Effacement et déclassification des supports d'information électroniques - ITSG-06

Date de publication : Juillet 2006

Table des matières

Liste des tableaux


Avant-propos

Le document Écrasement et déclassification des supports d'information électronique (ITSG-06) est un document non classifié publié avec l'autorisation du chef du Centre de la sécurité des télécommunications (CST).

Les propositions de modifications doivent être envoyées à votre représentant des Services à la clientèle au CST, et ce, par les voies responsables de la sécurité des télécommunications au sein de votre ministère.

Toutes les demandes relatives à des exemplaires supplémentaires ou à des modifications à apporter dans la distribution de la présente publication devraient être adressées à votre représentant des Services à la clientèle au CST.

Pour de plus amples renseignements, veuillez vous adresser aux Services à la clientèle, Sécurité des TI, CST par courriel à l'adresse itsclientservices@cse-cst.gc.ca ou par téléphone au 613-991-7600.

La présente publication entre en vigueur en juillet 2006.

Sue Greaves
Directrice, Gestion de la mission de la Sécurité des TI

© 2006 Gouvernement du Canada, Centre de la sécurité des télécommunications.
La reproduction en tout ou en partie de la présente publication est interdite sans le consentement écrit préalable du CST.

1. Introduction

1.1 Généralités

Les présentes lignes directrices ont pour but d'aider les responsables des TI du gouvernement du Canada à choisir les méthodes appropriées de préparation des supports d'information électroniques (SIE) en vue de leur déclassification, réutilisation ou disposition. Elles donnent un aperçu des normes de base approuvées par la GRC et le CST pour l'écrasement et le nettoyage de différents types de SIE, et décrit un éventail de méthodes qui permettent de s'y conformer. Les méthodes recommandées tiennent compte de niveaux spécifiques de sensibilité des données utilisées dans une gamme d'environnements d'exploitation types du GC.

1.2 Exceptions COMSEC

Ces lignes directrices ne s'appliquent ni à l'équipement ni au matériel de chiffrement COMSEC (sécurité des communications). Prière de consulter les doctrines pertinentes en matière de cryptographie (CCD) pour obtenir des instructions concernant le traitement de l'équipement COMSEC.

1.3 Politique du gouvernement sur la sécurité

La Politique du gouvernement sur la sécurité (PGS) exige des ministères et organismes fédéraux qu'ils établissent et mettent en oeuvre un programme de sécurité qui englobe la sécurité de l'organisation, du matériel et du personnel ainsi que la sécurité des technologies de l'information. Bien que la PGS s'appuie sur des normes de sécurité opérationnelles et techniques qui définissent les exigences de base en matière de sécurité, elle confie aux ministères et organismes la responsabilité de sa mise en oeuvre détaillée. En outre, les ministères et organismes doivent effectuer leurs propres évaluations des menaces et des risques (EMR) afin de déterminer le besoin de mesures de protection supérieures aux niveaux de base stipulés dans les normes.

La PGS exige des ministères et organismes qu'ils effectuent une surveillance et des évaluations permanentes de leur programme de sécurité. Afin d'évaluer la conformité à la politique et de formuler des commentaires sur l'efficacité de cette dernière, les ministères doivent présenter au Secrétariat du Conseil du Trésor des rapports sur les résultats de ces évaluations ou vérifications internes. Il est essentiel que les ministères comprennent les exigences de sécurité relatives au traitement de l'information et aux supports contenant de l'information protégée et classifiée. Les exigences minimales liées à l'effacement, au nettoyage et à la destruction des SIE, telles qu'elles sont décrites dans le présent document, ont été approuvées par le Centre de la sécurité des télécommunications (CST) et la Gendarmerie royale du Canada (GRC).

Prière de consulter la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels (AIPRP) ainsi que la PGS et les normes opérationnelles connexes pour obtenir davantage de détails sur la classification et le traitement de l'information protégée et classifiée.

1.4 Exigences et considérations ministérielles

Les ministères et organismes sont tenus d'effectuer des EMR afin de tenir compte des situations particulières de chaque groupe d'utilisateurs compte tenu de la nature complexe de l'environnement de menace et de l'évolution rapide de la technologie de stockage des données électroniques.

Pour que l'information sensible ne soit ni compromise ni divulguée, les utilisateurs et les gestionnaires doivent assurer en permanence un contrôle approprié des SIE qui contiennent ce type d'information. Les politiques ministérielles de sécurité doivent prévoir des procédures d'étiquetage, de stockage, de déclassement/déclassification, de destruction et (ou) d'effacement du matériel sensible.

1.5 Exigences relatives à la conservation et à la vérification des données

Les ministères doivent aborder les exigences de la législation et des politiques en ce qui a trait aux périodes de conservation et à la vérification des données, etc., avant d'autoriser l'effacement ou la destruction d'un support. Ces exigences incluent les suivantes :

  • exigences en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels (AIPRP) concernant la conservation des documents publics;
  • exigences relatives aux politiques pertinentes du SCT en matière de gestion de l'information concernant la tenue des dossiers du gouvernement;
  • exigences en matière d'audit de sécurité concernant la conservation de données qui pourraient être requises comme preuves au cours de procédures judiciaires ou d'enquêtes; et
  • exigences en matière d'audit de sécurité concernant la conservation de dossiers complets sur la destruction et la disposition de documents, d'information et d'équipements gouvernementaux.

1.6 Étiquettes de sensibilité

Les SIE utilisés pour le stockage d'information sensible doivent être étiquetés de façon appropriée, conformément aux normes opérationnelles pertinentes de la PGS. Les étiquettes doivent être conservées jusqu'à ce que l'information sensible soit déclassifiée, déclassée ou effacée par des moyens sûrs - ou jusqu'au moment qui précède immédiatement la destruction matérielle du support.

1.7 Structure du document ITSG-06

Les présentes lignes directrices comptent quatre (4) sections :

  1. Introduction - Cette section inclut de l'information contextuelle sur la façon appropriée d'éliminer et (ou) de réutiliser les supports de traitement de l'information.
  2. Méthodes relatives à l'effacement, au nettoyage et à la destruction - Cette section présente les différentes méthodes de destruction des données et (ou) des supports.
  3. Manuel sur l'effacement, le nettoyage et la destruction - Cette section décrit, pour tous les types de support d'information, les normes de destruction approuvées par le CST et la GRC, regroupées en trois catégories générales : supports de stockage magnétiques, optiques et miniatures. Les normes tiennent compte de l'évaluation de la sensibilité des données stockées pour chacune des catégories.
  4. Annexes - Les annexes incluent des explications détaillées des différents aspects liés à la réutilisation, à l'effacement ou au nettoyage des supports.

2. Écrasement et Nettoyage

On utilise plusieurs méthodes de sécurité pour protéger les données sensibles durant leur traitement et leur stockage dans les systèmes de TI. Toutefois, des attaquants éventuels pourraient être en mesure de recouvrer l'information sensible contenue dans des supports jetés au rebut. Les présentes lignes directrices traitent des aspects de la sécurité qui concernent le changement d'utilisation ou la disposition de supports d'information électroniques (SIE), ainsi que des méthodes requises pour la destruction effective des données stockées afin de réduire ou d'éliminer toute menace d'accès non autorisé.

2.1 Écrasement

L'écrasement est le processus qui consiste à effacer le contenu d'un SIE de manière à permettre la réutilisation de ce dernier dans un environnement dont le niveau de sécurité est équivalent ou supérieur.

L'écrasement doit pouvoir empêcher tout recouvrement des données à l'aide des outils normalement disponibles dans le système d'information. Une simple opération de suppression ou d'effacement des fichiers, ou de formatage du disque, n'écrase pas le support puisque des commandes telles Undelete (annulation de la suppression) ou Unformat (annulation du formatage) peuvent permettre le recouvrement des données. On ne s'attend pas que le processus d'écrasement protège contre des méthodes « pratiques » de recouvrement basées sur des utilitaires de TI spécialisés ou des techniques de laboratoire. Il faut donc que les supports écrasés soient conservés dans des environnements dont le niveau de sécurité correspond au plus haut niveau de sécurité des données qu'ils ont déjà renfermées; de plus, on ne doit pas envisager de déclasser ces supports.

2.2 Nettoyage

Le nettoyage est le processus qui consiste à effacer ou à détruire un SIE de manière telle qu'on ne puisse raisonnablement espérer* en recouvrer les données - c.-à-d., qui offre un risque faible ou inexistant de compromission après le nettoyage. En plus de détruire les données, ce processus prévoit l'élimination manuelle de toute indication externe attestant que le support a déjà contenu des données sensibles. Les SIE nettoyés peuvent être déclassés et éliminés comme déchets non classifiés ou à titre d'équipement excédentaire que l'on peut vendre ou recycler.

*Espoir raisonnable : tout agresseur qui a l'occasion, la motivation et la capacité d'effectuer une tentative de recouvrement et qui croit que la valeur présumée des données justifie le temps et les coûts associés à une telle opération.

2.3 Méthodes d'écrasement et de nettoyage

2.3.1 Chiffrement

Le chiffrement de la totalité d'un support (et non seulement des fichiers et des dossiers) durant tout son cycle de vie - avec des logiciels de chiffrement approuvés par le CST pour le type d'application concerné et le niveau de sensibilité des données stockées - peut être jugé « équivalent à un nettoyage » effectué avant la disposition du support à la fin de sa vie. Dans le cas d'un portable, par exemple, le chiffrement procure une certaine assurance de protection des données même advenant le vol ou la perte du support. Pour une disposition courante, toutefois, le chiffrement doit être suivi d'un processus de réécriture approuvé afin d'éliminer toute possibilité pour un attaquant de recouvrer la clé de déchiffrement du disque dur.

L'efficacité du chiffrement pour ce qui est d'assurer la protection permanente des données repose sur trois facteurs : la force du schéma de protection cryptographique mis en place par le fournisseur, la gestion de la clé de chiffrement par l'organisme utilisateur et l'évitement des éléments de motivation d'attaque. S'il en a l'occasion et le temps, un adversaire compétent peut recouvrer les données s'il est suffisamment motivé à consentir l'effort requis. Les méthodes de chiffrement approuvées* sont dissuasives puisqu'elles font en sorte que le niveau d'effort requis pour recouvrer les données est supérieur à la valeur des données à recouvrer.

*Les schémas de chiffrement sous-jacents des produits commerciaux présentent souvent de graves lacunes. Le processus de validation du CST est en mesure de les repérer et d'en informer le fournisseur pour qu'il les corrige avant l'approbation du produit aux fins d'utilisation au sein du gouvernement.

2.3.2 Réécriture

La réécriture permet de supprimer ou d'effacer l'information sur un support en écrivant des bits de données « 1 » et (ou) « 0 » dans toutes les zones de stockage du support, remplaçant ainsi tous les bits significatifs d'information existants.

L'efficacité de cette méthode est liée au nombre de cycles de réécriture (pour annuler le phénomène des bordures de pisteNote de bas de page 1, à la compétence et aux connaissances de la personne qui exécute le processus, et aux fonctions de vérification du logiciel de réécriture (le cas échéant) qui aident à s'assurer que la réécriture s'effectue sur tout l'espace de stockage accessible du support.

Triple réécriture : Processus qui consiste à effectuer trois passages du logiciel de réécriture. Conformément aux critères de réécriture de la GRC, la première passe doit écrire des uns (1) ou des zéros (0) binaires sur tout le support, la deuxième, des caractères complémentaires (ou opposés) à ceux de la première passe, et la troisième, un schéma pseudo-aléatoire que l'opérateur est en mesure de lire pour vérifier les résultats.

Norme « Secure Erase » : Depuis 2001 environ, tous les disques durs ATA (IDE) et SATA répondent à la norme « Secure Erase Note de bas de page 2. Toutefois, les disques durs SCSI et à canaux de fibres optiques ne répondent pas à cette norme et peuvent être écrasés uniquement à l'aide de produits logiciels tiers.

  • Normes de réécriture de la GRC : Choisissez un produit logiciel qui répond aux critères de réécriture de la GRCNote de bas de page 3 et qui a fait l'objet d'une analyse de laboratoire indépendante, p. ex., un test en regard d'un profil pertinent des Critères communs.
  • Fonctions de vérification : Assurez-vous que le produit inclut des fonctions logicielles qui permettent à l'opérateur de déterminer si le logiciel de recouvrement peut accéder (et a effectivement accédé) à toute la zone de stockage connue du disque.

Réécriture comme méthode autonome. Pour les supports magnétiques tels les disques durs, les bandes, etc., la triple réécriture est présumée une méthode autonome de destruction des données jusqu'au niveau PROTÉGÉ B inclusivement, et peut être également jugée acceptable pour le niveau CONFIDENTIEL.

Réécriture de pair avec d'autre méthodes de destruction. La triple réécriture ne convient pas comme méthode autonome de destruction des données pour les supports magnétiques qui contiennent de l'information PROTÉGÉ C ou classifiée à un niveau supérieur à CONFIDENTIEL. Toutefois, de pair avec d'autres procédures de destruction incomplète, telles la désintégration ou le déchiquetage, la triple réécriture peut offrir une garantie supplémentaire de destruction au-delà de tout espoir raisonnable de recouvrement.

