Scurit Informatique / Numro 11 ////// Mars 2011

editorial les clefs de la confiance par Joseph Illand Encart a nos lecteurs par Joseph Illand Clefs UsB : pratiques mais risques par Luc Valle _1 Chiffrement de supports : principe, intrt et limites _6 par Loc Duflot, Olivier Levillain et Alix Cazenave Cls UsB : quelques risques juridiques par Isabelle Benoist _8

_1 _1

lemploi de la cryptographie pour la scurisation des donnes sur cls UsB _4 par Pierre Barthlemy et Robert Rolland

ditorial

Les clefs de la confiance

Joseph Illand
Fonctionnaire de Scurit de Dfense du CNRS

les clefs UsB font partie de notre quotidien, elles se glissent furtives et discrtes dans notre portefeuille, au fond dun cartable ou dun sac dos, sur un coin de bureau ou mme en pendentif. pratiques mais risques , cest ce que nous dmontre luc Valle, adjoint au chef du CeRTa (agence nationale de scurit des systmes dInformation), dans un article de mise en garde sur les multiples dangers encourus, que la clef soit la victime ou au contraire le vecteur dune attaque ou encore quelle soit perdue ou vole. elles sont si pratiques, quon leur confie tout nos secrets professionnels comme nos fichiers familiaux, tant la confusion des sphres prive et professionnelle se retrouve aussi dans une simple clef UsB. Isabelle Benoist de la direction des affaires juridiques du CnRs attire pour sa part lattention sur quelques risques juridiques attachs la perte de cet objet devenu incontournable. attacher du prix linformation oblige la protger. le chiffrement simpose pour se prmunir contre la compromission des donnes. Celle-ci peut rsulter dune perte involontaire (mais dans quelles mains linformation va-t-elle finalement aboutir ?) ou pire encore dun vol cibl. de manire beaucoup plus insidieuse, une simple aspiration des donnes fera laffaire au hasard dun branchement sur un poste non digne de confiance. pierre Barthlemy de lInstitut de Mathmatiques de luminy Marseille en tandem avec Robert Rolland de lassociation acrypta ainsi que loc duflot, olivier levillain et alix Cazenave de lanssI nous proposent leurs visions respectives et recommandations en matire de chiffrement. on retiendra la complexit du problme et lillusion de la confiance aveugle. on notera aussi limportance des conditions dimplmentation et dutilisation, le diable se cachant son habitude dans les plus petits dtails de chacune des solutions disponibles sur le march. Il reste que le choix dune solution passe par la confiance et rien ne vaut en la matire lavis de nos experts nationaux. on sattachera donc se fier de prfrence aux produits valus et certifis par lanssI en notant que lorsquil sagit de donnes trs sensibles dites de diffusion restreinte , la recommandation se mue en obligation rglementaire. la question est dimportance ; on ne saura trop remercier les auteurs des prsentes contributions et tout particulirement lanssI pour son investissement significatif dans ce bulletin.
joseph.illand[]cnrs-dir. fr >>>> suite page 1

Clefs USB : pratiques mais risques

Luc Valle
ANSSI

Par leurs formats et la gnralisation rapide de linterface USB, les clefs sont rapidement entres dans les habitudes des utilisateurs de linformatique. La lourdeur des contenus (ex. : vido) a rendu les disquettes, de capacit rduite, inadaptes au point de faire disparatre les lecteurs de disquettes des ordinateurs. Comme ces dernires, les clefs servent au transport et au stockage, et, comme elles, leur utilisation prsente des risques quil convient danticiper pour rester serein. Cest toujours le soir, quand le support informatique nest plus l, dix minutes de lchance pour un rapport crucial, que les donnes sont perdues car la clef USB dfaille, est infecte ou introuvable. Cet article balaye certains risques et propose des pistes pour les amoindrir, pistes adapter aux contextes dutilisation.
 Utilisation sans limite ? Cet idal est mis mal par les lois de llectronique et par le quotidien. Dure de vie La mmoire de la clef USB est un circuit lectronique qui supporte un nombre dtermin dcritures. Ce nombre sexprime gnralement en dizaines ou en centaines de milliers. La longvit de la mmoire est A nos lecteurs augmente par un algorithme Cr en 1994 par le service du de gestion de lespace qui Fonctionnaire de Scurit de Dfense du rpartit les critures pour uniCNRS, le bulletin Scurit de lInformaformiser le degr dusure . tion parat ici pour la dernire fois sous Cette grandeur apparente est la responsabilit directe de ce service. module par des critures Avant de passer la main, je tiens remermasques lutilisateur. Ainsi, cier les lecteurs de leur fidlit et de leur quand lutilisateur travaille avec un traitement de texte sur continuelle confiance. le fichier prsent sur la clef, des Joseph Illand fichiers temporaires et des Fonctionnaire de Scurit de Dfense du CNRS copies de sauvegarde peuvent tre crs sur cette clef,
>>>> suite page 2

N 11 / Mars 2011

induisant des critures ( la cration) et des effacements (si ncessaire) qui rduisent la longvit de la clef. Il faut donc prendre en considration la dure de vie finie dune clef. Comme il ny a pas de jauge permettant dindiquer lutilisateur la proximit de la fin de vie, il faut toujours considrer que la copie sur la clef ou le travail direct sur la clef peut dboucher sur une panne, une indisponibilit de la clef. Bien sr cette mise en garde prend plus de sens avec lge grandissant dune clef et avec la lourdeur des fichiers quelle est amene contenir. En fin de vie, il est prfrable de procder une destruction physique de la clef USB.

