ISMS (Information Security Management System) Recommandations en matière d'effacement de Version control please always check if you are using the latest version. Doc. Ref. :isms.044.secure_erase.fr.v.1.00.docx Release Status Date Written by Edited by Approved by FR_1.00 21/12/2011 Pol Petit Groupe de travail Sécurité de l information du Comité général de coordination de la BCSS Remarque :Ce document intègre les remarques formulés par un groupe de travail auquel ont participé les personnes suivantes : messieurs Bochart (BCSS), Costrop (Smals), Lévêque (ONVA), Noël (BCSS), Petit (FMP), Perot (ONSS), Quewet (SPF Santé publique), Symons (ONEm), Van Cutsem (ONSS-APL), Van der Goten (INAMI).
TABLE DES MATIERES Recommandations en matière d'effacement de 1. INTRODUCTION... 3 2. PORTEE... 3 3. RECOMMANDATIONS... 3 4. METHODES DE CHIFFREMENT, D'ECRASEMENT ET DE NETTOYAGE... 4 4.1. CHIFFREMENT... 4 4.2. REECRITURE... 4 4.3. DEMAGNETISATION... 5 4.4. DEFORMATION PHYSIQUE... 5 4.5. DECHIQUETAGE, DESINTEGRATION ET PROCESSUS ASSIMILES... 5 4.5.1. Déchiquetage.... 5 4.5.2. Désintégration.... 6 4.5.3. Meulage.... 6 4.6. INCINERATION... 6 4.7. DESTRUCTION CHIMIQUE... 6 5. PRODUITS D EFFACEMENT RECONNUS... 6 6. CONCLUSIONS... 7 7. SOURCES... 7 P 2
1. Introduction La problématique de la réutilisation des supports ayant contenu des informations sensibles est un sujet extrêmement complexe. Hormis la destruction physique, aucune solution technique ne garantit l effacement total des données sur un support magnétique ou autre; les procédés d «effacement» consistent à écrire sur le support magnétique une ou plusieurs séries de caractères, déterminées ou aléatoires, en vue de rendre extrêmement difficile la récupération des données initiales : le terme de «surcharge» est donc plus approprié et traduit mieux le fait que l information est toujours potentiellement présente sur le support du fait des limites du positionnement du dispositif mécanique d écriture ou de l algorithme sous-jacent. Il est en pratique peu réaliste de garantir qu il ne reste aucune trace exploitable par des laboratoires équipés de moyens importants ou dotés d une connaissance fine du mode de fonctionnement des supports. Dans le domaine du magnétisme pur, outre les risques de rémanence d information résiduelle, les disques modernes, de plus en plus variés et complexes, présentent en effet un nombre croissant de fonctionnalités (rattrapage de secteurs défectueux, masquage de partitions, etc.) qui contribuent à rendre des portions entières du disque inaccessibles via des commandes standards. Un attaquant ayant la connaissance des éventuelles commandes constructeur spécifiques ou équipé du matériel adéquat pourrait retrouver les données qui y sont stockées. Bien que les technologies employées soient différentes, l utilisation d un produit de surcharge logique à des fins d «effacement» d un support de stockage non magnétique (clés USB, cartes à mémoire, mémoires FLASH) présente strictement les mêmes limites. Les institutions devraient exiger la suppression des données d'utilisateur de tous les supports numériques avant de disposer de ces appareil notamment pour procéder à leur démantèlement, réaffectation (interne ou externe) ou réparation. Malheureusement, cela peut s'avérer impossible lorsque le dispositif est défectueux, et quiconque possède les ressources de laboratoire nécessaires pourrait recouvrer les données qui y sont stockées. Une évaluation du risque devrait être réalisée pour chaque cas et tenir compte à la fois de la valeur des données et des répercussions éventuelles de leur divulgation. Si le risque est jugé moyen ou élevé, l institution devrait s'assurer que le support demeure sous son contrôle. Sinon, elle devrait le détruire conformément aux méthodes de destruction approuvées. 2. Portée La présente recommandation a pour objet de préciser une position commune aux institutions de sécurité sociale en matière d effacement, de déclassification, réutilisation ou mise à disposition de supports de stockage magnétiques (disques durs ou bandes magnétiques) et non-magnétiques (clés USB, CD, DVD ou cartes SD par exemple) ayant pu contenir des informations sensibles. 