Ignorer le contenu principal
TECHNOLOGIE

Chiffrement des disques et des fichiers

Le chiffrement intégral de disque empêche les fuites de données causées par la perte d'un appareil ; le chiffrement au niveau du fichier protège les fichiers transférés au sein de canaux non fiables et le Crypto Disk stocke les données utilisateur chiffrées dans un fichier séparé.


Protection des utilisateurs de Kaspersky Endpoint Security (Business)

Kaspersky Endpoint Security for Windows intègre des outils de chiffrement des données. Ils fonctionnent selon les politiques distribuées par Kaspersky Security Center, c'est-à-dire console de l'administrateur pour la gestion de l'infrastructure de l'entreprise protégée par les produits de sécurité Kaspersky.

Le chiffrement intégral de disque (FDE) prévient les fuites de données causées par la perte d'un ordinateur portable ou d'un disque dur portable. Lorsqu'un disque est chiffré, les utilisateurs non autorisés ne peuvent pas le démarrer ni lire ses données.

Le chiffrement des fichiers (FLE) protège les fichiers lorsqu'ils sont transférés au sein de canaux non fiables. Les utilisateurs autorisés à accéder aux fichiers protégés conformément aux politiques de chiffrement les voient non chiffrés.

Politiques de chiffrement

Les administrateurs de Kaspersky Security Center peuvent définir des politiques de chiffrement, qui permettront le chiffrement sur les ordinateurs de l'entreprise protégés par Kaspersky Endpoint Security. Les politiques peuvent différer d'un hôte à l'autre et les données de conformité aux politiques sont regroupées dans un flux de rapports commun, visible pour les administrateurs.

Des politiques peuvent également être définies pour les périphériques amovibles (clés USB, disques durs portables, etc.) connectés à un ordinateur. L'appareil peut par exemple être bloqué jusqu'à ce que l'utilisateur accepte d'appliquer le chiffrement à cet appareil ou aux types de fichiers qu'il contient.

Au moment du chiffrement au niveau des fichiers, les politiques peuvent définir les fichiers à chiffrer, en fonction de l'extension des fichiers ou de leur emplacement sur un disque. Dès lors qu'un fichier correspondant est détecté sur l'ordinateur, il est chiffré.

Chiffrement transparent

Le chiffrement n'interfère pas avec le flux de travail d'un utilisateur lambda : il n'introduit pas de nouvelles applications ni de modifications de la configuration des applications existantes. Les politiques sont mises en œuvre automatiquement.

Le chiffrement est transparent pour les applications : quand un utilisateur est authentifié dans le système d'exploitation, les applications voient les données sur les disques comme si elles n'étaient pas chiffrées, bien qu'elles le soient. Le filtre de chiffrement transmet les données entre les applications et les disques (un filtre de disque pour FDE et un filtre de fichier pour FLE). Il déchiffre les données transférées des disques aux applications et chiffre les données qui reviennent au point de départ. Les données sont chiffrées « à la volée », c'est-à-dire immédiatement durant les opérations de lecture/écriture. Par ailleurs, aucune donnée n'est stockée sans chiffrement sur le disque, même temporairement.

Pour certaines applications, le chiffrement ne doit pas être aussi transparent. Par exemple, les procédures de sauvegarde qui stockent une copie d'un disque chiffré pour la conserver ailleurs ne doivent pas stocker les données de sauvegarde non chiffrées. Par conséquent, l'application de sauvegarde doit copier le disque dans son état chiffré. Dans ce cas (et dans d'autres cas semblables), le chiffrement transparent peut être désactivé de manière centralisée par l'administrateur pour des applications particulières.

Mécanisme de chiffrement de disque (FDE)

Le mécanisme FDE chiffre tous les disques d'un ordinateur. FDE prend en charge :

  • Chiffrement de tous types de disques : HDD, SSD, clés USB, etc. Pour les périphériques SSD, FDE prend soin de réduire le nombre de cycles de lecture/écriture supplémentaires, augmentant ainsi la durée de vie du disque.
  • Accélération matérielle du chiffrement (si le processeur de l'ordinateur prend en charge AES-NI).
  • UEFI Secure Boot une technologie qui protège les ordinateurs au démarrage et garantit que seuls les logiciels de confiance sont chargés, que le système d'exploitation et les logiciels démarrent correctement sans interférence avec d'autres processus.

Clés de chiffrement. Le filtre de chiffrement des disques chiffre et déchiffre les données à l'aide d'une clé de disque. Une clé distincte est créée pour chaque disque et stockée dessus en trois copies chiffrées. Si le disque est endommagé et qu'une copie de clé est détruite, le disque reste accessible par le biais d'une autre copie. Si les trois copies de clés sur le disque sont endommagées, l'accès au disque peut être restauré à l'aide de la copie stockée dans Kaspersky Security Center. À cet effet, lorsqu'une clé de disque est créée, sa copie est envoyée en toute sécurité à Kaspersky Security Center. Les clés ne sont jamais stockées non chiffrées sur le disque.