Mauvaises habitudes Certains utilisateurs, par ignorance, ne dconnectent pas proprement leur clef de lordinateur sur lequel elle est branche. Ceci prsente deux risques principaux. Le premier est li la coupure lectrique brutale sur le port USB, qui peut se rpercuter sur les composants lectroniques qui constituent la clef et les endommager. Le second tient au systme dexploitation des ordinateurs dont la configuration standard tend gnralement conomiser les transferts USB. Il gre sur la mmoire du poste de travail les critures sur la clef et ne procde au transfert rel que sur certains critres : taille suffisante, dbranchement propre de la clef, ordonnancement des tches, utilisation des DMA,... Ce faisant, entre lcriture logique vers la clef et lcriture physique relle (aprs transfert USB), il existe une priode de dsynchronisation. La consquence est quune clef arrache brutalement ne sera pas correctement synchronise. Il se peut alors que des fichiers de la clef soient et restent verrouills, ou prsentent des incohrences de contenu. Lincident est souvent apparent lors du branchement suivant de la clef, donc trop tard. Pour prvenir ces dsagrments, il suffit simplement dutiliser les commandes de dconnexion propres des supports USB. Une icne, dans la barre de tche de Windows XP ou sur le bureau de certaines distributions Linux, rend cette opration rapide et ergonomique. Les amateurs de la commande en ligne de Linux utiliseront par exemple les commandes sync et umount. Accidents et disparitions La clef USB est gnralement petite. On la glisse partout, mais elle peut glisser, tre perdue ou dtruite accidentellement de multiples faons. Perdue, elle lest alors avec son contenu. Il est donc illusoire de considrer une clef USB utilise au quotidien comme une sauvegarde. Au contraire, le contenu de

cette dernire doit tre rgulirement sauvegard sur un support plus prenne pour attnuer le risque de disparition de la clef. La disparition de la clef peut provenir dun vol, simplement de lobjet ou pour capter linformation prsente sur la clef. la perte du contenu sajoute donc son accessibilit par un tiers hostile. En octobre 2010, une clef USB contenant des informations en clair sur une centrale nuclaire anglaise a ainsi t trouve dans un htel (1). Une autre clef, contenant des informations sur la lutte contre le terrorisme, en clair galement, a t trouve dans la rue Manchester en septembre 2010 (1). Le chiffrement des donnes sur les supports amovibles, dont les clefs USB, offre lavantage de crer un obstacle la lecture non autorise du contenu. Dautres articles de ce numro y sont consacrs. Ces systmes de chiffrement doivent videmment tre maintenus jour, sous peine de voir leur efficacit anantie (1).

 Malveillance La mobilit des clefs USB est un trait qui na pas chapp la face obscure de lInternet. Elles sont utilises pour des malversations qui leur sont spcifiques ou bien pour des attaques en complments des rseaux. La clef peut tre la cible de lagression comme elle peut tre le vecteur de lattaque. Ces deux aspects seront successivement abords. Attaques contre les clefs USB La destruction malveillante, tant de la clef, support, que de son contenu, est possible. Pour sa part et jusqu prsent, le CERTA na pas t inform par ses correspondants ou dans sa veille, de tels agissements. Cela ne signifie pas que ce risque doive tre balay dun revers de main. Comme pour la destruction accidentelle, la sauvegarde des donnes qui se trouvent sur la clef est une prcaution indispensable. Vol de la clef USB Lattaque la plus radicale est le vol de la clef pour lutiliser (vol crapuleux) ou pour en utiliser le contenu (menace stratgique). La taille rduite des clefs rend leur disparition difficile remarquer rapidement. Quand lincident est dcouvert, le coupable est loin. Le chiffrement permet de retarder la divulgation du contenu. Il ne prvient pas le vol simple, pour utilisation du support. Copie du contenu de la clef USB Il existe des logiciels dont la seule finalit est de copier insidieusement lintgralit des fichiers prsents sur les clefs USB branches sur lordinateur. Un chercheur est amen faire une prsentation une confrence. La clef USB sur laquelle il emporte le diaporama lappui de son expos contient galement des travaux en cours. En effet, passionn par ses travaux, il continue travailler ses recherches pendant le trajet depuis son laboratoire et lhtel. Arriv la salle de confrence, il branche sa clef lordinateur ddi aux orateurs pour y dposer sa prsentation. Pendant quil transfre explicitement son diaporama, le contenu de sa clef est intgralement et silencieusement copi sur lordinateur. Lui qui voulait rester discret sur lavance quil avait par rapport ses concurrents, tant que son brevet ntait pas dpos, ne sapercevra pas ou trop tard de la manuvre. Il existe souvent des LED sur les clefs qui clignotent lors de transferts entre clef et ordinateur. Ce clignotement peut mettre la puce loreille du possesseur de la clef quand aucun transfert lgitime na lieu. Elles sont hlas de peu de secours lorsque le pillage des donnes sexcute en parallle avec un transfert lgitime.

Flux dinformation incontrl La clef USB peut tre donne aux participants dune runion avec les prsentations et les documents de travail. Cest aussi est une forme rpandue de cadeau publicitaire. La possibilit que cet objet soit infect sera traite dans la section sur la malveillance. Ce cadeau reprsente un risque pour celui qui loffre, si un processus qualit et scurit adquat naccompagne pas la production en srie de lobjet, souvent laffaire de sous-traitants spcialiss. Utilisation en Bureau mobile Le possesseur de la clef peut induire un risque en utilisant la clef bureau mobile . Des annonces promeuvent auprs des travailleurs nomades informatiques ces clefs qui contiennent une batterie de logiciels : bureautique, navigation, messagerie, etc. Largument principal pour ces clefs, cest dassurer cet utilisateur de retrouver ses logiciels, dans les bonnes versions, quel que soit lordinateur sur lequel il travaille. Un premier problme est la compatibilit de lutilisation de ces logiciels avec la politique du systme dinformations hte. La crainte supplmentaire est, comme pour tous les nomades, labsence de mises jour immdiates de ces logiciels donc la prsence de vulnrabilits devenues publiques, dans la clef USB. Le dploiement de cette solution doit donc saccompagner dinstructions dutilisation (et de non-utilisation) et de procdures de maintien un niveau de scurit convenable (1). Enfin, les fichiers de ces clefs, dont beaucoup dexcutables, peuvent tre vecteurs dinfections, ce qui sera dtaill par la suite.

