74 votes

blade19899 avatar

Comment sécuriser mon ordinateur portable afin d'empêcher tout piratage par accès physique ?

Demandé el 21 de Septembre, 2015
Quand la question a-t-elle été
13461 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai foiré mon système plus tôt, j'ai été accueilli avec un écran noir, en démarrant dans Ubuntu. Quand j'ai démarré mon ordinateur portable, j'ai sélectionné l'option de récupération dans le menu Grub, et j'ai choisi fallback à racine terminal. J'ai vu que je pouvais utiliser la commande add user, avec elle, je pourrais probablement utiliser pour créer un utilisateur privilégié sur ma machine.

N'est-ce pas un problème de sécurité ?

Quelqu'un aurait pu voler mon ordinateur portable et au démarrage, choisir la récupération et ajouter un autre utilisateur, je suis alors dans l'erreur. Y compris mes données.

En y réfléchissant, même si vous supprimez cette entrée, on peut démarrer à partir d'un CD live, obtenir une chroot et ensuite ajouter un autre utilisateur, avec les bons privilèges qui lui permettent de voir toutes mes données.

Si je configure le BIOS pour qu'il démarre uniquement sur mon disque dur, sans USB, CD/DVD, démarrage réseau, et que je configure un mot de passe BIOS, cela n'aurait toujours pas d'importance, parce que vous auriez toujours cette entrée de démarrage de récupération Grub.

Je suis pratiquement certain que quelqu'un de Chine ou de Russie ne peut pas pirater mon Ubuntu Trusty Tahr, à partir du réseau, parce que c'est sécurisé comme ça. Mais, si quelqu'un a un accès physique à ma - votre - machine, alors, eh bien, c'est pourquoi je pose cette question. Comment puis-je sécuriser ma machine de sorte que le piratage par un accès physique ne soit pas possible ?

Rapport de bogue :

Demandé el 21 de Septembre, 2015 par blade19899

Réponses

Trop de publicités?

92voto

Byte Commander avatar
Byte Commander Points 99026

À mon avis, seul le cryptage complet du disque à l'aide d'un algorithme puissant et, surtout, d'un bon mot de passe, peut sécuriser vos données stockées localement. Cela vous donne probablement une sécurité de 99,99 %. Veuillez consulter l'un des nombreux guides sur la manière de procéder.

En plus de cela, c'est PAS possible pour protéger votre machine contre un pirate expérimenté ayant un accès physique.

  • Les mots de passe des utilisateurs et des comptes :
    Il est facile de créer un nouvel utilisateur administrateur si vous démarrez en mode récupération, comme vous l'avez décrit vous-même, car vous obtenez un Shell root sans qu'on vous demande de mots de passe de cette façon.
    Cela pourrait ressembler à un problème de sécurité accidentel, mais il est destiné (qui l'aurait cru ?) aux cas de récupération, lorsque vous avez par exemple perdu votre mot de passe d'administrateur ou que vous vous êtes trompé dans l'enregistrement de l'adresse IP. sudo ou d'autres éléments essentiels.

  • mot de passe root :
    Ubuntu n'a pas défini de mot de passe pour l'utilisateur root par défaut. Cependant, vous pouvez en définir un et il vous sera demandé si vous démarrez en mode récupération. Cela semble assez sûr, mais ce n'est pas encore une solution définitive. Vous pouvez toujours ajouter le paramètre du noyau single init=/bin/bash par Grub avant de démarrer Ubuntu qui le lance en mode mono-utilisateur - qui est en fait un Grub root sans mot de passe aussi.

  • Sécuriser le menu Grub avec un mot de passe :
    Vous pouvez sécuriser vos entrées de menu Grub pour qu'elles ne soient accessibles qu'après authentification, c'est-à-dire que vous pouvez refuser le démarrage du mode récupération sans mot de passe. Cela empêche également de manipuler les paramètres du noyau. Pour plus d'informations, consultez le Site Grub2/Mots de passe sur help.ubuntu.com . Cela ne peut être contourné que si vous démarrez à partir d'un support externe ou si vous connectez directement le disque dur à une autre machine.

  • Désactiver le démarrage à partir d'un support externe dans le BIOS :
    Vous pouvez définir l'ordre de démarrage et généralement exclure des périphériques du démarrage dans de nombreuses versions actuelles du BIOS/UEFI. Ces paramètres ne sont cependant pas sécurisés, car tout le monde peut accéder au menu de configuration. Vous devez définir un mot de passe ici aussi, mais...