Authentification de l'utilisateur et chargement du système d'exploitation à partir d'un disque chiffré. La clé de disque stockée sur le disque est mise à la disposition du filtre de chiffrement après l'authentification d'un utilisateur. Un utilisateur peut s'authentifier à l'aide d'un mot de passe, d'un jeton USB ou d'une carte à puce. Une fois l'authentification réussie, le système d'exploitation peut démarrer à partir du disque chiffré.



Application de la politique de chiffrement sur un ordinateur. L'application d'une politique de chiffrement sur un ordinateur entraîne le démarrage de deux processus :

  • Le chiffrement à la volée est activé en permanence. Cela garantit que toutes les données écrites sur le disque sont chiffrées dès ce moment. Pour cela, le filtre de chiffrement de disque intercepte tous les processus de lecture/écriture sur disque.
  • Le processus de chiffrement du disque est lancé et le chiffrement total des disques de l'ordinateur démarre. Lorsqu'il est terminé, la politique de chiffrement des disques est entièrement appliquée sur l'ordinateur. Le chiffrement des disques peut durer plusieurs heures.

Pendant le chiffrement des disques, les utilisateurs peuvent travailler comme d'habitude, mettre l'ordinateur en mode veille ou hors tension : lorsqu'il est redémarré, le chiffrement reprend. Le processus est également résistant aux pannes (p. ex., coupure de courant ou plantage du système d'exploitation). La conception de chiffrement Failsafe garantit que toutes les données finiront par être chiffrées.

Accès au chiffrement des fichiers (FLE)

grâce à Kaspersky Endpoint Security ! Lorsqu'un utilisateur s'authentifie dans le système d'exploitation, les applications de l'ordinateur qui s'exécutent pour le compte de l'utilisateur obtiennent l'accès aux fichiers chiffrés, conformément aux politiques de chiffrement.

Pour accéder aux fichiers chiffrés par d'autres utilisateurs, l'agent hôte de Kaspersky Endpoint Security demande les clés de déchiffrement requises au Kaspersky Security Center. Par exemple, si un fichier envoyé par email a été chiffré par un autre utilisateur, l'hôte du destinataire demande et reçoit une clé du Kaspersky Security Center (si les politiques autorisent l'accès). Cette clé permet l'accès à ce fichier et à d'autres fichiers chiffrés sur le même disque logique de l'utilisateur en question. La clé est mise en cache ; il n'est donc pas nécessaire de demander une nouvelle clé à chaque fois qu'un fichier est reçu, qui a été chiffré sur le même disque du même utilisateur.

En l'absence de connexion Internet, le destinataire peut se procurer une clé de Kaspersky Security Center via l'échange de clés sécurisé « challenge (demande d'accès)-réponse » standard via des canaux ouverts (p. ex., un téléphone). Il suffit d'envoyer un code challenge pour recevoir le code de réponse.

Accès sans Kaspersky Endpoint Security. Si les politiques de chiffrement l'autorisent, les utilisateurs peuvent configurer leurs appareils afin que les fichiers chiffrés sur ces appareils soient accessibles sur les ordinateurs sans Kaspersky Endpoint Security, au moyen d'une autorisation par mot de passe. Lorsque les utilisateurs configurent un tel appareil grâce à Kaspersky Endpoint Security :

  • l'application Kaspersky Portable File Manager est copiée sur l'appareil. Elle stocke en toute sécurité les clés d'accès aux fichiers et chiffre/déchiffre les fichiers.
  • L'utilisateur crée un mot de passe pour accéder aux fichiers sur cet appareil.

Lorsqu'un utilisateur connecte un appareil et est autorisé dans Portable File Manager, la lecture et la modification des fichiers chiffrés deviennent possibles. Les utilisateurs peuvent également chiffrer de nouveaux fichiers sur l'appareil.

Protection des utilisateurs de Kaspersky Total Security (Consumer)

Crypto Disk est un sous-système de Kaspersky Total Security qui protège par chiffrement les données stockées de l'utilisateur.

Grâce à Crypto Disk, les utilisateurs créent un disque chiffré virtuel stocké dans un fichier séparé. Le disque est accessible via un mot de passe attribué lors de la création du disque. Après autorisation, le disque joue le rôle d'un disque local (par exemple « E:\ »). Un utilisateur peut transférer un fichier à l'aide du disque chiffré à d'autres utilisateurs via des appareils, des emails, des référentiels partagés et cloud, et accorder l'accès à d'autres utilisateurs en leur communiquant le mot de passe.

Le disque est chiffré non pas sur le mot de passe lui-même, mais sur une clé générée automatiquement, laquelle est mise à disposition lorsque l'utilisateur a été authentifié. Cela permet à l'utilisateur de modifier un mot de passe sans avoir à rechiffrer tout le disque virtuel.

Module de chiffrement

FDE, FLE et Crypto Disk utilisent le module de chiffrement qui repose sur l'algorithme de chiffrement AES-256 en mode XTS. La bibliothèque de chiffrement est certifiée :

Produits associés

WHITEPAPER

Protecting Sensitive Data with Kaspersky...