2.3.3 Démagnétisation

La démagnétisation consiste à appliquer une force magnétique d'une puissance suffisante pour effacer toutes les données d'un support magnétique particulier. L'efficacité de cette méthode est liée à l'intensité relative de la force magnétique offerte par l'appareil de démagnétisation et les propriétés de conservation magnétique du support de données. Pour être efficaces, les appareils de démagnétisationNote de bas de page 4 doivent être manipulés et entretenus avec soin.

2.3.4 Déformation physique

La déformation physique consiste à utiliser des outils tels une masse, une cloueuse, un étau, etc., pour causer à un support des dommages matériels extrêmes dans le but de retarder, gêner ou détourner toute tentative de recouvrement des données de la part d'un attaquant. Dans le cas des disques magnétiques, l'efficacité de cette méthode est liée à l'importance des dommages causés à la surface de chaque plateau (incluant la déformation de la surface plate) dans le but de rendre très difficile toute analyse de laboratoire - en plus de l'occultation résultant de l'impossibilité de discerner les restes de disques sensibles de ceux des autres supports détruits. Voir l'annexe B concernant les techniques acceptables de déformation physique.

2.3.5 Déchiquetage et désintégration

Déchiqueteuses. Le déchiquetage est une forme de destruction qui consiste à réduire le support en petites pièces de taille et de format uniformes. Normalement, on utilise les déchiqueteuses uniquement avec les supports minces tels les CD-ROM et les DVD. Les déchiqueteuses sont approuvées en fonction de la taille et du format des lanières ou des particules produites par les cisailles.

Désintégrateurs. Le désintégration consiste à utiliser un mécanisme non uniforme de découpage et de déchiquetage (p. ex., des lames rotatives dans une enceinte close) qui réduit le support en pièces de taille et de format aléatoires. Les désintégrateurs conviennent à gamme variée de supports de presque toutes les tailles. Un tamis à la sortie permet de récupérer les pièces surdimensionnées et de les retourner au déchiquetage. La GRC approuve les désintégrateurs - en fonction de la taille du tamis - selon les différents types de SIE et les niveaux de sensibilité.

Exigences relatives à l'équipement. Les ministères qui envisagent d'utiliser un service de destruction externe doivent communiquer avec la GRC pour obtenir des conseils. Pour être admissibles comme moyens de destruction valables, la désintégration ou le déchiquetage doivent réduire le support en pièces dont la taille correspond à la taille maximale acceptable déterminée par un filtre à particules. Ce dernier doit être choisi de manière à retenir les pièces surdimensionnées - qui seront retournées pour un déchiquetage supplémentaire - tout en permettant le passage des plus petites pièces aux fins d'élimination.

Exigences relatives aux procédures. Avant la destruction, le personnel responsable de la sécurité doit retirer toutes les étiquettes et tous les collants et autres indicateurs externes attestant de la classification actuelle ou antérieure du contenu du support. Dans tous les cas, les responsables de la sécurité du ministère doivent être témoins de la destruction.

2.3.6 Séparation matérielle/moléculaire par centrifugeur à haute vitesse

Cette technologie de recyclage est nouvelle au Canada. On étudie actuellement son utilisation possible pour la destruction et la disposition des supports.

2.3.7 Meulage et broyage

Le meulage consiste à utiliser une machine pour meuler un SIE en fines pièces.

Meuleuses de surface de CD. Meuleuses spécialisées capables de réduire la couche porteuse de données d'un disque optique en fine poussière tout en laissant intact le disque lui-même qui sera recyclé ou éliminé. Toutefois, on ne peut utiliser cette méthode pour les DVD puisque leur couche porteuse d'information est prise en sandwich au centre. Une solution de remplacement à cette méthode consiste à utiliser une machine spéciale pour perforer des milliers de petits trous dans le disque pour en détruire la couche porteuse.

Les broyeurs à marteaux sont des meuleuses polyvalentes durables capables de broyer la majorité des matériaux. Le matériau est introduit dans la machine et est pilonné à plusieurs reprises par une série de marteaux rotatifs en acier trempé qui effectuent le broyage. Le broyeur est entouré d'un tamis qui laisse échapper uniquement les particules de petite taille.

2.3.8 Incinération

L'incinération consiste à détruire les SIE dans des incinérateurs écologiques approuvés pour les plastiques et autres matériaux.

2.3.9 Moletage

Le moletage consiste à utiliser une machine servant à appliquer aux disques optiques (CD-ROM ou DVD) une pression et une chaleur qui permettent de les étirer et de les courber légèrement. Le but de ce processus est de détruire les microcuvettes et les sillons optiques du disque pour détruire effectivement les données. On étudie actuellement l'utilisation possible de ce processus aux fins de destruction et d'élimination.

3. Manuel sur L'écrasement, le Nettoyage et la Destruction

La présente section donne un aperçu des méthodes d'écrasement et de nettoyage ainsi que des normes de destruction pour tous les types connus de support d'information électronique.

Vous trouverez dans les annexes des explications détaillées des différentes méthodes et des problèmes de sécurité connexes. En outre, les ministères doivent consulter les normes opérationnelles de la PGS et les lignes directrices pertinentes du CST et de la GRC concernant le traitement approprié de l'information sensible et des supports durant tout leur cycle de vie.

3.1 Technologies, techniques et équipement de destruction

La liste des technologies de destruction acceptées figure ci-dessous. Voir l'annexe B pour des explications détaillées.

Tableau 1 : Méthodes de destruction

Méthode Technologie approuvée
Chiffrement Cryptographie approuvée par le CST pour le niveau de classification de l'information contenue sur le support à détruire.
Réécriture Critères de réécriture de la GRC (Annexe B) pour les disques durs et autres supports magnétiques.
Démagnétisation Démagnétiseurs approuvés par le CST pour la coercitivité du support magnétique à détruire.
Déformation physique Méthodes approuvées par le CST uniquement pour les situations d'urgence précisées à l'annexe B.
Déchiquetage ou désintégration (avec tamis) Équipement ou normes approuvés par la GRC, utilisés conformément aux procédures de l'annexe B.
Meulage ou broyage Normes et procédures approuvées par la GRC.
Séparation matérielle/moléculaire Aucune installation approuvée actuellement.
Meulage de la surface (des CD) Normes et procédures approuvées par la GRC
Incinération Incinérateurs approuvés par Environnement Canada pour les matériaux à détruire
Moletage Aucune installation approuvée actuellement.

Nota : Les responsables de la sécurité du ministère doivent observer de près la destruction des supports effectuée hors site, et les étiquettes de sensibilité apposées à l'extérieur du support doivent être supprimées avant la destruction et la disposition de ce dernier.

3.2 Écrasement en vue de la réutilisation au sein d'un ministère

On peut utiliser la réécriture simple (une seule passe du logiciel de réécriture) pour écraser des disques magnétiques aux fins de réutilisation au sein du ministère, dans un environnement de sécurité de niveau équivalent ou supérieur. Dans ce contexte, l'écrasement permet d'appliquer la contrainte du « besoin de connaître » à un groupe d'utilisateurs.

Déclassification de données TRÈS SECRET. On peut utiliser la triple réécriture, plus efficace que la réécriture simple, pour écraser des supports d'information TRÈS SECRET aux fins de réutilisation au sein du ministère, dans un environnement SECRET.

Problèmes de sécurité liés à la réécriture :
Si le processus de réécriture réussit, il sera difficile pour un attaquant de recouvrer les données en laboratoire. Toutefois, le processus ne réussit pas toujours complètement en raison d'erreurs humaines et (ou) de l'incapacité des utilitaires, qui s'exécutent sur la couche application, d'écraser les secteurs défectueux ou les partitions cachées pouvant contenir des données sensibles. Un attaquant ayant un accès direct au disque dur peut recouvrer les données concernées en utilisant de simples outils logiciels, sans besoin de recourir à un laboratoire. C'est pourquoi la réécriture n'est pas acceptée comme méthode autonome de destruction pour la disposition de supports magnétiques qui contiennent des données extrêmement sensibles (au niveau PROTÉGÉ C ou SECRET et aux niveaux supérieurs); toutefois, il est acceptable pour « écraser » des supports aux fins de réutilisation dans un environnement de sécurité contrôlé - c.-à-d., dans une collectivité d'utilisateurs qui n'ont pas le « besoin de connaître » mais qui détiennent une cote de sécurité appropriée pour le niveau de sécurité de l'information résiduelle qui pourrait subsister dans les partitions cachées du support « écrasé ».

3.3 Nettoyage aux fins de déclassification et d'élimination

Il faut nettoyer un support avant de le déclasser aux fins de réutilisation dans un environnement dont le niveau de sécurité est inférieur, ou de diffusion externe, hors du contrôle du gouvernement du Canada. Retirez toutes les étiquettes ou toute indication externe attestant que le support a déjà contenu des données sensibles, et détruisez les données ou le support conformément aux instructions appropriéesNote de bas de page 5.

3.4 Considérations particulières - Situations d'urgence et réécriture

3.4.1 Destruction d'urgence

La destruction d'urgence vise à prévenir ou empêcher le recouvrement d'information sensible dans les meilleurs délais opérationnels possibles. Les supports doivent être détruits suivant un ordre de priorité fondé sur le volume et le niveau de sensibilité des données stockées. Compte tenu des contraintes de temps et de disponibilité des installations de destruction approuvées, on peut remplacer les techniques normales par toute autre méthode pratique disponible. Les techniques les plus rapidement accessibles sont la déformation physique et l'incinération, qui peuvent être combinées pour optimiser l'efficacité de la destruction.

Avant la destruction, on doit retirer toutes les étiquettes et tous les collants et autres indicateurs externes attestant de la classification du contenu du support. Les SIE doivent être retirés de l'équipement hôte dans la mesure du possible.

Les outils de déformation de support magnétique ou optique incluent les suivants : cloueuse, perceuse électrique, étau ou masse.

Dans le cas des supports de mémoire miniatures ou de mémoire flash, des coups de masse violents et répétés visant à pulvériser les composantes électroniques peuvent ne pas détruire les puces de mémoire; toutefois, ils permettent effectivement de décourager ou de retarder toute tentative de recouvrement. Et, pour retarder davantage toute tentative de reconstruction, on peut mélanger les restes du support avec ceux d'un support ayant contenu des données non sensibles.

3.4.2 Réécriture

Pour la disposition de disques magnétiques hors de l'environnement de sécurité contrôlé, la réécriture doit être précédée d'une comparaison de la capacité déclarée (déterminée par le logiciel de réécriture) et de la capacité réelle (calculée par l'opérateur humain) du disque. Le but est de vérifier la présence de zones de données non lues ou cachées auxquelles le logiciel de réécriture, qui s'exécute sur la couche application, ne peut accéder mais qu'un attaquant peut repérer à l'aide d'outils logiciels, tel un éditeur de disque, qui s'exécute sur une couche inférieure. Le processus de réécriture lui-même doit se faire en trois passes, incluant l'écriture de uns (1) binaires, de zéros (0) et d'un schéma pseudo-aléatoire sur toute la surface accessible de la bande ou du disque magnétique, suivies d'une vérification des résultats par l'opérateur humain.

3.4.3 Réécriture - Assistants numériques et BlackBerry

Les assistants numériques (PDA) ne sont pas conçus pour répondre aux exigences de sécurité du gouvernement. Ils utilisent une variété de mécanismes pour restreindre l'accès à la mémoire; toutefois, le but de ces mécanismes, qui n'ont pas été testés à cet effet, est rarement de dissuader les attaques en laboratoire. La question concernant la disposition sécuritaire de ce support repose sur l'acceptation ou non de ses mesures de protection inhérentes contre l'accès non autorisé à la mémoire. Les dispositifs BlackBerry offrent des options de protection des données qui répondent aux exigences de sécurité du gouvernement pour la protection de courriels et de pièces jointes de niveau PROTÉGÉ B, dans les limites fixées dans les différents bulletins et autres documents du CST.

PERTE OU VOL D'UN BLACKBERRY :

Comme il a été confirmé par le CST, les données d'utilisateur du BlackBerry sont supprimées par réécriture dès que le nombre maximal de tentatives d'introduction du mot de passe est dépassé ou lorsque l'administrateur du serveur d'entreprise BlackBerry (BES) réussit à envoyer un commande Kill au dispositif. Toutefois, si cette commande n'est pas reçue ou exécutée, le module de mémoire du dispositif peut être soumis à une attaque en laboratoire dont l'objectif est de lire les données d'utilisateur non chiffrées. Pour assurer une protection en cas de perte ou de vol, les ministères doivent donc compléter les mécanismes de protection ci-dessus en prévoyant des politiques sur la manipulation du dispositif et les types d'information qu'on peut y stocker (niveau maximal PROTÉGÉ A, ou PROTÉGÉ B dans le cas où l'option SMIME est installée et utilisée correctement).

ASSISTANTS NUMÉRIQUES DÉFECTUEUX :

Par mesure administrative, les ministères devraient exiger la suppression des données d'utilisateur de tous les assistants numériques avant de disposer de ces appareils ou de les retourner au fournisseur. Malheureusement, cela peut s'avérer impossible lorsque le dispositif est défectueux, et quiconque possède les ressources de laboratoire nécessaires pourrait recouvrer les données qui y sont stockées. Les ministères devraient effectuer une évaluation du risque pour chaque cas et tenir compte à la fois de la valeur des données et des répercussions éventuelles de leur divulgation. Si le risque est jugé moyen ou élevé, le ministère devrait s'assurer que le support demeure sous son contrôle. Sinon, il devrait le détruire conformément aux méthodes de destruction approuvées, et son coût de remplacement doit être associé à une mesure nécessaire de sécurité.