  • Mots de passe du BIOS :
    Vous pouvez généralement contourner les mots de passe du BIOS également. Il existe plusieurs méthodes :

    • Réinitialisez la mémoire CMOS (où sont stockés les paramètres du BIOS) en ouvrant le boîtier de l'ordinateur et en retirant physiquement la pile CMOS ou en activant temporairement un cavalier "Clear CMOS".
    • Réinitialiser les paramètres du BIOS avec une combinaison de touches de service. La plupart des fabricants de cartes mères décrivent dans leur manuel d'entretien des combinaisons de touches permettant de réinitialiser les paramètres du BIOS aux valeurs par défaut, y compris le mot de passe. Un exemple serait de tenir ScreenUp tout en allumant l'alimentation, ce qui, si je me souviens bien, a débloqué une fois pour moi une carte mère Acer avec BIOS AMI après que j'ai foiré mes réglages d'overclocking.
    • Enfin, il existe un ensemble de mots de passe par défaut du BIOS qui semblent toujours fonctionner, indépendamment du mot de passe réel. Je ne l'ai pas testé, mais ce site en propose une liste, classée par fabricant.
      Merci à Rinzwind pour cette information et ce lien !

  • Verrouillez le boîtier de l'ordinateur/interdisez l'accès physique à la carte mère et au disque dur :
    Même si tout le reste échoue, un voleur de données peut toujours ouvrir votre ordinateur portable/ordinateur, sortir le disque dur et le connecter à son propre ordinateur. À partir de là, le monter et accéder à tous les fichiers non cryptés est un jeu d'enfant. Vous devez le placer dans une mallette fermée à clé où vous pouvez être sûr que personne ne pourra ouvrir l'ordinateur. Ceci est cependant impossible pour les ordinateurs portables et difficile pour les ordinateurs de bureau. Vous pouvez peut-être envisager de posséder un dispositif d'autodestruction semblable à celui d'un film d'action, qui fait sauter des explosifs à l'intérieur si quelqu'un essaie de l'ouvrir ;-) Mais assurez-vous de ne jamais avoir à l'ouvrir vous-même pour la maintenance !

  • Cryptage complet du disque :
    Je sais que j'ai conseillé cette méthode comme étant sûre, mais elle n'est pas non plus sûre à 100% si vous perdez votre ordinateur portable alors qu'il est allumé. Il existe une attaque dite de "démarrage à froid" qui permet à l'attaquant de lire les clés de chiffrement dans votre mémoire vive après avoir réinitialisé la machine en cours d'exécution. Cela décharge le système, mais n'efface pas le contenu de la RAM si le temps d'inactivité est suffisamment court.
    Merci à kos pour son commentaire sur cette attaque !
    Je vais également citer son deuxième commentaire ici :

    Il s'agit d'une vieille vidéo, mais elle explique bien le concept : "Lest We Remember : Cold Boot Attacks on Encryption Keys" sur YouTube ; si vous avez défini un mot de passe pour le BIOS, l'attaquant peut toujours retirer la batterie du CMOS alors que l'ordinateur portable est encore allumé pour permettre au disque personnalisé de démarrer sans perdre une seconde cruciale ; cela est encore plus effrayant aujourd'hui en raison des SSD, car un SSD personnalisé sera probablement capable de vider même 8 Go en moins d'une minute, compte tenu d'une vitesse d'écriture de ~150 Mo/s.

    Question connexe, mais toujours sans réponse, sur la façon de prévenir les attaques de démarrage à froid : Comment faire pour qu'Ubuntu (qui utilise le chiffrement complet du disque) appelle LUKSsupend avant de dormir/se mettre en veille en RAM ?

Pour conclure : Actuellement, rien ne protège vraiment votre ordinateur portable contre son utilisation par une personne ayant un accès physique et des intentions malveillantes. Vous ne pouvez chiffrer complètement toutes vos données que si vous êtes suffisamment paranoïaque pour risquer de tout perdre en oubliant votre mot de passe ou en cas de panne. Le cryptage rend donc les sauvegardes encore plus importantes qu'elles ne le sont déjà. Cependant, elles doivent également être cryptées et placées dans un endroit très sûr.
Ou alors, ne donnez pas votre ordinateur portable en espérant ne jamais le perdre ;-)

Si vous vous souciez moins de vos données que de votre matériel, vous pouvez acheter et installer un émetteur GPS dans votre valise, mais cela est réservé aux vrais paranoïaques ou aux agents fédéraux.

Répondu el 21 de Septembre, 2015 par Byte Commander (99026 Points )

14voto

Eyal Roth avatar
Eyal Roth Points 167

L'ordinateur portable le plus sûr est celui qui ne contient aucune donnée. Vous pouvez créer votre propre environnement de cloud privé et ne rien stocker d'important localement.

Ou retirer le disque dur et le faire fondre avec de la thermite. Si cette solution répond techniquement à la question, elle n'est peut-être pas la plus pratique puisque vous ne pourrez plus utiliser votre ordinateur portable. Mais ces éternels pirates informatiques ne le pourront pas non plus.

En dehors de ces options, il est préférable de procéder à un double cryptage du disque dur et d'exiger le branchement d'une clé USB pour le décrypter. La clé USB contient un ensemble de clés de décryptage et le BIOS contient l'autre ensemble - protégé par un mot de passe, bien sûr. Combinez cela avec une routine d'autodestruction automatique des données si la clé USB n'est pas branchée pendant le démarrage/la reprise après une suspension. Portez la clé USB sur vous à tout moment. Cette combinaison permet également de traiter les problèmes suivants XKCD #538 .

