Comment sécuriser mon ordinateur portable pour que le piratage par accès physique ne soit pas possible?

Je suppose que seul le chiffrement intégral du disque utilisant un algorithme puissant et, surtout, un bon mot de passe est la seule chose qui puisse sécuriser vos données stockées localement. Cela vous donne probablement une sécurité de 99,99%. Veuillez vous référer à l'un des nombreux guides sur la façon de procéder.

En outre, il est impossible de sécuriser votre ordinateur avec un pirate expérimenté disposant d’un accès physique.

• Mots de passe utilisateur / compte:
  Il est facile de créer un nouvel utilisateur administrateur si vous démarrez en mode de récupération, comme vous l'avez décrit vous-même, car vous obtenez un shell racine sans que les mots de passe vous soient demandés.
  Cela peut ressembler à un problème de sécurité accidentel, mais est destiné à (qui aurait pensé cela?) À des cas de récupération, par exemple vous Vous avez perdu votre mot de passe administrateur ou vous avez gâché la commande sudo ou d'autres éléments vitaux.

• Mot de passe root:
  Ubuntu n'a pas défini de mot de passe d'utilisateur root par défaut. Cependant, vous pouvez en définir un et on vous le demandera si vous démarrez en mode de récupération. Cela semble assez sécurisé, mais n’est toujours pas une solution sécurisée. Vous pouvez toujours ajouter le paramètre de noyau single init=/bin/bash à GRUB avant de démarrer Ubuntu qui le lance en mode mono-utilisateur - ce qui est en fait un shell root sans mot de passe.

• Sécuriser le menu GRUB avec un mot de passe:
  Vous pouvez sécuriser vos entrées de menu GRUB pour qu'elles ne soient accessibles qu'après authentification, c'est-à-dire que vous pouvez refuser de démarrer le mode de récupération sans mot de passe. Cela empêche également de manipuler les paramètres du noyau. Pour plus d'informations, consultez le site Grub2 / Passwords sur help.ubuntu.com . Cela ne peut être ignoré que si vous démarrez depuis un support externe ou si vous connectez directement le disque dur à un autre ordinateur.

• Désactiver le démarrage depuis un support externe dans le BIOS:
  Vous pouvez définir l'ordre de démarrage et exclure généralement les périphériques du démarrage dans de nombreuses versions actuelles du BIOS / UEFI. Ces paramètres ne sont cependant pas sécurisés, car tout le monde peut accéder au menu de configuration. Vous devez également définir un mot de passe ici, mais ...

• Mots de passe BIOS:
  Vous pouvez également contourner les mots de passe du BIOS. Il existe plusieurs méthodes:

  • Réinitialisez la mémoire CMOS (où sont stockés les paramètres du BIOS) en ouvrant le boîtier de l'ordinateur et en retirant physiquement la batterie CMOS ou en définissant temporairement un cavalier "Clear CMOS".
  • Réinitialisez les paramètres du BIOS avec une combinaison de touches de service. La plupart des fabricants de cartes mères décrivent des combinaisons de touches dans leurs manuels de maintenance pour rétablir les valeurs par défaut des paramètres du BIOS, y compris le mot de passe. Un exemple serait de maintenir ScreenUp tout en allumant l’alimentation, ce qui, si je me souviens bien, a débloqué une carte mère Acer avec le BIOS AMI une fois que j’ai gâché mes paramètres d’overclocking.
  • Enfin, il existe un ensemble de mots de passe par défaut qui semblent toujours fonctionner, indépendamment du mot de passe défini. Je ne l'ai pas testé, mais ce site en propose une liste, classée par fabricant.
    Merci à Rinzwind pour cette information et ce lien!

• Verrouillez le boîtier de l'ordinateur / refusez l'accès physique à la carte mère et au disque dur:
  Même si tout le reste échoue, un voleur de données peut toujours ouvrir votre ordinateur portable, retirer le disque dur et le connecter à son propre ordinateur. Le monter et accéder à tous les fichiers non chiffrés est un jeu d'enfant. Vous devez le placer dans un boîtier sécurisé où vous pouvez être sûr que personne ne peut ouvrir l’ordinateur. Ceci est cependant impossible pour les ordinateurs portables et difficile pour les ordinateurs de bureau. Peut-être pouvez-vous penser à posséder un film d'action comme un appareil auto-destructeur qui fait exploser des explosifs si quelqu'un tente de l'ouvrir? ;-) Mais assurez-vous de ne jamais avoir à l'ouvrir pour la maintenance!

