Outils pour le chiffrement des données pour PC mobiles - Analyse de la sécurité

Chapitre 3 : Système de fichiers EFS (Encrypting File System)

Paru le 04 avril 2007

Microsoft® Windows® XP et Windows Vista™ intègrent une capacité de protection des données et de récupération des données protégées grâce à EFS (Encrypting File System). EFS est une technologie de chiffrement de données qui peut être appliquée à des fichiers individuels ou à l'ensemble des fichiers d'un dossier spécifique. Les fichiers EFS ne peuvent pas être déchiffrés sans les éléments de clé correspondants. Il est également Important :de noter qu'à l'inverse de Microsoft BitLocker™ Drive Encryption (BitLocker), EFS ne peut pas être appliqué à un fichier nécessaire au démarrage du système d'exploitation.

Si BitLocker assure le chiffrement de l'ensemble des données sur un volume entier, EFS possède l'avantage d'être plus précis et flexible lors de la configuration du chiffrement pour un utilisateur unique, ou des utilisateurs multiples, d'un seul ordinateur. Par exemple, EFS peut être utilisé pour chiffrer sur un réseau des fichiers de données auxquels de nombreux utilisateurs différents ont accès, un scénario qui dépasse les capacités de BitLocker.

EFS fournit un chiffrement au niveau de chaque utilisateur avec une clé qui est seulement accessible à l'utilisateur et aux agents de récupération autorisés. Un utilisateur malveillant qui obtiendrait une copie des fichiers ne pourrait pas les lire à moins d'obtenir également les éléments de clé ou de copier les fichiers directement de leur emplacement original vers un autre emplacement en étant connecté sous le nom de l'utilisateur qui a chiffré les fichiers.

Sur cette page

EFS dans Windows XP
EFS dans Windows Vista
Option d'EFS : EFS avec stockage de clé logicielle
Option d'EFS : EFS avec cartes à puce
Analyse de risques avec EFS : Résumé
Plus d'informations

EFS dans Windows XP

Bien qu'EFS soit également disponible sous Windows 2000, l'implémentation présente dans Windows XP et Windows Server® 2003 offre de nouvelles fonctions importantes, comme :

  • des capacités de récupération améliorées ;

  • la prise en charge intégrale de la vérification de révocation sur les certificats utilisés lors du partage de fichiers chiffrés ;

  • des modifications de l'interface utilisateur de Windows Explorer pour trouver et vérifier facilement les fichiers protégés ;

  • la prise en charge de dossiers hors connexion chiffrés dans Windows XP ;

  • la prise en charge d'utilisateurs multiples pour les fichiers chiffrés ;

  • la prise en charge des nouveaux fournisseurs de services cryptographiques (CSP) améliorés de Microsoft ;

  • le chiffrement de bout en bout en utilisant EFS avec WebDAV.

Pour en savoir plus sur ces améliorations d'EFS pour Windows XP, reportez-vous à l'article « Encrypting File System in Windows XP and Windows Server 2003 » (en anglais, EFS dans Windows XP et Windows Server 2003).

Dans les scénarios "tout EFS" décrits dans ce chapitre, un utilisateur connecté peut activer le chiffrement de fichiers et dossiers à l'aide de l'interface Attributs avancés dans l'Explorateur Windows.

Figure 3.1. Boîte de dialogue Attributs avancés de Windows XP

Lorsqu'un fichier est chiffré dans un dossier pour la première fois, une fenêtre s'ouvre pour demander à l'utilisateur s'il souhaite chiffrer uniquement le fichier sélectionné ou l'intégralité du dossier.

Pour les entreprises qui ont besoin de plus de contrôle sur l'étendue de la stratégie de chiffrement d'EFS, cette solution peut également être gérée de façon centrale à l'aide d'objets de stratégie de groupe (GPO) pour distribuer automatiquement des scripts qui utilisent l'utilitaire Cipher.exe en vue de configurer le chiffrement au niveau de l'ensemble de l'entreprise.

Notes

Les modes d'EFS basés sur logiciel et sur carte à puce nécessitent tous deux la présence d'un certificat associé pour chaque opération. Par exemple, EFS basé sur carte à puce exige la présence de la carte pour chaque opération de chiffrement ou de déchiffrement. Cette fonctionnalité empêche les utilisateurs de chiffrer des fichiers par accident en utilisant un certificat pour lequel ils ne possèdent pas la clé privée associée, car le certificat ne peut pas être utilisé pour le chiffrement si la clé privée n'est pas disponible.

