidentielles qu'ils contiennent. Trois fonctionnalités de Windows 2000 et de Windows XP peuvent vous aider à protéger vos informations si un voleur parvenait, d'une manière ou d'une autre, à s'emparer de votre ordinateur portable : mots de passe, EFS et SysKey. Vous devez être conscient que si vous utilisez ces fonctionnalités, le voleur se sentira tellement frustré qu'il détruira certainement votre ordinateur portable. Toutefois, il est préférable d'opter pour cette solution que de voir le programme de développement et le code source de votre prochain produit phare diffusé sur Internet.

Mots de passe

Si votre ordinateur est lié à un domaine, chaque fois que vous le démarrez, vous devez entrer votre mot de passe réseau, et ce, même si vous êtes physiquement à l'extérieur du réseau d'entreprise. Votre ordinateur conserve un jeu d'« informations d'identification mises en cache » dans votre profil de compte, sur le disque dur ; c'est pourquoi vous devez vous authentifier pour pouvoir accéder à vos données. Ces informations d'identification sont d'abord hachées à l'aide de MD4, puis à l'aide de MD5 ; le second hachage crée ce qu'on appelle un « vérificateur de mot de passe ». Seul le vérificateur, très résistant aux falsifications, est stocké, protégé par la clé système de l'ordinateur (pour plus de détails, reportez-vous à la section SysKey ci-dessous).

Si vous avez un ordinateur portable autonome, vous devez également utiliser un mot de passe pour tous les comptes locaux de l'ordinateur. Sur les ordinateurs non liés à un domaine exécutant Windows XP, le compte d'administrateur ne dispose pas, à l'origine, d'un mot de passe. L'accès aux comptes locaux dépourvus de mot de passe est impossible, sur un réseau, quel qu'il soit. Il ne peut s'effectuer que lorsque vous êtes physiquement installé devant l'ordinateur. Les comptes locaux sans mot de passe ne sont pas appropriés pour les ordinateurs portables, car ils sont comme des panneaux lumineux invitant l'agresseur à venir disposer de vos informations comme il l'entend !

Pour pouvoir bénéficier des deux autres fonctionnalités décrites ici, un mot de passe est requis. Si vos comptes locaux ne sont pas protégés par mot de passe, vous ne pouvez pas faire grand chose pour éviter que vos données ne soient volées. Assurez-vous que les mots de passe s'appliquent en permanence, car certains ordinateurs portables ne déclenchent pas le verrouillage du bureau lorsque vous mettez l'ordinateur en mode attente ou en mode mise en veille prolongée. Les paramètres de contrôle de l'alimentation varient d'un constructeur de matériel à l'autre, c'est pourquoi il n'existe pas d'objet de stratégie de groupe permettant de les configurer. Vous devez vérifier manuellement la configuration de vos ordinateurs portables afin de vous assurer qu'un mot de passe est requis à chaque reprise du système.

Chiffrement des fichiers

Les listes de contrôle d'accès et les autorisations peuvent vous aider à protéger vos fichiers accessibles via le réseau, mais ne peuvent pas arrêter quelqu'un qui accède physiquement à votre ordinateur. Windows 2000, Windows XP et Windows Server 2003 ont intégré une technologie appelée système EFS qui est transparente au fonctionnement normal d'un ordinateur : vous n'avez pas besoin d'entrer de mots de passe pour ouvrir des fichiers ou des sous-répertoires. En fait, à chaque ouverture de session sur votre ordinateur, vos clés de chiffrement EFS sont déverrouillées lorsque l'ordinateur démarre et ouvre votre clé principale personnelle (consultez la section ci-dessous sur SysKey pour obtenir des détails sur la protection par clé). Lorsque vous accédez à un fichier, EFS le déchiffre silencieusement à l'aide de la clé privée associée à votre certificat EFS, puis charge le fichier déchiffré en mémoire. Le fichier demeure chiffré sur le disque dur.

Pour chiffrer des fichiers, cliquez avec le bouton droit sur le fichier ou le dossier dans l'Explorateur, puis choisissez Propriétés. Dans la section Attributs, cliquez sur Avancé, puis activez la case à cocher Crypter le contenu pour sécuriser les données. Les ordinateurs autonomes (non liés à un domaine) génèrent au moins trois éléments : un certificat numérique EFS, une paire de clés EFS publique/privée associée (avec la clé publique stockée dans le certificat) et une clé de chiffrement de fichier (FEK, File Encryption Key). Si vous chiffrez un dossier, chaque fichier qu'il contient doit avoir sa propre clé FEK unique. EFS chiffre chaque fichier avec sa clé FEK, puis chiffre la clé FEK avec votre clé EFS publique. Toutes les opérations de chiffrement effectuées par la suite ne vont générer que des clés FEK, car vous disposez déjà d'une paire de clés et d'un certificat EFS. Je recommande le chiffrement du dossier « Mes documents » dans son intégralité, afin que l'ensemble de son contenu soit automatiquement chiffré.

