sécurité paranoiaque de données :-)

sécurité paranoiaque de données :-) - Sécurité - Windows & Software

Marsh Posté le 26-01-2008 à 13:57:05    


Bonjour,
 
 
Je réfléchis a des solutions pour sécuriser des données de facon tres fiable.
J'ai a peu pres 100 Mo de données sensibles, par exemple des mots de passe, etc..
 
J'ai pensé a TrueCrypt, qui semble etre la solution en vogue en ce qui
concerne le cryptage. Ca permettrait d'acceder aux donnees sous windows comme
sous linux, avec un mot de passe assez long et compliqué etc..
Pour etre tranquille, ya moyen de laisser le fichier sur une clef USB, et de
mettre en place un montage automatique TrueCrypt (j'ai trouvé des tuto là dessus.)
Et pour etre sur de ne pas perdre les données, il y a possibilité de monter plusieurs
clefs en RAID1 ou 5, et davoir donc un "bloc" hub + clefs usb ... Là déja le RAID
logiciel windows et linux n'est pas compatible, en particulier c'est meme pas sur
qu'il soit possible de monter des clefs en RAID sous windows.
Ya moyen de choisir des clefs USB avec interrupteur pour interdire l'acces en ecriture
au cas ou l'on ferait une mauvaise manip par exemple.
 
Le probleme avec ce type de solution, c'est
qu'il faut bien tapper le mot de passe général a un moment donné pour acceder au ficher,
et un programme "malveillant" pourrait facilement intercepter le flux de données
émanant du clavier. Sous windows, c'est a peu pres certain; et sous linux, bon ca
parait plus corsé mais bon ... Je voudrais pouvoir acces a mes mots de passe sur
n'importe quel PC.
 
 
Je me suis donc tourné vers une autre solution : le bureau sur clef USB.
C'est a dire utiliser une clef USB bootable munie d'une distro linux,
sur laquelle je crypterai toutes les partitions : home, swap, / ...
(sauf peut etre la boot ...) C'est possible parait il avec certains logiciels
comme LVM. Impossible alors d'accéder aux données en branchant simplement la
clef, il faut booter avec et connaitre le mot de passe (que l'on suppose suffisament
long, compliqué, et en meme temps un mot de passe que l'utilisateur ne peut pas
perdre :).
 
Une fois l'OS démarré, on monte un fichier crypté TrueCrypt et on peut
enfin rentrer le mot de passe en toute sécurité :). Il est possible de faire des copies
de ce fichier ailleurs, comme sur disque dur, puisque il est crypté, mais évidemment
il ne faut pas chercher a ouvrir le fichier depuis windows, puisqu'on tapperai le mot
de passe "en clair" ...
 
 
L'avantage de tout ca, c'est que la solution ne coute que le prix d'une clef USB,
voire, encore mieux : une mémoire micro SD, qui prend peu de place, qu'on peut transporter
facilement. Quand on voit que 2 Go coutent meme pas 10 euros, c'est franchement interessant.
 
 
Je pense stocker sur la clef 300 mo de petits fichiers de 1 Mo pour m'en servir de keyfiles
pour crypter des partitions entieres de disque dur pour des données moins sensibles mais
en plus grande quantité ..
 
 
 
Donc j'ai 2 ou 3 questions :)
 
1) Une distribution linux sur clef usb .. Ca parait evident que non mais est ce qu'il
est possible d'utiliser l'interrupteur pr interdire l'acces en écriture sur la clef ?
En montant /tmp sur ramdisk ? La swap est elle en RAM ? sur la clef ? ou y a til moyen
d'utiliser une swap du disque dur (en la cryptant evidemment :)?
 
2) La clef ne va t'elle pas franchement s'user prématurément ? (Si le systeme fait 100
acces lecture/ecriture a chaque session a cause de fichiers temporaires...)
 
3) Est ce que vous voyez une faille de sécurité que j'aurais négligée avec la solution
d'un OS crypté sur cle usb/micro SD (on suppose que le PC sur lequel on tappe le mot de passe
n'a pas de systeme electronique indépendant du pc qui enregistre les entrées du clavier,
qu'il n'y a pas de caméra autour :).
 
4) connaissez vous dautres solutions pour sécuriser solidement ses données ?
(en supposant que nimporte qui peut acceder a la clef donc que je peux pas jouer
sur plusieurs clefs par exemple dont l'une contiendrait des mot de passe en clair..)
 