Haut de page

EFS dans Windows Vista

La solution EFS est disponible dans les versions Professionnel, Entreprise et Intégrale de Windows Vista, et elle sera intégrée à Windows Server « Longhorn ». Windows Vista apporte des améliorations importantes à EFS, au nombre desquelles :

  • l'utilisation de clés de cryptage stockées directement sur des cartes à puce pour le chiffrement EFS ;

  • la création et la sélection des certificats utilisés pour EFS par l'intermédiaire d'un Assistant ;

  • la migration des fichiers à partir d'une ancienne carte à puce vers une nouvelle par l'intermédiaire d'un Assistant ;

  • le chiffrement du fichier d'échange système lorsque EFS est activé ;

  • de nouvelles options de stratégie de groupe qui aident les administrateurs à définir et implémenter des stratégies d'entreprise pour EFS. Ces options incluent la possibilité d'exiger des cartes à puce pour EFS, de forcer le chiffrement des fichiers de pagination, de stipuler les longueurs de clé minimales pour EFS et de forcer le cryptage du dossier Mes documents de l'utilisateur.

  • Ces fonctionnalités et capacités accrues de gestion des fonctions d'EFS sous Windows Vista se réflètent dans la nouvelle interface utilisateur :

Figure 3.2. Interface de gestion d'EFS sous Windows Vista

La suite de ce chapitre présente deux options EFS et décrit le niveau de protection que fournit chacune d'elles.

Haut de page

Option d'EFS : EFS avec stockage de clé logicielle

Cette option d'EFS requiert simplement un ordinateur fonctionnant sous Windows XP ou Windows Vista.

La séquence logique du processus de chiffrement EFS dans cette option est indiquée dans l'illustration suivante :

Figure 3.3. Processus de chiffrement EFS

Les étapes de la séquence de chiffrement illustrée sont les suivantes :

  1. L'utilisateur crée un nouveau fichier dans un dossier chiffré.

  2. Une clé de chiffrement de fichier (FEK) symétrique est générée de manière aléatoire.

  3. Le système d'exploitation vérifie le magasin de certificats de l'utilisateur à la recherche d'un certificat qui possède les indicateurs d'utilisation de clé appropriés. S'il n'existe aucun certificat approprié, un certificat est généré automatiquement.

  4. DPAPI (Data Protection Application Programming Interface) est utilisé pour chiffrer et stocker les clés privées associées au certificat de l'utilisateur.

  5. La FEK est chiffrée à l'aide de la clé publique du certificat et stockée dans les métadonnées du fichier.

  6. La FEK est utilisée pour déchiffrer chaque bloc de données.

  7. Les blocs chiffrés sont écrits sur le disque.

La séquence logique du processus de déchiffrement EFS dans cette option est indiquée dans l'illustration suivante :

Figure 4.3. Processus de déchiffrement EFS

Les étapes de la séquence de déchiffrement illustrée sont les suivantes :

  1. L'ouverture de session de l'utilisateur est validée soit localement, soit par un contrôleur de domaine.

  2. L'utilisateur tente d'accéder à un fichier chiffré.

  3. DPAPI est utilisé pour récupérer la clé privée associée au certificat X.509 de l'utilisateur et pour le déchiffrer, à l'aide d'une clé dérivée des informations d'identification de connexion de l'utilisateur.

  4. La FEK est récupérée à partir du fichier et déchiffrée avec la clé privée obtenue à l'étape précédente.

  5. La FEK est utilisée pour déchiffrer chaque bloc du fichier qui lui est demandé.

  6. Les données déchiffrées sont envoyées à l'application qui les demandait.

Pour plus d'informations sur le comportement d'implémentation d'EFS, reportez-vous au document Encrypting File System Technical Reference (Référence technique d'EFS).

Risques réduits : EFS avec stockage de clé logicielle

Cette option d'EFS réduit les risques d'accès aux données suivants :

  • Le personnel interne peut lire des données chiffrées. Par rapport à BitLocker, EFS possède l'avantage spécifique de stocker les clés de cryptage dans une clé sécurisée qui est protégée par les informations d'identification de l'utilisateur. Dans cette configuration, les informations d'identification prennent la forme d'un mot de passe. Par conséquent, d'autres utilisateurs autorisés peuvent se connecter à l'ordinateur, de manière interactive ou sur le réseau, mais ne peuvent pas accéder aux fichiers confidentiels de cet ordinateur qu'un autre utilisateur a protégés avec EFS, à moins que cet utilisateur ne leur attribue explicitement un droit d'accès.

  • Découverte de la clé par une attaque hors connexion. Si un utilisateur malveillant ciblait une clé comme la FEK ou la clé principale de DPAPI au lieu du mot de passe de l'utilisateur, la clé de récupération d'EFS (une clé privée pour l'utilisation des certificats par EFS) ou la clé principale de DPAPI pourrait faire l'objet d'une attaque par force brute. Pour la plupart des entreprises, cette menace n'est pas inquiétante car ce type d'attaque se heurte aux puissantes clés qu'utilise EFS.