3.5 Normes de destruction - Supports magnétiques

S'appliquent aux supports suivants :

  • Lecteurs de disque dur
  • Disquettes
  • Bandes magnétiques (cartouches DAT, bandes de sauvegarde, bobines, audiocassettes, VHS, Beta, etc.)
  • Cartes à piste magnétique
Niveau Normes de déclassification - Réécriture des données Logiciels de réécriture
Non cl., PA, PB Disques ou bandes : Triple réécriture. Lignes directrices de la GRC sur la sélection des logiciels de recouvrement.
C Disques ou bandes : Triple réécriture *  
PC, S Disques ou bandes : Triple réécriture PLUS déchiquetage/désintégration ou meulage, comme pour l'information de niveau PA/PB.
TS Disques ou bande : Triple réécriture PLUS déchiquetage/désintégration ou meulage, comme pour l'information SECRET.
Niveau Normes de destruction - Déchiquetage, désintégration et meulage Produits de destruction
Non cl., PA, PB Disques: Au moins 3 pièces, chacune d'une surface maximale 580 mm (p. ex., 3x3 po). Bandes magnétiques** : En pièces, chacune d'une longueur 50 mm (2 po). Cartes à piste : En pièces, chacune d'une surface 160 mm2 (p. ex., 1/2x1/2 po). Guide d'équipement de sécurité (GES).

Nota : On peut utiliser la triple réécriture pour déclasser un support d'information TRÈS SECRET (et le soumettre ensuite aux processus de désintégration ou de déchiquetage, comme pour l'information SECRET).

PC, C, S Disques: Au moins 3 pièces, chacune d'une surface maximale 40 mm2 (p. ex., 1/4x1/4 po). Bandes magnétiques: En pièces, chacune d'une longueur 6 mm (1/4 po). Cartes à piste : En pièces, chacune d'une surface 10 mm2 (p. ex., 1/8x1/8 po).

 

TS Disques: Au moins 3 pièces, chacune d'une surface maximale 10 mm2 I (p. ex., 1/8x1/8 po). Bandes magnétiques : En pièces, chacune d'une longueur 3 mm (1/8 po). Cartes à piste : En pièces, chacune d'une surface 10 mm2 (p. ex., 1/8x1/8 po).
Niveau Incinération Incinérateurs
Tous les niveaux Destruction totale. Approuvés par Environnement Canada pour les différents plastiques, etc.
Niveau Destruction d'urgence Outils de destruction
Tous les niveaux Voir l'annexe sur la destruction d'urgence. Dispositif à fort impact concentré, étau, masse, etc.
Niveau Démagnétisation Appareils de démagnétisation
Tous les niveaux Respecter les directives du fabricant de l'appareil de démagnétisation pour les bandes et les disques. Démagnétiser les lecteurs de disque dur deux fois (pour la deuxième passe, tourner le lecteur sur lui-même dans la chambre). Le démagnétiseur doit être approuvé par le CST pour la coercitivité du support concerné.

*La triple réécriture elle-même peut être jugée suffisante pour déclasser les supports d'information de niveau CONFIDENTIEL. Toutefois, les supports qui contiennent de l'information PROTÉGÉ C ou SECRET doivent être soumis à des processus supplémentaires de déchiquetage et de désintégration ou de meulage, tel qu'il est indiqué ci-dessus.

**Exception pour les bandes linéaires numériques (DLT) : La norme pour la désintégration de grandes quantités de DLT peut être allégée afin d'éviter le désassemblage pour retirer les anneaux métalliques internes avant la désintégration dans des déchiqueteuses semi robustes.

Chiffrement : Le chiffrement de la totalité des disques durs, ou le chiffrement des fichiers pour les bandes, à l'aide de logiciels de chiffrement approuvés par le CST à cette fin et pour le niveau de sensibilité des données stockées, offrent une protection fiables des données inactives (dispositif hors tension ou utilisateur non connecté) et constituent un élément de dissuasion efficace au recouvrement par des attaquants occasionnels. Selon les EMR du ministère, le chiffrement peut rendre inutile la destruction, avant sa disposition, du support qui contient des données de niveau allant jusqu'au niveau PROTÉGÉ B. Dans le cas de données dont le niveau de sensibilité est plus élevé, le chiffrement, bien qu'il soit insuffisant pour la disposition, peut être combiné à des techniques plus destructrices - p. ex., déchiqueter un support de données de niveau Secrètes comme s'il s'agissait d'un support de données chiffrées TRÈS SECRET.

3.6 Normes de destruction - Supports optiques

S'appliquent aux supports suivants :

  • CD
  • DVD
Niveau Normes de déclassification - Chiffrement Logiciels de chiffrement
Non cl., PA, PB Chiffrement de disque ou de fichier. LPSP du CST
PC, C, S Chiffrement de disque ou de fichier, PLUS déchiquetage/désintégration ou meulage, comme pour l'information de niveau PA/PB. Type de chiffrement 1 approuvé par le CST.
TS Chiffrement de disque ou de fichier, PLUS déchiquetage/désintégration ou meulage, comme pour l'information SECRET. Type de chiffrement 1 approuvé par le CST.
Niveau Normes de destruction - Déchiquetage, désintégration et meulage Produits de destruction
Non cl., PA, PB CD seulement : Meuler la surface du disque pour enlever la couche de données colorée; ou CD ou DVD : Déchiqueter en petites pièces d'une surface 160 mm2 (p. ex., 1/2x1/2 po). Guide d'équipement de sécurité (GES).
PC, C, S CD seulement : Meuler la surface du disque pour enlever la couche de données colorée; ou CD ou DVD : Déchiqueter en petites pièces d'une surface 36 mm2 (p. ex., 1/4x1/4 po).
TS CD seulement : Meuler la surface du disque pour enlever la couche de données colorée; ou CD-ROM ou DVD : Déchiqueter en petites pièces d'une surface 10 mm2 (p. ex., 1/8x1/8 po).
Niveau Incinération Incinérateurs approuvés
Tous les niveaux Destruction totale. Approuvés par Environnement Canada pour l'incinération de différents plastiques, etc.
Niveau Destruction d'urgence Outils de déformation physique
Tous les niveaux Voir l'annexe sur la destruction d'urgence. Dispositif à fort impact concentré, étau, masse, etc.

3.6.1 Exceptions

Réécriture :

  • À l'heure actuelle, la réécriture n'est pas approuvée pour la déclassification et la disposition de support optique contenant de l'information sensible.

Démagnétisation :

  • La démagnétisation n'a aucun effet sur les disques de stockage optiques et n'est donc pas approuvée à cette fin.

Moletage :

  • À l'heure actuelle, le moletage n'est pas approuvé pour la déclassification et la disposition de support optique contenant de l'information sensible.

Meulage de la surface :

  • Enlève la couche colorée où sont enregistrées les données sur les CD; toutefois, cette méthode ne fonctionne pas pour les DVD dont les couches d'information sont prises en sandwich au centre.

3.7 Normes de destruction - Supports d'information électroniques miniatures et ANP

S'appliquent aux supports suivants : Jetons USB et dispositifs portables contenant des puces de mémoire à semiconducteurs (incluant la mémoire « flash » EEPROM utilisée dans les BlackBerry et autres PDA), et lecteurs de disque miniatures avec plateau de verre.

Niveau Normes de déclassification - Chiffrement des données Logiciels de chiffrement
Non cl., PA, PB Chiffrement de support ou de fichier. LPSP du CST
PC, C, S Chiffrement de support ou de fichier, PLUS déchiquetage/désintégration ou meulage, comme pour l'information PA/PB. Type de chiffrement 1 approuvé par le CST.
TS Chiffrement de support ou de fichier, PLUS déchiquetage/désintégration ou meulage, comme pour l'information SECRET. Type de chiffrement 1 approuvé par le CST.
Niveau Normes de déclassification - Recouvrement des données Logiciels de réécriture
Non cl., PA, PB Supports flash EEPROM :
  • Réécrire tous les emplacements de stockage d'un schéma connu puis le relire dans des emplacements choisis au hasard pour en vérifier la présence. Si le support est muni d'une fonction d'effacement, exécuter celle-ci comme dernière étape.
Guide d'équipement de sécurité de la GRC (GES).

Nota : Si une défectuosité empêche la réécriture, détruire le support en utilisant une autre méthode approuvée.

Dans le cas d'une fonction d'effacement non approuvée, le stade de vérification est essentiel - c.-à-d., s'il est impossible de vérifier que la réécriture a réussi, détruire le support en utilisant une autre méthode approuvée.

PC, C, S, TS Supports flash EEPROM qui incluent une fonction d'effacement approuvée par le CST:
  • Exécuter et vérifier les fonctions de réécriture et d'effacement conformément aux directives du CST pour le support concerné.

Supports flash EEPROM sans fonction d'effacement approuvée :

  • Réécrire 10 fois tous les emplacements de stockage d'un schéma connu et de son complément binaire, puis vérifier sa présence dans des emplacements choisis au hasard. Exécuter la fonction d'effacement (le cas échéant) comme dernière étape.
Niveau Normes de destruction - Déchiquetage, désintégration et meulage Produits de destruction
Non cl., PA, PB Lecteurs miniatures ou supports flash EEPROM :
  • Réduire le support en pièces d'une surface maximale < 160 mm2 (p. ex., 1/2x1/2 po).
Guide d'équipement de sécurité (GES).
PC, Lecteurs miniatures ou supports flash EEPROM :
  • Meuler ou pulvériser la puce de mémoire ou le support au complet en petites pièces d'une taille < 2 mm en utilisant un tamis de 3/32 po.
Niveau Incinération Installations d'incinération
Tous les niveaux Destruction totale. Approuvées par Environnement Canada pour les plastiques, etc.
Niveau Destruction d'urgence Outils de déformation
Tous les niveaux Voir l'annexe sur la destruction d'urgence. Dispositif à fort impact concentré, étau, masse, etc.

Exceptions :

Démagnétisation : La démagnétisation est inefficace pour les supports électroniques miniatures et autres supports qui utilisent des puces de mémoire flash (EEPROM) à semiconducteurs et elle n'est donc pas approuvée à cette fin.

Mémoire volatile (RAM, DRAM, SRAM) : La mémoire volatile perd son contenu lorsqu'elle n'est plus sous tension, mais des traces de données peuvent subsister pendant une courte période en raison d'une température froide ou de la capacité électrique (plus particulièrement dans le cas des mémoires SRAM). Ce type de mémoire ne doit être présumée effacée avant une période de 24 heures suivant sa mise hors tension.

Commande « Clear » : Les PDA utilisent de la mémoire non volatile (flash EEPROM) pour conserver les données lorsque l'alimentation est coupée. Certains modèles incluent une « commande Clear » pour réécrire et (ou) effacer ce type de mémoire; toutefois, dans la plupart des cas, ce processus n'a fait l'objet d'aucune vérification indépendante et n'est donc pas approuvé aux fins de déclassification et de disposition des PDA qui contiennent de l'information extrêmement sensible. SEULES exceptions : les produits pour lesquels le CST a spécifiquement approuvé un processus d'effacement complémentaire ou intégré.

Annexe A : Acronymes et abréviations

ANSI
American National Normes Institute
ATA
Advanced Technology Architecture ou AT Attached
BIOS
Basic Input/Output System (système d'entrée-sortie de base)
Carte PC
Nom de remplacement de la carte PCMCIA
CD
Disque compact
CD-R
Disque compact inscriptible
CD-RW
Disque compact réinscriptible
CF
Carte flash compacte
CHKDSK
Check Disk (commande DOS)
CMRR
Center for Magnetic Recording Research (voir UCSD)
CMRR
Code Mode Rejection Ratio (taux de rejet en mode commun)
CRC
Contrôle de redondance cyclique
CST
Centre de la sécurité des télécommunications
DOS
Disk Operating System (système d'exploitation sur disque)
DVD
Vidéodisque numérique
DVD+R
Vidéodisque numérique inscriptible (DVD+R Alliance)
DVD+RW
Vidéodisque numérique réinscriptible (DVD+R Alliance)
DVD-R
Vidéodisque numérique inscriptible (DVD-R Alliance)
DVD-RW
Vidéodisque numérique inscriptible (DVD-R Alliance)
EMR
Évaluation des menaces et des risques
FAT
File Allocation Table (table d'allocation des fichiers)
FAT16
FAT - version à 16 bits
FAT32
FAT - version à 32 bits
FDISK
Format Disk (commande DOS)
GC
Gouvernement du Canada
Go
Gigaoctets
HDD
Lecteur de disque dur
IDE
Integrated Drive Electronics (interface)
l/e ou L/E
Lecture/écriture
LPSP
Liste des produits STI présélectionnés (Programme avec l'industrie du CST pour l'évaluation des produits)
MMC
Carte multimédias
NSA
National Security Agency (gouvernement des É.-U.)
NTFS
New Technology (NT) File System (système de fichiers NT)
PC
Ordinateur personnel
PCMCIA
Personal Computer Memory Card International Association
PDA
Assistant numérique personnel
PGS
Politique du gouvernement sur la sécurité
RAID
Redundant Array of Independent Disks (réseau redondant de disques indépendants)
RAM
Mémoire vive
RIM
Research In Motion Corporation (fabricant du BlackBerry)
RS-MMC
Reduced Size MMC (carte multimédias de taille réduite)
SATA
Serial Advanced Technology Architecture
SCSI
Small Computer System Interface
SCT
Secrétariat du Conseil du Trésor du Canada
SD
Secure Digital (carte)
SIE
Support d'information électronique
STI
Sécurité des technologies de l'information
UCSD
Université de Californie à San Diego (voir CMRR)
USB
Universal Serial Bus (bus série universel)
USO
Universal Secure Overwrite (norme « Secure Erase » de UCSD et CMRR)

Annexe B : Procédures et destruction

La présente annexe aborde en détail les différentes techniques d'écrasement, de nettoyage et de destruction disponibles pour les divers types de support d'information électronique.

