NON CLASSIFIÉ. Écrasement et déclassification des supports d'information électroniques (ITSG-06) Page intentionnellement laissée en blanc.

Transcription

1

2 Page intentionnellement laissée en blanc. Juillet 2006

3 Avant-propos Le document Écrasement et déclassification des supports d information électronique (ITSG-06) est un document non classifié publié avec l'autorisation du chef du Centre de la sécurité des télécommunications (CST). Les propositions de modifications doivent être envoyées à votre représentant des Services à la clientèle au CST, et ce, par les voies responsables de la sécurité des télécommunications au sein de votre ministère. Toutes les demandes relatives à des exemplaires supplémentaires ou à des modifications à apporter dans la distribution de la présente publication devraient être adressées à votre représentant des Services à la clientèle au CST. Pour de plus amples renseignements, veuillez vous adresser aux Services à la clientèle, Sécurité des TI, CST par courriel à l adresse client.svcs@cse-cst.gc.ca ou par téléphone au Date d entrée en vigueur La présente publication entre en vigueur en juillet Sue Greaves Directrice, Gestion de la mission de la Sécurité des TI 2006 Gouvernement du Canada, Centre de la sécurité des télécommunications La reproduction en tout ou en partie de la présente publication est interdite sans le consentement écrit préalable du CST. Avant-propos Juillet 2006 i

4 Page intentionnellement laissée en blanc. ii Juillet 2006 Avant-propos

5 Table des matières Avant-propos... i Date d entrée en vigueur... i Table des matières... iii Liste des tableaux... iv 1. Introduction Généralités Exceptions COMSEC Politique du gouvernement sur la sécurité Exigences et considérations ministérielles Exigences relatives à la conservation et à la vérification des données Étiquettes de sensibilité Structure du document ITSG Écrasement et Nettoyage Écrasement Nettoyage Méthodes d écrasement et de nettoyage Chiffrement Réécriture Démagnétisation Déformation physique Déchiquetage et désintégration Séparation matérielle/moléculaire par centrifugeur à haute vitesse Meulage et broyage Incinération Moletage Manuel sur L écrasement, le Nettoyage et la Destruction Technologies, techniques et équipement de destruction Écrasement en vue de la réutilisation au sein d un ministère Nettoyage aux fins de déclassification et d élimination Considérations particulières Situations d urgence et réécriture Destruction d urgence Réécriture Réécriture Assistants numériques et BlackBerry Normes de destruction Supports magnétiques Normes de destruction Supports optiques Table des matières Juillet 2006 iii

6 3.6.1 Exceptions Normes de destruction Supports d information électroniques miniatures et ANP Annexe A : ACRONYMES ET ABRÉVIATIONS Annexe B : PROCÉDURES DE DESTRUCTION Annexe C : UTILITAIRES DE RÉÉCRITURE POUR DISQUES DURS Annexe D : APPAREILS DE DÉMAGNÉTISATION Annexe E : DESTRUCTION PARTIELLE QUESTIONS LIÉES À LA SÉCURITÉ Annexe F : TYPES DE SUPPORT D INFORMATION Annexe G : RESPONSABLES DU CST ET DE LA GRC Annexe H : RÉFÉRENCES Liste des tableaux Tableau 1 : Méthodes de destruction Tableau 2. Dispositifs de stockage amovibles (c.2005) iv Juillet 2006 Table des matières

7 1. Introduction 1.1 Généralités Les présentes lignes directrices ont pour but d aider les responsables des TI du gouvernement du Canada à choisir les méthodes appropriées de préparation des supports d information électroniques (SIE) en vue de leur déclassification, réutilisation ou disposition. Elles donnent un aperçu des normes de base approuvées par la GRC et le CST pour l écrasement et le nettoyage de différents types de SIE, et décrit un éventail de méthodes qui permettent de s y conformer. Les méthodes recommandées tiennent compte de niveaux spécifiques de sensibilité des données utilisées dans une gamme d environnements d exploitation types du GC. 1.2 Exceptions COMSEC Ces lignes directrices ne s appliquent ni à l équipement ni au matériel de chiffrement COMSEC (sécurité des communications). Prière de consulter les doctrines pertinentes en matière de cryptographie (CCD) pour obtenir des instructions concernant le traitement de l équipement COMSEC. 1.3 Politique du gouvernement sur la sécurité La Politique du gouvernement sur la sécurité (PGS) exige des ministères et organismes fédéraux qu ils établissent et mettent en œuvre un programme de sécurité qui englobe la sécurité de l organisation, du matériel et du personnel ainsi que la sécurité des technologies de l information. Bien que la PGS s appuie sur des normes de sécurité opérationnelles et techniques qui définissent les exigences de base en matière de sécurité, elle confie aux ministères et organismes la responsabilité de sa mise en œuvre détaillée. En outre, les ministères et organismes doivent effectuer leurs propres évaluations des menaces et des risques (EMR) afin de déterminer le besoin de mesures de protection supérieures aux niveaux de base stipulés dans les normes. La PGS exige des ministères et organismes qu ils effectuent une surveillance et des évaluations permanentes de leur programme de sécurité. Afin d évaluer la conformité à la politique et de formuler des commentaires sur l efficacité de cette dernière, les ministères doivent présenter au Secrétariat du Conseil du Trésor des rapports sur les résultats de ces évaluations ou vérifications internes. Il est essentiel que les ministères comprennent les exigences de sécurité relatives au traitement de l information et aux supports contenant de l information protégée et classifiée. Les Introduction Juillet