  • Fuites de données en texte clair par le fichier d'échange système (Windows Vista uniquement). Windows Vista permet de chiffrer les contenus du fichier d'échange système, ce qui élimine une source potentielle de fuite de données. Cette fonction a été implémentée spécifiquement pour protéger des clés EFS de Windows Vista comme la clé DPAPI principale (voir le sujet suivant) pendant qu'elle est en cours d'utilisation par l'ordinateur. Cette fonction s'attaque également au risque de cette option d'EFS à savoir la possibilité d'accéder à des données en texte clair dans le fichier d'échange si celui-ci est utilisé par une application. Les clés de cryptage qui sont utilisées pour chiffrer le fichier d'échange sont temporaires et générées au sein de l'autorité de sécurité locale (LSA). Elles ne sont pas dérivées des informations d'identification de connexion de l'utilisateur ou du certificat X.509. Une fois que l'ordinateur s'éteint (ou s'il se bloque), les données du fichier d'échange chiffré ne peuvent pas être récupérées ni lues par quelque méthode que ce soit, à l'exception d'une attaque par force brute.

Risques résiduels et réduction de ces risques : EFS avec stockage de clé logicielle

Cette option EFS ne réduit pas les risques suivants sans contrôles et stratégie supplémentaires :

  • Ordinateur laissé en veille prolongée. Comme dans les options de BitLocker, si un utilisateur ne configure pas l'ordinateur pour qu'il exige un mot de passe lorsqu'il quitte le mode veille ou veille prolongée, le système d'exploitation n'a aucun moyen de savoir que l'utilisateur actuel n'est pas l'utilisateur autorisé. Dans une telle situation, un pirate peut utiliser l'ordinateur portable comme s'il était l'utilisateur autorisé. Une attaque probable consisterait à copier des données intéressantes vers un périphérique amovible ou un emplacement réseau. Lorsqu'un ordinateur est configuré pour demander les informations personnelles de l'utilisateur quand il sort des modes de veille ou de veille prolongée, le risque est réduit.

  • Ordinateur laissé en mode veille. Identique à l'explication de réduction de risque précédente.

  • Ordinateur connecté, avec le Bureau déverrouillé. Une fois que l'utilisateur ouvre une session sur l'ordinateur, les informations d'identification sont disponibles pour déchiffrer les certificats utilisés pour EFS. Dès lors, les données déchiffrées sont accessibles par toute personne ayant accès au clavier. Le meilleur moyen de réduire ce risque est de dispenser une formation de sensibilisation à la sécurité aux utilisateurs susceptibles de posséder des informations sensibles sur leur ordinateur.

  • Découverte du mot de passe local/de domaine. Dans cette configuration, les clés EFS sont déchiffrées dans une séquence qui démarre avec une clé dérivée du mot de passe de l'utilisateur. C'est pourquoi si le mot de passe de l'utilisateur est compromis, le cryptage EFS l'est également. Ce risque peut être réduit en implémentant une stratégie de mot de passe puissant, afin d'empêcher des attaques de type dictionnaire, et en formant les utilisateurs sur l'importance de la protection de leurs mots de passe.

  • Attaques hors connexion contre le système d'exploitation. EFS n'offre aucune protection pour le système d'exploitation sur l'ordinateur, ni pour les fichiers de configuration du système d'exploitation dans un scénario d'attaque hors connexion.

  • Attaques en ligne contre le système d'exploitation. Les risques d'attaques en ligne contre le système d'exploitation ne sont pas réduits par cette option. Un utilisateur malveillant qui peut exécuter le code de son choix sur le système d'exploitation peut voler des clés de chiffrement.

  • Fuites de données en texte clair par le fichier de veille prolongée. EFS ne fournit aucune protection pour le fichier de veille prolongée système. Ce risque peut être réduit par la mise à niveau vers Windows Vista et l'utilisation de BitLocker, ou la désactivation de la veille prolongée.

Important

Le fait de désactiver la veille prolongée réduit la facilité d'utilisation des PC mobiles. Cette réduction peut être appropriée pour des ordinateurs qui stockent des données particulièrement importantes, mais de manière générale, il est préférable d'utiliser d'autres méthodes de réduction de risques.

  • Fuites de données en texte clair par le fichier d'échange système (Windows XP uniquement). Sous Windows XP, il est impossible d'utiliser EFS pour chiffrer des fichiers système, y compris le fichier d'échange système. Cette restriction signifie que si une application accède à des données confidentielles, ces dernières peuvent être écrites sur le disque lors d'une opération courante de pagination de mémoire. Ce risque peut être réduit en effectuant une mise à niveau vers Windows Vista ou en configurant l'ordinateur pour qu'il n'utilise pas la pagination de mémoire.

Important

La désactivation de la pagination de mémoire réduit habituellement la performance de l'ordinateur, parfois de façon significative.

  • Attaques de plate-forme. Un ordinateur configuré pour utiliser EFS avec stockage de clé logicielle conserve les clés d'EFS sur le disque et en mémoire. Une attaque de plate-forme qui utilise un accès direct à la mémoire ou d'autres techniques de manipulation de matériel pourrait récupérer les éléments de clé.

  • Facteur d'authentification requis laissé sur l'ordinateur. Dans cette option, aucun autre facteur d'authentification n'existe. Le seul facteur d'authentification est le mot de passe de l'utilisateur sur l'ordinateur ou le réseau.

