Recommandations en matière d`effacement de supports d

Recommandations en matière d'effacement
supports d'information électronique.
Information Security Guidlines
Version : 1.00
de
4 janvier 2012
ISMS
(Information Security Management System)
Recommandations en matière d'effacement
de supports d'information électronique.
Version control – please always check if you are using the latest version.
Doc. Ref. :isms.044.secure_erase.fr.v.1.00.docx
Release
FR_1.00
Status
Date
Written by
21/12/2011
Pol Petit
Edited by
Approved by
Groupe
de
travail
Sécurité de l’information
du Comité général de
coordination de la BCSS
Remarque :Ce document intègre les remarques formulés par un groupe de travail auquel ont participé les personnes
suivantes : messieurs Bochart (BCSS), Costrop (Smals), Lévêque (ONVA), Noël (BCSS), Petit (FMP), Perot (ONSS),
Quewet (SPF Santé publique), Symons (ONEm), Van Cutsem (ONSS-APL), Van der Goten (INAMI).
Recommandations en matière d'effacement
supports d'information électronique.
Information Security Guidlines
Version : 1.00
de
4 janvier 2012
TABLE DES MATIERES
1.
INTRODUCTION................................................................................................................................................... 3
2.
PORTEE ............................................................................................................................................................... 3
3.
RECOMMANDATIONS ......................................................................................................................................... 3
4.
METHODES DE CHIFFREMENT, D'ECRASEMENT ET DE NETTOYAGE ..................................................................... 4
4.1. CHIFFREMENT ......................................................................................................................................................... 4
4.2. REECRITURE ............................................................................................................................................................ 4
4.3. DEMAGNETISATION .................................................................................................................................................. 5
4.4. DEFORMATION PHYSIQUE .......................................................................................................................................... 5
4.5. DECHIQUETAGE, DESINTEGRATION ET PROCESSUS ASSIMILES............................................................................................. 5
4.5.1.
Déchiquetage. ............................................................................................................................................. 5
4.5.2.
Désintégration. ........................................................................................................................................... 6
4.5.3.
Meulage. ..................................................................................................................................................... 6
4.6. INCINERATION ......................................................................................................................................................... 6
4.7. DESTRUCTION CHIMIQUE ........................................................................................................................................... 6
5.
PRODUITS D’EFFACEMENT RECONNUS ............................................................................................................... 6
6.
CONCLUSIONS ..................................................................................................................................................... 7
7.
SOURCES ............................................................................................................................................................. 7
P2
Recommandations en matière d'effacement
supports d'information électronique.
Information Security Guidlines
Version : 1.00
de
4 janvier 2012
1. Introduction
La problématique de la réutilisation des supports ayant contenu des informations sensibles est un sujet extrêmement
complexe. Hormis la destruction physique, aucune solution technique ne garantit l’effacement total des données sur
un support magnétique ou autre; les procédés d’ « effacement » consistent à écrire sur le support magnétique une ou
plusieurs séries de caractères, déterminées ou aléatoires, en vue de rendre extrêmement difficile la récupération des
données initiales : le terme de « surcharge » est donc plus approprié et traduit mieux le fait que l’information est
toujours potentiellement présente sur le support du fait des limites du positionnement du dispositif mécanique
d’écriture ou de l’algorithme sous-jacent.
Il est en pratique peu réaliste de garantir qu’il ne reste aucune trace exploitable par des laboratoires équipés de
moyens importants ou dotés d’une connaissance fine du mode de fonctionnement des supports. Dans le domaine du
magnétisme pur, outre les risques de rémanence d’information résiduelle, les disques modernes, de plus en plus
variés et complexes, présentent en effet un nombre croissant de fonctionnalités (rattrapage de secteurs défectueux,
masquage de partitions, etc.) qui contribuent à rendre des portions entières du disque inaccessibles via des
commandes standards. Un attaquant ayant la connaissance des éventuelles commandes constructeur spécifiques ou
équipé du matériel adéquat pourrait retrouver les données qui y sont stockées.
Bien que les technologies employées soient différentes, l’utilisation d’un produit de surcharge logique à des fins
d’« effacement » d’un support de stockage non magnétique (clés USB, cartes à mémoire, mémoires FLASH) présente
strictement les mêmes limites.
