Par la rédaction le 27/10/2010
Les médias se font l’écho depuis quelques jours de plusieurs vols d’ordinateurs appartenant à des journalistes travaillant sur l’affaire dite « Bettencourt ». Le soupçon de l’affaire des « plombiers du Canard Enchaîné » en 1973 alors que Raymond Marcellin était ministre de l’Intérieur sous la présidence de George Pompidou plane aussitôt sur des opérations… peu claires. Bis repetita ? Cela fait couler de l’encre…
Et pourtant, qu’y avait-t-il à tirer de ces ordinateurs ?
Rien si les journalistes ont organisé la protection de leurs informations sensibles. Mais ceux-ci ont-ils pris cette peine. Voici comment leurs informations doivent être protégées pour éviter l’intérêt de tels vols.
Voler un ordinateur pour lire des informations confidentielles est un scénario redouté bien connu dans les entreprises. La parade est aussi connue et assez aisée à mettre en œuvre. De très nombreux éditeurs de logiciels proposent des solutions de coffres-forts électroniques pour rendre inexploitables les données ainsi subtilisées. Le voleur n’a alors plus aucun intérêt à prendre le risque de son agression pour ne rien obtenir in fine. Cela ne semble pas avoir été le cas…
Il existe des solutions très solides, gratuites, et avec des logiciels open source pour mettre en œuvre de tels coffres-forts électroniques. Le projet « TrueCrypt » (www.truecrypt.org/) en est un exemple. Ce logiciel permet de créer un disque virtuel sur l’ordinateur qui est entièrement chiffré, par exemple avec l’algorithme AES 256 bits. Le disque virtuel chiffré est ouvert par l’utilisateur et refermé dès qu’il le souhaite. Le poste de travail ne contient alors plus qu’un fichier chiffré, incompréhensible, contenant tous les fichiers sensibles et, selon l’état de l’art actuel, inviolable si le mot de passe a été conçu de manière sérieuse. Le vol de l’ordinateur n’a donc plus aucun intérêt… Des experts en sécurité affirment que ce logiciel open source a été testé par la DCSSI, devenue aujourd’hui ANSSI, selon les principes de sécurité dits critères communs et a été jugé comme remarquable.
Un bon mot de passe doit être complexe, comprendre des caractères étendus, et ne doit pas être utilisé à tout va pour accéder à tous les services que l’on trouve sur le web et dont on ne connaît pas la motivation des éditeurs…
Il est aussi recommandé de conserver les informations sensibles sur une clé USB contenant un tel coffre-fort électronique et de conserver cette clé sur soi. Il faut alors ne rien laisser du tout sur l’ordinateur au bureau ou au domicile.
Les échanges d’informations par email peuvent pour leur part utiliser des moyens de chiffrement tels que AxCrypt (www.axantum.com/axcrypt/). Ce logiciel permet un chiffrement symétrique de documents extrêmement robuste. L’email qui viendrait à être intercepté est inutilisable sans le mot de passe. Il reste donc aux utilisateurs à échanger ce mot de passe sans se le faire intercepter : SMS via un mobile, conversation téléphonique, courrier papier, ou dialogue de visu en tête à tête sans témoin.
Il est aussi possible d’empiler les niveaux de chiffrement en plaçant le fichier chiffré par AxCrypt dans un répertoire chiffré par TrueCrypt, dont le fichier est lui-même placé dans un autre répertoire chiffré par un autre procédé…
Les fichiers temporaires qui peuvent rester sur le disque dur de l’ordinateur doivent également être effacés proprement. Des logiciels tels que Eraser (http://eraser.heidi.ie/) peuvent être utilisés à cette fin. Bien paramétré, en utilisant plusieurs passage d’écrasement des données avec les bons algorithmes, Eraser ne permet pas de récupérer la moindre information dans les fichiers temporaires et autres espaces inutilisés du disque dur.
L’usage du papier manuscrit et du fax peut être envisagé si le scénario redouté n’est pas celui d’une puissante organisation étatique.
Il est aussi possible de confier la garde des informations à une personne tierce de confiance et qu’il est impossible d’associer à l’auteur des dites informations. Cette dernière ne doit donc pas être identifiable, par exemple, sur les pages FaceBook de cet auteur…
De très nombreuses solutions existent donc pour rendre totalement nul l’intérêt du vol des ordinateurs de ces journalistes. Ceux-ci les avaient-ils appliqués ?