  • Erreur utilisateur. L'utilisateur doit veiller à ne pas sauvegarder des fichiers contenant des données sensibles sur un emplacement où EFS n'est pas activé. Sous Windows Vista, ce risque est partiellement réduit car une option de configuration d'EFS permet de chiffrer tous les fichiers du dossier Mes documents de l'utilisateur. Grâce à cette fonctionnalité, les utilisateurs peuvent facilement s'assurer que les fichiers et répertories appropriés sont chiffrés. Ce risque peut également être réduit en utilisant l'outil Microsoft Encrypting File System Assistant (EFS Assistant est fourni avec ce Solution Accelerator) qui facilite l'automatisation du processus de sécurisation des fichiers utilisateur avec EFS.

Haut de page

Option d'EFS : EFS avec cartes à puce

Selon la version de Windows, les caractéristiques de sécurité d'EFS présentent différentes améliorations. Les sous-sections suivantes fournissent des informations sur ces différentes améliorations.

Windows XP et Ouverture de session par carte à puce

Demander l'ouverture de session par carte à puce est un paramètre d'utilisateur de domaine disponible via le service d'annuaire Active Directory® qui demande à l'utilisateur d'utiliser une carte à puce pour ouvrir une session sur son compte de domaine. Le risque principal avec EFS est que si un mot de passe utilisateur est compromis, un utilisateur malveillant pourrait ouvrir une session sur l'ordinateur en utilisant ce compte et accéder à toutes les données présentes sur l'ordinateur, y compris les données protégées par EFS.

Le paramètre de stratégie d'Active Directory qui demande l'utilisation d'une carte à puce pour l'ouverture de session améliore significativement la sécurité du compte, et, par extension, de toutes les données protégées par EFS. Ce paramètre peut également contribuer à protéger les données des attaques hors connexion, parce qu'il renforce la puissance de la clé utilisée par EFS pour le chiffrement de DPAPI. DPAPI fonctionne en dérivant une clé des informations d'identification de l'utilisateur.

L'ouverture de session par carte à puce peut être exigée de deux manières différentes : au niveau utilisateur, ou au niveau de l'ordinateur. Elle peut être activée ou appliquée dans chaque mode. Il existe des différences de sécurité notables entre les modes :

  • Avec une ouverture de session par carte à puce au niveau utilisateur, la clé initiale est beaucoup plus forte qu'un mot de passe classique. Au lieu d'une attaque par dictionnaire sur le mot de passe, un utilisateur malveillant devra probablement effectuer une attaque par force brute sur une clé privée qui peut être assez longue pour être pratiquement incassable avec les technologies actuelles.

  • Une ouverture de session par carte à puce au niveau de l'ordinateur fournit une meilleure sécurité qu'une ouverture de session par mot de passe seul, parce qu'elle ajoute un second facteur d'authentification. Cependant, l'ouverture de session par carte à puce au niveau de l'ordinateur utilise uniquement la carte à puce pour l'authentification lors de l'ouverture de session. Un utilisateur malveillant qui obtiendrait la clé principale DPAPI chiffrée pourrait monter une attaque par force brute et celle-ci demanderait moins de temps qu'une attaque par force brute sur une clé principale DPAPI protégée par une ouverture de session par carte à puce au niveau utilisateur.

Le fait d'activer un type d'ouverture de session par carte à puce sans la rendre obligatoire n'améliore pas la sécurité, car l'utilisateur reste libre de l'utiliser ou non.

Pour plus d'informations concernant DPAPI et la manière dont une ouverture de session par carte à puce agit sur les clés DPAPI, consultez l'article « Windows Data Protection » (Protection des données de Windows) sur MSDN.

Notes

Cette analyse de risques suppose que les cartes à puce sont utilisées en association avec un code PIN complexe, et que la carte à puce implémente un blocage du PIN pour empêcher qu'il ne soit deviné.

Le chiffrement d'EFS dans Windows XP avec l'option d'ouverture de session par carte à puce est illustré dans la figure suivante.

Figure 3.5. Séquence de chiffrement d'EFS pour Windows XP avec ouverture de session par carte à puce

Les étapes de la séquence de chiffrement illustrée sont les suivantes :

  1. L'utilisateur crée un nouveau fichier dans un dossier chiffré.

  2. Une clé FEK symétrique est générée de façon aléatoire.

  3. Le système d'exploitation vérifie le magasin de certificats de l'utilisateur à la recherche d'un certificat qui possède les indicateurs d'utilisation de clé appropriés. S'il n'existe aucun certificat approprié, un certificat est généré automatiquement.

  4. DPAPI est utilisé pour chiffrer et stocker la clé privée associée au certificat de l'utilisateur. Ce chiffrement est beaucoup plus puissant que l'option précédente, grâce au mot de passe beaucoup plus fort utilisé lorsque l'on exige une ouverture de session par carte à puce.

