Protection des données sur disque dur : essayer de s'y retrouver parmi les technologies disponibles

Sécurité & Compte Microsoft BitLocker & Chiffrement
,
1

J’essaie de comprendre comment protéger mes données en cas de vol d’un ordinateur ou d’un disque dur.

Je recherche une protection raisonnable contre l’accès non autorisé à des données privées (mots de passe, numéros de licence, numéros de carte de crédit). Je ne protège pas des secrets industriels et je ne cherche pas une protection contre des personnes en laboratoire retirant les plateaux et utilisant des outils forensiques. J’ai besoin de quelque chose qui ne nécessite pas la présence physique d’un appareil comme une clé USB, sauf à des fins de récupération lorsque les identifiants ont été perdus. Je dois protéger la partition du système d’exploitation et d’autres partitions et/ou disques contenant des données utilisateur.

Les conseils éclairés et applicables en pratique sont les bienvenus.

  • Ai-je besoin du chiffrement, du verrouillage du disque dur, ou des deux ?

  • Si chiffrement : matériel ou logiciel ?

  • Comment mettre en place la solution dans un contexte LGA 1155 + Windows 7 ?

  • Disponible pour tous les types de partitions, y compris les partitions GPT / de grande taille.

  • Comment vérifier la compatibilité matérielle ? (BIOS/EFI, disque, carte mère…)

  • En supposant que le voleur a un accès physique à la machine, peut contourner le processus de démarrage normal, peut réinstaller le BIOS et l’OS, peut lire le disque dur sur une autre machine, etc.

Merci.

Ce que j’ai examiné avant de poser la question…

Je vois qu’il existe différentes technologies disponibles, certaines sont autonomes, d’autres nécessitent une collaboration de l’ordinateur (par exemple de la carte mère). Je cherche quelque chose utilisable avec une carte mère « Sandy Bridge » (socket LGA 1155) pas encore achetée.

  • SED, auto-chiffrement du disque : je n’ai pas besoin du chiffrement ou de l’effacement sécurisé, mais si cela peut aider à verrouiller le disque, alors d’accord.

  • Chiffrement logiciel : comme le SED, je n’aime pas l’idée de ralentir les E/S de données ou de compliquer les choses avec des couches supplémentaires. Je n’évalue pas clairement les implications du chiffrement logiciel : taille de volume déclarée, type de partition, imagerie disque, mises à jour OS, applications tierces, etc.

  • ATA Security (verrouillage/déverrouillage des opérations du disque dur par le contrôleur via des mécanismes de clés) : semble convenir à mon usage. Y a-t-il une faiblesse que je devrais connaître ? Quelle carte mère/OS prendrait en charge cette fonctionnalité ? Comment sélectionner un disque dur compatible ? Cela nécessite-t-il une extension BIOS/EFI pour saisir la clé du disque dur ?

  • Authentification pré-démarrage pour déverrouiller le disque dur : quel est l’avantage par rapport au verrouillage ATA Security ? Comme cela modifie le processus de démarrage, est-ce compatible avec Windows 7 ?

  • BitLocker : les cartes mères LGA 1155 avec TPM ne sont pas disponibles à ma connaissance. Certaines prennent en charge le matériel TPM 1.2 (elles ont un connecteur TPM), mais une recherche approfondie sur Internet montre que les cartes filles TPM ne peuvent pas être achetées, même si (très peu de) sites prétendent en avoir en stock. Quel est le problème avec la disponibilité des modules TPM ? BitLocker peut être utilisé sans TPM, mais pas pour la partition OS semble-t-il. Tout le monde dit qu’on peut utiliser BL avec une clé USB à la place du TPM, mais quel est l’intérêt d’avoir une clé USB laissée un jour dans le port USB après le démarrage de l’ordinateur, et volée avec le disque ?

(Merci de ne pas essayer de deviner la solution, ou d’expliquer que le TPM est mauvais ou a été cracké.)

2

Après une recherche approfondie, voici mes conclusions :

Ai-je besoin du chiffrement, du verrouillage du disque dur, ou des deux ?

La sécurité du disque dur est suffisante pour empêcher l’accès aux données. C’est une fonctionnalité du disque dur, le mot de passe n’est pas stocké par la carte mère et ne peut pas être compromis ou contourné. Il existe des entreprises qui peuvent récupérer le mot de passe sous certaines conditions, mais un voleur ne les utilisera pas ; c’est une menace uniquement pour ceux qui ont des informations classifiées Défense sur leurs ordinateurs. Ceux qui n’ont que des fichiers personnels sont protégés.

Le chiffrement peut aussi être fourni par le disque dur (auto-chiffrement) ou par un logiciel externe comme TrueCrypt ou Bitlocker, ou PGP. L’auto-chiffrement du disque dur n’est plus une protection une fois le disque dur déverrouillé ; les autres le sont, mais ils exigent que l’utilisateur fasse quelque chose à chaque démarrage de l’ordinateur (mot de passe ou clé USB).

Mon choix est de n’utiliser que le mot de passe du disque dur, sans chiffrement.

Comment mettre en place la solution dans un contexte LGA 1155 + Windows 7 ? Comment vérifier la compatibilité matérielle ? (BIOS/EFI, disque, carte mère…)

Malheureusement, je n’ai trouvé aucune carte mère de bureau avec un BIOS/EFI prenant en charge le mot de passe du disque dur. Dell le prend en charge mais il faut acheter leurs ordinateurs assemblés. IBM le prend en charge aussi, mais aucune carte mère séparée ne peut être achetée. Seuls les ordinateurs portables semblent être livrés avec la prise en charge d’ATA Security. Il semble y avoir quelque chose qui cloche avec les fabricants de BIOS qui sont réticents à fournir une solution gratuite à leurs clients. Une autre entreprise vendant des solutions de chiffrement paie-t-elle pour que le BIOS soit livré avec des fonctionnalités de protection insuffisantes ?

Cette limitation met un terme à ma quête.
La compatibilité des disques est facile à vérifier sur le site du fabricant. Presque tous les disques prennent en charge ATA Security.