Elle inclut les sections suivantes :

  • B.1 - Écrasement
  • B.2 - Nettoyage
  • B.3 - Chiffrement
  • B.4 - Réécriture
  • B.5 - Démagnétisation
  • B.6 - Destruction d'urgence par déformation physique
  • B.7 - Déchiquetage et désintégration
  • B.8 - Meulage et broyage
  • B.9 - Séparation moléculaire du matériel
  • B.10 - Meulage de la surface des disques optiques
  • B.11 - Moletage
  • B.12 - Incinération

B.1 Écrasement

On peut écraser, aux fins de réutilisation dans le même environnement de sécurité (de niveau équivalent ou supérieur), les supports réutilisables tels les disques magnétiques, les disques optiques réinscriptibles et les supports à mémoire, par réécriture de tous les emplacements accessibles en effectuant une seule passe d'écriture de valeurs binaires 1 et (ou) 0, suivie d'une vérification attestant de la réussite du processus.

Les utilitaires de réécriture qui s'exécutent au niveau de l'application ne peuvent écraser les données contenues dans des secteurs défectueux ou des partitions cachées. De plus, des données dont la réécriture a été réussie peuvent encore être recouvrées en laboratoire. Donc, les disques magnétiques écrasés par réécriture doivent être conservés dans un environnement de sécurité ministériel correspondant au niveau de sécurité de l'information stockée antérieurement sur le disque.

Écrasez les données des unités de mémoire à tores et des mémoire à bulles de tous les niveaux de sensibilité en réécrivant dans tous les emplacements deux schémas pseudo-aléatoires et un troisième schéma connu, suivis d'une vérification. Les unités de mémoire à tores peuvent être démagnétisées à l'aide d'un démagnétiseur approuvé.

Certaines clés USB, cartes flash, etc., peuvent contenir une mémoire non volatile inaccessible qu'on ne peut écraser. Dans ce cas, il faut recourir à une technique de destruction plus radicale (voir ci-dessous).

B.2 Nettoyage

Le processus de nettoyage convient aux supports effaçables ou réutilisables tels les disques magnétiques, les bandes, les clés USB, les cartes flash, les CD-RW, etc. Avant d'être déclassés et (ou) livrés hors du contrôle du ministère, ces supports réutilisables doivent être nettoyés de façon appropriée et leurs données, détruites.

Nettoyez les supports non effaçables, tels les CD-ROM et les DVD, de manière semblable, mais ne sélectionnez qu'une seule méthode de destruction physique.

Retirez toutes les étiquettes ou toute indication externe attestant que le SIE a déjà contenu des données sensibles, et détruisez ce dernier (ou les données qu'il contient) conformément aux instructions ci-dessous.

N'oubliez pas que la plupart des adversaires n'ont pas les moyens d'effectuer d'analyse de laboratoire complexe sur les disques magnétiques non complètement détruits. Toutefois, certains peuvent avoir cette capacité et tenter l'expérience s'ils mettent la main sur des disques magnétiques ou des fragments d'une source connue présentant suffisamment d'intérêt pour justifier le temps et le coût d'une telle analyse.

On peut normalement nettoyer les unités de mémoire à tores et les mémoire à bulles qui contiennent des données de tous les niveaux de sensibilité en utilisant l'une des méthodes ci-dessous (et en enlevant toutes les marques ou autres indicateurs externes de sensibilité) :

  • Réécrire deux fois tous les emplacements de mémoire à tores ou à bulles à l'aide d'un schéma pseudo-aléatoire, suivi d'un schéma connu, puis effectuer des vérifications ponctuelles pour confirmer que seul le schéma connu peut être lu.
  • Démagnétiser les supports de mémoire à tores ou à bulles à l'aide d'un démagnétiseur approuvé. Dans le cas de la mémoire à bulles, il faut enlever tout le matériel de protection avant la démagnétisation.
  • Pulvériser, faire fondre ou désintégrer les mémoire à tores.
  • Détruire la mémoire à bulles en élevant les tensions de polarisation des supports munis de contrôles de polarisation (consultez le fabricant pour obtenir de l'aide technique).

B.3 Chiffrement

Applicabilité

Supports magnétiques (disques durs, disquettes, bandes, cartes à piste magnétique), optiques (CD/DVD) et à semiconducteurs (lecteurs flash USB, etc.).

Technologies approuvées

  • Niveaux PROTÉGÉ C ou classifié. Pour le chiffrement de support de données extrêmement sensibles, on ne peut utiliser que les solutions approuvées par le CST. Communiquez avec le CST pour obtenir davantage d'information sur les logiciels de chiffrement de type I.
  • Niveaux PROTÉGÉ B et inférieur. Pour le chiffrement de support de données de niveau particulièrement sensible et de niveau inférieur, le CST recommande aux ministères d'utiliser les algorithmes approuvés par le GC et les produits certifiés en vertu du Programme de présélection des produits STI, indiqués sur le site Web du CST (www.cse-cst.gc.ca).

Description

Le chiffrement est recommandé pour les SIE portables exposés à des environnements non sécurisés, à des pertes occasionnelles ou à des vols ciblés. Le risque de compromission de l'information sensible est fortement réduit lorsque le support est chiffré de façon adéquate. Le chiffrement lui-même ne remplace pas les autres techniques de destruction utilisées avant la disposition autorisée, mais il peut réduire l'ampleur de la destruction requise si l'on satisfait aux conditions suivantes :

  • Le chiffrement a été appliqué au support, et (ou) aux données, pour tout son cycle de vie;
  • Le produit de chiffrement a été approuvé par le CST pour l'application concernée et pour le plus haut niveau de classification de l'information traitée;
  • Les utilisateurs ont demandé des mots de passe d'accès contrôlé forts conformément aux politiques du ministère en matière de gestion de clés cryptographiques.

Procédures

NIVEAUX PROTÉGÉ A/B : Le chiffrement est une pratique de sécurité recommandée pour les SIE portables qui contiennent de l'information PROTÉGÉ A ou B. Le chiffrement de la totalité du disque (par opposition au chiffrement de fichiers ou de dossiers) assure la protection de toute l'information potentiellement sensible, y compris les données stockées de manière aléatoire dans des fichiers temporaires et les fichiers d'échange (swap) du système d'exploitation. La procédure de déclassement d'un portable chiffré inclut l'exécution d'une passe de réécriture (pour masquer le fait qu'un chiffrement a été effectué et empêcher toute tentative de recouvrement de la clé de déchiffrement) et l'enlèvement de toute indication externe indiquant que le support peut contenir des données PROTÉGÉ B.

NIVEAUX PROTÉGÉ C/SECRET : Les supports portables qui contiennent de l'information PROTÉGÉ C ou classifiée doivent être chiffrés conformément à la politique ministérielle pour éviter toute compromission des données advenant une perte occasionnelle ou un vol ciblé. L'information à ce niveau de sensibilité extrême doit être protégée à l'aide de produits approuvés spécifiquement par le CST pour ce niveau. Toutefois, même si le support a été chiffré de cette façon, on ne peut recommander sa disposition sans d'abord appliquer une triple procédure de réécriture ou une méthode plus destructrice telle la démagnétisation ou la désintégration du disque dur, en plus d'exiger l'enlèvement de toute indication externe attestant que le support peut contenir de l'information sensible. S'il est impossible d'enlever ces indications (p. ex., dans le cas d'un portable TEMPEST ou de marquages permanents), alors le support interne doit être retiré pour qu'on puisse en disposer séparément.

NIVEAU TRÈS SECRET : Les SIE portables qui contiennent de l'information TRÈS SECRET doivent être chiffrés au moyen d'une méthode de chiffrement approuvée par le CST au niveau TRÈS SECRET pour éviter toute compromission des données advenant une perte occasionnelle ou un vol ciblé. Toutefois, même si le support a été chiffré de cette façon, on ne peut recommander sa disposition sans d'abord lui appliquer un processus destructif supplémentaire. Pour un portable, on doit dans tous les cas retirer le disque dur et le détruire séparément.

B.4 Réécriture

Voir l'Annexe C pour les problèmes de sécurité connus concernant la réécriture de divers types de support.

Applicabilité

Supports magnétiques (disques durs, disquettes et bandes), à semiconducteurs (assistants numériques personnels, dispositifs de stockage amovibles) et optiques (CD/DVD).

Technologies approuvées

Les utilitaires de réécriture pour disques durs doivent répondre aux critères de fonctionnalité et de rapport de la GRC pour permettre à l'opérateur de déterminer si tout le disque a été réécrit. Ils doivent également être évalués par des organismes indépendants reconnus, tel un laboratoire des Critères communs. Les utilitaires de réécriture pour support à semiconducteurs sont de plus en plus proposés comme fonction dans certains produits commerciaux mais, en général, ils n'ont pas fait leur preuve. L'University of Arizona met actuellement au point un processus de réécriture pour support optique, mais ce dernier n'est pas prêt à être distribué sur le marché.

Description

Voir l'annexe B pour obtenir des directives détaillées sur les procédures de réécriture de support magnétique. Pour « écraser » un support magnétique et à semiconducteurs aux fins de réutilisation dans un environnement de sécurité équivalent ou supérieur, exécutez une passe de réécriture sur toute la surface de stockage. Pour « nettoyer » le support, il faut exécuter des réécritures multiples et utiliser des méthodes de destruction supplémentaires (selon le type de support et le niveau de sensibilité de l'information stockée). Une fois le processus de réécriture terminé, enlevez tous les indicateurs externes qui attestent de la nature sensible du contenu du disque, incluant les marquages et les étiquettes, et les mécanismes à glissière du disque dur.

Procédures

NIVEAUX PROTÉGÉ A/B ET CONFIDENTIEL : La réécriture est un forme de protection efficace contre les efforts qu'un attaquant pourrait raisonnablement déployer pour accéder à un support magnétique ou à semiconducteurs qui contient de l'information « particulièrement sensible ». Pour ces niveaux de sensibilité, la réécriture est fortement recommandée puisqu'elle laisse le support dans un état qui permet de le réutiliser aux fins de recyclage ou pour en faire le don au Programme Ordinateurs pour les écoles.

NIVEAUX PROTÉGÉ C ET SECRET : La réécriture n'est pas autorisée pour le nettoyage de supports magnétiques qui contiennent de l'information de niveau PROTÉGÉ C ou SECRET puisqu'elle ne met pas entièrement toute trace de données magnétiques hors de la portée d'une attaque en laboratoire. Toutefois, on peut envisager de l'utiliser de pair avec d'autres méthodes de destruction telle la déformation ou la désintégration de disque en petits fragments puisque cela augmentera de beaucoup la complexité et la difficulté des analyses du matériel de stockage en laboratoire. Les assistants numériques personnels et les cartes de mémoire amovibles contiennent des puces à semiconducteurs de mémoire non volatile ou (dans certains cas) des disques miniatures à plateaux de verre. Il y a un risque ÉLEVÉ que les processus d'effacement intégrés à ces supports ne soient pas en mesure de réécrire tous les emplacements de stockage de données. Il y a également un certain risque que les zones réécrites puissent conserver des traces des données précédentes. Il est donc essentiel que l'opérateur soit en mesure de vérifier l'efficacité du processus de réécriture sur l'ensemble des emplacements de stockage et d'effectuer des réécritures multiples en l'absence d'une méthode d'effacement éprouvée.

NIVEAU TRÈS SECRET : La combinaison de la réécriture et d'un autre processus destructif rend très difficile l'analyse de l'information TRÈS SECRET contenue dans les disques magnétiques. Dans le cas des disques durs, il existe une possibilité théorique de recouvrement de données des secteurs réécrits ainsi qu'un risque toujours présent que certains secteurs n'aient pas été réécrits initialement en raison d'erreurs humaines et (ou) de la présence de secteurs cachés; on doit donc choisir une méthode plus destructrice en complément du processus de réécriture. Pour ce qui est des PDA et des cartes de mémoire amovibles, il existe un risque ÉLEVÉ que des parties de la mémoire non volatile ne soient pas touchées par des processus d'effacement non prouvés; de plus, des traces de signal recouvrables peuvent subsister dans les zones effacées. Il faut donc recourir à un processus plus destructif dans le cas d'un support qui a déjà contenu de l'information TRÈS SECRET.