  5. La FEK est chiffrée à l'aide de la clé publique du certificat et stockée dans les métadonnées du fichier.

  6. La FEK est utilisée pour déchiffrer chaque bloc de données.

  7. Les blocs chiffrés sont écrits sur le disque.

Le déchiffrement d'EFS dans Windows XP avec l'option d'ouverture de session par carte à puce est illustré dans la figure suivante.

Figure 3.6. Séquence de déchiffrement d'EFS pour Windows XP avec ouverture de session par carte à puce

Les étapes de la séquence de déchiffrement illustrée sont les suivantes :

  1. L'ouverture de session par carte à puce de l'utilisateur est validée soit localement, soit par un contrôleur de domaine.

  2. L'utilisateur tente d'accéder à un fichier chiffré.

  3. La clé privée correcte est récupérée du magasin DPAPI de l'utilisateur et DPAPI la déchiffre en utilisant une clé dérivée du mot de passe utilisateur, un mot de passe fort et aléatoire appliqué au compte utilisateur lorsque Demander l'ouverture de session par carte à puce est activé sur le compte.

  4. La FEK est récupérée à partir du fichier et déchiffrée avec la clé privée obtenue à l'étape précédente.

  5. À mesure que l'application lit chaque bloc du fichier, la FEK est utilisée pour déchiffrer le bloc avant qu'il ne soit transmis à l'application demandeuse.

Windows Vista avec EFS et carte à puce

Windows Vista offre de nouvelles fonctions puissantes qui augmentent la sécurité et la facilité d'utilisation d'EFS grâce à une meilleure intégration de la technologie des cartes à puce. Windows XP profite indirectement de l'ouverture de session par carte à puce parce que celle-ci améliore les caractéristiques des clés DPAPI. En revanche, sous Windows Vista, les cartes à puce peuvent être utilisées directement pour chiffrer des fichiers avec EFS. Les nouvelles fonctions ne nécessitent pas que l'utilisateur soit connecté avec la carte à puce, même si ce scénario fonctionne également. Au lieu de cela, le système demande à l'utilisateur d'insérer sa carte à puce et de fournir un code PIN si EFS est configuré pour demander une carte à puce.

L'implémentation évidente d'EFS avec une carte à puce est de chiffrer directement la FEK à l'aide de la clé publique et de la déchiffrer à l'aide de la clé privée correspondant au certificat présent sur la carte à puce. Bien que très simple et sécurisée, cette option a un impact sur les performances lorsque chaque fichier utilisé est déchiffré, car chaque opération de déchiffrement de clé privée implique une communication avec la carte à puce, et le processeur de la carte à puce est beaucoup plus lent que celui de l'ordinateur.

Le fait que la carte à puce doive toujours être présente dans l'ordinateur constitue un autre problème de cette implémentation, car chaque tentative de déchiffrement d'un fichier nécessite la clé privée pour déchiffrer la FEK. Afin d'améliorer à la fois la performance et la facilité d'utilisation de l'option EFS avec carte à puce, EFS est configuré par défaut pour dériver une clé symétrique de la clé privée de la carte à puce, et pour l'utiliser pour chiffrer et déchiffrer les clés FEK associées aux fichiers chiffrés. Dans cette configuration par défaut, la clé symétrique dérivée est mise en cache par le système d'exploitation pour que les opérations de chiffrement et déchiffrement suivantes ne nécessitent pas l'utilisation de la carte à puce et de ses clés privées ou publiques associées.

La possibilité de configuration de la clé symétrique (dérivée et mise en cache ou non) est représentée dans la Figure 3.2. Interface de gestion d'EFS sous Windows Vista par l'option Créer une clé utilisateur avec capacité de mise en cache à partir de la carte à puce. Si cette option est décochée, aucune clé symétrique n'est dérivée, ni mise en cache, et la FEK est chiffrée et déchiffrée en utilisant directement les clés de la carte à puce. Le présent guide utilise les termes mode de clé en cache et mode de clé non mise en cache pour décrire ces deux modes de fonctionnement différents, qui offrent chacun leurs caractéristiques de sécurité propres.

Mode de clé en cache

En mode de clé en cache, la clé symétrique dérivée est mise en cache par le système d'exploitation dans la mémoire LSA protégée jusqu'à l'expiration du compteur du cache, qui peut être configuré. Le compteur du cache par défaut est réglé sur huit heures d'inactivité du système. Toute opération qui utilise la clé dérivée réinitialise le compteur de vidage. Le vidage du cache de la clé EFS peut aussi être configuré pour se produire lorsque l'utilisateur verrouille l'ordinateur ou lorsqu'il retire la carte à puce. Le mode de clé en cache améliore la performance de façon significative et permet à l'administrateur de configurer EFS pour que les fichiers chiffrés puissent être déchiffrés sans nécessiter la présence continue de la carte à puce dans le lecteur.

Notes

Pour plus de détails sur l'implémentation du mode de clé en cache dans Windows Vista, référez-vous au Guide de sécurité Windows Vista.

