Chiffrer les données n'est intéressant que si on est confiant dans l(es) administrateur(s) de la machine (actuel(s) et passé(s)) quand on déchiffre les données. Sinon, s'il y a un keyloguer ou autre truc équivalent, alors c'est tout perdu. Et ça peut être très rapide si les données chiffrées ont déjà été copiées (encore chiffrées) avant (juste le mot de passe intercepté à transmettre en plus).
Si une machine passe dans les mains de quelqu'un de compétent et motivé (une douane par exemple, au hasard), et si la machine contient des données réellement précieuses, il vaut mieux laisser tomber l'ordi. TPM2 (avec secure boot) est censé protéger de cela (si tout est bien et complètement implémenté), mais bon, il faut encore faire confiance au constructeur de matériel (la puce TPM2). Et je ne connais pas l'interaction possible avec Intel® Management Engine (le processeur dans le processeur avec un OS non connu, capable d'intercepter les données des bus...)
Il est par contre facilement possible de bloquer les attaques qui respectent l'intégrité de la machine (pas de démontage, ...), ce qui est généralement le cas dans les salles de TP dans l'enseignement par exemple. Il faut alors configurer et protéger le BIOS (accès BIOS avec mot de passe, démarrage forcé sur le média choisi, interdit sur les autres média) et protéger Grub (pas de console sans mot de passe).
[^] # Re: chiffrement des données
Posté par Vincent Danjean . En réponse au journal Réinitialiser le mot de passe root ??. Évalué à 5. Dernière modification le 13 mai 2023 à 23:31.
Chiffrer les données n'est intéressant que si on est confiant dans l(es) administrateur(s) de la machine (actuel(s) et passé(s)) quand on déchiffre les données. Sinon, s'il y a un keyloguer ou autre truc équivalent, alors c'est tout perdu. Et ça peut être très rapide si les données chiffrées ont déjà été copiées (encore chiffrées) avant (juste le mot de passe intercepté à transmettre en plus).
Si une machine passe dans les mains de quelqu'un de compétent et motivé (une douane par exemple, au hasard), et si la machine contient des données réellement précieuses, il vaut mieux laisser tomber l'ordi. TPM2 (avec secure boot) est censé protéger de cela (si tout est bien et complètement implémenté), mais bon, il faut encore faire confiance au constructeur de matériel (la puce TPM2). Et je ne connais pas l'interaction possible avec Intel® Management Engine (le processeur dans le processeur avec un OS non connu, capable d'intercepter les données des bus...)
Il est par contre facilement possible de bloquer les attaques qui respectent l'intégrité de la machine (pas de démontage, ...), ce qui est généralement le cas dans les salles de TP dans l'enseignement par exemple. Il faut alors configurer et protéger le BIOS (accès BIOS avec mot de passe, démarrage forcé sur le média choisi, interdit sur les autres média) et protéger Grub (pas de console sans mot de passe).