B.5 Démagnétisation

Applicabilité

Bandes magnétiques, disques durs et disquettes.

Technologies approuvées

Voir l'annexe D, Appareils de démagnétisation.

Description

La démagnétisation est utile pour effacer les bandes magnétiques, les disquettes, les disques durs et certains autres supports magnétiques. Toutefois, elle ne peut effacer les données des supports de données et des mémoires à semiconducteurs, ou des assistants numériques.

S'ils sont utilisés et entretenus de façon appropriée, les démagnétiseurs approuvés peuvent détruire toutes les données sur tous les supports magnétiques pour lesquels ils ont été avalisés. En plus, comme effet secondaire, ils endommagent les mécanismes internes du disque dur, qui deviennent irréparables.

L'appareil de démagnétisation doit être approuvé par le CST pour la coercitivité du support magnétique à nettoyer (voir l'Annexe D).

Information PROTÉGÉ C, CONFIDENTIEL, SECRET et TRÈS SECRET

Les ministères qui comptent sur la démagnétisation pour nettoyer les disques magnétiques qui contiennent de l'information extrêmement sensible doivent avoir en place des procédures d'exploitation et de maintenance appropriées pour s'assurer que le produit demeure efficace durant tout son cycle de vie (voir l'annexe D).

B.6 Destruction d'urgence par déformation physique

Applicabilité

Disques durs magnétiques, disquettes, bandes, pistes magnétiques, disques optiques, supports à semiconducteurs, dispositifs de stockage amovibles et assistants numériques (PDA).

Technologies recommandées

Les technologies qui suivent sont recommandées pour la destruction d'urgence de supports et de dispositifs qui contiennent de l'information sensible de tous les niveaux : cloueuse (avec la charge explosive, mais sans les clous), perceuse électrique, autre dispositif à fort impact concentré (p. ex., une arme à feu), étau et masse.

Description

Pour la majorité des adversaires, les disques durs fortement endommagés dont les surfaces ont été déformées sont, à toutes fins utiles, irrécouvrables. D'autre part, ceux qui ont accès à des installations complexes d'analyse de laboratoire doivent évaluer le potentiel de recouvrement, leur motivation ainsi que le temps et les coûts associés à l'opération. La déformation physique seule peut ne pas dissuader un adversaire compétent s'il a des raisons de croire que l'information contenue dans le disque endommagé vaut le temps et l'énergie nécessaires à l'analyse. On recommande donc cette méthode uniquement comme mesure de destruction d'urgence pour protéger le matériel en cas de danger imminent de saisie par des forces hostiles.

Dans le cas des disques durs, la méthode choisie doit infliger des dommages facilement reconnaissables au boîtier du disque pour dissuader l'attaquant de tenter une analyse du contenu. En plus d'endommager les mécanismes délicats de positionnement des têtes, la méthode doit permettre de déformer la surface de chaque disque du lecteur ou de la pile de disques.

Infligez des dommages similaires à tous les lecteurs, sans égard au niveau de sensibilité de l'information qu'ils contiennent, et enlevez tous les marquages externes, toutes les étiquettes et les mécanismes à glissière des lecteurs amovibles de manière qu'on ne puisse distinguer les lecteurs qui contenaient de l'information extrêmement sensible de ceux qui contenaient des données moins sensibles.

Portables : pré-marquage pour destruction d'urgence

Les portables déployés dans des zones opérationnelles sensibles doivent porter des indications, placées au préalable sous leur boîtier, pour préciser l'emplacement des composantes sensibles. Ces marques doivent indiquer aux agents sur le terrain l'endroit où appliquer l'outil de destruction d'urgence pour endommager le disque dur, le disque optique et (ou) la disquette - et là où il ne faut pas l'appliquer (c.-à-d., pour des raisons de sécurité personnelle, pour éviter d'endommager le compartiment de la batterie, etc.).

Niveau TRÈS SECRET

  • Les disques magnétiques fortement endommagés dont les surfaces ont été déformées peuvent ne pas dissuader des adversaires hautement compétents qui ont des raisons de croire que des données TRÈS SECRET peuvent être recouvrées. Toutefois, cette méthode peut convenir dans des situations d'urgence pour protéger le matériel en cas de danger imminent de saisie par des forces hostiles - plus particulièrement lorsque les disques qui contiennent de l'information TRÈS SECRET sont mélangés avec d'autres disques et qu'il est impossible de les distinguer les uns des autres.
  • La déformation, lorsque précédée d'un processus de réécriture ou de chiffrement, peut également convenir pour protéger des supports entreposés ou en transit. Pour dissuader des attaquants éventuels, la méthode de déformation choisie doit infliger des dommages évidents aux mécanismes délicats de positionnement des têtes et aux surfaces du disque.
  • Avant d'effectuer la déformation, enlevez les indicateurs externes de sensibilité, puis mélangez les supports avec des supports contenant des données moins sensibles, et qui ont été également déformés, afin de rendre plus difficile la tâche de repérer des données importantes.

Information supplémentaire

Consultez le CST pour obtenir de la documentation supplémentaire sur la destruction d'urgence.

B.7 Déchiquetage et désintégration

Applicabilité

Disques durs magnétiques, disquettes, bandes, cartes à piste magnétique, disques optiques, dispositifs de stockage amovibles, dispositifs portables de traitement de l'information et supports à semiconducteurs.

Technologies approuvées

Consultez le Guide d'équipement de sécurité (GES) de la GRC, G1-001 et G1-002.

Description

Les désintégrateurs, déchiqueteuses, meuleuses et broyeurs à marteaux commerciaux peuvent servir de moyens de destruction rentables pour les disques durs. Ces outils peuvent également servir à la destruction des supports miniatures et portables.

Procédures

Avant de procéder à la destruction, enlevez de tous les disques les indicateurs externes qui attestent des niveaux de sensibilité des données stockées antérieurement sur ceux-ci, incluant les marquages et les étiquettes, et les mécanismes à glissière du lecteur de disque dur amovible.

Les responsables de la sécurité du ministère doivent surveiller étroitement toutes les facettes du processus de destruction et s'assurer qu'aucun des résidus ne soit de trop grande taille et que ceux-ci sont mélangés, de manière qu'on ne puisse les distinguer, avec les fragments de disques et de lecteurs ayant contenu des données moins sensibles.

Pour prévenir toute analyse subséquente par des parties non autorisées, le processus de destruction doit réduire les supports en petites pièces d'une taille n'excédant pas les valeurs indiquées dans les tableaux des Normes de destruction (section 3 des présentes lignes directrices).

  • Pièces grossières. Un déchiquetage grossier, précédé d'une réécriture ou d'un chiffrement, constitue une mesure de protection efficace pour les supports entreposés ou en transit ou pour la destruction d'urgence puisqu'il réduit les chances d'un adversaire compétent de réussir à recouvrer de l'information utilisable - plus particulièrement lorsque des fragments qui contiennent de l'information très intéressante sont mélangés, de manière qu'on ne puisse les distinguer, avec les fragments d'autres disques ayant contenu des données moins sensibles. Néanmoins, des résidus de taille importante des surfaces d'un disque identifiable sont, en théorie, susceptibles de faire l'objet d'analyse de laboratoire. Les EMR des ministères doivent en tenir compte lorsqu'il y a une possibilité qu'un adversaire puisse déterminer qu'un fragment donné provient d'un environnement d'information extrêmement sensible.
  • Fines particules. La réduction d'un support en particules de plus petite taille permettra de prévenir les tentatives de recouvrement des données par microscopie. Plusieurs facteurs rendent extrêmement difficile la reconstitution de données utiles contenues dans les résidus d'un lecteur qui a été détruit; toutefois, chaque particule de disque magnétique comprend des données stockées potentiellement à de très hautes densités. Le recouvrement de fichiers de données des pièces restantes de disques optiques est un processus lent et laborieux - mais il existe des techniques de recouvrement évoluées et d'autres sont constamment développées en vue d'améliorer la rapidité et le taux de réussite de ces tentatives.

B.8 Meulage, broyage et pulvérisation

Applicabilité

Supports magnétiques (disques durs, bandes, disquettes, pistes magnétiques), supports optiques réinscriptibles, dispositifs de stockage amovibles, dispositifs portables de traitement de l'information et supports à semiconducteurs.

Technologies approuvées

Consultez le Guide d'équipement de sécurité (GES) de la GRC, G1-001 et G1-002.

Description

Le meulage et le broyage sont des processus qui réduisent les matériaux solides en petits fragments. Les meuleuses commerciales peuvent servir de moyens de destruction rapides et rentables de disques durs entiers. On peut également utiliser cette technique pour les supports portables, bien que des moyens plus économiques soient plus pratiques.

La pulvérisation, processus qui consiste à fracasser ou à écraser des matériaux, peut être efficace pour détruire des disques durs si elle est effectuée de manière telle qu'il soit impossible ultérieurement de séparer, aux fins d'analyse en laboratoire, les surfaces du disque du reste du matériel détruit.

Avant de procéder à la destruction, enlevez tous les marquages externes qui indiquent le niveau de sensibilité du support, y compris les étiquettes et les mécanismes à glissière de lecteur de disque dur, et striez profondément la surface du disque à plusieurs endroits des deux côtés (les CD et DVD modernes peuvent contenir des couches porteuses de données des deux côtés).

Les responsables de la sécurité du ministère doivent être présents lors du processus de destruction.

Information non classifiée, PROTÉGÉ A et PROTÉGÉ B

Meulez ou broyez le support en au moins trois pièces d'une taille qui répond aux normes de destruction précisées à la section 3 des présentes lignes directrices.

Information CONFIDENTIEL, PROTÉGÉ C, SECRET ou TRÈS SECRET

Le processus doit réduire chaque surface de disque en au moins trois pièces d'une taille qui répond aux normes de destruction applicables précisées à la section 3 des présentes lignes directrices. L'installation doit être approuvée par la GRC. Les responsables de la sécurit édu ministère doivent surveiller étroitement tous les aspects du processus en plus de s'assurer qu'aucune pièce restante n'a une taille trop importante et que tous les résidus sont mélangés, de manière qu'on ne puisse les distinguer, avec les fragments d'autres disques ayant contenu des données moins sensibles et qui ont également été broyés.

  • Avant d'être envoyés à l'installation de broyage, on doit enlever de tous les disques les indicateurs de sensibilité, incluant les marquages, les étiquettes et les mécanismes à glissière des lecteurs de disque dur amovibles.

Nota : Lorsque précédé d'une réécriture ou d'un chiffrement, le processus de meulage ou de broyage est très efficace pour réduire les chances de l'adversaire le plus compétent à recouvrer de l'information utilisable - plus particulièrement lorsque des fragments qui contiennent de l'information très intéressante sont mélangés, de manière qu'on ne puisse les distinguer, avec les fragments d'autres disques déchiquetés ayant contenu des données moins sensibles. Néanmoins, des résidus de taille importante des surfaces d'un disque identifiable sont, en théorie, susceptibles de faire l'objet d'analyse de laboratoire. Les EMR des ministères doivent en tenir compte lorsqu'il y a une possibilité qu'un adversaire puisse déterminer qu'un fragment donné provient d'un environnement d'information TRÈS SECRET. Autrement, le meulage ou le broyage (précédés d'une démagnétisation, d'une réécriture ou d'un chiffrement) offre une mesure efficace de protection des supports entreposés ou en transit, ou de destruction d'urgence.

B.9 Séparation moléculaire du matériel

Il s'agit d'une nouvelle technologie de recyclage environnementale prometteuse mais qui n'a pas non encore été approuvée pour le nettoyage des SIE pour le moment.

B.10 Meulage de la surface des disques optiques

Applicabilité

Supports optiques (tous les types).

Technologies approuvées

Consultez le Guide d'équipement de sécurité (GES) de la GRC, G1-001 et G1-002.

Description

Le processus de meulage réduit la zone de surface colorée (couche porteuse d'information) en une fine poudre et laisse intact le disque de plastique transparent, aux fins de recyclage ou de disposition.

Avant de procéder au meulage de la surface, enlevez tous les marquages externes qui indiquent le niveau de sensibilité du support et striez profondément la surface du disque à plusieurs endroits des deux côtés (les CD et DVD modernes peuvent contenir des couches porteuses de données des deux côtés).

Information non classifiée, PROTÉGÉ A, B ou C, CONFIDENTIEL, SECRET ou TRÈS SECRET

Le meulage de surface est approuvé pour tous les types de support optique, incluant les CD/DVD non inscriptibles, inscriptibles et réinscriptibles. Les meuleuses commerciales choisis doivent enlever complètement la couche porteuse d'information du disque.

B.11 Moletage

Applicabilité

Supports optiques (tous les types)

Technologies approuvées

Aucune à ce jour.

Description

Les produits commerciaux de moletage donnent aux disques optiques une forme allongée légèrement incurvée, ce qui a pour effet de détruire les « microcuvettes » et les « sillons » données de tout le disque. Avant de procéder à la destruction, enlevez tous les marquages externes qui indiquent le niveau de sensibilité du support et striez profondément la surface disque à plusieurs endroits des deux côtés (les CD et DVD modernes peuvent contenir des couches porteuses de données des deux côtés).