Pour parer ce pillage de donnes, lANSSI a dit, avec laide dutilisateurs, un passeport de conseils aux voyageurs (1). Ce qui est mentionn pour les ordinateurs portables est vrai pour les clefs USB. Par ailleurs, dans sa note dinformation sur les clefs USB (1), le CERTA prconise la surcharge totale de la clef avant lcriture des fichiers qui seront transports, et la sparation des usages : dans lexemple prcdent, une clef pour la prsentation publique, une clef pour les travaux de recherche non publics.

Injection de contenu dans la clef USB Dans le premier scnario, le possesseur dune clef USB peut lavoir quitte des yeux ou lavoir branche sur un ordinateur envers lequel il naurait pas d avoir confiance. Pendant cette priode de baisse de vigilance, des fichiers compromettants sont installs sur sa clef USB. La prsence de ces fichiers sera ensuite signale qui de droit pour monter une opration de dstabilisation du possesseur et de son organisme de rattachement. Cet incident na rien de technique et, de ce fait, na pas t signal lANSSI. Toutefois, des services de renseignement, dintelligence conomique, dexpansion conomique ou contre-espionnage peuvent avoir rencontr ou avoir t informs de cette situation. Le second scnario fait la transition avec la section suivante. Connecter une clef USB un poste non matris ou un ordinateur en libre service cest prendre le risque dinfecter cette clef. Elle nest pas rellement la cible de lattaque, mais elle en est le vecteur. Des modles de clefs USB proposaient un commutateur physique qui autorise ou interdit lcriture sur le support. Cette solution est en voie de disparition au profit de solutions purement logicielles dont lefficacit reste prouver. Attaques utilisant les clefs USB Si ces clefs nont pas la continuit de connectivit des rseaux, et donc ne permettent pas de lancer une attaque en temps rel, elles prsentent lavantage de se brancher sur des systmes qui ne sont pas relis aux rseaux publics ou trs indirectement. Les automatismes dont lutilisateur est friand ont fait le reste. Les cas dinfection par clefs USB les plus mdiatiss sont Conficker (depuis dcembre 2008) et Stuxnet (depuis juin 2010). Attaques gnrales Ces attaques sont celles qui utilisent les clefs USB comme nimporte quel support de fichiers. Lhistoire tant un ternel recommencement, le scnario existait dj avec les disquettes.

Les fichiers qui se trouvent sur la clef USB, programmes excutables et documents (prsentations PPT, document DOC ou PDF,...) peuvent tre infects par les programmes malveillants qui se trouvent sur les ordinateurs auxquels elle est branche. La clef sert dagent de transmission pour linfection comme peut le faire un courriel ou un partage rseau. Comment limiter cette utilisation de clef USB comme vecteur dinfection ? La premire question se poser est lutilit des fichiers prsents sur une clef qui a t branche sur un ordinateur non matris. Sils taient copis uniquement pour une exportation ou si une copie fiable, dans tous les sens du terme, est disponible sur le systme dinformation, le plus sage est dliminer les fichiers de la clef, devenus douteux et de travailler sur des versions de confiance. Si aucune version nest disponible sur le SI, ce qui est imprudent, en raison de la perte possible de la clef USB, alors la vrification dintgrit des fichiers simpose. Elle doit seffectuer sur un poste ddi, un sas. Une voie possible est la consignation dune empreinte (comme un condens SHA256) au moment de la copie sur la clef. Au retour, et avant de rintroduire ces fichiers sur le SI, le condens est calcul nouveau et compar au condens initial, conserv sur le SI. Un fichier nest rapatri que sil y a concidence. Il y a la possibilit dutiliser un ou plusieurs antivirus, mais il faut rester raliste sur les limites de ces derniers. Si les fichiers doivent tre imprativement rintgrs au SI, par exemple parce quils ont t modifis dans une sance de travail ou parce que ce sont des documents donns par un partenaire, alors la vigilance est de mise. Sur un sas, encore, il est intressant danalyser chaque fichier la recherche danomalies ou dobjets dangereux. Ce qui vient dtre signal pour des clefs qui sont sorties du SI pour y retourner ensuite est galement vrai pour des clefs publicitaires. Le CERTA a eu traiter le cas de clefs publicitaires neuves contenant des fichiers infects. Lune des causes est souvent la rpartition des tches dans lentreprise. Lachat de ces objets publicitaires est souvent pilot par le service de communication ou des relations extrieures. Le service informatique et/ou le service en charge de la scurit ne sont que rarement informs et sollicits. Il est indispensable que les objets publicitaires fassent lobjet dun contrle qualit, comprenant labsence de danger informatique. Doit-on accuser la socit qui fait le packaging, et qui imprime le logo de lentreprise ? Pas forcment. Des clefs neuves sont parfois infectes. La chane dapprovisionnement

reprsente une source de menaces de plus en plus importante.

Attaques spcifiques aux clefs USB Les clefs USB dans les environnements informatiques actuels ont des fonctions attractives : la possibilit damorcer un systme (boot) ou de lancer une excution automatique, soit dun programme sur la clef, soit dun logiciel sur le poste. Clefs UsB amorables La clef amorable permet des intrusions discrtes sur un poste de travail, en labsence de son utilisateur lgitime. Lincident peut passer trs longtemps inaperu. Cette voie nest pas de la science fiction : des clefs USB amorables en Linux contournent le contrle daccs Windows. Mieux, une clef USB a t conue spcialement pour le recueil dinformation (1). Pour rduire la possibilit damorcer un systme partir dune clef USB, cet amorage doit tre dsactiv au niveau du BIOS et cette configuration dfensive doit elle-mme tre protge par un mot de passe, le plus fort possible, compte tenu des protections rudimentaires des BIOS. excution automatique linsertion des clefs Lexcution automatique linsertion de la clef, autorun, permet de lancer un programme automatiquement, par exemple linstallation dun pilote de priphrique ou dune application (1). Mais le logiciel install peut tre un virus ou un ver, comme Flyhigh, Palevo ou Conficker. Conficker, apparu en dcembre 2008, illustre cette possibilit. Il sest dabord propag par les rseaux, utilisant une vulnrabilit du serveur SMB de Windows, pourtant corrige par Microsoft ds la fin octobre dans une mise jour exceptionnelle. Mais cela le limitait lespace des rseaux relis entre eux : Internet et les intranets connects, excusez du peu. Une version enrichie de Conficker est alors apparue, peine un mois aprs. Un poste infect tentait dinfecter par le rseau, mais installait aussi sa charge sur tout support amovible qui lui tait connect, comme une clef USB. Celle-ci, quand elle tait branche sur un autre ordinateur fonctionnant sous Windows, potentiellement sur un rseau isol, infectait cet ordinateur, donc propageait linfection un rseau dont lisolation pouvait donner lillusion de la protection. Le CERTA sest fait cho de la propagation de Conficker (1) mais aussi dautres programmes malveillants. Une parade est prsente dans Windows Vista : la fonctionnalit dexcution automatique est