8 exigences minimales liées à l effacement, au nettoyage et à la destruction des SIE, telles qu elles sont décrites dans le présent document, ont été approuvées par le Centre de la sécurité des télécommunications (CST) et la Gendarmerie royale du Canada (GRC). Prière de consulter la Loi sur l accès à l information et la Loi sur la protection des renseignements personnels (AIPRP) ainsi que la PGS et les normes opérationnelles connexes pour obtenir davantage de détails sur la classification et le traitement de l information protégée et classifiée. 1.4 Exigences et considérations ministérielles Les ministères et organismes sont tenus d effectuer des EMR afin de tenir compte des situations particulières de chaque groupe d utilisateurs compte tenu de la nature complexe de l environnement de menace et de l évolution rapide de la technologie de stockage des données électroniques. Pour que l information sensible ne soit ni compromise ni divulguée, les utilisateurs et les gestionnaires doivent assurer en permanence un contrôle approprié des SIE qui contiennent ce type d information. Les politiques ministérielles de sécurité doivent prévoir des procédures d étiquetage, de stockage, de déclassement/déclassification, de destruction et (ou) d effacement du matériel sensible. 1.5 Exigences relatives à la conservation et à la vérification des données Les ministères doivent aborder les exigences de la législation et des politiques en ce qui a trait aux périodes de conservation et à la vérification des données, etc., avant d autoriser l effacement ou la destruction d un support. Ces exigences incluent les suivantes : exigences en vertu de la Loi sur l accès à l information et de la Loi sur la protection des renseignements personnels (AIPRP) concernant la conservation des documents publics; exigences relatives aux politiques pertinentes du SCT en matière de gestion de l information concernant la tenue des dossiers du gouvernement; exigences en matière d audit de sécurité concernant la conservation de données qui pourraient être requises comme preuves au cours de procédures judiciaires ou d enquêtes; et exigences en matière d audit de sécurité concernant la conservation de dossiers complets sur la destruction et la disposition de documents, d information et d équipements gouvernementaux. 2 Juillet 2006 Introduction

9 1.6 Étiquettes de sensibilité Les SIE utilisés pour le stockage d information sensible doivent être étiquetés de façon appropriée, conformément aux normes opérationnelles pertinentes de la PGS. Les étiquettes doivent être conservées jusqu à ce que l information sensible soit déclassifiée, déclassée ou effacée par des moyens sûrs ou jusqu au moment qui précède immédiatement la destruction matérielle du support. 1.7 Structure du document ITSG-06 Les présentes lignes directrices comptent quatre (4) sections : 1. Introduction Cette section inclut de l information contextuelle sur la façon appropriée d éliminer et (ou) de réutiliser les supports de traitement de l information. 2. Méthodes relatives à l effacement, au nettoyage et à la destruction Cette section présente les différentes méthodes de destruction des données et (ou) des supports. 3. Manuel sur l effacement, le nettoyage et la destruction Cette section décrit, pour tous les types de support d information, les normes de destruction approuvées par le CST et la GRC, regroupées en trois catégories générales : supports de stockage magnétiques, optiques et miniatures. Les normes tiennent compte de l évaluation de la sensibilité des données stockées pour chacune des catégories. 4. Annexes Les annexes incluent des explications détaillées des différents aspects liés à la réutilisation, à l effacement ou au nettoyage des supports. Introduction Juillet

10 Page intentionnellement laissée en blanc. 4 Juillet 2006 Introduction

11 2. Écrasement et Nettoyage On utilise plusieurs méthodes de sécurité pour protéger les données sensibles durant leur traitement et leur stockage dans les systèmes de TI. Toutefois, des attaquants éventuels pourraient être en mesure de recouvrer l information sensible contenue dans des supports jetés au rebut. Les présentes lignes directrices traitent des aspects de la sécurité qui concernent le changement d utilisation ou la disposition de supports d information électroniques (SIE), ainsi que des méthodes requises pour la destruction effective des données stockées afin de réduire ou d éliminer toute menace d accès non autorisé. 2.1 Écrasement L écrasement est le processus qui consiste à effacer le contenu d un SIE de manière à permettre la réutilisation de ce dernier dans un environnement dont le niveau de sécurité est équivalent ou supérieur. L écrasement doit pouvoir empêcher tout recouvrement des données à l aide des outils normalement disponibles dans le système d information. Une simple opération de suppression ou d effacement des fichiers, ou de formatage du disque, n écrase pas le support puisque des commandes telles Undelete (annulation de la suppression) ou Unformat (annulation du formatage) peuvent permettre le recouvrement des données. On ne s attend pas que le processus d écrasement protège contre des méthodes «pratiques» de recouvrement basées sur des utilitaires de TI spécialisés ou des techniques de laboratoire. Il faut donc que les supports écrasés soient conservés dans des environnements dont le niveau de sécurité correspond au plus haut niveau de sécurité des données qu ils ont déjà renfermées; de plus, on ne doit pas envisager de déclasser ces supports. 2.2 Nettoyage Le nettoyage est le processus qui consiste à effacer ou à détruire un SIE de manière telle qu on ne puisse raisonnablement espérer* en recouvrer les données c.-à-d., qui offre un risque faible ou inexistant de compromission après le nettoyage. En plus de détruire les données, ce processus prévoit l élimination manuelle de toute indication externe attestant que le support a déjà contenu des données sensibles. Les SIE nettoyés peuvent être déclassés et éliminés comme déchets non classifiés ou à titre d équipement excédentaire que l on peut vendre ou recycler. Écrasement et Nettoyage Juillet

12 *Espoir raisonnable : tout agresseur qui a l occasion, la motivation et la capacité d effectuer une tentative de recouvrement et qui croit que la valeur présumée des données justifie le temps et les coûts associés à une telle opération. 2.3 Méthodes d écrasement et de nettoyage Chiffrement Le chiffrement de la totalité d un support (et non seulement des fichiers et des dossiers) durant tout son cycle de vie avec des logiciels de chiffrement approuvés par le CST pour le type d application concerné et le niveau de sensibilité des données stockées peut être jugé «équivalent à un nettoyage» effectué avant la disposition du support à la fin de sa vie. Dans le cas d un portable, par exemple, le chiffrement procure une certaine assurance de protection des données même advenant le vol ou la perte du support. Pour une disposition courante, toutefois, le chiffrement doit être suivi d un processus de réécriture approuvé afin d éliminer toute possibilité pour un attaquant de recouvrer la clé de déchiffrement du disque dur. L efficacité du chiffrement pour ce qui est d assurer la protection permanente des données repose sur trois facteurs : la force du schéma de protection cryptographique mis en place par le fournisseur, la gestion de la clé de chiffrement par l organisme utilisateur et l évitement des éléments de motivation d attaque. S il en a l occasion et le temps, un adversaire compétent peut recouvrer les données s il est suffisamment motivé à consentir l effort requis. Les méthodes de chiffrement approuvées* sont dissuasives puisqu elles font en sorte que le niveau d effort requis pour recouvrer les données est supérieur à la valeur des données à recouvrer. *Les schémas de chiffrement sous-jacents des produits commerciaux présentent souvent de graves lacunes. Le processus de validation du CST est en mesure de les repérer et d en informer le fournisseur pour qu il les corrige avant l approbation du produit aux fins d utilisation au sein du gouvernement Réécriture La réécriture permet de supprimer ou d effacer l information sur un support en écrivant des bits de données «1» et (ou) «0» dans toutes les zones de stockage du support, remplaçant ainsi tous les bits significatifs d information existants. 6 Juillet 2006 Écrasement et Nettoyage