XKCD #538

Répondu el 21 de Septembre, 2015 par Eyal Roth (167 Points )

10voto

Peque avatar
Peque Points 953

Cryptez votre disque. Ainsi, votre système et vos données seront en sécurité en cas de vol de votre ordinateur portable. Sinon :

  • Le mot de passe du BIOS ne sert à rien : le voleur peut facilement extraire le disque de votre ordinateur et le placer sur un autre PC pour démarrer à partir de celui-ci.
  • Votre mot de passe utilisateur/root ne servira à rien non plus : le voleur peut facilement monter le disque comme expliqué ci-dessus et accéder à toutes vos données.

Je vous recommanderais d'avoir une partition LUKS dans laquelle vous pourriez configurer un LVM. Vous pourriez laisser votre partition de démarrage non cryptée afin que vous n'ayez à entrer votre mot de passe qu'une seule fois. Cela signifie que votre système pourrait être plus facilement compromis s'il était trafiqué (volé et rendu sans que vous ne vous en rendiez compte), mais c'est un cas très rare et, à moins que vous ne pensiez être suivi par la NSA, un gouvernement ou une sorte de mafia, vous ne devriez pas vous en inquiéter.

Votre installateur Ubuntu devrait vous donner l'option d'installer avec LUKS+LVM d'une manière très facile et automatisée. Je ne vais pas réafficher les détails ici, car il y a déjà beaucoup de documentation sur Internet :-)

Répondu el 21 de Septembre, 2015 par Peque (953 Points )

5voto

Blake Walsh avatar
Blake Walsh Points 151

Il existe quelques solutions matérielles qui méritent d'être signalées.

Tout d'abord, certains ordinateurs portables, comme certains ordinateurs portables professionnels Lenovo, sont équipés d'un interrupteur de détection de sabotage qui détecte l'ouverture du boîtier. Sur Lenovo, cette fonction doit être activée dans le BIOS et un mot de passe administrateur doit être défini. Si le sabotage est détecté, l'ordinateur portable s'éteint immédiatement (je crois). Au démarrage, il affiche un avertissement et requiert le mot de passe administrateur et l'adaptateur secteur approprié pour continuer. Certains détecteurs de sabotage déclenchent également une alarme sonore et peuvent être configurés pour envoyer un e-mail.

La détection de sabotage n'empêche pas vraiment le sabotage (mais elle peut rendre plus difficile le vol de données dans la RAM - et la détection de sabotage peut "briquer" l'appareil s'il détecte quelque chose de vraiment louche comme une tentative de retrait de la pile CMOS). Le principal avantage est que quelqu'un ne peut pas altérer secrètement le matériel sans que vous le sachiez. Si vous avez mis en place une sécurité logicielle forte, telle que le cryptage complet du disque, l'altération secrète du matériel est certainement l'un des vecteurs d'attaque restants.

Une autre sécurité physique est que certains ordinateurs portables peuvent être verrouillés à une station d'accueil. Si la station d'accueil est solidement fixée à une table (au moyen de vis qui se trouvent sous l'ordinateur portable) et que l'ordinateur portable reste verrouillé à la station d'accueil lorsqu'il n'est pas utilisé, cela constitue une couche supplémentaire de protection physique. Bien sûr, cela n'arrêtera pas un voleur déterminé, mais cela rendra certainement plus difficile le vol de l'ordinateur portable à votre domicile ou à votre entreprise. De plus, lorsqu'il est verrouillé, il est toujours parfaitement utilisable (et vous pouvez brancher des périphériques, des prises Ethernet, etc. sur la station d'accueil).

Bien entendu, ces caractéristiques physiques ne sont pas utiles pour sécuriser un ordinateur portable qui n'en dispose pas. Mais si vous êtes sensible à la sécurité, il peut être utile de les prendre en compte lors de l'achat d'un ordinateur portable.

Répondu el 21 de Septembre, 2015 par Blake Walsh (151 Points )

2voto

ljrk avatar
ljrk Points 592

En plus du cryptage de votre disque (vous ne pourrez pas le contourner) : - SELinux et TRESOR. Tous deux renforcent le noyau Linux et tentent de rendre difficile la lecture de la mémoire par les attaquants.

Pendant que vous y êtes : Nous entrons maintenant dans le territoire de la peur non seulement des méchants types aléatoires qui veulent les informations de votre carte de débit (ils ne font pas ça) mais aussi, assez souvent, des agences de renseignement. Dans ce cas, vous veulent de faire plus :

  • Essayez de purger le PC de tout ce qui est à source fermée (y compris le firmware). Cela inclut l'UEFI/BIOS !
  • Utiliser tianocore/coreboot comme nouveau UEFI/BIOS
  • Utilisez SecureBoot avec vos propres clés.

Il y a abondance Il y a beaucoup d'autres choses que vous pouvez faire, mais cela devrait donner une quantité raisonnable de choses avec lesquelles ils ont besoin d'être chatouillés.

Et n'oubliez pas : xkcd ;-)

Répondu el 21 de Septembre, 2015 par ljrk (592 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X