Bon je vais enfin pouvoir manger :)
 
je vous remercie pr vos réponses
 
 
ps : je fais pas trop confiance / j'exclue les protections par mot de passe des clefs usb, ou
meme par biométrique (empreintes digitales)
 
 

Reply

Marsh Posté le 26-01-2008 à 13:57:05   

Reply

Marsh Posté le 26-01-2008 à 14:04:39    

[:pasmerlo]

Reply

Marsh Posté le 26-01-2008 à 16:15:33    


lol oué, en fait c'est un défi que je me posais à savoir quelle serait la solution
la plus efficace pour proteger au mieux ses données ...
c'est sur que là on est en pleine paranoia....
 
En fait, ca donne une idée des risques que comporte chaque solution :
par exemple truecrypt c'est bien joli mais un spyware et c'est fini.
(sans aller jusqu'a parler du mot de passe capturé au moment ou on le tappe,  
une fois le fichier "monté" comme un disque logique, pourquoi un spyware
n'irait pas piocher des infos ? )
 
Tres clairement faut pas avoir de chance pour tomber sur ce type de virus :)
 
 
Je m'interesse un peu a ce genre de question car la notion d'information
et la sécurité qui y est associé sont plutot importantes  :)  dans le domaine
ou j'opère (la finance).
 

Reply

Marsh Posté le 26-01-2008 à 16:50:55    

Salut
Je suis quelque peu circonspect devant une telle requète (*).
 
Tu sembles (1) chercher des solutions de sécurité très élaborées dans un environnement professionel - ici la finance - et en même temps (2) tu envisages des solutions qui concerneraient plutôt un PC personnel de base.
 
Dans le cas (1) , c'est une affaire de spécialistes et tu ne résoudras pas le problème avec des bidouilles. Dans le cas (2), c'est effectivement de la paranoia avancée et la solution du médecin me paraît plus appropriée. Je dis cela avec humour, bien sûr, ne le prends pas mal.
 
 
(*) formulation à utiliser en début de topic pour élever le débat (copyright patparis 2007)

Message cité 1 fois
Message édité par patparis le 26-01-2008 à 17:22:53
Reply

Marsh Posté le 26-01-2008 à 17:23:35    

patparis a écrit :

Salut
Je suis quelque peu circonspect devant une telle requète.
 
Tu sembles (1) chercher des solutions de sécurité très élaborées dans un environnement professionel - ici la finance - et en même temps (2) tu envisages des solutions qui concerneraient plutôt un PC personnel de base.
 
Dans le cas (1) , c'est une affaire de spécialistes et tu ne résoudras pas le problème avec des bidouilles. Dans le cas (2), c'est effectivement de la paranoia avancée et la solution du médecin me paraît plus appropriée. Je dis cela avec humour, bien sûr, ne le prends pas mal.


 
 
mdr pas de pb  
 
En fait, je vais surement etre amené a bosser dans une petite structure (type hedge fund) qui n'aura vrasemblablement pas le temps de s'occuper de la sécurité. Donc on va pas s'amuser à faire appel a un cabinet de conseil ou a embaucher des spécialistes de la sécurité, surtout s'il existe des solutions a moindre cout. Ca va bien pour les grosses entreprises ou a la limite PME.. Par ailleurs les PC utilisés ressemblent plus a des "PC personnel de base" qu'a des gros serveurs IBM.
 
Meme si les solutions que je proposent sont un peu de la bidouille, je pense qu'elles en sont pas moins efficaces (comment casser un linux crypté ?). Ce serait interessant de savoir mettre en place de telles solutions en quelques minutes. (en finance de marché, ya énormément de travail, et l'on a pas forcement le temps de faire joujou avec le prompt). c'est pour ca que je m'y prend a l'avance, étant encore étudiant.
 
D'ailleurs dans ce secteur, vaut mieux etre parano : celui qui ne l'est pas, c'est celui qui se fait avoir. (pour ne pas employer un autre mot). L'appat du gain est permanent,  énormément d'argent transite. D'ailleurs ceux qui bossent dans la finance n'ont pas choisi ce domaine pour rien  ;)  
 
 
Et puis pour finir, c'était aussi un ptit trip que je me faisais .. mais bon si personne ne le partage tanpis ..
 
a+
 
 

Reply

Marsh Posté le 26-01-2008 à 17:53:53    

Perso croire que parce que tu seras sous Linux tu n'auras pas de pb de virus, failles, key loggeur, spyware c'est déjà une grossière erreur. Et si tu es parano alors c'est pas utiliser linux qui te fera te sentir en plus grosse sécurité.

