Le sac à dos, meilleure protection anti-hacker ?

Protéger l’ordinateur mobile des collaborateurs en déplacement est souvent une affaire d’outils informatiques bien connus tels que le chiffrement intégral du disque dur, l’authentification forte ou encore la mise en place d’un mot de passe au démarrage (BIOS).

Pourtant beaucoup de ces mesures sont affaiblies – voire inopérantes – dès lors que l’adversaire est en mesure d’accéder physiquement à l’ordinateur. Et dans certains cas même pour seulement quelques minutes.

Aussi bien la fameuse « attaque de la femme de chambre malveillante » que l’attaque par redémarrage à froid (« Cold Boot ») ou encore l’infection de micro-code matériel démontrée par Thunderstrike (pour Mac) illustrent ainsi parfaitement combien il est illusoire d’espérer protéger efficacement un ordinateur si l’adversaire peut y avoir accès physiquement. 

Dans ces conditions il convient donc de compléter les protections logiques (qui ne doivent évidemment pas être supprimées !) par des mesures physiques et organisationnelles. 

La première de ces mesures consiste évidemment à tenter de priver l’adversaire de l’accès physique à la machine. Et pour cela, l’arme absolue du collaborateur en déplacement pourrait bien être… le sac à dos ! (disclaimer : lisez tout de même la suite…)

Car si les collaborateurs sont en mesures d’amener leur ordinateur portable avec eux à tout moment, et cela de manière confortable et non contraignante, ils seront moins enclins à le laisser dans leur chambre d’hôtel, là où il est le plus vulnérable (rappelons qu’en fonction de la menace identifiée, le coffre fort d’une chambre d’hôtel – surtout à l’étranger – ne constitue pas une mesure de protection suffisante).

Evidemment le choix du matériel devient alors primordial : un ordinateur lourd et encombrant sera plus souvent laissé en chambre qu’un ultra-portable de quelques centaines de grammes. De même pour son contenant, qui devra être choisi pour sa solidité, son confort de port et son aspect différenciant de l’indémodable (et pourtant si peu glamour) sacoche à ordinateur, devenue bien trop reconnaissable.

Attention cependant à procéder à une analyse de risque complète : car si « la méthode sac à dos » réduit bien le risque d’attaques complexes menées par un adversaire motivé et compétent, elle augmente mécaniquement celui de perte de l’appareil, plus facilement oublié dans un lieu public (mais l’impact ce ce risque là peut être réduit, notamment, par l’application d’un chiffrement intégral du disque dur).

A noter également que le chiffrement intégral du disque dur n’est pleinement efficace que lorsque la machine est éteinte. Mieux vaut donc privilégier les disques durs de type SSD, qui permettent un démarrage beaucoup plus rapide. A défaut les utilisateurs continueront à laisser leur ordinateur en veille durant les déplacements, s’exposant ainsi à une attaque de type démarrage à froid si la machine venait à être égarée.

Sur le plan organisationnel, enfin, il peut être profitable de structurer les procédures de déplacement des collaborateurs afin de mieux identifier les besoins d’accès durant la mission et adapter ainsi de manière plus granulaire le matériel aux exigences réelles du déplacement. Pourquoi partir avec un ordinateur portable lorsqu’une tablette peut faire l’affaire ? Pourquoi partir avec une tablette lorsqu’il n’y aura besoin que de consulter des données accessibles depuis un smartphone ?

Au delà donc de la seule « méthode sac à dos », dont vous comprenez maintenant qu’elle n’est en réalité qu’une excuse à un titre un peu facile, la méthode consiste en réalité à considérer la protection de l’information des collaborateurs en déplacement de manière cohérente sur les axes physiques, logiques et organisationnels.  

Lire les articles précédents :
A la merci des procédures des autres

Quand un escroc peut neutraliser à sa guise vos lignes téléphoniques fixes et mobiles en appelant simplement votre opérateur, il...

Fermer