3. Recommandations Afin de prendre en compte la menace liée au recyclage des supports de stockage de données sensibles, il convient d appliquer les recommandations suivantes : 1. Pendant la durée de vie du support, et plus particulièrement lorsqu il s agit de supports mobiles, procéder à un chiffrement local des données sensibles, à l aide d un produit reconnu et gérant correctement ses clefs de chiffrement. Il s agit que les clefs sous forme lisible ne soient jamais présentes sur le support lui-même. Ce chiffrement doit porter sur des volumes logiques entiers plutôt que sur des fichiers ou répertoires individuels, et si possible sur l intégralité du support. Ce chiffrement intervient en complément des mesures de sécurité organisationnelles applicables, qui s attacheront en particulier à réduire la probabilité d un vol. 2. Après utilisation, recycler le support en privilégiant une réaffectation dans un contexte de niveau de sensibilité au minimum comparable. 3. En cas de cession du support, et si possible dans tous les scénarios de réaffectation, procéder à une surcharge complète par un produit reconnu. P 3
4. De façon complémentaire au point précédent ou au moins en cas de recyclage dans un contexte de sensibilité comparable, procéder à une passe de surcharge du support, en réécrivant l'entièreté de celui-ci avec le bit "0". L efficacité de la surcharge pourra ensuite éventuellement être vérifiée par une relecture logique, secteur par secteur, du disque. Lorsque l'institution utilise du matériel ne lui appartenant pas, (par exemple dans le cadre de leasing ou de disaster recovery), il est nécessaire que les mesures d'effacement soient prévues de manière contractuelle. De même, cette disposition doit également être mise en œuvre lorsqu'on ne maitrise pas la technologie permettant un accès à tous les niveaux du support. 4. Méthodes de chiffrement, d'écrasement et de nettoyage 4.1. Chiffrement Le chiffrement préalable des données réduit notablement le risque de compromission de données sensibles même si les informations présentes sur le support ne sont pas toutes supprimées. Il constitue par ailleurs le principal moyen technique pour réduire l impact d un vol ou d une perte du support. La surcharge en fin de vie est toujours recommandée lors de l utilisation de chiffrement car celui-ci ne peut garantir une protection des données que pour une période limitée liée aux technologies employées. Ces solutions ont pour la plupart des limites intrinsèques telles que : risque de faiblesse du mot de passe utilisateur protégeant la clé, existence de données sensibles non chiffrées dans les fichiers temporaires des outils ou du système d exploitation, présence des clefs en mémoire, etc. L'efficacité du chiffrement pour ce qui est d'assurer la protection permanente des données repose sur trois facteurs : la force du schéma de protection cryptographique mis en place, la qualité de la gestion de la clé de chiffrement par l'utilisateur et l'évitement des éléments de motivation d'attaque. S'il en a l'occasion et le temps, un adversaire compétent peut recouvrer les données s'il est suffisamment motivé à consentir l'effort requis. Les méthodes de chiffrement doivent être suffisamment dissuasives et faire en sorte que le niveau d'effort requis pour recouvrer les données soit supérieur à la valeur des données à recouvrer. 4.2. Réécriture La réécriture permet de supprimer ou d'effacer l'information sur un support en écrivant des bits de données "1" et (ou) "0" dans toutes les zones de stockage du support, remplaçant ainsi tous les bits significatifs d'information existants. L'efficacité de cette méthode est liée au nombre de cycles de réécriture (pour limiter le phénomène de rémanence en bordures de piste), à la compétence et aux connaissances de la personne qui exécute le processus, et aux fonctions de vérification du logiciel de réécriture (le cas échéant) qui aident à s'assurer que la réécriture s'effectue sur tout l'espace de stockage accessible du support. Norme "Secure Erase" : Depuis 2001 environ, tous les disques durs ATA (IDE) et SATA répondent à la norme "Secure Erase". Dans ce type de disque, le pilote du disque dispose d'une