Les institutions devraient exiger la suppression des données d'utilisateur de tous les supports numériques avant de
disposer de ces appareil notamment pour procéder à leur démantèlement, réaffectation (interne ou externe) ou
réparation. Malheureusement, cela peut s'avérer impossible lorsque le dispositif est défectueux, et quiconque
possède les ressources de laboratoire nécessaires pourrait recouvrer les données qui y sont stockées. Une évaluation
du risque devrait être réalisée pour chaque cas et tenir compte à la fois de la valeur des données et des répercussions
éventuelles de leur divulgation. Si le risque est jugé moyen ou élevé, l’institution devrait s'assurer que le support
demeure sous son contrôle. Sinon, elle devrait le détruire conformément aux méthodes de destruction approuvées.
2. Portée
La présente recommandation a pour objet de préciser une position commune aux institutions de sécurité sociale en
matière d’effacement, de déclassification, réutilisation ou mise à disposition de supports de stockage magnétiques
(disques durs ou bandes magnétiques) et non-magnétiques (clés USB, CD, DVD ou cartes SD par exemple) ayant pu
contenir des informations sensibles.
3. Recommandations
Afin de prendre en compte la menace liée au recyclage des supports de stockage de données sensibles, il convient
d’appliquer les recommandations suivantes :
1.
Pendant la durée de vie du support, et plus particulièrement lorsqu’il s’agit de supports mobiles, procéder à
un chiffrement local des données sensibles, à l’aide d’un produit reconnu et gérant correctement ses clefs de
chiffrement. Il s’agit que les clefs sous forme lisible ne soient jamais présentes sur le support lui-même. Ce
chiffrement doit porter sur des volumes logiques entiers plutôt que sur des fichiers ou répertoires individuels,
et si possible sur l’intégralité du support. Ce chiffrement intervient en complément des mesures de sécurité
organisationnelles applicables, qui s’attacheront en particulier à réduire la probabilité d’un vol.
2.
Après utilisation, recycler le support en privilégiant une réaffectation dans un contexte de niveau de
sensibilité au minimum comparable.
3.
En cas de cession du support, et si possible dans tous les scénarios de réaffectation, procéder à une surcharge
complète par un produit reconnu.
P3
Recommandations en matière d'effacement
supports d'information électronique.
Information Security Guidlines
Version : 1.00
4.
de
4 janvier 2012
De façon complémentaire au point précédent ou au moins en cas de recyclage dans un contexte de sensibilité
comparable, procéder à une passe de surcharge du support, en réécrivant l'entièreté de celui-ci avec le bit
"0". L’efficacité de la surcharge pourra ensuite éventuellement être vérifiée par une relecture logique,
secteur par secteur, du disque.
Lorsque l'institution utilise du matériel ne lui appartenant pas, (par exemple dans le cadre de leasing ou de disaster
recovery), il est nécessaire que les mesures d'effacement soient prévues de manière contractuelle. De même, cette
disposition doit également être mise en œuvre lorsqu'on ne maitrise pas la technologie permettant un accès à tous les
niveaux du support.
4. Méthodes de chiffrement, d'écrasement et de nettoyage
4.1. Chiffrement
Le chiffrement préalable des données réduit notablement le risque de compromission de données sensibles même si
les informations présentes sur le support ne sont pas toutes supprimées. Il constitue par ailleurs le principal moyen
technique pour réduire l’impact d’un vol ou d’une perte du support. La surcharge en fin de vie est toujours
recommandée lors de l’utilisation de chiffrement car celui-ci ne peut garantir une protection des données que pour
une période limitée liée aux technologies employées. Ces solutions ont pour la plupart des limites intrinsèques telles
que : risque de faiblesse du mot de passe utilisateur protégeant la clé, existence de données sensibles non chiffrées
dans les fichiers temporaires des outils ou du système d’exploitation, présence des clefs en mémoire, etc.
L'efficacité du chiffrement pour ce qui est d'assurer la protection permanente des données repose sur trois facteurs :
la force du schéma de protection cryptographique mis en place, la qualité de la gestion de la clé de chiffrement par
l'utilisateur et l'évitement des éléments de motivation d'attaque. S'il en a l'occasion et le temps, un adversaire
compétent peut recouvrer les données s'il est suffisamment motivé à consentir l'effort requis. Les méthodes de
chiffrement doivent être suffisamment dissuasives et faire en sorte que le niveau d'effort requis pour recouvrer les
données soit supérieur à la valeur des données à recouvrer.
4.2. Réécriture
La réécriture permet de supprimer ou d'effacer l'information sur un support en écrivant des bits de données "1" et
(ou) "0" dans toutes les zones de stockage du support, remplaçant ainsi tous les bits significatifs d'information
existants.