13 L efficacité de cette méthode est liée au nombre de cycles de réécriture (pour annuler le phénomène des bordures de piste 1, à la compétence et aux connaissances de la personne qui exécute le processus, et aux fonctions de vérification du logiciel de réécriture (le cas échéant) qui aident à s assurer que la réécriture s effectue sur tout l espace de stockage accessible du support. Triple réécriture : Processus qui consiste à effectuer trois passages du logiciel de réécriture. Conformément aux critères de réécriture de la GRC, la première passe doit écrire des uns (1) ou des zéros (0) binaires sur tout le support, la deuxième, des caractères complémentaires (ou opposés) à ceux de la première passe, et la troisième, un schéma pseudo-aléatoire que l opérateur est en mesure de lire pour vérifier les résultats. Norme «Secure Erase» : Depuis 2001 environ, tous les disques durs ATA (IDE) et SATA répondent à la norme «Secure Erase» 2. Toutefois, les disques durs SCSI et à canaux de fibres optiques ne répondent pas à cette norme et peuvent être écrasés uniquement à l aide de produits logiciels tiers. Normes de réécriture de la GRC : Choisissez un produit logiciel qui répond aux critères de réécriture de la GRC 3 et qui a fait l objet d une analyse de laboratoire indépendante, p. ex., un test en regard d un profil pertinent des Critères communs. 1 Phénomène des bordures de piste : Des restes de données peuvent subsister en bordures de piste. Les têtes de lecture-écriture ne passent pas toujours de façon concentrique exactement au-dessus du centre de la configuration binaire originale principalement en raison de variables et des tolérences mécaniques et électriques. Par conséquent, les bordures résiduelles de pistes des configurations originales sont généralement laissées sur le disque même si la majeure partie de la piste a été réécrite. 2 Secure Erase : Norme élaborée par le CMRR (Center for Magnetic Recording Research) de l UCSD (Université de Californie à San Diego) et adoptée ensuite par les fabricants de disques durs pour permettre au personnel de la sécurité de l organisme utilisateur d effacer de manière sûre et simple toutes les parties accessibles du disque dur avant sa disposition. Voir les annexes B et H. 3 Critères de recouvrement de disque de la GRC : Nettoyer un disque dur au moyen de l utilitaire de réécriture de disque DSX de la GRC au réglage triple réécriture ou avec un programme externe qui rencontre les lignes directrices de la GRC concernant la réécriture (ou avec «Secure Erase» si le disque répond à cette norme). De manière générale, le logiciel de réécriture doit effectuer trois passes des zéros (0) binaires sont écrits à la première passe, des uns (1) binaires sont écrits à la deuxième, et un modèle de texte ASCII que l opérateur peut vérifier par la suite à la troisième. Ce modèle peut inclure par exemple le nom du produit logiciel de réécriture, suivi du numéro de version et du timbre horodateur actuel. Écrasement et Nettoyage Juillet

14 Fonctions de vérification : Assurez-vous que le produit inclut des fonctions logicielles qui permettent à l opérateur de déterminer si le logiciel de recouvrement peut accéder (et a effectivement accédé) à toute la zone de stockage connue du disque. Réécriture comme méthode autonome. Pour les supports magnétiques tels les disques durs, les bandes, etc., la triple réécriture est présumée une méthode autonome de destruction des données jusqu au niveau PROTÉGÉ B inclusivement, et peut être également jugée acceptable pour le niveau CONFIDENTIEL. Réécriture de pair avec d autre méthodes de destruction. La triple réécriture ne convient pas comme méthode autonome de destruction des données pour les supports magnétiques qui contiennent de l information PROTÉGÉ C ou classifiée à un niveau supérieur à CONFIDENTIEL. Toutefois, de pair avec d autres procédures de destruction incomplète, telles la désintégration ou le déchiquetage, la triple réécriture peut offrir une garantie supplémentaire de destruction au-delà de tout espoir raisonnable de recouvrement Démagnétisation La démagnétisation consiste à appliquer une force magnétique d une puissance suffisante pour effacer toutes les données d un support magnétique particulier. L efficacité de cette méthode est liée à l intensité relative de la force magnétique offerte par l appareil de démagnétisation et les propriétés de conservation magnétique du support de données. Pour être efficaces, les appareils de démagnétisation 4 doivent être manipulés et entretenus avec soin Déformation physique La déformation physique consiste à utiliser des outils tels une masse, une cloueuse, un étau, etc., pour causer à un support des dommages matériels extrêmes dans le but de retarder, gêner ou détourner toute tentative de recouvrement des données de la part d un attaquant. Dans le cas des disques magnétiques, l efficacité de cette méthode est liée à l importance des dommages causés à 4 Démagnétisation : Lorsque l opérateur utilise un démagnétiseur, il doit connaître sa force de démagnétisation par rapport à la rémanence magnétique réelle (ou «coercivité», mesurée en Oersteds) du support magnétique. Il doit s assurer que le démagnétiseur choisi est approuvé pour la coercivité du support à démagnétiser, à défaut de quoi, la destruction des données du support pourrait être incomplète. 8 Juillet 2006 Écrasement et Nettoyage