Information PROTÉGÉ A, B ou C, CONFIDENTIEL, SECRET ou TRÈS SECRET

On évalue actuellement la possibilité d'approuver le moletage pour la destruction de tous les types de support optique, incluant les CD/DVD non inscriptibles, inscriptibles et réinscriptibles. Communiquez avec le CST pour obtenir de l'information à jour.

B.12 Incinération et fusion

Applicabilité

Disques durs magnétiques, disquettes, bandes et cartes à piste magnétique, disques optiqu supports à semiconducteurs, dispositifs de stockage amovibles et assistants numériques (PDA).

Technologies approuvées

L'incinérateur doit être approuvé par Environnement Canada pour les plastiques et autres matériaux.

Description

L'incinération peut détruire complètement tous les supports, quels que soient les niveaux de sensibilité des données qu'ils contenaient.

La fusion est un processus différent : elle consiste à chauffer le matériau à une température inférieure à son point d'inflammabilité mais suffisamment élevée pour le faire fondre, ce qui constitue un processus efficace de destruction pour les disques durs.

Dans le cas où on utilise des installations commerciales, les responsables de la sécurité du ministère doivent être présents lors du processus de destruction.

Annexe C : Utilitaires de réécriture pour disques durs

Il est souvent souhaitable d'effacer les données sensibles des disques durs dans le but de les déclasser au niveau non classifié et d'en permettre l'utilisation dans un environnement non contrôlé - p. ex., aux fins de recyclage dans le cadre du Programme Ordinateurs pour les écoles. Dans ce cas, la seule solution possible consiste à recourir à des techniques de réécriture. Toutefois, l'utilisation de ce processus pour effacer de l'information sensible des disques durs pose des risques au plan de la sécurité.

La présente annexe aborde les préoccupations que soulève le processus de réécriture des disques durs en matière de sécurité et propose des solutions pour les atténuer.

C.1 Réécriture - Préoccupations au plan de la sécurité

Réécrire les lecteurs de disque dur de manière fiable requiert une expertise technique. Ce n'est pas un processus simple. Plusieurs aspects de la réécriture utilisée comme méthode d'effacement soulèvent certaines inquiétudes, entre autres :

  • les erreurs humaines lors de l'utilisation du logiciel de réécriture;
  • l'incapacité du logiciel à réécrire tout l'espace disque;
  • le manque d'outils pour vérifier la capacité du disque ou l'efficacité de la réécriture;
  • le phénomène des bordures de piste.

Erreurs humaines

Une personne peut, par erreur, divulguer des données sensibles en se défaisant d'un disque dur qu'elle croyait entièrement réécrit alors qu'il ne l'était qu'en partie. Par exemple, l'opérateur peut ne pas savoir comment utiliser le logiciel de recouvrement correctement, ou ne pas suivre le mode d'emploi à la lettre. Ainsi, pour s'assurer que le logiciel traite tout l'espace disque, il doit calculer correctement la quantité d'espace réelle de chaque disqueNote de bas de page 6.

Incapacité du logiciel à traiter tout l'espace disque

La technologie liée aux disques durs se caractérise par une grande variété de fabricants et de nombreuses interfaces à divers systèmes d'exploitation. Un progiciel donné peut ne pas bien fonctionner sur certaines plates-formes. Parmi les problèmes les plus courants on note l'impossibilité pour certains logiciels de réécrire les données dans les secteurs défectueux ou protégés. Souvent, ces données peuvent être recouvrées par un autre logiciel capable de puiser dans les couches de contrôle logicielles pour déterminer la configuration du disque, ou par de simples dispositifs de laboratoire (p. ex., un balayage rotatif et une tête d'enregistrement pourraient suffire, sans microscopie). Un problème lié aux systèmes DOS concerne la façon dont le logiciel de réécriture détermine la taille du disque. Parfois, le logiciel évalue la taille du disque à partir du système de base d'entrée-sortie (BIOS), ce qui peut produire une réécriture incomplète. Si les paramètres du BIOS liés à la taille du disque sont modifiés, les données entrées avant le changement peuvent devenir inaccessibles au programme de réécriture. Ainsi, il se peut qu'un mauvais calcul de la taille du disque se produise au cours de la réécriture et que les données sensibles fassent l'objet d'un recouvrement éventuel.

La diversité et l'évolution rapide de la technologie en matière de disques durs rendent très difficile l'évaluation des logiciels de réécriture de disque. Néanmoins, pour qu'un ministère ait confiance en un produit donné, une évaluation par un laboratoire indépendant est essentielle - p. ex., en vertu des Critères communs. Bien qu'il puisse arriver qu'un produit soit testé et fonctionne dans le contexte d'une plate-forme précise, il est très difficile d'avancer que les résultats s'appliqueront à d'autres plates-formes, versions du système d'exploitation, etc. La Sous-direction de la sécurité technique de la GRC fournit gratuitement un logiciel aux ministères. Un ou deux produits commerciaux répondent aux exigences de la GRC concernant l'évaluation par un laboratoire indépendant et la capacité de produire des rapports pour faciliter les procédures de vérification de l'opérateur. De plus, le CMRR (Center for Magnetic Recording Research) de l'UCSD (Université de Californie à San Diego) offre gratuitement un utilitaire de réécriture, « Secure Delete », que peuvent prendre en charge la majorité, sinon la totalité, des disques durs IDE fabriqués après 2001.

Phénomène des bordures de piste

Lors de l'écriture d'un disque, ou d'une opération de réécriture visant à nettoyer un disque, les têtes de lecture-écriture (l-e) ne passent pas de façon concentrique sur le centre exact des pistes de configuration binaire en raison, surtout, des variables et des tolérances mécaniques et électriques. Pour améliorer la fiabilité de la lecture, le cycle de l-e est conçu de manière que les pistes d'écriture sont larges et celles de lecture, étroites; toutefois, il reste des résidus de bits au bord des pistes après plusieurs réécritures.

Ces résidus en «bordure de piste» de la configuration binaire originale (partielle) demeurent généralement sur le plateau du disque même si une grande partie de la piste a été réécrite. Des techniques de microscopie permettent de créer des images de ces résidus. Selon la quantité et la qualité de rémanence de ces résidus, il est possible de les traiter de manière à reconstituer la configuration binaire d'origine (réécrite) de l'information.

L'exécution d'une réécriture avec l'assurance absolue que les bordures de piste ont été entièrement réécrites exige un plein contrôle sur les têtes d'écriture, ce que ne permettent pas les disques durs standard courants. Pour s'assurer que le phénomène des résidus de bordures de piste ne se pose pas (après la réécriture), il faut effectuer une réécriture +/- décalée (écart) qui dépasse les bordures de piste originales. Les micrologiciels de contrôle de disque standard ne permettent pas de contrôler cet écart, mais le CMRR de l'UCSD concentre ses recherche actuelles sur la réalisation de cet objectif.

Les fabricants de disques ont inclus un soutien général dans leur gamme de produits IDE pour la norme Secure Delete du CMRR de l'UCSD mentionnée précédemment. Le CMRR continue à mettre au point cette norme dans le but d'offrir des écarts contrôlés qui permettront de réécrire la piste au complet en deux passes du logiciel. La GRC et le CST surveillent ces travaux de développement en vue d'une éventuelle application dans les ministères fédéraux.

Méthodes d'attaque d'un disque dur réécrit

Dans le présent document, on entend par risque la probabilité d'un incident de sécurité et la nature de son incidence s'il survient. Une menace se définit comme un événement ou un agent qui cause un incident. Une vulnérabilité est une caractéristique ou une défaillance dans le processus ou dans l'équipement qui favorise ou permet la réalisation de la menace. Les deux situations suivantes sont sources d'inquiétude pour ce qui est de l'exposition de données sensibles réécrites sur un support magnétique :

  • un agresseur qui tente une attaque par clavier; ou
  • un agresseur qui tente une attaque en laboratoire.

Une attaque par clavier est possible s'il y a eu des erreurs dans la procédure de récriture ou si le logiciel n'a pas réécrit toutes les données. Une attaque en laboratoire sur les bordures de piste est possible, mais exige un laboratoire de recherche très bien équipé comprenant du matériel de microscopie très dispendieux et des chercheurs très compétents ayant beaucoup de temps et de patience. Pour justifier une telle entreprise, un adversaire doit être très motivé et s'attendre à retirer un avantage substantiel.

Évaluation indépendante du logiciel de réécriture

Dans la mesure du possible, on doit utiliser des logiciels de réécriture qui ont fait l'objet d'une évaluation indépendante.

Réécriture multiple

Les normes applicables recommandent la réécriture multiple des disques. Des études, menées à la fin des années 1990, ont démontré que les réécritures multiples n'améliorent pas sensiblement la fiabilité du processus (à part, peut-être, dans la technologie des tout premiers disques où l'« oscillation » de la tête d'enregistrement était un élément important). Toutefois, d'autres études semblent indiquer qu'un seul passage n'est pas suffisant. Des essais non classifiés en laboratoire ont montré qu'il est possible de recouvrer des renseignements utiles après un seul passage de réécriture mais non après l'ajout d'un deuxième passage. La réécriture au moyen de logiciels modernes ne détruit pas au complet les résidus en bordure de piste au moyen de la réécriture hors piste. La réécriture rendra très difficile, mais non impossible, le recouvrement des données.

  • Nota : Le CMRR de l'UCSD poursuit ses travaux sur le concept de réécriture « décalée » selon lequel le contrôleur de disque du lecteur du disque dur à effacer participe au processus de réécriture en décalant la première passe légèrement d'un côté du centre de la piste de données, puis la deuxième passe, légèrement de l'autre côté. L'effet combiné permet d'obtenir une réécriture complètet de toutes les parties de la piste de données, incluant les bordures, en seulement deux passes.

C.2 Formation

Les ministères doivent offrir aux opérateurs responsables de gérer le processus de récriture une formation minimale sur la façon appropriée d'appliquer ces procédures. La formation doit permettre d'acquérir les ensembles de compétences nécessaires et de motiver les opérateurs à satisfaire aux exigences techniques rigoureuses requises pour cette importante tâche de sécurité.

C.3 Logiciel de réécriture - Points à prendre en considération

Les points à prendre en considération ci-dessous visent à aider les utilisateurs qui effectuent la réécriture d'un lecteur de disque dur. Ces points s'appliquent en général à toutes les circonstances de réécriture des données d'un disque dur.

Ils sont définis selon les fonctions de base requises de tout utilitaire de réécriture de disque ou d'une application de vérification, en plus des modalités générales d'application assurant que les données du disque cible ont bien été recouvertes. Ils proviennent des différentes normes visant à assurer la protection contre le recouvrement de données de disques nettoyés, et des résultats d'études du CST effectuées en 1999.

Point no. 1 - Traiter et contrôler tous les utilitaires de réécriture et de réécriture-vérification comme des logiciels de configuration sensibles.

  • Les applications de réécriture ne sont pas classifiées, mais elles doivent être traitées comme des articles contrôlés ayant des exigences élevées d'intégrité et de gestion de configuration. Les procédures doivent être documentées pour s'assurer que les mesures de protection sont adéquates et rendent impossible toute modification non autorisée ou toute subversion du logiciel de réécriture.

Point no. 2 - Pour la réécriture-vérification, utiliser une application validée distincte.

  • Un utilitaire de réécriture-vérification sert plus particulièrement à vérifier que la réécriture des données a été effectuée dans toutes les zones adressables du disque dur selon le motif prescrit. Pour exécuter cette fonction en toute confiance, le responsable doit utiliser une application dont la capacité d'accès au disque dur en entier a été validée. Il faut se méfier des applications de réécriture dotées d'une fonction de vérification distincte. Tout défaut inhérent à la fonction de réécriture se retrouvera aussi certainement dans celle de la vérification.

Point no. 3 - Avant la réécriture, calculer la capacité RÉELLE du disque dur.

  • Il est impératif de déterminer la capacité totale de mémoire adressable du disque dur avant de lancer la procédure de réécriture. On ne peut pas se fier aux données de capacité produites par le BIOS, les programmes FDISK ou CHKDSK, ou Windows, etc., puisque aucune norme ne régit le calcul de la capacité des disques durs. Souvent, on a recours à différentes unités pour déterminer la capacité du disque (p. ex., «équivalents» en octets binaires ou décimaux). Cette pratique peut être très déroutante et, à moins de connaître la capacité réelle du disque, les résultats du processus de réécriture seront douteux. Le seul moyen fiable de déterminer la capacité de mémoire adressable consiste à la calculer (voir ci-dessous).

Point no. 4 - S'assurer que les applications de réécriture et de vérification calculent toutes les deux la capacité RÉELLE du disque.

  • Il n'est possible d'effectuer une réécriture complète de toutes les zones adressables d'une unité de disque que si l'application de réécriture en «connaît» la capacité totale. Il s'agit de calculer la capacité réelle du disque et de la comparer avec la capacité calculée par l'application de réécriture. Si la capacité réelle est plus élevée que la capacité calculée, les données de l'unité de disque ne seront réécrites qu'à la limite calculée et NE seront donc PAS entièrement réécrites.
  • Il est tout aussi important de s'assurer que l'application de vérification est également capable d'accéder au disque dur dans son intégralité.

