Mains sur le clavier d'un ordinateur portable

Qu'est-ce que le chiffrement SSD et comment fonctionne-t-il ?

Vue latérale d'un ordinateur portable avec un utilisateur de téléphone portable en arrière-plan.

Dans le monde entier, les entreprises, les gouvernements et les citoyens ont un point commun : le besoin et la volonté de sécuriser leurs informations personnelles et privées les plus importantes. Qu'elles soient stockées ou transportées, la protection des données est un impératif absolu. Les coûts financiers et de réputation liés aux violations de données, au piratage, à la perte ou au vol d'ordinateurs portables ou de PC peuvent être astronomiques.

Pour se protéger contre les menaces des pirates et les violations de données organisationnelles, il est nécessaire de chiffrer les données transférées ainsi que les données au repos. Le chiffrement interpose une couche de protection renforcée lorsqu'un accès non autorisé à un réseau informatique ou à un dispositif de stockage est obtenu en dépit des autres contre-mesures. Dans ce cas, le pirate ne peut pas lire les données illégalement obtenues. Cet article est uniquement consacré au chiffrement logiciel, aux disques à chiffrement automatique (DCA) et explique le fonctionnement de base du chiffrement des SSD.

Qu'est-ce que le chiffrement ?

En termes simples, le chiffrement convertit les informations enregistrées dans un appareil numérique en blocs de données incompréhensibles. Plus le processus de chiffrement est sophistiqué, plus les données chiffrées sont illisibles et indéchiffrables. À l'inverse, le déchiffrement redonne aux données chiffrées leur forme initiale et leur lisibilité. Les données chiffrées sont souvent appelées texte chiffré, tandis que les données non chiffrées sont appelées texte en clair.

Dessin numérique d'une carte de circuit imprimé avec un cadenas.

Chiffrement logiciel ou matériel

Le chiffrement logiciel utilisune variété de programmes logiciels pour chiffrer les données sur un volume logique. Lorsqu'un disque est chiffré pour la première fois, une clé unique est créée et stockée dans la mémoire de l'ordinateur. La clé est chiffrée avec une phrase de passe définie par son utilisateur. Lorsqu'un utilisateur saisit la phrase de passe, il déverrouille la clé et peut ainsi accéder aux données non-chiffrées sur le disque. Une copie de la clé est également écrite sur le disque. Le chiffrement logiciel fonctionne comme un intermédiaire pendant la lecture et l'écriture des données applicatives sur le périphérique. Lorsque les données sont écrites sur le disque, elles sont chiffrées par la clé avant d'être physiquement enregistrées sur le disque. Lorsque les données sont lues sur le disque, elles sont déchiffrées par la même clé avant d'être envoyées au programme.

Bien que le chiffrement logiciel soit rentable, son niveau de sécurité ne peut pas être supérieur à celui du dispositif sur lequel il est utilisé. Si un pirate parvient à déchiffrer le code ou le mot de passe, vos données chiffrées sont exposées. De plus, comme le chiffrement et le déchiffrement sont effectués par le processeur, l'ensemble du système est ralenti. Le chiffrement logiciel a une autre vulnérabilité. Au démarrage du système, la clé de chiffrement est stockée dans la mémoire de l'ordinateur, ce qui en fait une cible pour les attaques de bas niveau.

Les disques à chiffrement automatique (DCA) utilisent un chiffrement matériel basé sur une approche plus globale pour protéger les données. Les DCA sont équipés d'une puce de chiffrement AES intégrée qui chiffre les données avant qu'elles ne soient écrites et les déchiffre avant qu'elles ne soient lues directement sur le support NAND. Le chiffrement matériel se place entre le système d'exploitation installé sur le disque et le BIOS du système. Lorsque le disque est chiffré pour la première fois, une clé de chiffrement est générée et stockée dans sa mémoire flash NAND. Lors du premier démarrage du système, un BIOS personnalisé est chargé et demande une phrase de passe utilisateur. Une fois la phrase d'authentification saisie, le contenu du disque est déchiffré et l'accès au système d'exploitation et aux données de l'utilisateur est autorisé.

Les disques à chiffrement automatique chiffrent/déchiffrent également les données à la volée. La puce de chiffrement intégrée chiffre les données avant qu'elles ne soient enregistrées dans la mémoire flash NAND et les déchiffre avant leur lecture. Le processeur hôte ne participe jamais au processus de (dé)chiffrement, ce qui réduit considérablement la pénalité que le chiffrement logiciel impose aux performances. Dans la plupart des cas, au démarrage du système, la clé de chiffrement est stockée dans la mémoire embarquée du SSD, ce qui augmente la complexité de sa récupération et la rend moins vulnérable aux attaques de bas niveau. Cette méthode de chiffrement matériel offre un niveau élevé de sécurité car elle est invisible pour l'utilisateur. Elle ne peut pas être désactivée et n'a pas d'impact sur les performances.

Chiffrement matériel AES 256 bits

L'AES (Advance Encryption Standard) est un algorithme de chiffrement symétrique (ce qui signifie que les clés de chiffrement et de déchiffrement sont identiques). L'AES étant un chiffrement par blocs, les données sont divisées en blocs de 128 bits avant d'être chiffrées avec la clé de 256 bits. Le chiffrement AES 256 bits est une norme internationale qui garantit une sécurité supérieure des données, reconnue entre autres par le gouvernement américain. Le chiffrement AES-256 est fondamentalement indéchiffrable, ce qui en fait la norme de chiffrement la plus puissante disponible.

Pourquoi est-il indéchiffrable ? L'AES inclut AES-128, AES-192 et AES-256. Les chiffres représentent le nombre de bits de la clé dans chaque bloc de chiffrement et de déchiffrement. Pour chaque bit ajouté, le nombre de clés possibles double, par conséquent un chiffrement de 256 bits est égal à deux à la puissance 256 ! Ce qui constitue un nombre immense de variations de clés possibles. À son tour, chaque bit de clé offre un nombre différent de cycles. (Un cycle est le processus de transformation du texte en clair en texte chiffré). Pour 256 bits, il y a quatorze cycles. Ainsi, la probabilité qu'un pirate trouve la séquence correcte de 2256 bits brouillés quatorze fois est extrêmement faible, c'est le moins que l'on puisse dire. Sans parler du temps et de la puissance de calcul nécessaires pour effectuer ce travail.

Chiffrement logiciel TCG Opal 2.0

TCG est le groupe international de normalisation industrielle qui définit la racine de confiance basée sur le matériel pour les plateformes informatiques de confiance interopérables. Ce protocole permet d'initialiser, d'authentifier et de gérer les SSD chiffrés grâce à des fournisseurs de logiciels indépendants proposant des solutions de gestion de la sécurité TCG Opal 2.0, tels que Symantec™, McAfee™, WinMagic® et d'autres.

En résumé, si le chiffrement logiciel présente des avantages, il n'est peut-être pas aussi complet qu'on le croit. Le chiffrement logiciel ajoute des étapes supplémentaires, car les données doivent être chiffrées puis déchiffrées lorsque l'utilisateur a besoin d'y accéder, alors que le chiffrement matériel offre une solution plus robuste. Un SSD à chiffrement matériel est optimisé sur la totalité du volume sans affecter les performances. En fonction de l'application, vous pourriez être surpris par ce que peut exiger la sécurisation de vos données. Tous les chiffrements ne sont pas identiques, mais la compréhension des différences jouera un rôle clé dans l'efficacité et l'efficience de votre sécurité.

#KingstonIsWithYou

Accessoires