La Nasa mise sur le chiffrement intégral
L’agence spatiale américaine fait face à une importante violation de données, après qu’un portable contentant des informations sensibles sur un vaste nombre de ses employés et sous-traitants a été volé.
L’ordinateur portable a été déclaré manquant le 31 octobre dernier. Il était protégé par un mot de passe mais les informations qu’il contenait n’étaient pas chiffrées, selon un message de la Nasa adressé à ses collaborateurs mardi dernier, le 13 novembre. Une absence de chiffrement qui permet à n’importe qui de consulter aisément les données en question. Et qui force l’agence à reconnaître publiquement l’incident. «Bien que le portable était protégé par un mot de passe, il ne disposait pas d’un chiffrement intégral de son disque dur. Ce qui implique que les informations contenues sur ce disque pouvaient être accessibles à des personnes non autorisées », a indiqué la Nasa. «Nous évaluons la portée de l’incident et nous enquêtons; nous prenons toutes les mesures possibles pour limiter le risque de préjudice pour les employés concernés.» L’agence spatiale a souffert de nombreuses failles de sécurité. En 2004, elle a confirmé une violation majeure de ses sites Web et du réseau de son Jet Propulsion Laboratory. Un pirate suédois a été poursuivi pour cette infiltration. Un incident qui a conduit la Nasa à mettre en oeuvre un modèle de sécurité basé sur le Cloud hybride pour ses projets expérimentaux sensibles. Ses pratiques de sécurité ont également fait l’objet de plusieurs enquêtes. La Nasa vient de faire part de son intention d’implémenter le chiffrement intégral des disques durs sur tous les ordinateurs portables de ses employés d’ici au 21 décembre 2012. De nombreuses options sont disponibles sur le marché et la plupart des ordinateurs portables supportent le chiffrement de disque dur intégral, le chiffrement de fichier/dossier, le chiffrement de volume, ou encore acceptent les disques pré-chiffrés. Mais selon les experts, cette technique présente un défaut : le chiffrement complet peut pénaliser les performances globales de la machine et son temps de démarrage. Il peut masquer un manque de contrôle des accès aux systèmes.