15 la surface de chaque plateau (incluant la déformation de la surface plate) dans le but de rendre très difficile toute analyse de laboratoire en plus de l occultation résultant de l impossibilité de discerner les restes de disques sensibles de ceux des autres supports détruits. Voir l annexe B concernant les techniques acceptables de déformation physique Déchiquetage et désintégration Déchiqueteuses. Le déchiquetage est une forme de destruction qui consiste à réduire le support en petites pièces de taille et de format uniformes. Normalement, on utilise les déchiqueteuses uniquement avec les supports minces tels les CD-ROM et les DVD. Les déchiqueteuses sont approuvées en fonction de la taille et du format des lanières ou des particules produites par les cisailles. Désintégrateurs. Le désintégration consiste à utiliser un mécanisme non uniforme de découpage et de déchiquetage (p. ex., des lames rotatives dans une enceinte close) qui réduit le support en pièces de taille et de format aléatoires. Les désintégrateurs conviennent à gamme variée de supports de presque toutes les tailles. Un tamis à la sortie permet de récupérer les pièces surdimensionnées et de les retourner au déchiquetage. La GRC approuve les désintégrateurs en fonction de la taille du tamis selon les différents types de SIE et les niveaux de sensibilité. Exigences relatives à l équipement. Les ministères qui envisagent d utiliser un service de destruction externe doivent communiquer avec la GRC pour obtenir des conseils. Pour être admissibles comme moyens de destruction valables, la désintégration ou le déchiquetage doivent réduire le support en pièces dont la taille correspond à la taille maximale acceptable déterminée par un filtre à particules. Ce dernier doit être choisi de manière à retenir les pièces surdimensionnées qui seront retournées pour un déchiquetage supplémentaire tout en permettant le passage des plus petites pièces aux fins d élimination. Exigences relatives aux procédures. Avant la destruction, le personnel responsable de la sécurité doit retirer toutes les étiquettes et tous les collants et autres indicateurs externes attestant de la classification actuelle ou antérieure du contenu du support. Dans tous les cas, les responsables de la sécurité du ministère doivent être témoins de la destruction. Écrasement et Nettoyage Juillet

16 2.3.6 Séparation matérielle/moléculaire par centrifugeur à haute vitesse Cette technologie de recyclage est nouvelle au Canada. On étudie actuellement son utilisation possible pour la destruction et la disposition des supports Meulage et broyage Le meulage consiste à utiliser une machine pour meuler un SIE en fines pièces. Meuleuses de surface de CD. Meuleuses spécialisées capables de réduire la couche porteuse de données d un disque optique en fine poussière tout en laissant intact le disque lui-même qui sera recyclé ou éliminé. Toutefois, on ne peut utiliser cette méthode pour les DVD puisque leur couche porteuse d information est prise en sandwich au centre. Une solution de remplacement à cette méthode consiste à utiliser une machine spéciale pour perforer des milliers de petits trous dans le disque pour en détruire la couche porteuse. Les broyeurs à marteaux sont des meuleuses polyvalentes durables capables de broyer la majorité des matériaux. Le matériau est introduit dans la machine et est pilonné à plusieurs reprises par une série de marteaux rotatifs en acier trempé qui effectuent le broyage. Le broyeur est entouré d un tamis qui laisse échapper uniquement les particules de petite taille Incinération L incinération consiste à détruire les SIE dans des incinérateurs écologiques approuvés pour les plastiques et autres matériaux Moletage Le moletage consiste à utiliser une machine servant à appliquer aux disques optiques (CD-ROM ou DVD) une pression et une chaleur qui permettent de les étirer et de les courber légèrement. Le but de ce processus est de détruire les microcuvettes et les sillons optiques du disque pour détruire effectivement les données. On étudie actuellement l utilisation possible de ce processus aux fins de destruction et d élimination. 10 Juillet 2006 Écrasement et Nettoyage

17 3. Manuel sur L écrasement, le Nettoyage et la Destruction La présente section donne un aperçu des méthodes d écrasement et de nettoyage ainsi que des normes de destruction pour tous les types connus de support d information électronique. Vous trouverez dans les annexes des explications détaillées des différentes méthodes et des problèmes de sécurité connexes. En outre, les ministères doivent consulter les normes opérationnelles de la PGS et les lignes directrices pertinentes du CST et de la GRC concernant le traitement approprié de l information sensible et des supports durant tout leur cycle de vie. 3.1 Technologies, techniques et équipement de destruction La liste des technologies de destruction acceptées figure ci-dessous. Voir l annexe B pour des explications détaillées. Tableau 1 : Méthodes de destruction Chiffrement Réécriture Démagnétisation Déformation physique Méthode Déchiquetage ou désintégration (avec tamis) Meulage ou broyage Séparation matérielle/moléculaire Meulage de la surface (des CD) Incinération Moletage Technologie approuvée Cryptographie approuvée par le CST pour le niveau de classification de l information contenue sur le support à détruire. Critères de réécriture de la GRC (Annexe B) pour les disques durs et autres supports magnétiques. Démagnétiseurs approuvés par le CST pour la coercitivité du support magnétique à détruire. Méthodes approuvées par le CST uniquement pour les situations d urgence précisées à l annexe B. Équipement ou normes approuvés par la GRC, utilisés conformément aux procédures de l annexe B. Normes et procédures approuvées par la GRC. Aucune installation approuvée actuellement. Normes et procédures approuvées par la GRC Incinérateurs approuvés par Environnement Canada pour les matériaux à détruire Aucune installation approuvée actuellement. Manuel sur L écrasement, le Nettoyage et la Destruction Juillet

18 Nota : Les responsables de la sécurité du ministère doivent observer de près la destruction des supports effectuée hors site, et les étiquettes de sensibilité apposées à l extérieur du support doivent être supprimées avant la destruction et la disposition de ce dernier. 3.2 Écrasement en vue de la réutilisation au sein d un ministère On peut utiliser la réécriture simple (une seule passe du logiciel de réécriture) pour écraser des disques magnétiques aux fins de réutilisation au sein du ministère, dans un environnement de sécurité de niveau équivalent ou supérieur. Dans ce contexte, l écrasement permet d appliquer la contrainte du «besoin de connaître» à un groupe d utilisateurs. Déclassification de données TRÈS SECRET. On peut utiliser la triple réécriture, plus efficace que la réécriture simple, pour écraser des supports d information TRÈS SECRET aux fins de réutilisation au sein du ministère, dans un environnement SECRET. Problèmes de sécurité liés à la réécriture : Si le processus de réécriture réussit, il sera difficile pour un attaquant de recouvrer les données en laboratoire. Toutefois, le processus ne réussit pas toujours complètement en raison d erreurs humaines et (ou) de l incapacité des utilitaires, qui s exécutent sur la couche application, d écraser les secteurs défectueux ou les partitions cachées pouvant contenir des données sensibles. Un attaquant ayant un accès direct au disque dur peut recouvrer les données concernées en utilisant de simples outils logiciels, sans besoin de recourir à un laboratoire. C est pourquoi la réécriture n est pas acceptée comme méthode autonome de destruction pour la disposition de supports magnétiques qui contiennent des données extrêmement sensibles (au niveau PROTÉGÉ C ou SECRET et aux niveaux supérieurs); toutefois, il est acceptable pour «écraser» des supports aux fins de réutilisation dans un environnement de sécurité contrôlé c.- à-d., dans une collectivité d utilisateurs qui n ont pas le «besoin de connaître» mais qui détiennent une cote de sécurité appropriée pour le niveau de sécurité de l information résiduelle qui pourrait subsister dans les partitions cachées du support «écrasé». 12 Juillet 2006 Manuel sur L écrasement, le Nettoyage et la Destruction