Le déchiffrement fonctionne en sens inverse : lorsque vous ouvrez un fichier chiffré, EFS obtient d'abord la clé privée associée à votre certificat EFS, l'utilise pour déchiffrer la clé FEK du fichier, puis utilise cette dernière pour déchiffrer le fichier. Aucune boîte de dialogue ou invite utilisateur ne s'affiche pendant le déroulement de ce processus, qui ne pose d'ailleurs aucun problème de compatibilité avec les applications, car le déchiffrement a lieu avant que l'application ne lise les données contenues dans le fichier.

Sur les ordinateurs liés à un domaine, le comportement diffère légèrement. Si vous avez implémenté une infrastructure à clé publique (PKI, Public Key Infrastructure), EFS demandera un certificat émanant d'une autorité de certification d'entreprise. Votre ordinateur génère la paire de clés EFS et associe la clé publique au certificat. Ensuite, le processus est très similaire, à la seule différence que, lorsque vous chiffrez un fichier pour la première fois, l'ordinateur n'a pas besoin de générer le certificat ou les clés EFS, car vous les possédez déjà. Si vous n'avez pas implémenté une infrastructure à clé publique ou si la demande auprès de l'autorité de certification a échoué, le processus pour les ordinateurs liés à un domaine est exactement le même que pour les ordinateurs autonomes.

Les algorithmes de chiffrement de fichiers proprement dits varient en fonction du système d'exploitation utilisé. Toutes les versions de Windows 2000 prennent uniquement en charge la norme DES étendue (DESX, Data Encryption Standard Extended). La version d'origine de Windows XP peut utiliser DESX (option par défaut) ou Triple DES (3DES). Le Service Pack 1 Windows XP (et versions ultérieures) et Windows Server 2003 prennent en charge DESX et 3DES en plus de la norme AES (Advanced Encryption Standard). AES est l’option par défaut.

Récupération de fichiers chiffrés

Comme vous pouvez l'imaginer, l'utilisation d'EFS pose des problèmes opérationnels. Si vous perdez votre clé EFS ou réinitialisez votre mot de passe (les modifications de mot de passe ne posent aucun problème, mais leur réinitialisation invalide les clés EFS), votre accès aux fichiers chiffrés peut être compromis. Une stratégie de récupération désigne un ou plusieurs comptes d'utilisateurs en tant qu'agents de récupération afin de vous venir en aide dans ce type de situation. Les agents de récupération peuvent accéder aux fichiers chiffrés. Contrairement à Windows XP et Windows Server 2003, Windows 2000 exige la désignation d'un agent de récupération, soit localement, soit sur le domaine, avant de chiffrer les fichiers.

Sur les ordinateurs Windows 2000 autonomes, l'administrateur local devient l'agent de récupération par défaut lorsque quelqu'un se connecte au compte d'administrateur pour la première fois. Les ordinateurs Windows XP autonomes ne créent pas d'agent de récupération par défaut (une raison de moins de mener des attaques hors connexion contre le compte d'administrateur). Sur les ordinateurs liés à un domaine et exécutant Windows 2000 ou Windows XP, avec une stratégie de domaine EFS, l'administrateur de domaine est l'agent de récupération par défaut.

Lors du chiffrement des fichiers, la clé FEK de chaque fichier est également protégée par la clé publique de chaque agent de récupération dans la stratégie de récupération. Ainsi, si vous perdez votre clé ou réinitialisez votre mot de passe, un agent de récupération peut néanmoins accéder à vos fichiers. Ceci est également utile en cas de départ définitif d'un employé de votre organisation, car un agent de récupération peut accéder à tous ses fichiers chiffrés et, si nécessaire, supprimer le chiffrement. Notez que l'agent de récupération n'a pas accès à vos clés EFS et, par conséquent, ne peut pas usurper votre identité. Il peut uniquement déchiffrer les fichiers.

Si vous considérez qu'EFS est utile pour votre organisation, je vous encourage à envisager le déploiement d'une infrastructure à clé publique Windows à l'aide de l'inscription automatique. L'inscription automatique assure l'exécution de la plupart des tâches requises pour la gestion d'une infrastructure à clé publique. Quant à EFS, vous pouvez créer des modèles de certificat combinant l'inscription automatique avec des méthodes de récupération de clé et de données. Par exemple, en exécutant simultanément l'inscription automatique de l'utilisateur et l'archivage de sa clé privée. L'archivage de clés est un complément précieux des agents de récupération EFS.

Sécurité EFS

Il est extrêmement difficile de contourner ou de pirater EFS, car chaque fichier est chiffré avec sa propre clé, qui est elle-même chiffrée avec la clé EFS du propriétaire, protégée par la clé principale de cet utilisateur, qui est protégée par la clé de démarrage du système. L'installation d'une copie parallèle de Windows ou de tout autre système d'exploitation, et le piratage de la base de données du Gestionnaire des comptes de sécurité (SAM, Security Accounts Manager) ne vous permettent pas d'obtenir les clés nécessaires pour déchiffrer les fichiers, car elles ne sont pas stockées dans cette base de données.