Reply

Marsh Posté le 26-01-2008 à 18:14:33    

Je@nb a écrit :

Perso croire que parce que tu seras sous Linux tu n'auras pas de pb de virus, failles, key loggeur, spyware c'est déjà une grossière erreur. Et si tu es parano alors c'est pas utiliser linux qui te fera te sentir en plus grosse sécurité.


 
Ya peut etre des failles effectivement,
mais si cest une histoire dadministration de serveur,
il doit bien etre possible de fermer les ports sensibles, non ?
En installant un antivirus, tu pense pas que ca résoudrait le pb ?
 
 
sinon tu propose quoi comme solution ?
si linux n'est pas un truc sur, alors je vois
pas trop comment faire ...

Reply

Marsh Posté le 26-01-2008 à 18:26:36    

fanduweb2735 a écrit :


Ya peut etre des failles effectivement,
mais si cest une histoire dadministration de serveur,
il doit bien etre possible de fermer les ports sensibles, non ?
En installant un antivirus, tu pense pas que ca résoudrait le pb ?


 
Bah tu ferais exactement la même chose que sous windows quoi

Reply

Marsh Posté le 26-01-2008 à 18:39:10    

Je@nb a écrit :


 
Bah tu ferais exactement la même chose que sous windows quoi


 
 
Ok donc c'est possible de sécuriser un linux ... et vu que c'est deja beaucoup
plus propre que windows, ya pas grand chose a installer en plus.
 
S'il sagit de stocker des mots de passe, ou des données dailleurs, l'OS
peut interdire l'acces a internet et plus de probleme a ce niveau là.
On a un OS "propre".
 
Il reste donc a regler la question : un linux sécurisé sur USB avec partitions
cryptées (/ , /usr, /home ...) est il hackable ? Je crois quon peut pas
crypter la partition /boot (ce qui semble logique, comment le bios peut-il
interpreter le boot s'il est crypté ?). Peut etre que s'il ya une faille elle est là.
 
Ou sinon ya peut etre moyen via cryptanalyse de décoder les infos ..  
(mais au bout de combien de temps ? Au bout d'un certain temps, l'info est
périmée donc peut importe qui y a acces..)
 
Si ya pas dautres possibilités de failles que ces 2 là, je pense que c'est deja pas mal :)

Reply

Marsh Posté le 26-01-2008 à 18:47:30    

Qu'est ce qui t'empèche de booter sur ton os ultra sécurisé et une fois démarrer de tout récupérer ?
Genre je monte une autre clé usb copie mes trucs et bye bye.
Ou sinon je copie ça sur un autre pc du réseau (sans passer sur le net quoi).
 
Franchement quoi que tu choisisses/fasse ça sera toujours attaquable si qqn cherche bien.
Pas besoin d'être parano à ce point. Tu cryptes tes fichiers, tu fous les acl qui vont bien c'est amha bien suffisant. Si tu veux être parano tu met ton pc dans une cage de farraday, entouré de 3m de béton, relié a aucun réseau, des portes blindés avec un sas de sécurité qui détruit tout l'électronique (j'espère que tu n'as pas de piles ou autres appareils pour les cardiac), des caméras dans tous les sens relié à aux services secrets, des injecteurs d'acide en cas d'infrastrction pour faire suffoquer le pirate and co. Là tu seras sécure !

Reply

Marsh Posté le 26-01-2008 à 18:47:30   

Reply

Marsh Posté le 26-01-2008 à 18:56:20    

Il me semble que TrueCrypt a le méchanisme des keyfiles, ce qui évite les keyloggers ?

Reply

Marsh Posté le 26-01-2008 à 19:39:45    

Je@nb a écrit :

Qu'est ce qui t'empèche de booter sur ton os ultra sécurisé et une fois démarrer de tout récupérer ?
Genre je monte une autre clé usb copie mes trucs et bye bye.
Ou sinon je copie ça sur un autre pc du réseau (sans passer sur le net quoi).


 
 
Pour booter sur "l'OS ultra sécurisé", il faut rentrer le mot de passe a lapparition de grub / lilo ... Sinon en effet ca servirait a rien de crypter la clef
 
Pour trouver le bon mot de passe, on tombe dans le brute-force si l'algo de cryptage est bon (et je pense qu'on peut faire confiance a linux).
Donc avec une clef suffisament longue et compliquée, ca doit le faire, non ?