19 3.3 Nettoyage aux fins de déclassification et d élimination Il faut nettoyer un support avant de le déclasser aux fins de réutilisation dans un environnement dont le niveau de sécurité est inférieur, ou de diffusion externe, hors du contrôle du gouvernement du Canada. Retirez toutes les étiquettes ou toute indication externe attestant que le support a déjà contenu des données sensibles, et détruisez les données ou le support conformément aux instructions appropriées Considérations particulières Situations d urgence et réécriture Destruction d urgence La destruction d urgence vise à prévenir ou empêcher le recouvrement d information sensible dans les meilleurs délais opérationnels possibles. Les supports doivent être détruits suivant un ordre de priorité fondé sur le volume et le niveau de sensibilité des données stockées. Compte tenu des contraintes de temps et de disponibilité des installations de destruction approuvées, on peut remplacer les techniques normales par toute autre méthode pratique disponible. Les techniques les plus rapidement accessibles sont la déformation physique et l incinération, qui peuvent être combinées pour optimiser l efficacité de la destruction. Avant la destruction, on doit retirer toutes les étiquettes et tous les collants et autres indicateurs externes attestant de la classification du contenu du support. Les SIE doivent être retirés de l équipement hôte dans la mesure du possible. Les outils de déformation de support magnétique ou optique incluent les suivants : cloueuse, perceuse électrique, étau ou masse. Dans le cas des supports de mémoire miniatures ou de mémoire flash, des coups de masse violents et répétés visant à pulvériser les composantes électroniques peuvent ne pas détruire les puces de mémoire; toutefois, ils permettent effectivement de décourager ou de retarder toute tentative de recouvrement. Et, pour retarder davantage toute tentative de reconstruction, on peut mélanger les restes du support avec ceux d un support ayant contenu des données non sensibles. 5 Certains adversaires ont les moyens d effectuer des analyses de laboratoire complexes sur des supports magnétiques non complètement détruits et ils peuvent y recourir lorsqu ils mettent la main sur des supports ou des fragments de données d une source qui les intéresse suffisamment pour justifier le coût et les efforts nécessaires à une telle analyse. Manuel sur L écrasement, le Nettoyage et la Destruction Juillet

20 3.4.2 Réécriture Pour la disposition de disques magnétiques hors de l environnement de sécurité contrôlé, la réécriture doit être précédée d une comparaison de la capacité déclarée (déterminée par le logiciel de réécriture) et de la capacité réelle (calculée par l opérateur humain) du disque. Le but est de vérifier la présence de zones de données non lues ou cachées auxquelles le logiciel de réécriture, qui s exécute sur la couche application, ne peut accéder mais qu un attaquant peut repérer à l aide d outils logiciels, tel un éditeur de disque, qui s exécute sur une couche inférieure. Le processus de réécriture lui-même doit se faire en trois passes, incluant l écriture de uns (1) binaires, de zéros (0) et d un schéma pseudo-aléatoire sur toute la surface accessible de la bande ou du disque magnétique, suivies d une vérification des résultats par l opérateur humain Réécriture Assistants numériques et BlackBerry Les assistants numériques (PDA) ne sont pas conçus pour répondre aux exigences de sécurité du gouvernement. Ils utilisent une variété de mécanismes pour restreindre l accès à la mémoire; toutefois, le but de ces mécanismes, qui n ont pas été testés à cet effet, est rarement de dissuader les attaques en laboratoire. La question concernant la disposition sécuritaire de ce support repose sur l acceptation ou non de ses mesures de protection inhérentes contre l accès non autorisé à la mémoire. Les dispositifs BlackBerry offrent des options de protection des données qui répondent aux exigences de sécurité du gouvernement pour la protection de courriels et de pièces jointes de niveau PROTÉGÉ B, dans les limites fixées dans les différents bulletins et autres documents du CST. PERTE OU VOL D UN BLACKBERRY : Comme il a été confirmé par le CST, les données d utilisateur du BlackBerry sont supprimées par réécriture dès que le nombre maximal de tentatives d introduction du mot de passe est dépassé ou lorsque l administrateur du serveur d entreprise BlackBerry (BES) réussit à envoyer un commande Kill au dispositif. Toutefois, si cette commande n est pas reçue ou exécutée, le module de mémoire du dispositif peut être soumis à une attaque en laboratoire dont l objectif est de lire les données d utilisateur non chiffrées. Pour assurer une protection en cas de perte ou de vol, les ministères doivent donc compléter les mécanismes de protection ci-dessus en prévoyant des politiques sur la manipulation du dispositif et les types d information qu on peut y stocker (niveau maximal PROTÉGÉ A, ou PROTÉGÉ B dans le cas où l option SMIME est installée et utilisée correctement). 14 Juillet 2006 Manuel sur L écrasement, le Nettoyage et la Destruction

21 ASSISTANTS NUMÉRIQUES DÉFECTUEUX : Par mesure administrative, les ministères devraient exiger la suppression des données d utilisateur de tous les assistants numériques avant de disposer de ces appareils ou de les retourner au fournisseur. Malheureusement, cela peut s avérer impossible lorsque le dispositif est défectueux, et quiconque possède les ressources de laboratoire nécessaires pourrait recouvrer les données qui y sont stockées. Les ministères devraient effectuer une évaluation du risque pour chaque cas et tenir compte à la fois de la valeur des données et des répercussions éventuelles de leur divulgation. Si le risque est jugé moyen ou élevé, le ministère devrait s assurer que le support demeure sous son contrôle. Sinon, il devrait le détruire conformément aux méthodes de destruction approuvées, et son coût de remplacement doit être associé à une mesure nécessaire de sécurité. 3.5 Normes de destruction Supports magnétiques S appliquent aux supports suivants : o Lecteurs de disque dur o Disquettes o Bandes magnétiques (cartouches DAT, bandes de sauvegarde, bobines, audiocassettes, VHS, Beta, etc.) o Cartes à piste magnétique Non cl., PA, PB C PC, S TS Normes de déclassification Réécriture des données Disques ou bandes : Triple réécriture. Disques ou bandes : Triple réécriture * Disques ou bandes : Triple réécriture PLUS déchiquetage/désintégration ou meulage, comme pour l information de niveau PA/PB. Disques ou bande : Triple réécriture PLUS déchiquetage/désintégration ou meulage, comme pour l information SECRET. Logiciels de réécriture Lignes directrices de la GRC sur la sélection des logiciels de recouvrement. Manuel sur L écrasement, le Nettoyage et la Destruction Juillet

22 Non cl., PA, PB PC, C, S TS Tous les niveaux Tous les niveaux Tous les niveaux Normes de destruction Déchiquetage, désintégration et meulage Disques : Au moins 3 pièces, chacune d une surface maximale < 580 mm(p. ex., 3x3 po). Bandes magnétiques** : En pièces, chacune d une longueur < 50 mm (2 po). Cartes à piste : En pièces, chacune d une surface < 160 mm 2 (p. ex., 1/2x1/2 po). Disques : Au moins 3 pièces, chacune d une surface maximale < 40 mm 2 (p. ex., 1/4x1/4 po). Bandes magnétiques : En pièces, chacune d une longueur < 6 mm (1/4 po). Cartes à piste : En pièces, chacune d une surface < 10 mm 2 (p.ex., 1/8x1/8 po). Disques : Au moins 3 pièces, chacune d une surface maximale < 10 mm 2 I (p. ex., 1/8x1/8 po). Bandes magnétiques : En pièces, chacune d une longueur < 3 mm (1/8 po). Cartes à piste : En pièces, chacune d une surface < 10 mm 2 (p.ex., 1/8x1/8 po). Destruction totale. Voir l annexe sur la destruction d urgence. Incinération Destruction d urgence Démagnétisation Respecter les directives du fabricant de l appareil de démagnétisation pour les bandes et les disques. Démagnétiser les lecteurs de disque dur deux fois (pour la deuxième passe, tourner le lecteur sur lui-même dans la chambre). Produits de destruction Guide d équipement de sécurité (GES). Nota : On peut utiliser la triple réécriture pour déclasser un support d information TRÈS SECRET (et le soumettre ensuite aux processus de désintégration ou de déchiquetage, comme pour l information SECRET). Incinérateurs Approuvés par Environnement Canada pour les différents plastiques, etc. Outils de destruction Dispositif à fort impact concentré, étau, masse, etc. Appareils de démagnétisation Le démagnétiseur doit être approuvé par le CST pour la coercitivité du support concerné. *La triple réécriture elle-même peut être jugée suffisante pour déclasser les supports d information de niveau CONFIDENTIEL. Toutefois, les supports qui contiennent de l information PROTÉGÉ C ou SECRET doivent être soumis à des processus supplémentaires de déchiquetage et de désintégration ou de meulage, tel qu il est indiqué ci-dessus. 16 Juillet 2006 Manuel sur L écrasement, le Nettoyage et la Destruction

23 **Exception pour les bandes linéaires numériques (DLT) : La norme pour la désintégration de grandes quantités de DLT peut être allégée afin d éviter le désassemblage pour retirer les anneaux métalliques internes avant la désintégration dans des déchiqueteuses semi robustes. Chiffrement : Le chiffrement de la totalité des disques durs, ou le chiffrement des fichiers pour les bandes, à l aide de logiciels de chiffrement approuvés par le CST à cette fin et pour le niveau de sensibilité des données stockées, offrent une protection fiables des données inactives (dispositif hors tension ou utilisateur non connecté) et constituent un élément de dissuasion efficace au recouvrement par des attaquants occasionnels. Selon les EMR du ministère, le chiffrement peut rendre inutile la destruction, avant sa disposition, du support qui contient des données de niveau allant jusqu au niveau PROTÉGÉ B. Dans le cas de données dont le niveau de sensibilité est plus élevé, le chiffrement, bien qu il soit insuffisant pour la disposition, peut être combiné à des techniques plus destructrices p. ex., déchiqueter un support de données de niveau Secrètes comme s il s agissait d un support de données chiffrées TRÈS SECRET. 3.6 Normes de destruction Supports optiques S appliquent aux supports suivants : o CD o DVD Non cl., PA, PB PC, C, S TS Normes de déclassification Chiffrement Chiffrement de disque ou de fichier. Chiffrement de disque ou de fichier, PLUS déchiquetage/désintégration ou meulage, comme pour l information de niveau PA/PB. Chiffrement de disque ou de fichier, PLUS déchiquetage/désintégration ou meulage, comme pour l information SECRET. Logiciels de chiffrement LPSP du CST Type de chiffrement 1 approuvé par le CST. Type de chiffrement 1 approuvé par le CST. Manuel sur L écrasement, le Nettoyage et la Destruction Juillet

