Une machine air-gap
Qu’est ce qu’une machine air-gap ? A quoi ça sert ? En sécurité informatique, un air gap aussi appelé air wall est une mesure de sécurité consistant à isoler physiquement un système à sécuriser de tout réseau informatique. Air gap (informatique) sur Wikipedia. Formulé autrement cela correspond à une machine qui n’est jamais connecté à Internet.
Une machine air-gap est-ce utile pour moi ? Une machine air-gap, pourquoi faire ?
Tout dépend de votre modèle de menace qu’il faut clairement définir avant de se lancer, tant les contraintes que l’on va s’infliger peuvent être grandes/aller loin.
Avoir une machine air-gap, c’est avoir une machine que l’on ne connecte jamais à Internet.
L’intérêt est d’avoir une machine en laquelle on pourra avoir relativement confiance et sur laquelle on pourra faire des choses sensibles (là encore les dîtes choses sensibles dépendent du modèle de menace. Ce peut être l’édition de texte militant par exemple. Ou autre. A vous de définir.
Ce qu’il est important à retenir c’est que l’on ne connectera jamais cette machine à Internet. JAMAIS. Même pas une fois.
Une machine que l’on connait
Idéalement, on utilisera une machine que l’on aura monté soi-même (un PC fixe de type tour donc). Le fait de monter sa machine soi-même permet de connaitre les composants que l’on aura mis dans la machine, de vérifier (de façon relative) les composants... Là encore, cela dépend de son niveau/besoin de sécurité (un PC portable acheter par une entreprise sensible peut avoir des ajouts matériels de type keylogger ou autre). Monter sa machine soi-même veut aussi dire installer le système d’exploitation et donc avoir la maitrise sur ce qui est fait, installé, sur les services qui tournent etc.
Là encore, le but est de sécuriser la machine par défaut au niveau du système d’exploitation, en appliquant les règles de bases et avancées de sécurité (mots de passes, droits des utilisateurs etc.)
Mises à jour
On peut imaginer qu’elles sont relativement inutiles vu que la machine n’est pas connecté au réseau Internet. Mais l’application des mises à jour permet de corriger les failles de sécurité et les bugs des logiciels que l’on utilise, donc appliquer les mises à jour est une bonne chose.
Pour les faire, on passera par la mise à jour via un cd/dvd-rom de mise à jour et les commandes adéquates (permettant d’utiliser le CD comme source sous Debian par exemple).
Une machine chiffrée
Le chiffrement est une nécessité. Si on a le besoin d’une machine déconnectée du réseau pour des raisons de sécurité, le chiffrement du disque permet de protéger les données quand la machine n’est pas sous tension. Une machine cryptée On peut aller encore plus loin en mettant sa machine dans une chambre forte avec un accès limité... Le but étant là encore de limiter tout accès physique à la machine.
Comment déposer des fichiers sur une machine air-gap ?
Une machine air-gap, ça reste un ordinateur que l’on souhaite utiliser pour différents usages et donc de l’édition/manipulation de fichiers.
La communication et transmission de données vers cette machine se fera idéalement via un CD. Oui un CD. CD inscriptible.
Pour récupérer les fichiers, on pensera donc à mettre sur la machine un graveur de cd/dvd pour récupérer les documents que l’on aura créé / édité sur la machine.
On peut envisager le transfert de données via une clef USB mais là encore, tout dépend de la confiance que l’on a dans la clef USB que l’on utilise... Retour au pré-requis d’avoir défini son modèle de menace.
L’accès physique à la machine
Il faut bien comprendre qu’un accès physique à la machine permet de faire beaucoup de choses. L’accès physique à la machine permet de récupérer / voler le disque dur (d’où le chiffrement). Si l’attaquant peut démarrer la machine, il peut tenter d’exploiter une faille de sécurité (d’où la nécessité de faire les mises à jour), la mettre en réseau avec son propre ordinateur.... Tout dépend du temps qu’il a.
Donc une machine air-gap, elle est déconnectée du réseau mais aussi sécurisé physiquement. Elle n’est pas utilisée par n’importe qui, elle n’est pas accessible par n’importe qui...
Et les sauvegardes
Comme tout ordinateur, si on stocke des données sur la machine air-gap, il faut également envisager les problématiques de sauvegarde. Car si la machine ne marche plus, si on y stocke des documents importants, il faut également envisager et réfléchir sur comment les sauvegarder...
On pourra graver régulièrement des DVD chiffrés par exemple. Le branchement d’un disque dur ou d’une clef USB pour les sauvegardes renvoie à la partie transfert de données sur la machine (on est dans le même cas).
De plus il faudra gérer la sécurité de ces sauvegardes (chiffrement, stockage dans un autre endroit). Car si on a besoin d’une machine air-gap, c’est que l’on a des documents sensibles. Et ce n’est pas pour que ces documents sensibles se retrouvent dans la nature dès qu’ils sont sauvegardés.
Précisions par Aeris
Aeris a apporté via Twitter les précisions suivantes qui viennent compléter (voir remettre en cause) certains éléments de mon billet ci-dessus :-)
On ne met *JAMAIS* une machine air-gap à jour. On est offline, donc osef des failles. Et on fait avec les bugs. Les risques sont trop grands de faire une erreur lors de la maj et de compromettre l’air-gap. Donc on reste en vieux. Parce que même via CD, sauf à prendre what-mille précautions (CD-R et pas RW, session finalisée, CD petites capacités…). Tu peux choper un malware qui exfiltrera les données via ton support inscriptible. Une machine air-gap, moins elle voit le jour, mieux elle se porte :)
Il est aussi tout-à-fait déconseillé de monter sa machine soi-même. Parce que ça implique une machine tour/desktop. Et donc une machine qui risque de passer sa vie au beau milieu du bureau, à la vue de tous. Préférer un petit 11/13″ portable qu’on pourra du coup planquer au fond d’une cache quelque part. Et avec qui on peut disparaître rapidement en cas de soucis.
Niveau sauvegarde : nope. Pour les mêmes raisons que les mises-à-jour. Étant donné la criticité des documents stockées sur une machine air-gap, il est de toute façon très probable que ces documents soient répartis chez plusieurs personnes, sur autant de machines air-gap. La perte d’une machine ne doit dans tous les cas pas être critique pour la survie de l’information. (C’est aussi valable pour la disparition complète d’une personne d’ailleurs).
Conclusion
On a deux donc deux visions différentes de la machine air-gap. Tout dépendra donc, comme souvent, de votre modèle de menace.