commande "Secure Erase" qui, lorsqu'elle est activée, provoque un effacement (par surcharge) de l'ensemble des blocs du disque. L'intérêt majeur de cette solution est qu'elle est a priori plus fiable qu'une solution logicielle de plus haut niveau : plus l'ordre d'effacement est donné à un niveau proche de la couche matérielle, plus il y a de chances que cet ordre soit exécuté sans erreur. Du point de vue de certains, cependant, cette solution "Secure Erase" ne parait pas sûre si l'on envisage le cas où il existerait des commandes non documentées permettant d'accéder aux données prétendument effacées. Cette éventualité devant être envisagée, lorsque l'on a auparavant envisagé la possibilité d'une reconstitution de données écrasées par cette technique (MFM). On notera cependant que le NIST ("National Institute of Standards and Technology") américain recommande dans plusieurs cas cette méthode d'effacement Toutefois, les disques durs «SCSI» et «Fiber Channel» ne répondent pas à cette norme et peuvent être écrasés uniquement à l'aide de produits logiciels tiers. Préférence sera donnée aux logiciels ayant fait l'objet d'une analyse de laboratoire indépendante et permettant à l'opérateur de déterminer s il peut, et a effectivement, accéder à toute la zone de stockage connue du disque. P 4
Gutmann, en 1996, recommande d'effectuer 35 passes successives d'écriture pour écarter tout risque de récupération de données. Ces 35 passes ont pour objet de prendre en compte toutes les techniques d'encodage des disques durs qui ont existées durant les 3 dernières décennies (en date de rédaction de l'étude de Gutmann), et Gutmann reconnaît dans une épilogue ajoutée postérieurement à son étude que pour les technologies contemporaines (utilisant la reconnaissance du signal magnétique par la technique "PRML" "Partial Response Maximum Likelihood"), quelques passes d'écriture de données aléatoires sont probablement suffisantes Une triple réécriture est présumée acceptable en tant que méthode de destruction de données jusqu'au niveau CONFIDENTIEL. La triple réécriture seule ne convient pas comme méthode de destruction des données pour les supports magnétiques qui contiennent de l'information classifiée à un niveau supérieur à CONFIDENTIEL. Toutefois, conjuguée à d'autres procédures de destructions incomplètes, telles la désintégration ou le déchiquetage, la triple réécriture offre une garantie supplémentaire de destruction au-delà de tout espoir raisonnable de recouvrement. Les assistants numériques (PDA) ne sont généralement pas conçus pour répondre aux exigences de sécurité extrêmes. Ils utilisent une variété de mécanismes restreignant l'accès à la mémoire; toutefois, le but de ces mécanismes est rarement de dissuader les attaques en laboratoire. La question concernant la disposition sécuritaire de ce support repose donc sur l'acceptation ou non de ces mesures de protection contre l'accès non autorisé à la mémoire. Quant aux supports de stockage non magnétique tels que clés USB, cartes à mémoire, mémoires FLASH, des algorithmes spécifiques d écriture sont mis en place pour, notamment, gérer certains phénomènes de dégradation. Ceci induit la création de «copies» multiples qui augmentent les possibilités de récupération après effacement. Pour ce type de support, le chiffrement des données sensibles est essentiel, de même que la destruction physique sera seule à assurer l ultime protection. 4.3. Démagnétisation La démagnétisation consiste à appliquer un champ magnétique d'une intensité suffisante pour effacer toutes les données d'un support magnétique particulier. L'efficacité de cette méthode est liée à l'intensité relative de la force magnétique offerte par l'appareil de démagnétisation et les propriétés de conservation magnétique du support de données. 