24 Normes de destruction Déchiquetage, désintégration et meulage Produits de destruction Non cl., PA, PB PC, C, S TS Tous les niveaux Tous les niveaux CD seulement : Meuler la surface du disque pour enlever la couche de données colorée; ou CD ou DVD : Déchiqueter en petites pièces d une surface < 160 mm 2 (p. ex., 1/2x1/2 po). CD seulement : Meuler la surface du disque pour enlever la couche de données colorée; ou CD ou DVD : Déchiqueter en petites pièces d une surface < 36 mm 2 (p. ex., 1/4x1/4 po). CD seulement : Meuler la surface du disque pour enlever la couche de données colorée; ou CD-ROM ou DVD : Déchiqueter en petites pièces d une surface < 10 mm 2 (p. ex., 1/8x1/8 po). Destruction totale. Incinération Destruction d urgence Voir l annexe sur la destruction d urgence. Guide d équipement de sécurité (GES). Incinérateurs approuvés Approuvés par Environnement Canada pour l incinération de différents plastiques, etc. Outils de déformation physique Dispositif à fort impact concentré, étau, masse, etc Exceptions Réécriture : À l heure actuelle, la réécriture n est pas approuvée pour la déclassification et la disposition de support optique contenant de l information sensible. Démagnétisation : La démagnétisation n a aucun effet sur les disques de stockage optiques et n est donc pas approuvée à cette fin. Moletage : À l heure actuelle, le moletage n est pas approuvé pour la déclassification et la disposition de support optique contenant de l information sensible. Meulage de la surface : Enlève la couche colorée où sont enregistrées les données sur les CD; toutefois, cette méthode ne fonctionne pas pour les DVD dont les couches d information sont prises en sandwich au centre. 18 Juillet 2006 Manuel sur L écrasement, le Nettoyage et la Destruction

25 3.7 Normes de destruction Supports d information électroniques miniatures et ANP S appliquent aux supports suivants : Jetons USB et dispositifs portables contenant des puces de mémoire à semiconducteurs (incluant la mémoire «flash» EEPROM utilisée dans les BlackBerry et autres PDA), et lecteurs de disque miniatures avec plateau de verre. Non cl., PA, PB PC, C, S TS Non cl., PA, PB Normes de déclassification Chiffrement des données Chiffrement de support ou de fichier. Chiffrement de support ou de fichier, PLUS déchiquetage/désintégration ou meulage, comme pour l information PA/PB. Chiffrement de support ou de fichier, PLUS déchiquetage/désintégration ou meulage, comme pour l information SECRET. Normes de déclassification Recouvrement des données Supports flash EEPROM : Réécrire tous les emplacements de stockage d un schéma connu puis le relire dans des emplacements choisis au hasard pour en vérifier la présence. Si le support est muni d une fonction d effacement, exécuter celle-ci comme dernière étape. Logiciels de chiffrement LPSP du CST Type de chiffrement 1 approuvé par le CST. Type de chiffrement 1 approuvé par le CST. Logiciels de réécriture Guide d équipement de sécurité (GES). Nota : Si une défectuosité empêche la réécriture, détruire le Manuel sur L écrasement, le Nettoyage et la Destruction Juillet

26 PC, C, S, TS Non cl., PA, PB PC, C, S, TS Supports flash EEPROM qui incluent une fonction d effacement approuvée par le CST : Exécuter et vérifier les fonctions de réécriture et d effacement conformément aux directives du CST pour le support concerné. Supports flash EEPROM sans fonction d effacement approuvée : Réécrire 10 fois tous les emplacements de stockage d un schéma connu et de son complément binaire, puis vérifier sa présence dans des emplacements choisis au hasard. Exécuter la fonction d effacement (le cas échéant) comme dernière étape. Normes de destruction Déchiquetage, désintégration et meulage Lecteurs miniatures ou supports flash EEPROM : Réduire le support en pièces d une surface maximale < 160 mm 2 (p. ex., 1/2x1/2 po). Lecteurs miniatures ou supports flash EEPROM : Meuler ou pulvériser la puce de mémoire ou le support au complet en petites pièces d une taille < 2 mm en utilisant un tamis de 3/32 po. support en utilisant une autre méthode approuvée. Dans le cas d une fonction d effacement non approuvée, le stade de vérification est essentiel c.-à-d., s il est impossible de vérifier que la réécriture a réussi, détruire le support en utilisant une autre méthode approuvée. Produits de destruction Guide d équipement de sécurité (GES). Tous les niveau x Tous les niveau x Incinération Destruction totale. Destruction d urgence Voir l annexe sur la destruction d urgence. Installations d incinération Approuvées par Environnement Canada pour les plastiques, etc.. Outils de déformation Dispositif à fort impact concentré, étau, masse, etc. 20 Juillet 2006 Manuel sur L écrasement, le Nettoyage et la Destruction

27 Exceptions : Démagnétisation : La démagnétisation est inefficace pour les supports électroniques miniatures et autres supports qui utilisent des puces de mémoire flash (EEPROM) à semiconducteurs et elle n est donc pas approuvée à cette fin. Mémoire volatile (RAM, DRAM, SRAM) : La mémoire volatile perd son contenu lorsqu elle n est plus sous tension, mais des traces de données peuvent subsister pendant une courte période en raison d une température froide ou de la capacité électrique (plus particulièrement dans le cas des mémoires SRAM). Ce type de mémoire ne doit être présumée effacée avant une période de 24 heures suivant sa mise hors tension. Commande «Clear» : Les PDA utilisent de la mémoire non volatile (flash EEPROM) pour conserver les données lorsque l alimentation est coupée. Certains modèles incluent une «commande Clear» pour réécrire et (ou) effacer ce type de mémoire; toutefois, dans la plupart des cas, ce processus n a fait l objet d aucune vérification indépendante et n est donc pas approuvé aux fins de déclassification et de disposition des PDA qui contiennent de l information extrêmement sensible. SEULES exceptions : les produits pour lesquels le CST a spécifiquement approuvé un processus d effacement complémentaire ou intégré. Manuel sur L écrasement, le Nettoyage et la Destruction Juillet

28 Page intentionnellement laissée en blanc. 22 Juillet 2006 Manuel sur L écrasement, le Nettoyage et la Destruction

29 Annexe A : ACRONYMES ET ABRÉVIATIONS ANSI ATA American National Normes Institute Advanced Technology Architecture ou AT Attached BIOS Basic Input/Output System (système d'entrée-sortie de base) Carte PC CD CD-R CD-RW CF CHKDSK CMRR CMRR CRC CST Nom de remplacement de la carte PCMCIA Disque compact Disque compact inscriptible Disque compact réinscriptible Carte flash compacte Check Disk (commande DOS) Center for Magnetic Recording Research (voir UCSD) Code Mode Rejection Ratio (taux de rejet en mode commun) Contrôle de redondance cyclique Centre de la sécurité des télécommunications DOS DVD DVD+R DVD+RW DVD-R DVD-RW Disk Operating System (système d'exploitation sur disque) Vidéodisque numérique Vidéodisque numérique inscriptible (DVD+R Alliance) Vidéodisque numérique réinscriptible (DVD+R Alliance) Vidéodisque numérique inscriptible (DVD-R Alliance) Vidéodisque numérique inscriptible (DVD-R Alliance) EMR Évaluation des menaces et des risques FAT File Allocation Table (table d'allocation des fichiers) FAT16 FAT - version à 16 bits FAT32 FAT - version à 32 bits FDISK Format Disk (commande DOS) Annex A : Acronymes et Abréviations Juillet