• Cryptage intégral du disque:
  Je sais que j'ai conseillé cette méthode comme étant sécurisée, mais elle n'est pas sûre à 100% si vous perdez votre ordinateur portable lorsqu'il est allumé. Il y a une soi-disant "attaque de démarrage à froid" qui permet à l'attaquant de lire les clés de chiffrement de votre RAM après avoir réinitialisé la machine en cours d'exécution. Cela décharge le système, mais ne vide pas le contenu de la RAM du temps sans alimentation est assez courte.
  Merci à kos pour son commentaire à propos de cette attaque!
  Je vais également citer son deuxième commentaire ici:

    

  Ceci est une vieille vidéo, mais explique bien le concept: " Nous nous souvenons: des attaques par amorçage à froid sur les clés de chiffrement "sur YouTube ; si un mot de passe BIOS est défini, l'attaquant peut toujours retirer la batterie CMOS pendant que l'ordinateur portable est activé. conçu pour démarrer sans perdre une seconde cruciale, ce qui est de plus en plus rare en raison des disques SSD, car un disque SSD personnalisé sera probablement capable de transférer même 8 Go en moins d'une minute, en considérant une vitesse d'écriture de ~ 150 Mo / s

  Question connexe, mais toujours sans réponse, sur la manière d’empêcher les attaques par amorçage à froid: Comment puis-je activer Ubuntu (en utilisant le chiffrement intégral du disque) pour appeler LUKSsupend avant de mettre en veille / suspendre la RAM?

Pour conclure: rien ne protège réellement votre ordinateur portable de l’utilisation de personnes ayant un accès physique et une intention malveillante. Vous ne pouvez chiffrer toutes vos données que si vous êtes suffisamment paranoïaques pour risquer de tout perdre en oubliant votre mot de passe ou un plantage. Le cryptage rend donc les sauvegardes encore plus importantes qu’elles ne le sont déjà. Cependant, ils doivent également être cryptés et placés dans un endroit très sûr.
Ou ne donnez simplement pas votre ordinateur portable et espérez que vous ne le perdrez jamais. ; -)

Si vous vous souciez moins de vos données mais de votre matériel, vous pouvez acheter et installer un émetteur GPS dans votre cas, mais cela ne concerne que les véritables paranoïaques ou les agents fédéraux.

Cryptez votre disque. Ainsi, votre système et vos données seront en sécurité en cas de vol de votre ordinateur portable. Sinon:

• Le mot de passe du BIOS n’aidera pas: le voleur peut facilement extraire le disque de votre ordinateur et le placer sur un autre PC pour le démarrer.
• Votre mot de passe utilisateur / root n’aidera pas non plus: le voleur peut facilement monter le disque comme expliqué ci-dessus et accéder à toutes vos données.

Je vous recommande d’avoir une partition LUKS dans laquelle vous pouvez configurer un LVM. Vous pouvez laisser votre partition de démarrage non chiffrée afin de ne saisir que votre mot de passe une fois. Cela signifie que votre système pourrait être plus facilement compromis s'il était falsifié (volé et rendu à vous sans même vous en apercevoir), mais il s'agit d'un cas très rare et, à moins mafia, vous ne devriez pas vous inquiéter à ce sujet.

Votre programme d’installation Ubuntu devrait vous permettre d’installer avec LUKS + LVM de manière très simple et automatisée. Je ne vais pas republier les détails ici, car il existe déjà beaucoup de documentation sur Internet. : -)

L’ordinateur portable le plus sécurisé est celui qui ne contient aucune donnée. Vous pouvez configurer votre propre environnement de cloud privé et ne plus stocker aucun élément important au niveau local.

Ou retirez le disque dur et faites-le fondre avec de la thermite. Bien que cela réponde techniquement à la question, ce n'est peut-être pas le plus pratique car vous ne pourrez plus utiliser votre ordinateur portable. Mais ces pirates infatigables ne le seront pas non plus.

En excluant ces options, cryptez deux fois le disque dur et utilisez une clé USB pour le décrypter. La clé USB contient un ensemble de clés de déchiffrement et le BIOS contient l'autre ensemble - protégé par mot de passe, bien sûr. Combinez cela avec une routine d'autodestruction automatique des données si la clé USB n'est pas branchée pendant le démarrage / reprise de la suspension. Transportez la clé USB sur votre personne à tout moment. Cette combinaison se produit également avec XKCD # 538 .

Il existe quelques solutions matérielles à noter.

Premièrement, certains ordinateurs portables, tels que certains ordinateurs portables professionnels Lenovo, sont équipés d’un commutateur de détection de violation qui détecte l’ouverture du boîtier. Sur Lenovo, cette fonctionnalité doit être activée dans le BIOS et un mot de passe administrateur doit être défini. Si une manipulation est détectée, le portable s'arrêtera (je crois) immédiatement, au démarrage, il affichera un avertissement et demandera le mot de passe administrateur et l'adaptateur secteur approprié pour continuer. Certains détecteurs de falsification déclenchent également une alarme sonore et peuvent être configurés pour envoyer un courrier électronique.

