Adeona localise les ordinateurs volés. Une solution Open Source

Ce type de solution est à mon avis totalement inutile dans la très grande majorité des cas. Quel est le bien le plus précieux dans un portable ? Sa valeur matérielle ou celle de l'information contenue dessus ?

Hors, le seul moyen de protéger efficacement cette information c'est avec du chiffrement complet du disque dur avant démarage du laptop (Pre-Boot Authentication type Safeboot, Safeguard, Pointsec, etc.), toute autre solution expose l'information au travers des fichiers swap, temporaires et systèmes de Windows.

Ces deux solutions (PBA et Tracking) sont donc incompatibles l'une de l'autre. Je n'ai pas encore rencontré de cas de figure ou il vaille mieux mettre en place du tracking plutôt qu'un chiffrement simple et efficace du disque dur ...

Complètement d'accord avec toi Samuel, je pense que le plus important est de protéger les données avec une solution de type FDE (Full Disk Encryption). Cela associé avec une authentification au Pre Boot.

Soit un seul facteur si les données qui ne sont pas trop sensible ou deux facteurs pour les données beaucoup plus sensible. Pour rebondir sur la Biométrie (Sujet éthiquement sensible....) la tendance est maintenant de supporter aussi la biométrie pour les solutions FDE. (Winmagic, Utimaco, etc.)

D'ici un à deux ans tous les éditeurs supporteront les capteurs biométrique des laptop. Ces capteurs seront aussi de meilleur qualité que les "joujou" actuelle.....

http://sylvain-maret.blogspot.com/2008/ ... -upek.html

Tout à fait d'accord également avec Samuel. Les deux approches (protéger les données ou protéger l'objet) sont incompatibles et les données sont généralement prioritaires. Retrouver le laptop est un problème d'assureur, pas d'entreprise.

Une idée au passage : pour tracker le portable tout en assurant la sécurité des données (donc grâce à du FDE avec authentification pre-boot, ce qui exclue toute solution de tracking logicielle), on pourrait imaginer qu'un constructeur de laptops à vocation corporate noie des puces RFID avec un identifiant unique dans la coque de ses appareils. Cela ouvrirait un marché a qui pourrait conclure des accords avec les fabricants de scanners d'aéroports, par exemple, ou tout autre lieu de passage commun qui permettrait l'installation des antennes ad-hoc.

Que dire ou plutôt que rajouter ... Entièrement d'accord avec vous.....

Et pour l'idée complémentaire de Jérôme sur des puces embarquées, ce sera aussi un très bon moyen d'authentifier de manière sûre lors de connexions SSL sur l'Intranet de l'Entreprise par exemple.

On peut déjà utiliser une puce de type TPM (Crypto processeur) embarquée sur le laptop pour faire une authentification machine. Avec par exemple un certificat X509 et une solution de type VPN SSL.

Par contre à ma connaissance il n'est pas prévu d'y ajouter un RFID ? Peut être il existe une solution avec un TAG RFID

Complètement d'accord la protection des données est bien plus importante que celle de l'appareil.

Un pc, ça se remplace ! Quid de la perte ou la divulgation de données sensibles ?

Par contre là où je ne vous suis pas c'est sur le choix du type de solution de chiffrement (et pour cause !).

@Samuel : Il existe des solutions de chiffrement qui protège les données non seulement quand le pc est éteint (comme le FDE) et qui continue d'assurer le service de sécurité lorsque le pc est allumé en chiffrant systématiquement et automatiquement le swap, les fichiers temporaires, et tous les dossiers où pourraient se cacher de l'information sensible...

En guise de complément d’information (ce qui confortera Jérôme dans son idée de filtrage des aéroports), cette étude du Ponemon sur les quelques 750 000 machines « volatilisées » dans les aéroports US tous les ans (la prochaine fois que j’aurais à acheter une pétoire, j’irais faire mes courses à LAX)

http://www.dell.com/downloads/global/se ... _study.pdf

Regardez ce qui se perd chaque JOUR à Los Angeles ou à Orange… ca donne envie de monter une boutique de vente de portables dan l’aéroport. « Comput’n board » qu’elle s’appellerait, entre le stand de ventes de statuettes de John Wayne et le buraliste.

