Rapport spécial listant les outils de qualité concernant la sécurité et la confidentialité, ainsi que les services financiers décentralisés que nous recommandons

Catégorie : Liberté

22 mai 2023

Les deux problèmes qui se posent lorsqu’on utilise l’informatique sont : 

  1. comment empêcher le vol ou l’accès aux données confidentielles ;
  2. comment empêcher la perte des données en question.

Il s’agit donc de mixer le chiffrage des données (empêcher le vol) avec la sauvegarde de celles-ci (empêcher la perte). Mais comment implémenter une telle stratégie ?

Chiffrer les données

Lorsqu’on travaille sur des documents confidentiels, il est pertinent de les stocker en local plutôt que sur un cloud. Plusieurs raisons amènent à cette pratique : 

  • les fichiers numériques sont sauvegardés longtemps sur le cloud. Même après leur effacement par l’utilisateur, et sont souvent ouvertement accessibles par l’entreprise prestataire ;
  • les clouds chiffrés ont souvent une méthode de récupération des données au moyen d’une clé passe-partout, ceci pour des raisons légales ;
  • si les fichiers sont stockés uniquement à distance, on ne peut plus y accéder lorsque le réseau est en panne ou très lent.

Il s’agit donc de trouver une méthode de chiffrage locale suffisamment simple pour nous permettre de travailler en tout temps sur nos documents, sans toutefois diminuer la sécurité.

Un logiciel que nous apprécions est Cryptomator, qui permet de chiffrer tout type de fichiers stockés dans une sorte de container. Pour accéder à ceux-ci, Cryptomator monte un disque virtuel dans lequel tous les fichiers copiés seront instantanément chiffrés à la volée.

Il s’agit d’un logiciel open source, 

Mais un problème se pose : nous risquons la perte des informations, car jusqu’à maintenant, nous ne disposons que de données locales chiffrées qui ne sont pas présentes ailleurs que sur notre disque dur.

Sauvegarde des données

La spécificité de Cryptomator est de stocker les données chiffrées non pas sous la forme d’un seul fichier, mais crée une multitude de petits fichiers :

L’avantage de ce type de structure est qu’il est possible d’effectuer une sauvegarde incrémentielle, c’est-à-dire de ne copier, à chaque backup, que des fichiers modifiés depuis la dernière sauvegarde.

Dans le cas des systèmes de chiffrage encapsulant la totalité des données dans un seul fichier, il n’est pas possible de faire une sauvegarde incrémentielle, puisqu’à chaque modification, il faut sauvegarder la totalité du fichier enregistré sur le disque dur.

Dans le cas de Cryptomator, le logiciel de sauvegarde n’enverra sur le medium de sauvegarde que les fichiers modifiés, ce qui diminue la bande passante nécessaire ainsi que le temps de transfert des données. Il est ainsi possible d’avoir une sauvegarde à distance.

Sauvegarde 3-2-1

Comme déjà évoqué dans mon article concernant la gestion de clés crypto, il va s’agir d’utiliser la méthode de sauvegarde 3-2-1 : 

  • 3 copies (incluant celle de production)
  • sur 2 supports différents au moins
  • avec 1 copie hors site

Après l’opération évoquée ci-dessus, nous avons donc déjà une copie chiffrée des données sur notre disque dur. Il va maintenant falloir en faire deux supplémentaires, sur au moins un support différent et au moins une copie hors site.

Pour ce faire, on va premièrement effectuer une sauvegarde sur un média local, par exemple une clé USB. Il s’agit ici de trouver un logiciel de backup pertinent. Pour les systèmes basés sur Unix, tels que MacOS ou Linux, il en existe un utilisable au moyen de la ligne de commande : rsync, qui est gratuit, open source, et incrémentiel (ne copie que les fichiers modifiés depuis la dernière sauvegarde). Si vous maîtrisez les bases de la ligne de commande, c’est de loin la solution la plus efficace.

La syntaxe se présente ainsi : 

rsync -av –delete [répertoire d’origine] [répertoire de destination]

L’option “–delete” permet d’effacer les fichiers dans le répertoire cible lorsque ceux-ci ne sont plus présents dans le répertoire d’origine.

Il s’agit de l’option la plus légère et la moins couteuse, avec une efficacité propre aux commandes Linux. Pour ceux qui ne maîtrisent pas la ligne de commande, il existe des logiciels de backup incrémentiel qui sont pour la plupart payants.

Il s’agit pour terminer de mettre en place un processus de sauvegarde régulier, par exemple chaque jour. Ainsi, en cas de perte, les données récupérées seront au plus près du travail accompli lors de la journée précédent la destruction.

Sauvegarde distante

C’est maintenant le moment de réfléchir à la 3e copie qui doit être distante du lieu où l’on stocke celle sur disque dur et la sauvegarde sur clé USB. En cas d’incendie, il est important d’avoir une possibilité de récupération rapide.

Comme les fichiers sont chiffrés localement, il est possible d’utiliser n’importe quel stockage à distance. L’important est d’utiliser une méthode qui synchronise les fichiers locaux avec les fichiers à distance. Ainsi, on dispose en tout temps d’une copie disponible pour récupérer les données. Cette méthode ne nécessite pas de connaissance technique particulière.

Le stockage sur un cloud ne sera pas lisible des administrateurs du cloud en question, puisqu’elles sont chiffrées. Toutefois, le stockage de fichiers chiffrés sur un cloud (comme Google Drive par exemple) permet d’identifier le comportement “particulier” de l’utilisateur en question, et en faire potentiellement une cible pour des investigations ou un blocage de compte.

Pour éviter ce risque, il peut être pertinent, si l’on dispose par exemple d’un serveur à distance (ou un VPS, virtual private server), d’utiliser l’espace disque disponible de manière plus discrète qu’avec un espace cloud. Dans un tel cas, il est possible d’utiliser notre logiciel rsync pour effectuer la sauvegarde incrémentielle sur le serveur distant. Le prérequis est la présence d’une connexion SSH (communication par ligne de commande sécurisée et chiffrée) ainsi qu’une connaissance de base de la ligne de commande.

La commande rsync se présente de la manière suivante : 

rsync -av –delete [répertoire d’origine] [nom d’utilisateur distant@adresse IP du serveur distant:~/répertoire de sauvegarde distant/]

Rsync est d’ailleurs prévu expressément pour les sauvegardes à travers le réseau, et sa relative lenteur. C’est pourquoi il est si efficace et parmi les solutions les plus rapides.

Là également, il s’agit de mettre en place un processus de lancement régulier du backup. Le plus simple est d’effectuer la sauvegarde sur la clé USB et sur le serveur distant au même moment, afin de disposer de données identiques sur les deux backups.

Conclusion

En implémentant une telle approche, vous allez être plus indépendant et plus résilient que 99% des utilisateurs d’informatique. Plus que jamais, il s’agit de profiter de la technologie sans en être dépendant, et de pouvoir accéder aux informations en tout temps, y compris lorsque le réseau fonctionne mal. Garantir l’intégrité et la confidentialité de vos données et de la plus haute importance, particulièrement lorsqu’il s’agit de votre activité économique que se verrait interrompue en cas de vol ou de perte.

Restez à l’affût.


A lire également :


Lettre périodique "Signaux Faibles" : Communication périodique incluant des informations pertinentes passées sous le radar et un commentaire stratégique non-conformiste. Inscrivez-vous gratuitement ici.


{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>