N 11 / Mars 2011

inhibe dans la configuration de base. Linfection est certes possible, mais avec le concours de lutilisateur imprudent. trangement, cette dsactivation navait pas t propose pour XP comme mise jour de scurit par lditeur, alors quil avait publi un programme ralisant cette dsactivation de manire simple et rapide (1), ce quil a corrig ce 8 fvrier. Mme une distribution Linux conviviale avec une configuration laxiste autorise lexcution automatique et laperu du contenu des fichiers de la clef USB, avec possibilit dinfection. (1).

Clefs U3 Mais, pour le malheur des RSSI, il existe des clefs USB, dites clefs U3, qui, lorsquelles se connectent un ordinateur, se font passer pour des cdroms et contournent la protection prcdente. La dsactivation de lexcution automatique doit tre tendue tous les supports amovibles. Autant lexcution automatique pour installation est rarement utilise avec une clef USB, autant elle est courante pour les cdroms et les dvds dinstallation des logiciels. La pnalisation par la dsactivation totale nest toutefois que dun clic. Un petit clic qui vaut mieux quun grand choc. lecture automatique linsertion des clefs Cette fonction autorun nest pas le seul automatisme utilis par les codes malveillants. La fonction voisine autoplay a pris la relve puisque la dsactivation dautorun se

gnralisait. Cette excution automatique est lgrement diffrente : il sagit de lancer automatiquement un programme prsent sur lordinateur lorsque la clef contient un fichier dun type donn. Par exemple, la prsence dimages, lance laperu, celle dun fichier MP3 lance un lecteur multimdia. Le scnario dattaque est le suivant : un fichier malveillant est mis sur la clef USB. Il contient le code dexploitation dune vulnrabilit prsente dans le programme lanc. Lorsque le fichier est un raccourci (extension LNK), cest lexplorateur de fichier qui est lanc. La vulnrabilit, depuis corrige, tait exploite par Stuxnet. Stuxnet comportait plusieurs tages. Cette propagation par clef USB lui permettait datteindre une cible sur des rseaux de production industrielle, trs souvent dconnects dInternet.

simulation par clef UsB Les clefs U3 dcrites brivement ci-dessus simulent des cdroms. Ce nest pas le seul dguisement possible. Cela tient la polyvalence de linterface USB. Deux chercheurs ont montr, lors de la confrence BlackHat de janvier 2011, comment faire passer un priphrique de stockage USB (tlphone mobile ou clef USB) pour un clavier, et entrer des commandes hostiles sur lordinateur.

En tant que possesseur et utilisateur dune clef USB : ne pas considrer une clef USB comme fiable 100 %, ni ternelle ; ne pas laisser ses clefs USB sans surveillance ; dbrancher correctement la clef USB ; ne pas en faire un support darchivage, mais, au contraire, avoir une sauvegarde du contenu de la clef USB ; utiliser des clefs USB diffrentes pour des usages diffrents ou des documents de sensibilit diffrente ; chiffrer les donnes sensibles et surcharger la totalit de lespace libre de la clef si elle doit tre branche sur un systme non matris. En tant que possesseur dun ordinateur ou dun systme dinformation sur lequel des clefs USB peuvent se brancher : avoir les rflexes scuritaires de base : mise jour des systmes, des logiciels et des greffons, cloisonnement, journalisation et surveillance de lactivit, travail quotidien sans droits dadministration ; dsactiver les automatismes (autorun, autoplay) et durcir les configurations des ordinateurs (BIOS, systme dexploitation,...) ; analyser la clef et son contenu avant de le copier. K
communication[]ssi.gouv. fr

 Recommandations Quelques rgles doivent donc accompagner lutilisation de ces objets pratiques.

(1) Bibliographie : pour les renvois mentionns, on se reportera utilement aux documents du CERTA traitant de ces points spcifiques (http://www.certa.ssi.gouv.fr/)

Lemploi de la cryptographie pour la scurisation des donnes sur cls USB

 Problmatique Avec le dveloppement de lInternet partir du milieu des annes 1990, assurer la scurit dun systme dinformation a longtemps consist scuriser le point de connexion entre le rseau local et lInternet par des rgles de ltrage et amliorer le niveau de scurit des protocoles et des serveurs. Plus tard est apparue lide de dfense en profondeur : les postes de travail eux-mmes devaient tre mieux scuriss

Pierre Barthlemy

Ingnieur de recherche lUMR6206 Institut de Mathmatiques de Luminy Marseille

Robert Rolland
Consultant ERISCS (groupe dtudes et Recherche en Informatique des Systmes Communicants Scuriss) et expert Acrypta.

