Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Le souci du chiffrement intégral sous Mac

auteur de l'article Jerome Saiz , dans la rubrique Produits & Technologies

Commentaires Commentaires fermés sur Le souci du chiffrement intégral sous Mac

La politique de sécurité impose le chiffrement intégral de tous les portables, mais les VIP préfèrent leur MacBook Air au bon vieux Thinkpad corporate ? Voici quelques pistes de réponse afin de les satisfaire…

Comment supporter officiellement les ordinateurs portables Apple en entreprise lorsque la politique de sécurité impose un chiffrement intégral du disque dur (FDE) à tous les nomades ?

Les adeptes du Mac rétorqueront que le problème ne se pose pas car MacOS intègre d’emblée un outil de chiffrement (FileVault ) capable de protéger le répertoire de travail (et seulement celui-ci, avec le swap disque). C’est très juste, mais ce n’est pas du chiffrement intégral. FileVault ne saura donc satisfaire la politique de sécurité si celle-ci impose le FDE.

Les solutions réellement FDE pour Mac sont toutefois hélas très limitées, et plus encore si l’on souhaite bénéficier du chiffrement matériel offert par certains disques durs auto-chiffrants. Ces derniers sont pourtant désormais disponibles aisément chez Seagate, Hitachi, Fujitsu et Samsung notamment.

En dépit d’une offre étendue, seuls les disques Momentus FDE de Seagate ont à notre connaissance une chance de fonctionner sous OSX. Et encore, à condition de choisir le bon modèle. Car les disques Momentus sont disponibles en deux versions : l’une, individuelle (BIOS-Only mode), utilise le mot de passe du BIOS comme clé de chiffrement du disque. Puisque les Mac fonctionnent avec EFI (Extensible Firmware Interface), ce disque ne pourra fonctionner sur Mac.

L’autre (Enterprise mode, ou DriveTrustT) est indépendant du BIOS car il s’appuie sur l’infrastructure pour la gestion des clés de chiffrement. Le disque exige donc un client logiciel compatible sur l’ordinateur. Mais des trois fournisseurs indiqués par Seagate (Wave Systems, Secude AG et Winmagic Data Security), seul Winmagic dispose d’une version de son outil de chiffrement pour MacOS.

Si en revanche la contrainte du chiffrement hardware est levée, le choix devient immédiatement un peu plus large. Outre Winmagic (dont l’outil est capable de fonctionner en mode software et hardware), deux autres solutions de FDE logiciel sont disponibles pour le Mac : PGP Whole Disk Encryption et Checkpoint Full Disk Encryption.

Tous ces clients (y compris celui de Winmagic) sont disponibles autant pour MacOS que pour Windows (et Linux, dans le cas de Checkpoint FDE). Et ils s’intègrent en outre à une console centralisée, qui permettra de maintenir une politique homogène dans un parc hétérogène.

Hélas, les versions ne sont pas toujours identiques d’un environnement à l’autre. Ainsi contrairement à sa grande soeur pour Windows, PGP indique que la version OSX de Whole Disk Encryption ne fonctionnera pas en mode autonome (l’entreprise doit posséder un serveur d’infrastructure PGP Universal Server). La version Mac ne supporte en outre pas l’authentification à deux facteurs, pourtant disponible sous Windows. Plus ennuyeux : la dernière version de MacOS 10.6 (« Snow Leopard ») n’est pas encore supportée par le produit (il faut attendre pour cela PGP Whole Disk Encryption 10.0). Or, c’est précisément Snow Leopard qui favorise le Mac en entreprise, notamment via l’intégration native à Microsoft Exchange.

Tous les produits savent en revanche s’intégrer – via leur console d’administration – à Active Directory afin d’appliquer des politiques de chiffrement des groupes communes à toutes les plate-formes.

A l’heure du choix, c’est en définitive l’offre la moins connue qui – sur le papier du moins – présente la meilleure solution : Winmagic SecureDoc, associé à un disque dur auto-chiffrant Seagate Momentus FDE.

La solution de PGP, Whole Disk Encryption, pourra étre ré-évaluée lorsqu’elle sera disponible en version 10.0 (la bêta est en cours). Aucune indication en revanche quant au support du chiffrement matériel dans cette version à venir.

Enfin, s’il faut gérer un parc réellement hétérogène (Windows, Mac, Linux), seul Checkpoint dispose à notre connaissance d’une offre adaptée dans le domaine commercial. Mais du côté de l’Open Source, TrueCrypt est en mesure de faire du FDE logiciel et supporte les trois plate-formes également. Mais il faudra alors faire sans console d’administration centralisée.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.