4.4. Déformation physique La déformation physique consiste à utiliser des outils tels une masse, une perceuse, un étau, etc., pour causer à un support des dommages mécaniques importants dans le but de retarder, gêner ou détourner toute tentative de recouvrement des données de la part d'un attaquant. Dans le cas des disques magnétiques, l'efficacité de cette méthode est liée à l'importance des dommages causés à la surface de chaque plateau (incluant la déformation de la surface plate) dans le but de rendre très difficile toute analyse de laboratoire. Pour les disques optiques, il est possible d' utiliser une machine servant à appliquer une pression et une chaleur permettant de les étirer et de les courber légèrement (laminage, moletage). Le but étant de détruire les microcuvettes et les pistes optiques du disque pour détruire effectivement les données. 4.5. Déchiquetage, désintégration et processus assimilés 4.5.1. Déchiquetage. Le déchiquetage est une forme de destruction consistant à réduire le support en petites pièces de taille et de format uniformes. On utilise généralement les déchiqueteuses pour les supports minces tels les CD-ROM et les DVD. P 5
4.5.2. Désintégration. Le désintégration consiste à utiliser un mécanisme non uniforme de découpage et de déchiquetage (p. ex., des lames rotatives dans une enceinte close, certaines centrifugeuses, broyeurs à marteaux, etc ) qui réduit le support en pièces de taille et de format aléatoires. 4.5.3. Meulage. Dispositifs capables de réduire la couche porteuse de données d'un disque optique en fine poussière tout en laissant intact le disque lui-même qui sera recyclé ou éliminé. Toutefois, on ne peut utiliser cette méthode pour les DVD puisque leur couche porteuse d'information est prise en sandwich au centre. 4.6. Incinération L'incinération consiste à détruire les supports dans des incinérateurs adéquats. 4.7. Destruction chimique Certains agents chimiques sont à même d attaquer les supports d informations et de les détruire. 5. Produits d effacement reconnus Afin d implémenter un produit d effacement répondant aux critères du projet et de l institution, il est recommandé de consulter les différents sites web des sociétés et organismes réalisant la certification de tels produits. Par exemple, afin d'obtenir une première idée de produits recommandés et reconnus, l ANSSI, l agence nationale française de la sécurité des systèmes d Information présente sur son site un liste de produits ayant soit fait l objet d un contrôle indépendant et en particulier les produits pour lesquels l agence a délivré une qualification au niveau standard ou élémentaire (produits qualifiés) ou, à défaut, une certification de sécurité de premier niveau (produits certifiés - CSPN). P 6
6. Conclusions La problématique de la réutilisation des supports ayant contenu des informations sensibles est un sujet extrêmement complexe. Dès lors : - Une analyse de risque reste essentielle dans la recherche de l attitude adéquate face au problème étudié. - Le chiffrement constitue la base essentielle dans la complexification du décodage potentiel après effacement et également le seul barrage préventif en cas de vol ou de perte du support. - Les institutions pour lesquelles le risque que des données effacées soient ensuite retrouvées est inacceptable, détruiront physiquement le support, même si ce risque est hypothétique. - Dans les autres cas, on pourra utiliser un outil logiciel de surcharge. Pour l heure et à titre d information pratique, le logiciel "open source" de référence dans ce domaine est le logiciel DBAN (http://dban.sourceforge.net/). Il se présente sous forme d'un support "bootable", et propose plusieurs options d'effacement par surcharge, dont : o une passe de surcharge avec des zéros (mode "Quick Erase") o o une passe de surcharge avec des données aléatoires (mode "PRNG Wipe") un effacement conforme au standard américain "DoD 5220-22.M" (trois passes : la première avec un caractère fixe, une seconde avec son complément binaire, puis une troisième avec des données aléatoires) o ou les 35 passes recommandées par Gutmann - A chaque fin d'utilisation de support d'information, il y a lieu de s'assurer que les mesures de sécurité adéquates seront appliquées, le cas échéant contractuellement. 7. Sources - L Agence nationale de la sécurité des systèmes d information (ANSSI France). - Le Centre de la sécurité des télécommunications canadien; - Gendarmerie royale du Canada. - Les sociétés "BLANCCO" et EMC2. - Pierre ETIENNE, école polytechnique de Lausanne (epfl). - Le CERT français. P 7