par des mises jour des systmes, des applications et des anti-virus. On considrait juste titre que linformation se trouvait sur des postes de travail physiquement connects au rseau local et donc situs lintrieur dun primtre scuris, ou sur des

serveurs, plus exposs mais scuriss par diverses techniques adaptes. Mais avec le dveloppement du nomadisme dans les annes 2000, divers objets portables ont prolifr : ordinateurs portables ;

 assistants personnels (PDA) ; tlphones portables ; tablettes ; smartphones ; cls USB. Ces divers objets prsentent de nouveaux risques qui souvent sadditionnent. Outre le problme des mises jour de scurit, le risque le plus frquent est quils soient vols ou perdus, alors quils contiennent des donnes professionnelles ou prives, souvent importantes ou condentielles, rarement sauvegardes par ailleurs et dont la divulgation peut tre trs nfaste, voire fatale. Selon une tude de la socit Dell et de lInstitut Ponemon publie en 2008, environ 12 000 ordinateurs portables seraient gars chaque semaine dans les aroports amricains, dont le tiers seulement sont rcuprs. Les tlphones portables, devenus des smartphones en intgrant des fonctions qui taient auparavant celles des PDA (Personnal Digital Assistant) cumulent tous les risques. Les objets passifs , comme tous les supports externes (cls USB, CD-ROM, DVD, disques durs amovibles) prsentent le seul risque de perte ou de vol mais, selon la nature des donnes stockes, ce risque ne peut pas tre nglig. Force est donc de constater quune grande partie des donnes du systme dinformation se trouve maintenant en dehors du primtre de scurit, stockes sur des objets dont le niveau de scurit est faible. La question est de savoir si la cryptographie, prcdemment utilise pour scuriser les services de lInternet et linformation contenue sur des serveurs, peut maintenant aider scuriser linformation stocke sur ces objets. Nous montrerons dans cet article, en nous limitant au cas des cls USB, en quoi la cryptographie peut tre une rponse ces problmes de protection des donnes et comment cette rponse peut tre mise en uvre.

dune fonction de chiffrement par bloc cl secrte dans un certain mode dutilisation ; dun systme de gestion et de protection de la cl secrte qui sappuie sur une fonction de hachage ; dun systme de contrle dintgrit (Message Authentication Code). Bien videmment on ne saurait se passer non plus dun gnrateur de nombres alatoires utilis pour la gnration des cls. En ce qui concerne le chiffrement par bloc on peut distinguer deux niveaux de scurit : le premier niveau utilise des chiffrements par bloc ayant une cl de 128 bits et des tailles de donnes (en entre et en sortie) de 128 bits ; le niveau plus scuris utilise des chiffrements par bloc ayant une cl de 192 bits ou 256 bits et des tailles de donnes (en entre et en sortie) de 128 bits. Lutilisation de chiffrement ot (stream cipher) nest pas recommande. En gnral les circuits choisis sont AES (que lon retrouvera dans les produits cits plus loin), TwoFish, Serpent.

 Solutions cryptographiques Les fonctionnalits cryptographiques La protection de la condentialit des donnes contenues sur une cl USB, un disque externe et plus gnralement sur tout support quon peut perdre ou se faire voler, requiert au moins les fonctionnalits suivantes : chiffrement des donnes ; contrle dintgrit ; authentication ; ventuellement masquage de lexistence mme de donnes sur le support. Ces fonctionnalits sont assures par des systmes cryptographiques. Pour cette application particulire, on a au moins besoin :

Chiffrement par hardware Cette solution est videmment la plus performante. Les modes dutilisation en hardware sont dtermins par la disponibilit sur le march dun circuit correspondant et on retrouve le plus frquemment AES en mode CBC. Le mode CBC (Cipher Block Chaining) est dni dans NIST Special Publication 800-38A 2001 Edition. Notons que lorsque la valeur initiale est prvisible, le mode CBC peut tre sensible lattaque dite watermarking attack. Les cls USB couramment disponibles sur le march utilisent un circuit AES. Parmi ces produits, on peut citer : la cl IronKey : elle embarque une puce AES 256 bits, elle est conforme la norme FIPS 140-2 niveau 3 et dispose dune procdure deffacement des donnes en cas de tentatives rptes de saisies errones du mot de passe, mais la fiabilit de cet effacement reste valider ; la cl SanDisk Cruzer Enterprise (dont la taille varie de 1Go 8Go) embarque une puce AES 256 bits. Un driver sous Windows et Mac OS X (10.4 Tiger et 10.5 Leopard) permet dactiver et de dsactiver le chiffrement, de changer et de grer les mots de passe. Le rle de ce driver est crucial et peut empcher le chiffrement sil est compromis ; la cl Corsair, prconise par le CNRS (note DGD-R du 16 janvier 2011 et qui utilise elle aussi AES 256 bits). Ces cls USB auto-chiffrantes sont plutt destines un usage personnel.

Chiffrement par software sur le poste de travail Cette solution consiste utiliser un logiciel de chiffrement sur le poste de travail, cest-dire chiffrer en amont, avant dcrire les donnes sur la cl USB. Pour ces implmentations logicielles les choix sont plus ouverts. Outre le mode CBC, dautres modes sont sans doute mieux adapts, par exemple les modes XTS ou GCM. Le mode dopration XTS (Xor encrypt xor Tweakable block cipher with ciphertext Stealing), dni dans le document NIST Special Publication 800-38E January, 2010, transforme le chiffrement par bloc sousjacent (AES par exemple) en systme de chiffrement par bloc paramtrable. Le mode GCM (Galois Counter Mode), trs peu connu pour le moment dans le monde industriel, serait utilement employ dans ce contexte. En effet, le mode GCM fournit la fois un chiffrement en mode Counter (CTR) et un code dintgrit et dauthentication. Au chiffr vient se rajouter un bloc qui montre que le chiffr na pas t modi et qui na pu tre produit que par quelquun connaissant la cl secrte (ce tag de vrication dintgrit dpend de la mme cl secrte que le chiffr). De nombreux logiciels existent, qui ne sont nullement spciques aux cls USB, mais plutt destins au chiffrement de disques durs dordinateurs de bureau ou portables. La notion de containers permet de copier sur des cls USB des donnes chiffres. De tels systmes logiciels, souvent assez complets, sont srs sous rserve dune implmentation non nave, cest--dire qui prenne en compte la possibilit de fuites mmoire ou de rtention des informations sensibles par le systme, la mise en cache de donnes, les attaques par des programmes malveillants, ... Un autre problme plus ou moins bien rsolu est celui de la gestion des mots de passe et du squestre des cls. En effet, lutilisation du chiffrement dans une organisation peut aboutir limpossibilit daccder aux informations en cas dabsence ou de disparition de lutilisateur, ou plus simplement en cas doubli du mot de passe. Les logiciels les plus professionnels grent les certicats, ce qui permet de sappuyer sur les fonctions dune PKI (Public Key Infrastructure) an de faciliter la gestion des cls et le recouvrement. Cest le cas des logiciels cits ci-aprs, lexception de TrueCrypt. Les logiciels les plus connus sont : TrueCrypt Le logiciel TrueCrypt est un exemple signicatif de ce que peuvent tre les