Le chiffrement EFS en mode de clé en cache est représenté dans l'illustration suivante :

Figure 3.7. Séquence de chiffrement EFS pour Windows Vista avec carte à puce - Mode de clé en cache

Les étapes de la séquence de chiffrement illustrée sont les suivantes :

  1. L'utilisateur crée un nouveau fichier dans un dossier chiffré.

  2. Si l'une des conditions suivantes est vraie, le système demandera à l'utilisateur d'insérer sa carte à puce et de saisir son code PIN.

    • L'utilisateur ne s'est pas connecté à l'ordinateur en utilisant sa carte à puce.

    • L'utilisateur n'a pas récemment utilisé sa carte à puce pour accéder à un fichier EFS.

    • Le code PIN de la carte n'a pas été mis en cache après une opération EFS?récente, ou le cache du code PIN a été supprimé pour cause d'inactivité.

  3. Une FEK est générée de manière aléatoire.

  4. Une clé symétrique est dérivée à partir de la clé privée de la carte à puce dans les deux cas suivants :

    • lorsque le premier fichier est chiffré ;

    • lorsque la clé dérivée n'est pas présente dans le cache.

  5. La FEK est chiffrée avec la clé symétrique dérivée stockée dans les métadonnées du fichier.

  6. La clé symétrique dérivée est mise en cache dans la mémoire protégée par LSA.

  7. La FEK est utilisée pour déchiffrer chaque bloc de données.

  8. Les blocs chiffrés sont écrits sur le disque.

Le déchiffrement EFS en mode de clé en cache est indiqué dans l'illustration suivante :

Figure 3.8. Séquence de déchiffrement EFS pour Windows Vista avec carte à puce - Mode de clé en cache

Les étapes de la séquence de déchiffrement illustrée sont les suivantes :

  1. L'utilisateur tente d'accéder à un fichier chiffré.

  2. Si l'une des conditions suivantes est vraie, le système demandera à l'utilisateur d'insérer sa carte à puce et de saisir son code PIN.

    • L'utilisateur ne s'est pas connecté à l'ordinateur en utilisant sa carte à puce.

    • L'utilisateur n'a pas récemment utilisé sa carte à puce pour accéder à un fichier EFS.

    • Le code PIN de la carte n'a pas été mis en cache après une opération EFS?récente, ou le cache du code PIN a été supprimé pour cause d'inactivité.

  3. Si elle n'est pas déjà mise en cache, une clé symétrique est dérivée de la clé privée présente sur la carte à puce. Après sa première utilisation, la clé dérivée est mise en cache dans la mémoire protégée par LSA.

  4. La FEK est récupérée à partir du fichier et déchiffrée à l'aide de la clé symétrique dérivée.

  5. À mesure que l'application lit chaque bloc du fichier, la FEK est utilisée pour déchiffrer le bloc avant qu'il ne soit transmis à l'application demandeuse.

Mode de clé non mise en cache

Le chiffrement EFS dans Windows Vista lorsque EFS fonctionne en mode de clé non mise en cache est illustré par la figure suivante.

Figure 3.9. Séquence de chiffrement EFS pour Windows Vista avec carte à puce - Mode de clé non mise en cache

Les étapes de la séquence de chiffrement illustrée sont les suivantes :

  1. L'utilisateur crée un nouveau fichier dans un dossier chiffré.

  2. Si la carte à puce de l'utilisateur n'est pas présente, le système demande à l'utilisateur de l'insérer.

  3. Une clé FEK symétrique est générée de façon aléatoire.

  4. La FEK est chiffrée à l'aide de la clé publique du certificat et stockée dans les métadonnées du fichier.

  5. Chaque bloc de données écrit par l'application est chiffré avec la FEK.

  6. Le bloc chiffré est écrit sur le disque.

Le déchiffrement EFS en mode de clé non mise en cache est représenté par l'illustration suivante :

Figure 3.10. Séquence de chiffrement EFS pour Windows Vista avec carte à puce - Mode de clé non mise en cache

Les étapes de la séquence de déchiffrement illustrée sont les suivantes :

  1. L'utilisateur tente d'accéder à un fichier chiffré.

  2. Si la carte à puce de l'utilisateur n'est pas présente, le système demande à l'utilisateur de l'insérer. Si l'une des conditions suivantes est vraie, l'utilisateur est invité à saisir son code PIN :

    • L'utilisateur ne s'est pas connecté à l'ordinateur en utilisant sa carte à puce.

    • L'utilisateur n'a pas récemment utilisé sa carte à puce pour accéder à un fichier EFS.

    • Le code PIN de la carte n'a pas été mis en cache après une opération EFS récente, ou le cache du code PIN a été supprimé pour cause d'inactivité.

  3. Les métadonnées d'EFS pour le fichier sont récupérées à partir du fichier, et la FEK chiffrée est transmise à la carte à puce.

  4. La carte à puce déchiffre les métadonnées et obtient la FEK, qui est ensuite renvoyée au système d'exploitation.

  5. À mesure que l'application lit chaque bloc du fichier, la FEK est utilisée pour déchiffrer le bloc avant qu'il ne soit transmis à l'application qui le demandait.

