Chiffrement des postes

Le CNRS demande à ce que l’ensemble des ordinateurs (portable et fixe) d’un laboratoire soit chiffré (voir note envoyée par le CNRS).

Quelques rappels liés aux postes de travail :

  • Il faut que l’ordinateur soit sauvegardé de façon régulière.
  • Le poste doit pouvoir être déchiffré par le RSSI de l’Université de Rennes 1 sur demande judiciaire, même en l’absence de l’utilisateur.
  • Voir également la page dédiée au chiffrement sur la documentation de la DSI, qui détaille entre autre les différents types de chiffrement, la protection de confidentialité, les pièges à éviter,…

Constat par système d’exploitation

  1. Windows via Bitlocker
    • Pour Windows 10 Professional, le chiffrement est possible à partir de la version 1511.
    • Le chiffrement peut être activé sur un système existant (pas besoin de réinstallation complète).
    • Le mot de passe doit être stocké directement dans un annuaire Windows (Active Directory) géré par la DSI de l’Université de Rennes 1.
    • Pour Windows 7, le chiffrement n’est possible qu’avec les versions Enterprise ou Ultimate. Hors, seule la version Professional était disponible au marché. Nous n’avons donc aucun poste en Windows 7 capable de faire du chiffrement comme demandé par le CNRS sans oublié le fait que le support de Windows 7 s'arrête en 2020.
  2. Linux via LUKS
    • Il est possible de chiffrer un système Linux à l’installation de ce dernier (réinstallation nécessaire).
    • Il est fortement conseillé de sauvegarder les en-têtes (LUKS header) de la partition chiffrée.
    • La DSI de l’Université de Rennes 1 ne dispose actuellement d’aucune solution pour directement stocker les mots de passe.
  3. Apple via FileVault
    • Chiffrement possible sans réinstallation.
    • Bien choisir de « Créer une clé de secours et ne pas utiliser mon compte iCloud ».
    • Attention à l’utilisation des Time Capsule qui pourraient écraser des paramètres si tentative de restauration de fichiers trop anciens.
    • La DSI de l’Université de Rennes 1 est en phase de test pour le stockage des mots de passe.

Mise en place

  1. Windows :
    • La DSI UR1 gère maintenant correctement le chiffrement des postes Windows 10 ainsi que le stockage des phrases de recouvrement en cas de perte du mot de passe.
    • Cela concerne en priorité les ordinateurs portables, mais le CNRS demande à ce que ce chiffrement soit appliqué sur tous les postes, donc demandez le lors de l'installation d'un nouvel ordinateur.
    • Windows 7, il sera nécessaire d’acheter une mise à jour vers Windows 10 si le poste n’est pas trop ancien puis de passer par la DSI pour son installation.
    • Ouvrez un nouveau ticket dans la sous catégorie : Informatique, réseaux et téléphonie (DSI et Cellule informatique IPR) / Installation / Installation poste individuel / PC sous Windows.
  2. Linux :
    • La DSI UR1 ne gère qu’une distribution Linux (OpenSuse) et rien n’est prévu sur cette distribution pour l’instant.
    • Le chiffrement sera donc à faire par l’utilisateur (via LUKS − vu ci-dessus).
    • Ajout d’une clef supplémentaire de déchiffrement avec le CSSI de l’IPR et stockée dans un coffre-fort Keepass délégué par le RSSI de l’Université de Rennes 1.
    • Ouvrez un nouveau ticket dans la sous catégorie : Informatique, réseaux et téléphonie (DSI et Cellule informatique IPR) / Dépannage des postes IPR non gérés par la DSI (ex. PC de manip, Linux,…).
  3. Apple :
    • La DSI UR1 gère depuis décembre 2019 le chiffrement via FileVault pour les postes Apple et c'est activé par défaut pour les ordinateurs portables.
      • Ouvrez un nouveau ticket dans la sous catégorie : Informatique, réseaux et téléphonie (DSI et Cellule informatique IPR) / Installation / Installation poste individuel / Macintosh sous MacOS.