L'efficacité de cette méthode est liée au nombre de cycles de réécriture (pour limiter le phénomène de rémanence en
bordures de piste), à la compétence et aux connaissances de la personne qui exécute le processus, et aux fonctions de
vérification du logiciel de réécriture (le cas échéant) qui aident à s'assurer que la réécriture s'effectue sur tout l'espace
de stockage accessible du support.
Norme "Secure Erase" : Depuis 2001 environ, tous les disques durs ATA (IDE) et SATA répondent à la norme "Secure
Erase". Dans ce type de disque, le pilote du disque dispose d'une commande "Secure Erase" qui, lorsqu'elle est
activée, provoque un effacement (par surcharge) de l'ensemble des blocs du disque. L'intérêt majeur de cette solution
est qu'elle est a priori plus fiable qu'une solution logicielle de plus haut niveau : plus l'ordre d'effacement est donné à
un niveau proche de la couche matérielle, plus il y a de chances que cet ordre soit exécuté sans erreur. Du point de
vue de certains, cependant, cette solution "Secure Erase" ne parait pas sûre si l'on envisage le cas où il existerait des
commandes non documentées permettant d'accéder aux données prétendument effacées. Cette éventualité devant
être envisagée, lorsque l'on a auparavant envisagé la possibilité d'une reconstitution de données écrasées par cette
technique (MFM). On notera cependant que le NIST ("National Institute of Standards and Technology") américain
recommande dans plusieurs cas cette méthode d'effacement
Toutefois, les disques durs « SCSI » et « Fiber Channel » ne répondent pas à cette norme et peuvent être écrasés
uniquement à l'aide de produits logiciels tiers. Préférence sera donnée aux logiciels ayant fait l'objet d'une analyse de
laboratoire indépendante et permettant à l'opérateur de déterminer s’il peut, et a effectivement, accéder à toute la
zone de stockage connue du disque.
P4
Recommandations en matière d'effacement
supports d'information électronique.
Information Security Guidlines
Version : 1.00
de
4 janvier 2012
Gutmann, en 1996, recommande d'effectuer 35 passes successives d'écriture pour écarter tout risque de récupération
de données. Ces 35 passes ont pour objet de prendre en compte toutes les techniques d'encodage des disques durs
qui ont existées durant les 3 dernières décennies (en date de rédaction de l'étude de Gutmann), et Gutmann
reconnaît dans une épilogue ajoutée postérieurement à son étude que pour les technologies contemporaines
(utilisant la reconnaissance du signal magnétique par la technique "PRML" – "Partial Response Maximum Likelihood"),
quelques passes d'écriture de données aléatoires sont probablement suffisantes
Une triple réécriture est présumée acceptable en tant que méthode de destruction de données jusqu'au niveau
CONFIDENTIEL.
La triple réécriture seule ne convient pas comme méthode de destruction des données pour les supports magnétiques
qui contiennent de l'information classifiée à un niveau supérieur à CONFIDENTIEL. Toutefois, conjuguée à d'autres
procédures de destructions incomplètes, telles la désintégration ou le déchiquetage, la triple réécriture offre une
garantie supplémentaire de destruction au-delà de tout espoir raisonnable de recouvrement.
Les assistants numériques (PDA) ne sont généralement pas conçus pour répondre aux exigences de sécurité extrêmes.
Ils utilisent une variété de mécanismes restreignant l'accès à la mémoire; toutefois, le but de ces mécanismes est
rarement de dissuader les attaques en laboratoire. La question concernant la disposition sécuritaire de ce support
repose donc sur l'acceptation ou non de ces mesures de protection contre l'accès non autorisé à la mémoire.
Quant aux supports de stockage non magnétique tels que clés USB, cartes à mémoire, mémoires FLASH, des
algorithmes spécifiques d’écriture sont mis en place pour, notamment, gérer certains phénomènes de dégradation.
Ceci induit la création de « copies » multiples qui augmentent les possibilités de récupération après effacement. Pour
ce type de support, le chiffrement des données sensibles est essentiel, de même que la destruction physique sera
seule à assurer l’ultime protection.
4.3. Démagnétisation
La démagnétisation consiste à appliquer un champ magnétique d'une intensité suffisante pour effacer toutes les
données d'un support magnétique particulier. L'efficacité de cette méthode est liée à l'intensité relative de la force
magnétique offerte par l'appareil de démagnétisation et les propriétés de conservation magnétique du support de
données.