La détection de sabotage n'empêche pas vraiment la falsification (mais cela peut compliquer le vol des données de la RAM) et la détection de sabotage risque de "bricoler" le périphérique s'il détecte un problème. Le principal avantage est que quelqu'un ne peut pas altérer secrètement le matériel sans que vous le sachiez - si vous avez mis en place une sécurité logicielle solide telle que le chiffrement intégral du disque, l'altération cachée du matériel est certainement l'un des vecteurs d'attaque restants.

Une autre sécurité physique est que certains ordinateurs portables peuvent être verrouillés sur un quai. Si la station d'accueil est solidement fixée à une table (via des vis qui seront sous l'ordinateur portable) et si l'ordinateur portable reste verrouillé sur la station d'accueil lorsqu'elle n'est pas utilisée, elle fournit une couche supplémentaire de protection physique. Bien sûr, cela ne va pas arrêter un voleur déterminé, mais cela rend plus difficile le vol de l’ordinateur portable de votre maison ou de votre entreprise et, même verrouillé, il est toujours parfaitement utilisable (et vous pouvez brancher des périphériques, Ethernet, etc.). p>

Bien sûr, ces fonctionnalités physiques ne sont pas utiles pour sécuriser un ordinateur portable qui ne les possède pas. Mais si vous êtes soucieux de la sécurité, il peut être utile de les considérer lors de l’achat d’un ordinateur portable.

En plus de crypter votre disque (vous ne pourrez pas le contourner): - SELinux et TRESOR. Les deux durcissent le noyau Linux et tentent de rendre difficile la lecture des choses par les attaquants depuis la mémoire.

Pendant que vous y êtes: Nous entrons maintenant sur le territoire non seulement de la peur des méchants gars au hasard qui veulent vos informations de carte de débit (ils ne le font pas) mais souvent assez des agences de renseignement. Dans ce cas, vous souhaitez faire plus:

• Essayez de purger tout ce qui concerne les sources fermées (également le micrologiciel) du PC. Cela inclut UEFI / BIOS!
• Utiliser tianocore / coreboot comme nouvel UEFI / BIOS
• Utilisez SecureBoot avec vos propres clés.

Il y a beaucoup d’autres choses que vous pouvez faire mais celles-ci devraient donner un nombre raisonnable de choses avec lesquelles elles doivent chatouiller.

Et n'oubliez pas: xkcd ; -)

Parce que vous avez un peu changé la question, voici ma réponse à la partie modifiée:

  

Comment puis-je sécuriser ma machine pour que le piratage via un accès physique ne soit pas possible?

Réponse: Vous ne pouvez pas

Il existe un grand nombre de systèmes matériels et logiciels avancés, tels que la détection des intrusions , le cryptage, etc.

Vous pouvez protéger vos données, mais vous ne pouvez pas protéger votre matériel lorsque quelqu'un y a accès. Et si vous continuez à utiliser du matériel après que quelqu'un ait eu accès, vous mettez vos données en danger!

Utilisez un ordinateur portable sécurisé avec une détection de violation qui efface la RAM lorsque quelqu'un tente de l'ouvrir, utilise le chiffrement intégral du disque, stocke les sauvegardes de vos données chiffrées dans des emplacements différents. Ensuite, rendez le plus difficile possible pour obtenir un accès physique à votre matériel. Mais si vous pensez que quelqu'un a eu accès à votre matériel, effacez-le et jetez-le.

Vous devriez poser la prochaine question > est: comment puis-je acquérir un nouveau matériel qui n’a pas été falsifié?

Utilisez un mot de passe ATA pour votre disque dur / SSD

Cela empêchera l’utilisation du disque sans le mot de passe . Cela signifie que vous ne pouvez pas démarrer sans mot de passe car vous ne pouvez pas accéder au MBR ou à ESP sans mot de passe. Et si le disque est utilisé dans une autre machine, le mot de passe est toujours requis.

Vous pouvez donc utiliser un mot de passe ATA utilisateur pour votre disque dur / SSD. Ceci est généralement défini dans le BIOS (mais ce n’est pas un mot de passe du BIOS).

Pour plus de sécurité, vous pouvez également définir un mot de passe ATA maître sur le disque. Pour désactiver l'utilisation du mot de passe du fabricant.

Vous pouvez le faire sur le cli avec hdparm aussi.

Des précautions supplémentaires doivent être prises car vous pouvez perdre toutes vos données si vous perdez le mot de passe.

lien

Remarque: Il existe également des faiblesses, car certains logiciels prétendent récupérer le mot de passe ATA, voire prétendent le supprimer. Donc, ce n'est pas sûr à 100% non plus.

Remarque: le mot de passe ATA n’est pas nécessairement fourni avec FED (Full Disk Encryption)