Chiffrement de disques durs DELL Data Protection VS Truecrypt Mise en place d un disque chiffrant Dell Data Protection Face à la recrudescence des vols d ordinateurs portables et pour protéger les données scientifiques de regards indiscrets dans un monde économique de plus en plus concurrentiel, le CNRS a adopté une politique de chiffrement des données sur les disques durs de postes ayants la possibilité de voyager et donc de s égarer. Nous avons choisis de tester les deux possibilités recommandées et offertes. Le chiffrement peut se faire «hardware» en achetant des disques durs chiffrant avec logiciels de chiffrages fournis ou logiciellement par des softwares comme TrueCrypt pour les disques déjà installés et en utilisation. Nous verrons, dans cette première partie, la mise en place sur un portable Dell équipé, d origine, d un disque dur chiffrant et du logiciel Dell Data Protection sur un système Microsoft Windows 7. 1 Nous verrons dans un deuxième temps la même opération sur un disque dur non-chiffrant avec un logiciel de chiffrage préconisé CNRS, à savoir TrueCrypt, sur le même système Microsoft Windows 7. Figure 1 Une fois ouvert, le soft Dell Data Protection offre deux possibilités de configuration standard (Figure 1) : Un assistant de configuration et la configuration manuelle. Pourquoi faire simple. On oublie l assistant. On voit bien, ici, que le Dell Data Protection offre deux services principaux autonomes et indépendants: le service «Accès» et le service «Self-Encrypting». Le service «Accès» permet de se connecter soit au démarrage du pc, soit au démarrage de Windows (Figure 2) et soit par «Mot de Passe», «SmartCard» soit par «Détecteurs d empreintes» (Figure 3). Cette solution n offre en rien une méthode de chiffrement. Le service «Self-Encrypting» est le seul qui nous intéresse ici et offre, par la même occasion, la possibilité d un accès unique au démarrage du disque dur avec les mots de passe Windows.
Figure 2 2 Figure 3 Figure 4 Procédure de Service «Self-Encrypting» (Figure 4) Après avoir fait suivant et le mot de passe Administrateur créé, nous avons la possibilité de faire une sauvegarde du compte Administrateur avec son mot de passe (Figure 5). Ce compte pourra être restauré par l onglet des paramètres avancés. Ce compte premier ainsi créé est le seul à avoir les droits globaux sur ce logiciel de chiffrement. Il permet d entrer sur le disque dur au démarrage mais aussi de modifier les paramètres et ajouter ou supprimer d autres comptes d accès pour le démarrage du disque.
Figure 5 3 Le service «Self-Encrypting» offre la possibilité du SSO «Single Sign-On» : une seule demande de login vous sera alors demandée au démarrage du pc / Disque dur. Même dans un domaine LDAP ou Active-Directory. Dans le second cas, il faudra se reconnecter au démarrage de Windows (Figure 6). Figure 6 Au démarrage, l ordinateur demandera un mot de passe sur le login «local» Administrateur. Puis, il le redemandera à l ouverture de Windows. Ceci à chaque création de compte utilisateur du processus de chiffrement / déchiffrement. Par la suite, un seul login vous sera demandé au démarrage du PC. Nous avons la possibilité de créer d autres comptes d accès au disque dur. Soit en les créant manuellement : Figure 7 Il faut, dans un premier temps, s authentifier en tant qu Administrateur.
Figure 8 Puis ajouter un compte manuellement 4 Soit en utilisant les comptes utilisateurs déjà déclarés de Windows : Figure 9 Ajouter un utilisateur via Gestion de compte Windows ou sélectionner l utilisateur sur le domaine ou sur le poste local par l Emplacement. Figure 10
Figure 11 Créer un mot de passe. On peut exiger que l utilisateur réinitialise ce mot de passe à la première connexion dans le cas de chiffrement en série d un parc informatique. 5 Figure 12 Voilà (Paramètres Avancés) Nous pouvons visualiser les paramètres Avancés (Figure 13) : Figure 13 Penser à activer la synchronisation des mots de passe Windows.
Synchronisation du mot de passe Windows La fonctionnalité Synchronisation du mot de passe Windows définit automatiquement les mots de passe des utilisateurs du lecteur d'auto-cryptage de façon à ce qu'ils soient identiques à leur mot de passe Windows. Elle s'applique uniquement aux utilisateurs du lecteur, pas à l'administrateur du lecteur. Elle peut être utilisée dans les environnements d'entreprise dans lesquels les mots de passe doivent être modifiés à intervalles réguliers (par exemple, tous les 90 jours). Lorsque cette option est activée, les mots de passe des utilisateurs du lecteur d'auto-cryptage sont automatiquement mis à jour lorsque les mots de passe Windows sont modifiés. Les mots de passe des utilisateurs du lecteur d'auto-cryptage ne peuvent pas être modifiés lorsque la synchronisation du mot de passe Windows est activée. Leur mot de passe Windows doit être modifié pour que leur mot de passe de lecteur soit mis à jour. Mémoriser le nom du dernier utilisateur Lorsque cette option est activée, le nom du dernier utilisateur entré est affiché par défaut dans le champ Nom d'utilisateur de la fenêtre d'authentification pré-windows. 6 Sélection du nom d'utilisateur Lorsque cette option est activée, les utilisateurs peuvent consulter leurs noms d'utilisateur du lecteur dans le champ Nom d'utilisateur de la fenêtre d'authentification pré-windows.