Risques réduits : EFS avec carte à puce

L'option EFS avec carte à puce réduit les risques d'accès aux données suivants :

  • Ordinateur laissé en veille prolongée (Mode de clé non mise en cache de Windows Vista seulement). Windows Vista peut demander une authentification par carte à puce pour chaque accès à un fichier protégé par EFS. Ce mode de fonctionnement réduit ce risque de façon significative, alors que ce n'est pas le cas avec le mode de carte à puce avec clé en cache par défaut.

  • Ordinateur laissé en mode veille (Mode de clé non mise en cache de Windows Vista seulement). Identique à l'explication de réduction de risque précédente (mode veille prolongée).

  • Ordinateur laissé connecté, avec le Bureau déverrouillé (Mode de clé non mise en cache de Windows Vista seulement). Windows Vista peut demander une authentification par carte à puce pour chaque accès à un fichier protégé par EFS. Cette fonctionnalité, appelée mode de clé non mise en cache et décrite précédemment dans ce chapitre, réduit efficacement ce risque car la présence de la carte à puce est nécessaire pour tout accès à un fichier EFS. Si ce scénario induit des risques potentiels en terme de facilité d'utilisation, cette option reste valide pour les entreprises qui exigent la solution de chiffrement la plus sécurisée possible pour leurs données sensibles et critiques.

  • Découverte du mot de passe local/de domaine. Comme indiqué à la section traitant des risques de sécurité des données, au chapitre 1, les utilisateurs malveillants visent toujours le maillon le plus faible. Malheureusement pour les responsables des systèmes informatiques, le maillon faible est souvent l'utilisateur qui choisit un mot de passe trop simple ou qui écrit son mot de passe sur un morceau de papier qu'il scotche à son écran. Lorsque votre entreprise implémente une authentification à deux facteurs basée sur carte à puce pour la sécurité réseau, vous êtes normalement en mesure d'augmenter le niveau de sécurité d'EFS à l'aide de la stratégie « Carte à puce exigée pour ouverture de session interactive ». Sous Windows Vista, il est possible de demander une authentification à deux facteurs pour accéder aux données sensibles, même dans les situations pour lesquelles une ouverture de session par carte à puce ne peut pas être exigée en activant le paramètre Demander une carte à puce pour EFS.

  • Le personnel interne peut lire des données chiffrées. L'option EFS avec carte à puce fournit une réduction efficace de ce risque en ajoutant un facteur d'authentification supplémentaire.

  • Découverte de la clé par une attaque hors connexion. Si un utilisateur malveillant ciblait une clé comme la FEK ou la clé principale DPAPI au lieu du mot de passe de l'utilisateur, la clé de récupération d'EFS (une clé privée pour l'utilisation des certificats par EFS) ou la clé principale DPAPI pourrait faire l'objet d'une attaque par force brute. Pour la plupart des entreprises, cette menace n'est pas inquiétante car ce type d'attaque se heurte à la puissance des clés utilisées par EFS.

  • Fuites de données en texte clair par le fichier d'échange système (Windows Vista uniquement). Windows Vista peut être configuré pour chiffrer le fichier d'échange système, ce qui réduit efficacement ce risque.

  • Attaques de plate-forme (Mode de clé non mise en cache de Windows Vista seulement). En mode de clé non mise en cache, un ordinateur configuré pour utiliser EFS avec un stockage de clé sur carte à puce conserve les clés EFS en mémoire, ce qui les rend vulnérables en cas d'attaque de plate-forme. EFS utilisé avec un stockage de clé sur carte à puce réduit efficacement le risque d'une telle attaque, car les éléments de clé ne pourraient être drobés que par une attaque directe contre la carte à puce.

  • Facteur d'authentification requis laissé sur l'ordinateur. Dans cette option, l'utilisateur doit fournir le code PIN en plus du facteur d'authentification physique, ce qui offre une réelle solution multifacteur qui limite le risque.

Risques résiduels et réduction de ces risques : EFS avec carte à puce

Sans contrôles et stratégie supplémentaires, l'option EFS avec carte à puce ne peut réduire les risques suivants :

  • Ordinateur laissé en veille prolongée (Mode de clé en cache de Windows Vista seulement). Si un utilisateur ne configure pas l'ordinateur pour qu'il demande le mot de passe lorsqu'il quitte le mode veille ou veille prolongée, le système d'exploitation n'a aucun moyen de savoir que l'utilisateur actuel n'est pas le bon utilisateur. Dans une telle situation, un utilisateur malveillant peut utiliser l'ordinateur portable comme s'il était l'utilisateur autorisé. Une attaque probable consisterait à copier des données intéressantes vers un périphérique amovible ou un emplacement réseau. Lorsqu'un ordinateur est configuré pour demander les informations personnelles de l'utilisateur lorsqu'il sort des modes de veille ou de veille prolongée, le risque est réduit. Dans l'option EFS avec carte à puce, ce risque peut être réduit comme décrit précédemment avec l'utilisation de Windows Vista.