Ceci dit, il a fallu près de 40 ans pour que les balises radio destinées à « marquer » les voitures de luxe soient opérationnelles et que certains postes frontaliers et stations service soient équipés… bref, une infrastructure qui ne sert à rien, car les spécialistes du trafic de bagnole sont, depuis, parfaitement capables de connaitre les petits postes-frontière perdus et n’ignorent rien des propriétés d’une cage de faraday (voir, savent désactiver le biniou en moins de 2 minutes). Au début, un ou deux malandrins se sont fait prendre, maintenant, le seul qui se fait avoir, c’est le client qui paye une redevance mensuelle pour une prétendue protection totalement illusoire. Seuls les assureurs exigent, sur certains modèles, la présence de ce genre d’accessoire, ce qui prouve leur sens aigu des réalités non pas en matière de sécurité, mais en modalités de justification de surprime.

S’il est rare de trouver un Admin Réseau capable de se servir (voir de connaitre l’existence) d’un grid dip, ce n’est pas franchement le cas des voleurs : tous sont capables ou seront rapidement capables de détecter la présence d’un tel mouchard (je parle des RFID ou proche cousin) et seront à même de le désactiver ou l’inhiber rapidement. Le rfid « caché », c’est très pratique effectivement pour de la gestion de parc, un second facteur d’authentification (avec un lecteur intégré et une carte portée par le propriétaire), mais je doute fort de son utilité comme antivol efficace. Le prix moyen d’une machine portable oscille autour de 800 euros (3000 pour le poste du patron, 400 pour celui de sa secrétaire, alors que la logique voudrait le contraire). Sur un gros parc d’itinérants, l’impôt mensuel d’un service de traçage de machines devient non négligeable, voir discutable (pouvant dépasser 10% de la valeur du bien). C’est effectivement plus au niveau des données que l’attention doit se porter

J’ajouterais que, si le vol est perpétré avec l’intension précise de récupérer des informations, le fait que le voleur utilise cette machine sur un réseau ouvert au Wan est aussi probable que de voir atterrir une délégation de dinosaures Romulans un 14 juillet sur l’esplanade de la Concorde.

Une chose également m’interpelle quelque part au niveau du vécu dontauquel le sujet se rapporte (j’ai trop lu Gotlieb dans ma jeunesse) : le debreefing matériel. Un ordinateur portable itinérant n’est pas nécessairement la copie de la machine de bureau, du fait même qu’elle est perpétuellement exposée à des agressions (malveillantes ou accidentelle). Outre les solutions de chiffrement et autres moyens techniques qui, un jour ou l’autre, finissent par succomber aux efforts d’un hack, l’on ne devrait pas oublier les « bonnes pratiques » qui consistent à purger, à chaque retour de mission ou avant chaque départ, les disques des données dormantes non essentielles à la mission en cours. C’est une pratique obligatoire, systématique dans ce que l’on appelle les « armes savantes » (trans, chiffrement) de l’armée Française. Les vieux chiffres, les anciens messages, les plus petites traces des journaux de trafic et ordres de mission précédents sont vidé des shelters, pour ne jamais ouvrir la moindre possibilité d’y détecter une occurrence ou une collision quelconque. Parfois même, le shelter est équipé d’un incinérateur pour que ce nettoyage puisse être pratiqué durant la mission. Limiter la surface de vulnérabilité.. c’est imho un fondamental à appliquer, avant même que d’envisager l’usage de TPM et autres solutions techniques. Je n’ai rencontré qu’une seule fois un admin qui donnait à ses « commerciaux » 2 à 4 jours maxi pour dupliquer les résultats de mission. Après coup, un « gosht », et on repartait pour de nouvelles aventures.

Bien sur, ceci dépend du degré de sensibilité des données contenue. Il y a tout un éventail de niveau de criticité, entre le chiffrement «EFS » pour camoufler les mails enflammés expédiés à ma maitresse (à moins que Madame ne connaisse l’existence d’Elcomsoft) et un verrouillage Prim’X et autres outils.

@Marc

Merci pour le très bon doc sur la perte des laptops aux US.