Point no. 5 - Estimer que les données ne seront pas réécrites si le lecteur de disque contient des secteurs DÉFECTUEUX, à moins que la vérification n'indique le contraire.

  • À l'occasion, il peut arriver que des secteurs «défectueux» soient détectés lors de la procédure de réécriture des données d'un disque. Une exigence essentielle de rendement d'une application de vérification consiste à pouvoir simuler ces secteurs défectueux pour confirmer leur réécriture complète. Autrement, il faut considérer que ces secteurs défectueux contiennent des données résiduelles, indiquant que le lecteur de disque n'a pas été complètement nettoyé. Les lecteurs de disque dont les réécritures de secteurs défectueux n'ont pas été vérifiées ne doivent pas être réutilisés mais plutôt détruits séparément. Dans certains cas, un contrôleur de disque doté d'éléments logiques peut remodeler automatiquement une piste défectueuse et indiquer qu'aucune erreur n'a eu lieu lors de la réécriture. Normalement, cela est documenté dans les spécifications techniques de l'équipement.

Point no. 6 - Exiger que les applications de réécriture soient exécutées à partir d'une disquette amorçable.

  • Sauf dans le cas de l'utilitaire « Secure Overwrite » du CMRR de l'UCSD (qui intervient directement dans le contrôleur de disque à un niveau inférieur à celui du système d'exploitation), la majorité des utilitaires de réécriture sont uniquement destinés à fonctionner avec un système d'exploitation précis et ne sont mis à l'essai que dans cet environnement. En raison des divergences de calcul de la capacité présentées au point 3, chacun de ces utilitaires calcule ou détermine la capacité selon ses propres algorithmes et utilise des fonctions liées au système d'exploitation. Il ne faut jamais exécuter un utilitaire de réécriture à partir d'un système d'exploitation, quelle qu'en soit la marque ou la version, à moins que le développeur ne le recommande précisément et que l'application n'ait été validée pour cette version particulière du système d'exploitation.

Point no. 7 - Suivre les procédures écrites et (ou) les listes de vérification liées à l'utilisation des applications de réécriture dans le cas de données sensibles protégées et (ou) classifiées.

  • Il est recommandé d'élaborer des procédures liées à l'application et de les mettre en oeuvre pour assurer l'uniformité et la répétabilité des résultats dans l'utilisation des logiciels de réécriture et pour aider à la formation des utilisateurs sur la bonne utilisation de l'application en question. Comme les utilisateurs doivent configurer de nombreux paramètres dans les logiciels de réécriture typiques, que la séquence des étapes à suivre est essentielle pour lancer le logiciel et qu'il faut enfin vérifier la bonne réécriture des disques durs, les listes de vérification peuvent servir de guide aux utilisateurs et permettre d'assurer la validation et la répétition du processus. Idéalement, ces procédures et ces listes de vérification sont propres au produit et sont élaborées et certifiées par une autorité compétente à des fins officielles. Toute modification à ces procédures et à ces listes de vérification doit être soumise à un examen formel de validation et de certification avant d'être adoptée.

C.4 Calcul de la capacité du lecteur de disque

Pour s'assurer que le logiciel de réécriture est en mesure d'effacer toutes les parties du disque, l'opérateur doit :

  1. calculer correctement la capacité réelle du disque, et
  2. comparer cette valeur à la capacité déclarée par le logiciel de réécriture.
  • Les mesures de capacité des disques sont sujettes à interprétation. Le fait que le chiffre 2 à la puissance (exposant) 10 est approximativement égal au chiffre 10 à la puissance 3 est une pure coïncidence et a donné lieu à deux définitions différentes de ces systèmes de mesure. «Kilooctet», «mégaoctet» et «gigaoctet» peuvent avoir une signification différente selon le contexte. Il est facile de s'y perdre, surtout lorsqu'il s'agit de calculer la capacité du disque où les deux mesures sont utilisées sans distinction. Le tableau suivant permet de comparer ces systèmes de mesure.

Comparaison des systèmes de mesure

Nom Valeur binaire Valeur décimale
Kilooctets (Ko) 2el0 = l 024 10e3 = 1 000
Mégaoctets (Mo) 2e20 = 1 048 576 10e6 = 1 000 000
Gigaoctets (Go) 2e30 = l 073 741 824 10e9 = 1 000 000 000

Formule de calcul de la capacité d'un lecteur de disque

La formule suivante permet d'obtenir un nombre représentant le nombre total d'octets pouvant être stockés sur le disque dur :

Cylindres * Têtes * Secteurs * 512 (octets par secteur) Le résultat est un nombre décimal. Pour convertir ce nombre à la valeur décimale équivalente à la valeur binaire, il faut le diviser par la valeur binaire pertinente. Par exemple, pour un disque qui contient 6704 cylindres, 15 têtes et 63 secteurs :

6704 x 15 x 63 x 512 = 3 243 663 360 octets, ou
3,24 Go en utilisant 10 9 ou des valeurs décimales, ou
3 243 663 360 / 1 073 741 824 = 3,02 Go en gigaoctets binaires, ou
3 243 663 360 / 1 048 576 = 3 093 Mo en mégaoctets binaires.

Information d'en-tête de secteur

Lorsqu'un disque est formaté, des zones supplémentaires sont créées à l'usage du contrôleur de disque pour numéroter les secteurs et en délimiter le début et la fin. Ces zones précèdent et suivent les zones de données de chaque secteur, ce qui explique la différence de capacité entre un disque formaté et un disque non formaté. La différence peut parfois atteindre jusqu'à 17 % d'écart. Tous les lecteurs se réservent de l'espace pour la gestion des données qu'ils contiennent.

Normalement, la définition d'un secteur indique qu'il contient 512 octets, mais, techniquement, cette valeur n'est pas précise. Chaque secteur de disque occupe en général 571 octets sur le disque, dont 512 seulement peuvent servir au stockage de données des utilisateurs. Le nombre réel d'octets nécessaires à la queue et à l'en-tête du secteur peut varier d'un lecteur à l'autre.

Chaque secteur de disque comporte un en-tête, qui précise le début du secteur en question et son numéro, et une queue, qui contient un total de contrôle (pour aider à assurer l'intégrité des données). Chaque secteur renferme également 512 octets de données. Lors de la fabrication du disque ou de son formatage de bas niveau, les octets attribués aux données sont souvent fixés à une valeur précise telle que F6h (c.-à-d., 1111 0110). En plus des intervalles dans les secteurs mêmes, d'autres intervalles existent entre les secteurs de chaque piste et entre les pistes; aucun de ces intervalles ne contient des données d'utilisateur. Ces intervalles expliquent la différence de capacité entre un lecteur de disque formaté et un lecteur non formaté.

Dans l'intervalle du préfixe de secteur se trouve un mot de données - appelé identificateur de secteur - qui inclut les zones de numéro du cylindre, de la tête et du secteur ainsi qu'une zone CRC qui permet de vérifier les données d'identification. La plupart des contrôleurs utilisent le bit 7 du numéro de la tête pour indiquer qu'un secteur est défectueux lors d'un formatage de bas niveau ou d'une analyse de surface. Ce système n'est pas forcément universel, et différents fabricants peuvent utiliser d'autres méthodes pour indiquer un secteur défectueux. Néanmoins, en général, une de ces zones d'identification contient le marqueur de secteur défectueux.

Pour déterminer la capacité d'un lecteur de disque dur :

  • Retirez le boîtier et relevez la marque et le numéro de modèle du lecteur de disque dur, et
  • Consultez la documentation du fabricant ou son site Web pour obtenir des renseignements techniques précis sur ce modèle.

Ne tenez pas compte des taux en Mo ou en Go puisqu'on ne précise pas si ces résultats ont été calculés en valeurs décimales (base 10) ou binaires. La capacité doit être calculée en fonction des cylindres, des têtes (ou côtés), du nombre de secteurs par piste et de la taille des secteurs (habituellement de 512 octets).

Annexe D : Appareils de démagnétisation

Introduction

Les démagnétiseurs appliquent aux disques ou aux supports sur bande un champ magnétique inversé pour ramener les bits d'information à zéro. Lorsque le processus est appliqué correctement, toute l'information contenue dans le support devient irrécouvrable, quelle que soit la technologie connue utilisée. Toutefois, différents types de bande magnétique et modèles de disque dur réagissent différemment aux démagnétiseurs et à leur champs de flux inversés.

Pour être efficace, la démagnétisation requiert que le champ de flux magnétique appliqué par l'appareil de démagnétisation soit suffisamment fort pour détruire complètement la structure magnétique des données du support à effacer.

Des démagnétiseurs de puissance relativement faible peuvent effacer les bandes magnétiques et les disques durs d'ancienne génération alors que les disques modernes exigent des démagnétiseurs extrêmement puissants. En effet, les disques modernes sont assemblés avec des alliages spéciaux très résistants aux variations magnétiques, ce qui permet aux fabricants de réduire la taille des régions magnétiques du disque et d'offrir des densités de données supérieures.

On appelle coercitivité la résistance aux variations magnétiques et cette valeur est calculée en Oersteds (Oe). De manière générale, les lecteurs de disque dur fabriqués entre 1999 et 2003 ont une coercitivité pouvant s'élever jusqu'à 3 000 Oe; les démagnétiseurs doivent donc être approuvé à ce niveau pour être en mesure d'effacer complètement les données. Les lecteurs de disque dur fabriqués en 2004-2005 ont une coercitivité minimale de 4 000 Oe et la tendance veut que cette valeur atteigne environ 5 000 Oe en 2006.

Le graphique de coercitivité (Disk Coercivity Chart) ci-dessous est une gracieuseté de Data Security Incorporated; il est basé sur les données obtenues par le CMRR (Center for Magnetic Recording Research) de l'UCSD (Université de Californie à San Diego).

Disk Coercivity Chart

Légende du graphique

  • Disk Coercivity Chart : Graphique de coercivité des disques
  • Drive Coercivity (Oe) : Coercivité du lecteur (Oe)
  • Year of Disk Drive Availability : Année de production du lecteur de disque

Les ministères doivent communiquer avec le CST pour s'assurer que leurs lecteurs de disque dur peuvent être effacés de manière fiable à l'aide du démagnétiseur qu'ils utilisent actuellement, quelle que soit leur année de fabrication.

Normes et procédures de démagnétisation

  • Le CST approuve l'utilisation d'appareils de démagnétisation précis figurant dans la liste des produits du gouvernement américain, pour s'assurer qu'ils effacent en toute sécurité les types particuliers de bande magnétique et (ou) de lecteur de disque dur qui contiennent des données de tous les niveaux de sensibilité.
  • Le démagnétiseur utilisé doit être approuvé pour le type et la version du support à effacer. Plus particulièrement, il doit appliquer un flux magnétique suffisant pour vaincre la résistance réelle du support (appelée coercitivité et mesurée en Oersteds) aux variations magnétiques, tel qu'il est déterminé par des tests de laboratoire spéciauxNote de bas de page 7.
  • Le CMRR (Center for Magnetic Recording Research) de l'UCSD (Université de Californie à San Diego) effectue des études constantes pour évaluer la force des champs magnétiques des appareils de démagnétisation actuels et les
  • Les opérateurs doivent être en mesure d'utiliser correctement le démagnétiseur avec chaque type différent de support magnétique qui leur est confié; et
  • Les ministères doivent respecter les directives d'utilisation, d'entretien et de mise à niveau du fabricant du démagnétiseur pour s'assurer que celui-ci continue de fonctionner correctement à sa puissance de sortie nominale durant tout son cycle de vie.

Démagnétiseurs de disques durs ou bandes

Les appareils de démagnétisation commerciaux sont ajoutés à la liste des produits évalués du gouvernement américain suite à des tests de laboratoire dont le but est de mesurer leur efficacité et leur fiabilité à long terme. Plusieurs sont approuvés pour les bandes magnétiques et les disques durs fabriqués il y a plusieurs années, mais peu de produits testés peuvent générer les champs magnétiques extrêmement puissants requis pour effacer les disques durs modernes.

Certains démagnétiseurs ont été testés et approuvés à la fois pour les bandes et les disques.

Démagnétiseurs de bandes seulement

La majorité des bandes magnétiques peuvent être effacées par des démagnétiseurs qui possèdent une puissance relativement faible; par contre, d'autres type de bande exigent des champs de démagnétisation plus puissants. Par exemple, les bandes de type « 3590 » possèdent une coercitivité d'environ 1 700 Oersteds et peuvent donc être effacées efficacement par un démagnétiseur approuvé pour une coercitivité égale ou supérieure à 1 700 Oe, tels les démagnétiseurs DSI Model Type III (943-0001) ainsi que DataTape Inc TD-1700 et Metrum DataTape TD-170 (bien que les deux derniers ne soient plus fabriqués). Les appareils de démagnétisation approuvés uniquement pour les bandes à plus faible coercitivité n'offrent pas la puissance requise pour les bandes à coercitivité plus élevée.

Réutilisation après démagnétisation

BANDES. Plusieurs types de bande magnétique peuvent être réutilisés après avoir été démagnétisés, mais pas tous. Par exemple, la bande Magstar 3490 contient des pistes d'asservissement enregistrées en usine que la démagnétisation détruit, rendant la bande inutilisable. Les ministères qui désirent réutiliser des bandes après leur démagnétisation doivent s'informer à cet effet auprès du fabricant, ou communiquer avec le fabricant de leur démagnétiseur et lui demander s'il connaît les marques de bande qui pourraient être réutilisables après avoir été démagnétisées.

