Systèmes de fichiers chiffrés : le cas de NTFS 5

Avec la démocratisation de l'informatique, de plus en plus de données confidentielles sont stockées sur les ordinateurs personnels. L'informatique mobile est particulièrement concernée et vulnérable face aux risques de vols de données. Il devient courant de recourir au chiffrement de ses données personnelles afin d'augmenter la sécurité de leur stockage.
Le but de cet article est de présenter le chiffrement des données au sein même des systèmes de fichiers (plus particulièrement avec NTFS 5) et son avantage par rapport à l'utilisation d'un logiciel supplémentaire spécifique.

L'objectif premier d'un système de fichiers chiffré est d'augmenter la sécurité d'un système en protégeant ses informations sensibles de manière permanente. Il est en effet possible de contourner les protections classiques d'un système en accédant à ses données depuis un autre système. L'objectif principal est d'assurer cette protection au moyen du chiffrement tout en minimisant l'impact sur le système, sur tous les plans (ressources utilisées, utilisation, configuration, ...).

Le premier avantage de l'intégration du chiffrement au sein même du système de fichiers est la cohérence obtenue vis à vis des autres composants sécuritaires du système, ainsi que la souplesse de ce procédé en termes d'utilisation et de mise en place (transparence maximale).
Cette solution vient en complément des autres mécanismes de sécurité, notamment des permissions d'accès qui ne mettent pas à l'abris d'une mauvaise attribution des droits ou d'une utilisation abusive (collègue trop curieux, système piraté, ...).
En étant parfaitement intégrée au système, cette solution facilite et encourage son utilisation, car tout est en place. Son intimité avec le système lui permet d'avoir des performances généralement meilleures qu'une solution externe, tout en simplifiant son utilisation. Son intégration dans la politique de sécurité globale du système facilite et améliore la gestion (notamment en utilisant le mécanisme de gestions des clés mis en place sur le système).
Les systèmes de fichiers chiffrés sont donc plus économiques qu'un logiciel tiers, sur de nombreux plans (performance, coût d'achat, de mise en place, de formation, de maintenance, ...).

Le chiffrement au sein d'un système de fichiers se doit d'être le plus transparent possible, que ce soit vis à vis des utilisateurs ou des programmes qui accèdent aux fichiers. C'est un point important car de la facilité d'utilisation de ce procédé dépend son succès.
Il doit bien évidemment reposer sur des principes sûrs et des algorithmes publiques. Il doit être fiable, rapide, gérer de manière sûre les clés, prendre en compte le partage de fichiers entre utilisateurs (sans pour autant partager tous les autres) tout en étant conforme aux législations de chaque pays.

Le New Technolgy File System version 5 est le nouveau système de fichiers de Windows depuis Windows 2000. Ses caractéristiques principales sont les suivantes :

• il est journalisé
• il gère les permissions d'accès de manière fine grâce aux ACL (Access Control List)
• il intègre la compression des fichiers
• il permet d'établir des quotas disques
• il assure la protection des fichiers systèmes (SFP)
• il supporte le stockage étendu
• ...
• et il permet de chiffrer les fichiers avec EFS (Encrypting File System)

Le chiffrement d'un fichier s'effectue depuis l'Explorateur de Windows via le menu des propriétés avancées du fichier. Les fichiers cryptés apparaissent alors en vert.
EFS est composé d'un driver qui vient s'immiscer entre le driver NTFS et le contrôleur d'entrées / sorties ainsi que d'un service système qui s'occupe des opérations de chiffrement. Pour cela, ce service s'appuie sur la CryptoAPI qui est le composant central de Windows en matière de cryptographie. La CryptoAPI permet de générer des clés, de les gérer et les stocker de manière sécurisée, d'en effectuer l'échange, de faire du chiffrement et du déchiffrement, du hachage, de la signature et de la vérification de signatures numériques. Elle permet aussi d'utiliser des certificats.
EFS utilise le cryptage par clé symétrique avec les technologies de clé publique pour assurer la confidentialité des fichiers. Pour chiffrer un fichier, EFS procède en deux étapes :

• Il génère une clé de chiffrement (FEK) aléatoire pour chaque chiffrement de fichier. Le fichier est ensuite chiffré avec cette clé avec un algorithme symétrique rapide (DESX, 3DES, AES).
• La clé FEK utilisée est ensuite chiffrée au moyen de RSA avec la clé privée de chaque utilisateur ayant accès au fichier puis stockée sur le disque dur. Une entrée supplémentaire pour l'agent de récupération est créée. Cet agent sert à déchiffrer les fichiers en cas de perte de clé (compte utilisateur supprimé, ...).

La sécurité du procédé repose donc sur celle des algorithmes utilisés ainsi que sur le stockage des clés privées. Les algorithmes de chiffrement symétriques supportés par EFS sont (par ordre chronologique d'introduction) :

• le DESX
• le triple DES (3DES)
• l'AES

Le DESX est une variante renforcée du DES qui effectue un XOR bit à bit entre une clé de 64 bits et le texte à chiffrer avant et après le chiffrement DES. Cette opération supplémentaire le rend plus résistant aux attaques sur le DES.
La principale menace vient donc de la récupération des clés privées qui sont stockées dans le disque dur. Pour contrer cela, il est possible d'enregistrer les clés privées ailleurs que sur le disque (Carte à puce, PKI).
EFS possède des contraintes supplémentaires quant à son utilisation pour des raisons de sécurité et de performances. Ainsi, il n'est pas possible de chiffrer les fichiers systèmes, le chiffrement d'un fichier compressé provoque la décompression de ce dernier, la copie de fichiers cryptés entre utilisateurs provoque un nouveau chiffrement du fichier copié (et non pas une simple copie).

Malgré toutes ces précautions techniques, un système de fichiers chiffré ne protège pas de tout. Il ne peut rien faire dans le cas d'une application accédant (légitimement) à un fichier crypté et qui en crée une copie temporaire non cryptée. De plus, le chiffrement ne s'applique qu'au sein du disque dur ou de la partition concernée. Si un utilisateur déplace son fichier chiffré sur un disque FAT32 ou qu'il le grave sur un CD par exemple, ce dernier ne sera plus crypté. Il s'agit là d'une limite de cette solution par rapport à un logiciel externe de chiffrement où un fichier est crypté en permanence, quel que soit le support.
D'une manière générale, le chiffrement de fichiers convient mal dans le cas de fichiers fréquemment modifiés, car la moindre modification nécessite son re-chiffrement complet. L'utilisation abusive du chiffrement afin de sécuriser son système peut aussi avoir un effet pervers en empêchant un antivirus de fonctionner et laisser ainsi libre court à toute infection.
Enfin, le chiffrement des données nécessite forcément des ressources, et pénalise donc le système (la sécurité a un coût).

Les systèmes de fichiers chiffrés sont donc des technologies fiables et performantes apportant un niveau élevé de sécurité satisfaisant pour la majorité des utilisateurs. Ils ne sont cependant pas suffisants pour sécuriser un système et doivent s'inscrire dans le cadre d'une politique de sécurité globale. Ils sont un complément de sécurité en non une solution universelle. Leur utilisation doit être modérée et être accompagnée d'un minimum de communication, car rappelons que le bon sens constitue le point essentiel de toute sécurité.