Chiffrement d un disque dur partitionné Windows 7 avec TrueCrypt Il faut donc au préalable télécharger et installer TrueCrypt dans sa dernière version avec, pour ceux que ça intéresse, le «Language Packs for the Latest Stable Version». Une fois l exécutable installé, décompresser le language packs dans le répertoire d origine (Figure 16). http://www.truecrypt.org/downloads 7 Figure 14 L option «Create System Restore Point obligera l installateur à créer un cd de restauration. Figure 15 L option «Extract «permet de décompresser l exécutable dans un répertoire sans l installer. Si le choix est juste de chiffrement d une clé USB» ou un répertoire (Figure 15). Figure 16
Une fois l installation terminée, la configuration peut enfin commencer. 8 Figure 17 Choisir la langue en fonction du «language pack» installé (Figure 17). Figure 18 Les différentes possibilités par l onglet système (Figure 18). Figure 19 Après avoir choisis «Normal» sur la vignette précédente, nous avons la possibilité de chiffrer la ou les partitions ou le disque entier. Mais (Figure 19)
Figure 20 Le Système ne peut chiffrer le disque entier. Il possède une partition «Recovery» sur laquelle repose la restauration du système. Elle ne pourrait être utilisée au démarrage car chiffrée elle aussi. Il est donc obligatoire de s en tenir à l option «Chiffrer la partition système» ou les partitions. (Figure 20). 9 Figure 21 Figure 22 Il est ici possible de choisir entre différents algorithmes de chiffrement (Figure 22). AES reste conseillé. Les doubles protocoles de chiffrement risquent d être victimes de leur lenteur à chaque lecture ou déchiffrage de disque.
Figure 23 10 Figure 24 La création du mot de passe est importante. Ce mot de passe sera demandé au démarrage du pc sous le «BIOS». Le clavier «BIOS» étant américain Qwerty, prévoir de créer un mot de passe en tenant compte de ces paramètres. De fait, TrueCrypt propose dès cette étape le clavier américain (Figure 23 & 24) et les touche allant avec AltGr ne peuvent être affichées correctement. Il est recommandé dans TrueCrypt d utiliser des mots de passe à 20 caractères Figure 25 Nous avons ici la phase de choix des clés à utiliser (Figure 25).
Figure 26 Le logiciel affiche les clés générées (Figure 26). 11 Figure 27 Nous voici à l épreuve obligatoire de création d un disque de secours, CD ou autre comme énoncé plus haut avec «Create System Restore Point (Figure 27). Le fichier est de quelques Mo. Le disque sera ensuite comparé et vérifié avec la clé. Figure 28 Ici aussi (Figure 28) le mode «aucun» permet d accélérer les processus ou du moins de ne pas les ralentir. Cette option demande combien de fois la donnée doit être écrite ou réécrite pour prévenir d une éventuelle reconstruction du disque future. Elle prévoit, globalement la possibilité d écrire 2, 3 ou 5 fois les données pour être bien sûr d avoir écrasé correctement les précédentes.
Figure 29 Après avoir effectué un pré-test avec redémarrage, le chiffrement du disque commence. 12 Sur le système de disque chiffrant «usine» tel que fournit DELL avec son logiciel DELL Data Protection, nous avons la possibilité de créer plusieurs comptes de démarrage «Bios». Ces comptes peuvent être directement issues et rapatriés des comptes Windows locaux ou de domaine, permettant ainsi de ne pas se reconnecter sur l OS au démarrage de celui-ci. Cependant, cela nécessite que le compte soit au préalable déclaré dans Windows. Ce qui n est pas toujours le cas pour un portable de prêt ou un portable commun d un service. Il y a aussi l option de créer un compte de démarrage «Bios» commun avec mot de passe connu des utilisateurs et se reconnecter ensuite sur l OS avec son compte personnel. Ce qui est la seule façon de faire avec TrueCrypt. L utilisateur devra se connecter avec un mot de passe «Bios» et se reconnecter sur l OS ou le domaine avec son compte personnel. Avantage de simplification pour un portable de prêt mais double connexion pour son ordinateur personnel. Les performances des deux systèmes n ont pas étés comparés, des Benchmarks doivent sûrement exister en ligne pour évaluer les différences de rapidité des deux possibilités offertes. patrick.chalbet@crhea.cnrs.fr