N 11 / Mars 2011

constituants et les fonctionnalits de base dun systme de chiffrement dun volume la vole. TrueCrypt utilise au choix AES256, Serpent256, twosh256, ces primitives tant ventuellement cascades. Le mode dutilisation est XTS. Les volumes peuvent tre cachs, cest--dire quil sera impossible de prouver que le support contient des donnes. Concrtement, TrueCrypt permet de fabriquer des containers dont le contenu (rpertoires ou chiers) nest pas visible. Il utilise la paralllisation lorsque plusieurs processeurs sont disponibles. TrueCrypt fonctionne sous Windows, Linux, et MacOS X et il a t certi par lANSSI (qualication niveau lmentaire). TrueCrypt est connu au CNRS et a fait lobjet dune che Plume. Lchange de donnes entre Windows, Linux, et Mac OS X se fait en copiant sur une cl USB au format FAT un container chiffr.

fabrication de containers et qui fonctionne aussi sous Linux, ce qui permet de relire un container sur un autre poste de travail (Windows ou Linux). Contrairement Truecrypt, les noms des rpertoires et des fichiers dun container ZoneCentral sont visibles, ce qui rend son utilisation plus simple et plus transparente mais aussi moins discrte, car le nom dun chier est en soi une information et mieux vaut alors ne pas tre trop explicite.

matrise tatique. Pour ce qui est des caractristiques techniques qui nous intressent dans le cadre de cet article, Acid Cryptoler permet de fabriquer des containers sur des cls USB et il sappuie sur une PKI.

 Conclusion
Les logiciels de chiffrement disponibles (TrueCrypt, ZoneCentral, Security BOX, ACID Cryptoler et dautres encore) permettent de chiffrer les donnes sur des priphriques amovibles tels que les cls USB. Ces solutions peuvent sintgrer la politique de scurit dune organisation, notamment pour la gestion des cls et des mots de passe dans un contexte multi-utilisateurs, ce qui ramne au cas gnral le cas particulier des cls USB. Pour la plupart dentre eux, ces logiciels peuvent sappuyer sur la PKI existante au sein de lorganisation. En complment, mais plutt pour un usage personnel, il est aussi possible dutiliser des cls USB auto-chiffrantes disponibles dans le commerce. Dans les deux cas, la cryptographie est une rponse efficace au problme de la protection de linformation et permet dviter la fuite dinformations en cas de perte ou de vol du support contenant des donnes qui peuvent tre sensibles ou condentielles.
p.barthelemy[]univmed. fr et robert.rolland[]acrypta. fr

ZoneCentral Le logiciel ZoneCentral, de la socit PrimX Technologies, fonctionne sous Windows et a t certi par lANSSI (qualication niveau standard et critres communs EAL2+). ZoneCentral est utilis dans quelques structures du CNRS (une centaine de licences environ) et un bulletin Scurit de lInformation (le numro 5 de septembre 2009) a t consacr son utilisation par la Dlgation Rgionale Midi-Pyrnes Toulouse. ZoneCentral inclut loutil Zed destin la

Security BOX Security BOX, de la socit Arkoon Network Security, est un ensemble de composants logiciels sous Windows partiellement certis par lANSSI au niveau standard EAL4+ permettant de protger des donnes sur tous les types de supports : cls USB, PDAs, smartphones, et bien sr disques durs dordinateurs portables, postes de travail et serveurs de chiers. Lun des composants logiciels (Security BOX Disk) assure le chiffrement des donnes sur des priphriques amovibles tels que les cls USB. ACID Cryptoler Le logiciel Acid Cryptoler a t dvelopp au CELAR (Centre dElectronique de lArmement) de la DGA (Direction Gnrale de lArmement). Cest une solution complte de cryptographie logicielle sous Windows dont la particularit est dtre entirement sous

Chiffrement de supports : principe, intrt et limites

Loc Duflot, Olivier Levillain et Alix Cazenave
Agence Nationale de la Scurit des Systmes dInformation

Procder au chiffrement dun support amovible simpose ds que celui-ci contient des donnes sensibles. Mais tous les procds ont leurs caractristiques et leurs limites. Il est donc important den tre conscient afin de pouvoir estimer le niveau de scurit quils procurent.
 Menaces sur les supports et objectifs du chiffrement Dans le cas des supports de stockage amovibles, la menace principale que lon considre est gnralement celle de la perte ou du vol. Les consquences peuvent tre multiples : 1. atteinte la confidentialit des donnes : le vol dun support peut engendrer la compromission de donnes sensibles (il
sagit souvent de la consquence la plus vidente) ; 2. atteinte lintgrit des donnes, qui est souvent considre, tort, comme secondaire : laltration des donnes contenues peut avoir des consquences sur les systmes ou applications qui les utilisent ; 3. atteinte la disponibilit des donnes : la perte du support entrane directement la perte des donnes quil contient.

Le chiffrement dun support amovible permet de protger la confidentialit (1) et (parfois) lintgrit (2) des donnes qui y sont stockes. Concernant la perte des donnes (3), seule la ralisation rgulire de sauvegardes permet de sen prmunir. Quelle que soit la mthode de chiffrement employe, les mcanismes cryptographiques utiliss requirent un lment secret pour fonctionner (la cl). Il est impratif que seul lutilisateur lgitime ait accs cette cl pour assurer la protection des donnes. Habituellement une cl a une taille de quelques centaines de bits compltement alatoires, ce qui la rend trs difficile retenir par cur. Cest pourquoi les produits proposent des mcanismes

dauthentification pour dverrouiller laccs la cl, et donc la ressource (mot de passe, utilisation dune carte puce, etc.).