4.4. Déformation physique
La déformation physique consiste à utiliser des outils tels une masse, une perceuse, un étau, etc., pour causer à un
support des dommages mécaniques importants dans le but de retarder, gêner ou détourner toute tentative de
recouvrement des données de la part d'un attaquant. Dans le cas des disques magnétiques, l'efficacité de cette
méthode est liée à l'importance des dommages causés à la surface de chaque plateau (incluant la déformation de la
surface plate) dans le but de rendre très difficile toute analyse de laboratoire.
Pour les disques optiques, il est possible d' utiliser une machine servant à appliquer une pression et une chaleur
permettant de les étirer et de les courber légèrement (laminage, moletage). Le but étant de détruire les microcuvettes et les pistes optiques du disque pour détruire effectivement les données.
4.5. Déchiquetage, désintégration et processus assimilés
4.5.1.
Déchiquetage.
Le déchiquetage est une forme de destruction consistant à réduire le support en petites pièces de taille et de format
uniformes. On utilise généralement les déchiqueteuses pour les supports minces tels les CD-ROM et les DVD.
P5
Recommandations en matière d'effacement
supports d'information électronique.
Information Security Guidlines
Version : 1.00
4.5.2.
de
4 janvier 2012
Désintégration.
Le désintégration consiste à utiliser un mécanisme non uniforme de découpage et de déchiquetage (p. ex., des lames
rotatives dans une enceinte close, certaines centrifugeuses, broyeurs à marteaux, etc …) qui réduit le support en
pièces de taille et de format aléatoires.
4.5.3.
Meulage.
Dispositifs capables de réduire la couche porteuse de données d'un disque optique en fine poussière tout en laissant
intact le disque lui-même qui sera recyclé ou éliminé. Toutefois, on ne peut utiliser cette méthode pour les DVD
puisque leur couche porteuse d'information est prise en sandwich au centre.
4.6. Incinération
L'incinération consiste à détruire les supports dans des incinérateurs adéquats.
4.7. Destruction chimique
Certains agents chimiques sont à même d’attaquer les supports d’informations et de les détruire.
5. Produits d’effacement reconnus
Afin d’implémenter un produit d’effacement répondant aux critères du projet et de l’institution, il est recommandé de
consulter les différents sites web des sociétés et organismes réalisant la certification de tels produits.
Par exemple, afin d'obtenir une première idée de produits recommandés et reconnus, l’ANSSI, l’agence nationale
française de la sécurité des systèmes d’Information présente sur son site un liste de produits ayant soit fait l’objet
d’un contrôle indépendant et en particulier les produits pour lesquels l’agence a délivré une qualification au niveau
standard ou élémentaire (produits qualifiés) ou, à défaut, une certification de sécurité de premier niveau (produits
certifiés - CSPN).
P6
Recommandations en matière d'effacement
supports d'information électronique.
Information Security Guidlines
Version : 1.00
de
4 janvier 2012
6. Conclusions
La problématique de la réutilisation des supports ayant contenu des informations sensibles est un sujet extrêmement
complexe. Dès lors :
-
-
Une analyse de risque reste essentielle dans la recherche de l’attitude adéquate face au problème étudié.
Le chiffrement constitue la base essentielle dans la complexification du décodage potentiel après effacement
et également le seul barrage préventif en cas de vol ou de perte du support.
Les institutions pour lesquelles le risque que des données effacées soient ensuite retrouvées est
inacceptable, détruiront physiquement le support, même si ce risque est hypothétique.
Dans les autres cas, on pourra utiliser un outil logiciel de surcharge. Pour l’heure et à titre d’information
pratique, le logiciel "open source" de référence dans ce domaine est le logiciel DBAN
(http://dban.sourceforge.net/). Il se présente sous forme d'un support "bootable", et propose plusieurs
options d'effacement par surcharge, dont :
o une passe de surcharge avec des zéros (mode "Quick Erase")
o une passe de surcharge avec des données aléatoires (mode "PRNG Wipe")
o un effacement conforme au standard américain "DoD 5220-22.M" (trois passes : la première avec un
caractère fixe, une seconde avec son complément binaire, puis une troisième avec des données
aléatoires)
o ou les 35 passes recommandées par Gutmann
A chaque fin d'utilisation de support d'information, il y a lieu de s'assurer que les mesures de sécurité
adéquates seront appliquées, le cas échéant contractuellement.
7. Sources
-
L’Agence nationale de la sécurité des systèmes d’information (ANSSI – France).
Le Centre de la sécurité des télécommunications canadien;
Gendarmerie royale du Canada.
Les sociétés "BLANCCO" et EMC2.
Pierre ETIENNE, école polytechnique de Lausanne (epfl).
Le CERT français.
P7