  • Ordinateur laissé en veille (Mode de clé en cache de Windows XP et Windows Vista seulement). Identique à l'explication de risque résiduel précédent (mode veille prolongée).

  • Ordinateur laissé connecté, avec le Bureau déverrouillé (Mode de clé en cache de Windows XP et Windows Vista seulement). Une fois que l'utilisateur ouvre une session sur l'ordinateur, les informations d'identification sont disponibles pour déchiffrer les certificats utilisés pour EFS. Dès lors, les données déchiffrées sont accessibles par toute personne ayant accès au clavier. Le meilleur moyen de réduire ce risque est de dispenser une formation de sensibilisation à la sécurité aux utilisateurs susceptibles de posséder des informations sensibles sur leur ordinateur. Dans l'option EFS avec carte à puce, ce risque peut être réduit comme décrit précédemment avec l'utilisation de Windows Vista.

  • Attaques hors connexion contre le système d'exploitation. EFS n'offre aucune protection pour le système d'exploitation sur l'ordinateur, ni pour les fichiers de configuration du système d'exploitation dans un scénario d'attaque hors connexion.

  • Attaques en ligne contre le système d'exploitation (Mode de clé en cache de Windows XP et Windows Vista seulement). Cette option ne réduit pas les risques d'attaques en ligne contre le système d'exploitation. Cependant, l'utilisation de Windows Vista avec cartes à puce en mode de clé non mise en cache réduit partiellement ce risque en empêchant un utilisateur malveillant de récupérer les clés d'EFS parce qu'elles ne sont pas accessibles aux programmes qui s'exécutent sur le système d'exploitation hôte.

  • Fuites de données de texte en clair par le fichier de mise en veille prolongée. EFS ne fournit aucune protection pour le fichier de veille prolongée système. Ce risque peut être réduit par la mise à niveau vers Windows Vista et l'utilisation de BitLocker, ou la désactivation de la veille prolongée.

Important

Le fait de désactiver la veille prolongée réduit la facilité d'utilisation des PC mobiles. Cette solution peut être appropriée pour des ordinateurs qui stockent des données particulièrement importantes, mais de manière générale, il est préférable d'utiliser d'autres méthodes de réduction de risques.

  • Fuites de données en texte clair par le fichier d'échange système (Windows XP uniquement). Sous Windows XP, il est impossible d'utiliser EFS pour chiffrer des fichiers système, y compris le fichier d'échange système. Cette restriction signifie que si une application accède à des données confidentielles, ces dernières peuvent être écrites sur le disque lors d'une opération courante de pagination de mémoire. Ce risque peut être réduit en effectuant une mise à niveau vers Windows Vista ou en configurant l'ordinateur pour qu'il n'utilise pas la pagination de mémoire.

Important

La désactivation de la pagination de mémoire réduit habituellement la performance de l'ordinateur, parfois de façon significative.

  • Attaques de plate-forme (Mode de clé en cache de Windows Vista seulement). En mode de clé en cache, un ordinateur conserve les clés EFS en mémoire et une attaque de plate-forme pourrait réussir à les récupérer.

  • Erreur utilisateur. Les utilisateurs doivent veiller à ne pas sauvegarder des fichiers contenant des données sensibles à des emplacements où EFS n'est pas activé. Sous Windows Vista, ce risque est partiellement réduit car une option de configuration d'EFS permet de chiffrer tous les fichiers du dossier Mes documents de l'utilisateur. Grâce à cette fonctionnalité, les utilisateurs peuvent facilement s'assurer que les fichiers et les répertoires appropriés sont chiffrés. Ce risque peut également être réduit en utilisant l'outil EFS Assistant (fourni avec ce Solution Accelerator) pour automatiser le processus de sécurisation des fichiers utilisateur avec EFS.

Haut de page

Analyse de risques avec EFS : Résumé

Le tableau suivant dresse la liste des risques d'accès aux données et indique dans quelle mesure les différentes options d'EFS permettent de réduire ces risques. Pour les ordinateurs sous Windows XP, le paramètre d'utilisateur de domaine Demander l'ouverture de session par carte à puce est activé. Pour les ordinateurs sous Windows Vista, les paramètres EFS Exiger une carte à puce pour EFS et Autoriser le chiffrement du fichier d'échange sont activés.

Les risques qui sont réduits pour des options spécifiques sont marquées de la lettre Y. Les tirets - indiquent des risques pour lesquels l'option offre peu ou aucune réduction.

Tableau 3.1. Réduction des risques avec EFS


Haut de page

Plus d'informations

Télécharger

Obtenir les Outils pour le chiffrement des données pour PC mobiles

Participez

Inscrivez-vous pour participer au programme Data Encryption Toolkit version Bêta

Notifications de mise à jour

Abonnez-vous aux mises à jour et aux nouvelles versions

Commentaires

Envoyez-nous vos commentaires et vos suggestions.

Haut de page

  • Last updated on