Scnarios de vol de support Supposons quun utilisateur a mis en place un mcanisme de chiffrement dun support, et quun attaquant accde ce support et cherche extraire les donnes quil contient. Dans le cas le plus favorable lattaquant, il a accs au support alors que ce dernier est actif, cest--dire quil est connect une machine informatique sur laquelle le propritaire lgitime du support a dbloqu laccs aux donnes (en fournissant le secret dauthentification). Dans le cas le moins favorable pour lattaquant, le support est inerte et lattaquant na pas accs au secret dauthentification. Une variante de cette menace est le vol dit avec remise . Dans ce cas, lattaquant a ponctuellement accs au support et le rend son propritaire lgitime aprs dventuelles modifications. Les modifications peuvent notamment avoir pour objet de rcuprer le secret dauthentification de lutilisateur au moment o ce dernier sen sert. Notons quen rgle gnrale, les produits de chiffrement ne permettent pas de contrer lintgralit des attaques reposant sur un vol avec remise. Un exemple de scnario de vol avec remise ainsi quune description dtaille de lattaque sont donns dans [RW09] ; cet article prend comme exemple TrueCrypt, mais le procd peut tre adapt de nombreux systmes de chiffrement.  Diffrents types de chiffrement Le chiffrement peut seffectuer diffrents niveaux, en fonction du produit de chiffrement utilis : le chiffrement de fichier : dans ce cas, chaque fichier est chiffr indpendamment et stock sur le disque. Il est galement possible de crer un conteneur chiffr regroupant plusieurs fichiers. Cette solution prsente lavantage dtre souple et permet souvent de grer le partage dun fichier entre utilisateurs. Cependant, la couverture offerte est limite (voir ci-dessous pour plus de dtails sur les copies temporaires) et le chiffrement ncessite une action explicite de lutilisateur ; le chiffrement de partition : dans ce cas, une partition (ensemble cohrent de fichiers) est chiffre intgralement. Le dchiffrement est effectu la vole lorsque le poste informatique accde au systme de fichiers. Ce fonctionnement est transparent pour lutilisateur, et couvre systmatiquement lensemble de la partition, mais la gestion du partage

entre utilisateurs est gnralement difficile ; le chiffrement intgral du support. Dans ce cas, le chiffrement est gnralement effectu par un mcanisme matriel interne au support (on parle alors de support chiffrant) ou la machine sur lequel le support est connect. L encore, le mcanisme est transparent et gnralement systmatique, mais la question de la gestion de lauthentification par lquipement demeure importante.

des mcanismes de secours permettant laccs aux donnes mme en cas de panne. Ces mcanismes supposent que la clef de chiffrement du support a t sauvegarde (sur un serveur, sur un support en clair, sur un papier,...). Si ces mcanismes sont utiles en pratique, voire ncessaires dans certains contextes oprationnels, ils reprsentent un facteur daffaiblissement global de la scurit du dispositif et doivent ce titre tre pris en compte dans lanalyse des risques.

 Limites classiques des mcanismes de chiffrement Authentification De nombreux mcanismes de chiffrement reposent sur lutilisation dun mot de passe ou une pass phrase dont la connaissance permet le dchiffrement. Les donnes sont alors chiffres par un procd mettant en uvre une clef drive du mot de passe. Bien entendu, si le mot de passe choisi est un mot de passe faible, il est possible pour lattaquant dessayer toutes les possibilits jusqu trouver le mot de passe correct. On parle dans ce cas dattaque par force brute. Par ailleurs, le mot de passe de certains supports USB chiffrants doit tre entr au clavier depuis la station laquelle le produit est connect. Sur dautres, il peut tre entr directement sur le support. Cette dernire solution est beaucoup plus satisfaisante du point de vue de la scurit puisque le mot de passe est entr directement par le support, et ne peut tre rcupr par un ventuel attaquant qui aurait pig le poste de lattaquant laide dun key logger (enregistreur de frappe). Cryptographie Si le mcanisme de chiffrement en lui-mme a t mal spcifi ou mal implment, lattaquant peut esprer obtenir laccs aux donnes sans mme rechercher le mot de passe utilis pour le chiffrement. Mcanismes de secours Quel que soit le support mis en uvre, une panne matrielle de ce support peut rendre inaccessibles les donnes et ce mme si le support nest pas chiffr. Lutilisateur est donc fortement encourag effectuer une copie de ses donnes sensibles dans un endroit sr. Cependant, lorsque le chiffrement est effectu par un mcanisme matriel, la panne dun composant extrieur au support peut galement entraner la perte des lments sensibles. En cas de panne du dispositif matriel, les donnes sont irrmdiablement perdues. Certaines solutions proposent donc

Confiance dans le poste de travail Il est important de noter que les mcanismes de chiffrement, quels quils soient, ne fournissent aucun mcanisme de protection au cas o le poste informatique sur lequel lutilisateur lgitime les met en uvre est compromis par un attaquant. Lorsque lon dchiffre ses donnes sur un poste qui ne peut tre considr de confiance, les donnes doivent tre considres comme compromises. Impossibilit de garantir labsence de donnes en clair sur le support Dans le cas o le produit mis en uvre effectue un chiffrement de fichier (ou un chiffrement de partition sur un support comprenant plusieurs partitions), il est en pratiquement impossible de garantir que le fichier ne sera jamais prsent en clair sur le support. En effet : le systme dexploitation du poste dispose dun mcanisme de gestion de la mmoire qui lamne crire temporairement sur le disque le contenu de certaines zones mmoire. Sur lextrme majorit des systmes, cette criture seffectue en clair dans une zone dchange (swap) ; les applications (et en particulier les suites de bureautique ou les clients de messagerie lectronique classiques) effectuent de nombreuses copies locales temporaires en clair des documents auxquels elles accdent. De plus, ces copies ne sont pas systmatiquement effaces lors de larrt de lapplication ou de la fermeture de la session de lutilisateur. Par ailleurs, leffacement prsente dimportantes limitations (voir ci-dessous) ; si le chiffrement de fichier est effectu en place, loriginal peut tre toujours prsent sur le support ou ne pas avoir t correctement effac.  Bonnes pratiques Produits qualifis par lANSSI Lutilisation de produits qualifis par lANSSI permet de garantir la robustesse des