Message édité par fanduweb2735 le 26-01-2008 à 19:54:08
Reply

Marsh Posté le 26-01-2008 à 19:48:09    

et si tu boot dessus et que qqn vient ?

Reply

Marsh Posté le 26-01-2008 à 19:56:13    

Je@nb a écrit :

et si tu boot dessus et que qqn vient ?


 
je pense qu'on peut bloquer la session linux pendant l'absence comme dans un ecran de veille,
et il demande un mot de passe pour revenir ...  :)
 
Sinon, si il y a attaque physique lol bon là ... :)
 
ok il me reste plus qu'a me mettre au karaté  :pt1cable:  mdrr


Message édité par fanduweb2735 le 26-01-2008 à 19:58:11
Reply

Marsh Posté le 26-01-2008 à 20:44:32    

lol

Reply

Marsh Posté le 26-01-2008 à 21:36:09    

fanduweb2735 a écrit :


1) Une distribution linux sur clef usb .. Ca parait evident que non mais est ce qu'il
est possible d'utiliser l'interrupteur pr interdire l'acces en écriture sur la clef ?


 
Sur certaines clef dans le commerce, il y a un interrupteur manuel contre l'écriture. A l'intérieur de la clef USB, il y a un microcontroleur qui gère une mémoire flash. Cette interrupteur est relié sur le microcontroleur et il est impossible d'y écrire avec interrupteur en mode verrouillè.
 

fanduweb2735 a écrit :


La swap est elle en RAM ? sur la clef ? ou y a til moyen
d'utiliser une swap du disque dur (en la cryptant evidemment :)?


 
Vu que ta clef est verrouillè en écriture normalement il y en a pas je pense. Du moins tu pourra pas y écrire si elle existe et si ta clef est verrouillè. Mais il me semble que tu es pas obligé d'avoir un swap sur certaine distribution il me semble pour faire tourner l'OS.
 

fanduweb2735 a écrit :


2) La clef ne va t'elle pas franchement s'user prématurément ? (Si le systeme fait 100
acces lecture/ecriture a chaque session a cause de fichiers temporaires...)


 
Une clef s'use à la longue.
Il y a sur le commerce des clef qui sont garantie 10 ans comme la Corsair Flash Voyager (sans interrupteur).
N'oublie pas de regarder le temps d'accès écriture/lecture ça peut aider pour de gros fichiers  :
Les plus rapides sont les 34 Mo/s et 24 Mo/s
http://www.clubic.com/comparer-prix/cle-usb/
 

fanduweb2735 a écrit :


3) Est ce que vous voyez une faille de sécurité que j'aurais négligée avec la solution
d'un OS crypté sur cle usb/micro SD (on suppose que le PC sur lequel on tappe le mot de passe
n'a pas de systeme electronique indépendant du pc qui enregistre les entrées du clavier,
qu'il n'y a pas de caméra autour :).


 
Si tu boot sur ta Clef USB Linux. La seul attaque venant de l'extérieur serait le réseau local ou internet et exploitant une faille non corrigé de l'OS ou d'un logiciel dans l'OS.
C'est pour cela que pour une sécurité optimum il faut que ta clef contient tout le temps la dernière mise à jour de l'OS concerné et avec ces logiciels inclus également à jour.
C'est pas parce que ta clef est verrouillè en écriture qu'il ne peut être exploité une faille de l'OS ou logiciels en mémoire.
Par contre, ta clef sera propre obligatoirement à chaque reboot puisqu'elle est protégé en écriture.
Donc, ne pas oublié mettre à jour l'OS et logiciels quand tu le peut.
 

fanduweb2735 a écrit :


4) connaissez vous dautres solutions pour sécuriser solidement ses données ?
(en supposant que nimporte qui peut acceder a la clef donc que je peux pas jouer
sur plusieurs clefs par exemple dont l'une contiendrait des mot de passe en clair..)


 
Non, à part vivre dans îles perdu sans connexion internet et un seul PC, coffre et encore ...:D
La sécurité 100 % n'existe pas par contre tu peut essayer de t'approcher de 99. :p
N'oublie pas de faire une copie de ta clef en cas de perte :p


Message édité par mmc le 26-01-2008 à 22:15:44
Reply

Marsh Posté le 27-01-2008 à 01:28:36    


Merci pour tous ces conseils. J'ai fais quelques tests linux sur USB (dailleurs là je te réponds avec une distro MCNLive .. ;) )
bonne soirée

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed