C’est un Vade-mecum à l’usage des habitués des longs courriers et des spécialistes des « missions à l’étranger » que vient de publier l’Anssi, l’Agence Nationale de la Sécurité des Systèmes d’Information. Son titre à rallonge « Partir en mission à l’étranger avec son téléphone mobile, son assistant personnel ou son ordinateur portable » est une sorte de bible de l’information confidentielle et de la lutte contre la fuite d’information. Les conseils que l’on y peut lire semblent « logiques » mais sont en fait rarement appliqués : respecter les politiques de sécurité d’entreprise même en dehors de ses enceintes, se renseigner sur la législation en vigueur dans les pays étrangers, notamment en matière de chiffrement… l’Anssi se rappelle probablement que la France fut l’un des Etats les plus rétrogrades en la matière et qu’un disque chiffré a de fortes chances de provoquer une saisie du matériel informatique à la frontière des USA… voir déclencher une garde à vue tant que les clefs de chiffrement n’ont pas été délivrées aux autorités du contrôle des frontières. Penser à « débriefer » les appareils mobiles à chaque retour de mission et de ne partir à l’étranger qu’avec des appareils les plus « neutres » possibles et ne contenant que les programmes et fichiers nécessaires à la mission. Accoler, tant sur l’appareil mobile que sur ses housses, une étiquette ou un signe de reconnaissance rendant plus difficile une substitution. Utiliser autant que faire se peut des liaisons VPN avec les ressources importantes (ce qui limite le risque de vol ou de perte à partir des ressources mobiles) et utiliser un logiciel de chiffrement pour tout échange ou tout stockage sensible. Penser également à nettoyer régulièrement les caches, notamment celles du navigateur, et penser à prévenir les responsables sécurité de l’entreprise en cas de saisie ou de vol.
Ces Bonnes Pratiques peuvent sembler évidentes. D’autres le sont nettement moins, tel la recommandation suivante : « Si vous êtes contraint de vous séparer de votre téléphone portable ou de votre PDA, retirez et conservez avec vous la carte SIM ainsi que la batterie ». Ou encore « Evitez de connecter vos équipements à des postes ou des périphériques informatiques qui ne sont pas de confiance »… nul ne peut auditer le réseau d’un hôtel ou d’un hot spot, rares sont les personnes assez qualifiées pour distinguer un véritable accès d’un « evil twin » bien maquillé. « Gardez vos appareils, support et fichiers avec vous ! Prenez-les en cabine lors de votre voyage. Ne les laissez pas dans un bureau ou dans la chambre d’hôtel (même dans un coffre) » poursuit ce manuel. L’on ne peut s’empêcher de penser à la « chambrière diabolique » de Joanna Rutkowska. Reste qu’aller piquer une tête dans la piscine de l’hôtel avec un Portege M800 ou pratiquer un footing matutinal avec téléphone, PDA, ordinateur portable, disque dur, CD-Rom d’archivage et autres impédimentas est une idée qui ne peut germer que dans l’esprit d’un rond de cuir effectuant chaque jour le périlleux voyage le conduisant de son domicile à son Ministère.
La liste de conseils s’achève avec les inévitables « changez souvent vos mots de passe (ce qui est une hérésie… la fréquence de changement est moins importante que la complexité dudit mot de passe et la multiplicité de celui-ci lors des connexions à des serveurs « en ligne ») et « analysez ou faites analyser vos équipements », pratique diabolisée par l’application parfois aveugle de la LCEN. Pour relever le niveau, l’Anssi renvoie le lecteur sur un document excessivement bien vulgarisé expliquant comment détecter un logiciels intrus à grand renfort de Process Explorer (http://www.securite-informatique.gouv.fr/gp_article636.html). Un « pas à pas » qui n’apprendra rien aux habitués de la collection Backtrack mais qui enchantera tous ceux dont la soif de savoir et le désir de sécurité se heurte au langage hermétique des soi-disant spécialistes.
NdlC Note de la Correctrice : l’Oncle Hansi, alias Jean-Jacques Waltz, n’a jamais utilisé d’ordinateur pour dessiner ses petites Alsaciennes toutes en nœuds rouges et en robes vertes et ses « envahisseurs Allemands » traînant un coucou dans leurs bagages. Cocardier, revanchard et vieux-jeu, mais parfois tellement poétique et simple…