N 11 / Mars 2011

mcanismes cryptographiques mis en uvre. Il est bien entendu impossible de garantir labsence de bogue dans les produits valus, mais le processus dvaluation permet de vrifier la bonne implmentation des mcanismes de scurit les plus importants et danalyser la robustesse du produit vis-vis des objectifs de scurit principaux. La liste des produits qualifis est disponible ladresse suivante : http://www.ssi.gouv.fr/qualification.

Effacement ou chiffrement ? Comme nous lavons vu, le chiffrement est le seul moyen de garantir la confidentialit dune information. En particulier, leffacement dun fichier au moyen des mcan i s m e s c l a s s i q u e s d e s syst m e s

dexploitation (clic droit suivi de Supprimer , formatage rapide) nefface en pratique pas le fichier du disque, mais supprime simplement la rfrence de ce document depuis le systme de fichiers. De nombreux outils disponibles sur Internet permettent toute personne ayant accs au support de rcuprer les documents ainsi effacs. Il existe des mcanismes dits d effacement scuris permettant deffectuer une surcharge logique dun support. Cependant, ces mcanismes prsentent des limitations importantes dues la diversit des matriels existants. Leffacement ne doit donc tre envisag quen complment dun chiffrement systmatique des donnes sensibles. On pourra se rfrer la page web suivante pour plus

dinformations sur les limites de ces procds : http://www.ssi.gouv.fr/site_article172.html.

 Conclusion
Il existe de nombreux cas o il est indispensable de protger les donnes numriques. Pour cela, lutilisation du chiffrement est ncessaire, mais ne fournit pas en soi une scurit absolue. En effet, il est essentiel dutiliser des produits valus et certifis, mais galement den comprendre le fonctionnement et les limites.
communication[]ssi.gouv. fr [RW09] Evil Maid Goes after Truecrypt, J. Rutkowska et R. Wojtczuk, 2009.

Cls USB : quelques risques juridiques

tournant une citation du Prix Nobel de Littrature de 1911, nous dirions aujourdhui quil ny a rien de plus beau quune cl, tant quon ne sait pas ce quelle contient1. Au moins deux grandes catgories de risques juridiques ressortent de lutilisation des cls USB : ceux lis la cl elle-mme et ceux lis son contenu. Pour la 1re catgorie, pour qualifier les malveillances touchant les cls USB (attaques contre les cls ou les utilisants2), le juriste se placera sur le terrain des articles 323-1 et suivants du code pnal portant sur les atteintes aux systmes de traitement automatis de donnes punies des peines maximales de 5 ans demprisonnement et 75 000 damende pour certaines de ces infractions dites STAD . Pour la 2nde, la qualification juridique des faits dpendra des donnes contenues dans la cl perdue ou vole, ds lors que ces donnes ont t peu ou pas protges. Imaginons que la cl contienne des dossiers de candidature un concours organis par le CNRS. Certaines des donnes sont a
1. Et non ce quelle ouvre dans la citation originale. 2. Cf. article de L. Valle de ce numro

fortiori des donnes caractre personnel au sens de la loi dite CNIL . Or, au titre de son article 34, le responsable de traitement est tenu de prendre toutes prcautions utiles pour prserver la scurit de ces donnes. Il y a, tout dabord, un risque de sanction pcuniaire prononce par la CNIL, jusqu 150 000 pour un 1er manquement. Plus grave encore le manquement lobligation de scuriser les donnes pourrait tre sanctionn sur le fondement de larticle 226-17 du code pnal (peines maximales : 5 ans demprisonnement et 300 000 damende). Prenons maintenant lhypothse que la cl appartienne un chercheur et quelle contienne des rsultats susceptibles de faire lobjet dun dpt de brevet. Cette cl est perdue loccasion dun colloque et rcupre par un individu averti qui sempresse de lutiliser. Latteinte au patrimoine scientifique du CNRS est vidente. Plusieurs actions sont envisageables pour le CNRS : action en revendication de brevet (art. L.611-2 du code de la proprit intellectuelle), action en concurrence dloyale (art. 1382 du code civil). Pour autant, la tche sera particulirement dlicate et complexe pour le CNRS car lui revient la charge de la preuve.

Isabelle Benoist
Direction des Affaires Juridiques du CNRS

Cette brve prsentation ne prtend pas lexhaustivit, lenvironnement juridique dune cl USB tant aussi vaste que la varit des supports quelle peut contenir. Pour aller plus loin : http://www.dgdr.cnrs.fr/daj/ Default.htm
isabelle.benoist[]cnrs-dir. fr

SCURIT DE LINFORMATION
Sujets traits : tout ce qui concerne la scurit informatique. Gratuit. Priodicit : 4 numros par an. Lectorat : toutes les formations CnRs. Responsable de la publication : Joseph Illand Fonctionnaire de scurit de dfense Centre national de la recherche scientifique 3, rue Michel-ange, 75794 paris cedex 16 Tl. : 01 44 96 41 88 Courriel : joseph.illand[]cnrs-dir. fr http ://www.sg.cnrs.fr/fsd Rdacteur en chef : Joseph Illand Fonctionnaire de scurit de dfense Courriel : joseph.illand[]cnrs-dir. fr Impression : Bialec, nancy (France) - d.l. n 75649 Issn 1257-8819 la reproduction totale ou partielle des articles est autorise sous rserve de mention dorigine.