30 GC Go Gouvernement du Canada Gigaoctets HDD Lecteur de disque dur IDE l/e ou L/E Integrated Drive Electronics (interface) Lecture/écriture LPSP Liste des produits STI présélectionnés (Programme avec l industrie du CST pour l évaluation des produits) MMC Carte multimédias NSA NTFS National Security Agency (gouvernement des É.-U.) New Technology (NT) File System (système de fichiers NT) PC PCMCIA PDA PGS Ordinateur personnel Personal Computer Memory Card International Association Assistant numérique personnel Politique du gouvernement sur la sécurité RAID RAM RIM RS-MMC Redundant Array of Independent Disks (réseau redondant de disques indépendants) Mémoire vive Research In Motion Corporation (fabricant du BlackBerry) Reduced Size MMC (carte multimédias de taille réduite) SATA SCSI SCT SD SIE Serial Advanced Technology Architecture Small Computer System Interface Secrétariat du Conseil du Trésor du Canada Secure Digital (carte) Support d information électronique 24 Juillet 2006 Annexe A : Acronymes et Abréviations

31 STI Sécurité des technologies de l information UCSD USB USO Université de Californie à San Diego (voir CMRR) Universal Serial Bus (bus série universel) Universal Secure Overwrite (norme «Secure Erase» de UCSD et CMRR) Annex A : Acronymes et Abréviations Juillet

32 Page intentionnellement laissée en blanc. 26 Juillet 2006 Annexe A : Acronymes et Abréviations

33 Annexe B : PROCÉDURES DE DESTRUCTION La présente annexe aborde en détail les différentes techniques d écrasement, de nettoyage et de destruction disponibles pour les divers types de support d information électronique. Elle inclut les sections suivantes : B.1 Écrasement B.2 Nettoyage B.3 Chiffrement B.4 Réécriture B.5 Démagnétisation B.6 Destruction d urgence par déformation physique B.7 Déchiquetage et désintégration B.8 Meulage et broyage B.9 Séparation moléculaire du matériel B.10 Meulage de la surface des disques optiques B.11 Moletage B.12 Incinération B.1 Écrasement On peut écraser, aux fins de réutilisation dans le même environnement de sécurité (de niveau équivalent ou supérieur), les supports réutilisables tels les disques magnétiques, les disques optiques réinscriptibles et les supports à mémoire, par réécriture de tous les emplacements accessibles en effectuant une seule passe d écriture de valeurs binaires 1 et (ou) 0, suivie d une vérification attestant de la réussite du processus. Les utilitaires de réécriture qui s exécutent au niveau de l application ne peuvent écraser les données contenues dans des secteurs défectueux ou des partitions cachées. De plus, des données dont la réécriture a été réussie peuvent encore être recouvrées en laboratoire. Donc, les disques magnétiques écrasés par réécriture doivent être conservés dans un environnement de sécurité ministériel correspondant au niveau de sécurité de l information stockée antérieurement sur le disque. Écrasez les données des unités de mémoire à tores et des mémoire à bulles de tous les niveaux de sensibilité en réécrivant dans tous les emplacements deux schémas pseudo-aléatoires et un Annexe B : Procédures de Destruction Juillet

34 troisième schéma connu, suivis d une vérification. Les unités de mémoire à tores peuvent être démagnétisées à l aide d un démagnétiseur approuvé. Certaines clés USB, cartes flash, etc., peuvent contenir une mémoire non volatile inaccessible qu on ne peut écraser. Dans ce cas, il faut recourir à une technique de destruction plus radicale (voir ci-dessous). B.2 Nettoyage Le processus de nettoyage convient aux supports effaçables ou réutilisables tels les disques magnétiques, les bandes, les clés USB, les cartes flash, les CD-RW, etc. Avant d être déclassés et (ou) livrés hors du contrôle du ministère, ces supports réutilisables doivent être nettoyés de façon appropriée et leurs données, détruites. Nettoyez les supports non effaçables, tels les CD-ROM et les DVD, de manière semblable, mais ne sélectionnez qu une seule méthode de destruction physique. Retirez toutes les étiquettes ou toute indication externe attestant que le SIE a déjà contenu des données sensibles, et détruisez ce dernier (ou les données qu il contient) conformément aux instructions ci-dessous. N oubliez pas que la plupart des adversaires n ont pas les moyens d effectuer d analyse de laboratoire complexe sur les disques magnétiques non complètement détruits. Toutefois, certains peuvent avoir cette capacité et tenter l expérience s ils mettent la main sur des disques magnétiques ou des fragments d une source connue présentant suffisamment d intérêt pour justifier le temps et le coût d une telle analyse. On peut normalement nettoyer les unités de mémoire à tores et les mémoire à bulles qui contiennent des données de tous les niveaux de sensibilité en utilisant l une des méthodes cidessous (et en enlevant toutes les marques ou autres indicateurs externes de sensibilité) : Réécrire deux fois tous les emplacements de mémoire à tores ou à bulles à l aide d un schéma pseudo-aléatoire, suivi d un schéma connu, puis effectuer des vérifications ponctuelles pour confirmer que seul le schéma connu peut être lu. Démagnétiser les supports de mémoire à tores ou à bulles à l aide d un démagnétiseur approuvé. Dans le cas de la mémoire à bulles, il faut enlever tout le matériel de protection avant la démagnétisation. Pulvériser, faire fondre ou désintégrer les mémoire à tores. Détruire la mémoire à bulles en élevant les tensions de polarisation des supports munis de contrôles de polarisation (consultez le fabricant pour obtenir de l aide technique). 28 Juillet 2006 Annexe B : Procédures de Destruction