Si vous utilisez des agents de récupération locaux, il est important d'exporter leurs clés privées vers un autre emplacement de stockage, puis supprimer les clés de l'ordinateur. Vous pouvez choisir par exemple un lecteur USB qui sera physiquement séparé de l'ordinateur. Prenez soin de protéger la clé exportée avec un mot de passe (le processus d'exportation vous en demande un). Si un utilisateur perd la clé privée EFS, la clé de l'agent de récupération, sur le lecteur USB, peut récupérer ses fichiers.

Il est probable que la clé EFS laisse des « traces » en texte brut d'un fichier sur le disque dur. Si vous chiffrez un seul fichier, EFS en crée d'abord une sauvegarde en texte brut, chiffre ensuite le fichier, puis supprime la sauvegarde. Bien entendu, la suppression d'une sauvegarde n'efface pas les bits de la surface du disque, ce qui signifie que le contenu en texte brut est encore là et peut être récupéré à l'aide d'outils d'édition de disque. Il convient donc de chiffrer les dossiers plutôt que les fichiers. En effet, tous les fichiers du dossier sont chiffrés en permanence et aucune trace en texte brut n'est créée. Ceci est également important pour les applications qui créent des fichiers temporaires.

Bien entendu, un intrus disposant d'un accès physique peut simplement remplacer les fichiers chiffrés, ce qui constituerait une forme particulière d'attaque de type refus de service. Mais pourquoi quelqu'un déciderait-il de voler votre ordinateur, d'écraser ensuite vos fichiers, puis de vous le rendre ? Il peut être amusant de remplacer le fichier default.html par un canular sur un serveur Web non suspect, mais pourquoi quelqu'un remplacerait-il vos projets marketing par des images pornographiques, puis vous restituerait-il votre ordinateur portable ? Bien qu'EFS garantisse une confidentialité renforcée extrêmement fiable, il n'est pas conçu pour garantir l'intégrité. En effet, aucun type de chiffrement ne garantit l'intégrité. L'intégrité provient de la technologie de signature numérique qui procède généralement à un hachage unidirectionnel du contenu.

Activation de la clé de démarrage du système

Chaque fois qu'un nouvel utilisateur est ajouté à un ordinateur, Windows DPAPI (Data Protection Application Programming Interface) génère une clé principale destinée à protéger toutes les autres clés privées utilisées par des applications et des services s'exécutant dans le contexte de cet utilisateur, telles que les clés EFS et les clés S/MIME. L'ordinateur possède également sa propre clé principale qui protège les clés système, telles que les clés IPsec, les clés d'ordinateur et les clés SSL. Toutes ces clés principales sont ensuite protégées par une clé de démarrage d'ordinateur. Lorsque vous démarrez un ordinateur, la clé de démarrage déchiffre les clés principales. La clé de démarrage protège également la base de données SAM locale sur chaque ordinateur, les informations confidentielles de l'autorité de sécurité locale (LSA, Local Security Authority) stockées sur l'ordinateur, les informations de compte stockées dans Active Directory, sur des contrôleurs de domaine, et le mot de passe du compte d'administrateur utilisé pour la récupération du système en mode sécurisé.

L'utilitaire SysKey vous permet de choisir l'emplacement de stockage pour cette clé de démarrage. Par défaut, l'ordinateur génère une clé aléatoire et la diffuse dans l'ensemble du Registre ; un algorithme complexe garantit l'utilisation d'un modèle de diffusion distinct à chaque installation de Windows. Deux autres choix s'offrent à vous : continuer à utiliser une clé générée par l'ordinateur, mais que vous allez stocker sur disquette, ou entrer, à chaque démarrage du système, un mot de passe qui sera utilisé pour déduire la clé principale. Vous pouvez toujours passer d'un mode à l'autre, mais si vous avez activé le mode clé sur disquette ou le mode mot de passe, et que vous perdez la disquette ou oubliez votre mot de passe, votre seule option de récupération consiste à utiliser une disquette de réparation pour restaurer le Registre à l'état précédant l'activation du mode SysKey. Vous perdrez toutes les autres modifications effectuées depuis. Pour modifier votre clé de démarrage, ouvrez une invite de commande, choisissez Démarrer | Exécuter, ou appuyez sur [Windows]+R, et entrez « syskey » pour exécuter l'utilitaire SysKey.

Le remplacement du mode SysKey par le mode mot de passe peut contribuer à protéger les données stockées sur les ordinateurs portables volés. Il ajoute une barrière supplémentaire entre un voleur et vos données stockées sur le disque dur. Les mots de passe SysKey peuvent comporter de 1 à 128 caractères ; je vous conseille d'en utiliser au moins 12. Le système EFS (pour protéger des données), associé aux mots de passe SysKey (une protection supplémentaire pour les clés EFS), peut rendre matériellement impossible l'accès à vos données par un intrus.

N'attirez pas l'attention des voleurs

Vous pouvez traiter le problème des vols en combinant des stratégies, des processus et des technologies de manière judicieuse. Sensibilisez vos employés au problème des vols, et utilisez les technologies dont vous disposez pour limiter les dégâts en cas de vol d'un ordinateur.