LECTEURS DE DISQUE DUR. Les lecteurs de disque dur plus anciens à faible coercitivité peuvent être réutilisés après avoir été démagnétisés à l'aide d'une « baguette » démagnétisante de faible puissance; toutefois, les lecteurs modernes ne peuvent l'être puisque les champs de démagnétisation utilisés pour les effacer doivent être à ce point puissants qu'ils endommagent également les composantes délicates du lecteur, tels les mécanismes de positionnement des têtes. Ce type de dommage peut invalider la couverture de la garantie dans le cas d'un lecteur de disque dur défectueux qui doit être démagnétisé (pour des raisons de sécurité) avant d'être retourner au fournisseur. Dans ce cas, il peut être possible de négocier une modification des modalités de la garantie de manière que le fournisseur accepte le retour d'un lecteur démagnétisé; sinon, le ministère devra assumer le coût de remplacement plutôt que de retourner un lecteur défectueux non démagnétisé contenant de l'information sensible.

Coercitivité de différents supports magnétiques

Il est difficile de trouver de l'information à jour sur les différences de coercitivité entre les différentes marques de bande magnétique. La société Fiji Corporation a publié une liste relativement exhaustive dans un livre blanc en 2003; dans la plupart des cas, toutefois, il devrait être possible d'obtenir cette information directement des fabricants de bandes. Les valeurs de coercitivité des disques durs sont réputées être de l'information propriétaire sensible chez les fournisseurs; toutefois, les tests ont prouvé que les niveaux de coercitivité ont augmenté dramatiquement avec chaque génération successive des disques durs depuis 1999. Parallèlement à cette augmentation substantielle, certains fournisseurs d'équipement de sécurité ont mis au point des appareils de démagnétisation qui offrent des puissances de démagnétisation correspondantes plus élevées - et qui ont suffisamment de puissance en réserve pour leur permettre de demeurer efficaces à court et à moyen terme alors que les coercitivités des disques continuent de s'accroître.

Liste des appareils de démagnétisation

Pour être approuvé par le CST, un démagnétiseur doit posséder une attestation de coercitivité égale ou supérieure à celle du type de support à effacer, tel qu'il est indiqué dans la liste Degausser Evaluated Products List de la NSA américaine, accessible à l'adresse www.nsa.gov/ia/.

Annexe E : Destruction partielle - questions liées à la sécurité

La présente annexe aborde les risques que pose au plan de la sécurité le recours à la destruction partielle (par rapport à la destruction complète) pour nettoyer des supports électroniques contenant de l'information sensible.

E.1 Facteurs de risque

Le risque peut être défini comme la probabilité d'une menace et de la nature de son incidence, le cas échéant. La probabilité de l'exposition à une attaque technique sophistiquée est liée à une variété de facteurs sous-jacents tels :

  • la compétence des personnes effectuant la destruction;
  • la qualité des procédures;
  • le contrôle du processus; et
  • la fiabilité de la méthode choisie pour les dispositifs particuliers à détruire.

Réécriture

La réécriture d'une grande diversité de disques durs augmente la possibilité d'omettre les secteurs défectueux ou d'effectuer un mauvais calcul de la taille du disque, ce qui accroît le risque de réussite d'une attaque par clavier sur le lecteur de disque dur réécrit.

Mesure de l'incidence des compromissions

La classification et la désignation de l'information établies en vertu de la Loi sur l'accès à l'information, de la Loi sur la protection des renseignements personnels et de la norme de sécurité opérationnelle « Identification des biens » de la Politique du gouvernement sur la sécurité donnent une mesure de l'incidence d'une compromission éventuelle de l'information (p. ex., l'accès non autorisé à de l'information de niveau SECRET pourrait, dans certains cas, porter un « préjudice grave » à l'intérêt national). Cette mesure inclut les éléments détaillés suivants :

  • Type d'incidence - p. ex., embarras, perte de confiance dans le gouvernement, pertes ou profits financiers, ingérence dans la vie privée, possibilités de litige, etc;
  • Importance des dommages - p. ex., à un service du ministère, au ministère au complet, à tout le gouvernement, aux entreprises/organismes extérieurs, etc.
  • Effet du temps - p. ex., quand l'information deviendra-t-elle non classifiée; et
  • Sensibilité réelle - p. ex., établir si l'information a été bien classifiée au départ (et dans quelle mesure est-on certain du contenu du disque).

E.2 Agents de menace

Il faut prendre en considération la nature de l'agent de menace :

  1. Identification des agents de menace possibles - p. ex., services de renseignement étrangers, crime organisé, pirate bien informé, pirate amateur, voleur occasionnel, recycleur d'ordinateurs, etc.
  2. Capacité et ressources de l'agent de menace - p. ex., l'agent de menace a-t-il suffisamment de ressources pour mettre sur pied un laboratoire de microscopie et pour recruter et former des experts pour le faire fonctionner?
  3. Motivation et gain anticipé - p. ex., l'agent de menace tenterait-il une attaque de laboratoire sophistiquée (à un coût important, sans garantie de réussite) sans savoir au préalable si le SIE contient réellement des données utiles?
  4. Occasion - comment l'agent de menace s'y prendra-t-il pour être en position de recevoir le SIE? Est-ce le seul moyen pour l'agent de menace d'obtenir ce type d'information - c.-à-d., y a-t-il une autre méthode plus efficace et plus fiable pour se procurer l'information?

Annexe F : Types de support d'information

La présente annexe comprend la liste des types connus de SIE traités dans les présentes lignes directrices au moment de leur publication.

F.1 Bande magnétique

Les bandes magnétiques se présentent sous différentes formes, notamment :

  • Bobine (p. ex., bande de données informatiques),
  • Cassette (p. ex., audiocassette), et
  • Autre format telle une bande vidéo VHS.

Pour ce qui est du nettoyage effectué par de l'équipement de démagnétisation, les bandes magnétiques sont classées selon leur résistance aux variations magnétiques - c.-à-d., selon leur « coercitivité », mesurée en Oersteds (Oe) - comme suit :

  • La bande de type I a une coercitivité nominale inférieure à 350 Oe,
  • La bande de type II a une coercitivité nominale qui se situe entre 350 et 750 Oe, et
  • La bande « haute énergie » de type III (4 mm ou 8 mm) a une coercitivité nominale quise situe entre 750 et 1700 Oe.

F.2 Disque magnétique

Disquette. Ce type de support inclut les disquettes standard de 3½ po, 5¼ po et 8 po ainsi que les autres supports qui utilisent un plateau magnétique souple contenu dans une enveloppe externe.

Disque dur. Les lecteurs de disque dur sont offerts avec des types d'interface différents, incluant les suivants : ATA, Serial ATA (SATA), SCSI, canal à fibres optiques, etc. Tous sont caractérisés par une capacité de stockage extrêmement élevée. On doit évaluer avec soin s'il y a lieu de se fier aux méthodes d'effacement non destructives pour nettoyer ce type de support. En raison de la technologie en constante évolution, on obtient des résultats différents pour chaque version ou type différents de support.

Secure EraseNote de bas de page 8. La presque totalité des lecteurs ATA et SATA d'une capacité supérieure à 15-20 Go (fabriqués depuis 2001 environ) prennent en charge le protocole Secure Erase, mais non les lecteurs de canal à fibres optiques et SCSI en général (année 2005).

Démagnétisation. La densité des données des lecteurs de disque continue d'augmenter au fur et à mesure que les fabricants trouvent de nouvelles façons de concentrer davantage de données sur des surfaces de plus en plus petites. Les surfaces des plateaux de disque dur sont fabriquées avec des alliages magnétiques plus récents et ne peuvent être effacées au moyen des appareils de démagnétisation plus anciens. Communiquez avec le CST pour obtenir de l'information sur les démagnétiseurs approuvés actuels.

F.3 Carte à piste magnétique

La piste magnétique offre un type de support de stockage qui peut être apposé à l'endos de cartes d'identification, de cartes de contrôle d'accès, etc. Elle contient différentes formes d'information qui peuvent être sensibles.

F.4 Disque optique

Cette section traite des types de disque optique suivants : CD-ROM, CD-R, CD-RW, DVD, DVD-R, DVD+R, DVD-RW, et DVD+RW. Ces disques sont offerts dans une variété de tailles et ils doivent tous être manipulés de la même façon. On trouve de plus en plus sur le marché de nouveaux formats de DVD et de vidéodisque qui peuvent être associés à des versions de capacité supérieure des supports sur disque existants. Ils requièrent la même approche au plan de la sécurité et des méthodes de nettoyage. Toutefois, compte tenu de leurs densités d'écriture plus élevées, ils exigent des mécanismes de destruction de données plus fins - surtout lorsqu'on les utilise pour stocker de l'information extrêmement sensible.

F.5 Support d'information électronique (à semiconducteurs)

Le support d'information électronique à semiconducteurs, aux fins du présent document, désigne toute technologie liée à de la mémoire de stockage embarquée, à l'exclusion des supports optiques et magnétiques. On trouve normalement ces supports, telles les mémoires vives de types RAM, SRAM, DRAM, etc., dans les systèmes informatiques modernes. On peut encore trouver dans certains équipements plus ancien de la mémoire à bulles et à tores.

F.6 Assistant numérique personnel (PDA)

Les PDA incluent les dispositifs BlackBerry, Palm, Pocket PC et iPod.

Le BlackBerry, dont l'usage est très répandu au sein du gouvernement du Canada, offre des fonctions de sécurité supplémentaires pour répondre aux exigences du gouvernement concernant l'information sensible mais non classifiée.

Les systèmes de type Palm peuvent offrir une connectivité numérique pour le courrier électronique ainsi que le réseautage sans fil intégral.

Apple Computer Inc. et Motorola Inc. incluent actuellement des fonctionnalités iPod dans leurs téléphones sans fil. Les iPod offrent des fonctions de système complètes et une grande capacité de mémoire. Le personnel responsable de la sécurité doit connaître la quantité de données que ces supports plus récents peuvent transporter. Leur apparence extérieure est celle d'un téléphone cellulaire standard, mais ils peuvent servir à stocker plusieurs gigaoctets de données.

F.7 Interfaces USB et FireWire

Les interfaces FireWire (IEEE-1394) et USB dans les ordinateurs et les PDA permettent la connexion à des supports externes tels des lecteurs de disque USB ou des clés de mémoire USB. La capacité de ces clés augmente constamment après avoir éclipsé la marque des 2 Go au début/milieu des années 2000 et, dans certains systèmes, elles peuvent remplacer le lecteur de disque dur interne comme support de stockage principal. Plusieurs ordinateurs modernes peuvent être amorcés par des dispositifs USB ou FireWire. Compte tenu que ces dispositifs seront de plus en plus utilisés au sein du gouvernement du Canada, les responsables devront se pencher sur les problèmes et préoccupations qu'ils soulèvent au plan de la sécurité.

F.8 Dispositifs de stockage amovibles

Ces dispositifs (ou lecteurs) sont offerts dans une variété de formes et de formats (voir ci-dessous). Certains sont des dispositifs à semiconducteurs et, d'autres, des lecteurs de disque dur miniatures (1 po) dotés d'un ou de deux plateaux ultra minces.

Un utilisateur occasionnel peut difficilement discerner le type de support utilisé dans un dispositif donné. Par exemple, il existe plusieurs versions de baladeur/support de données du iPod de Apple: le iPod Shuffle utilise une carte flash à semi-conducteurs (512 Mo ou 1 Go); le iPod Mini utilise un minidisque dur (4 ou 6 Go); et les iPod et iPod Photo utilisent un minilecteur de disque dur multi-plateaux (30 ou 60 Go). Le iPod Photo peut stocker et afficher des photographies.

Plusieurs dispositifs amovibles peuvent fonctionner en interface avec un PDA tel le Palm ou le BlackBerry. Certains s'y insèrent étroitement alors que d'autres peuvent dépasser du boîtier. Plusieurs sont dotés d'interfaces BlueTooth pour la connexion sans fil à d'autres équipements, p. ex., un casque d'écoute, etc.

Le domaine de la mémoire amovible connaît une évolution technologique rapide. Le tableau qui suit donne un aperçu des dispositifs disponibles en 2005.

Tableau 2. Dispositifs de stockage amovibles (c.2005)

Type Description Taille Interface et bus Mémoire et puissance

Carte flash
compacte (CF)

Carte mémoire flash à semi-conducteurs pour PCMCIA-ATA. Utilisée davantage comme disque dur que mémoire vive (RAM).

Pochette d'allumettes de 36x43 mm :

Type I = 3,3 mm d'épaisseur,

Type II = 5 mm d'épaisseur

Connecteur à 50 broches (deux rangées de 25 broches en bordure de la carte). Bus de données 16 bits La mémoire flash est non-volatile : elle conserve son information lorsqu'elle est hors tension. Consomme peu de courant.
Micro lecteur (support numérique Hitachi de 4 Go) Support de masse rotatif haute capacité (très petit disque de verre). Fonctionne comme une carte mémoire flash à semiconducteurs, mais est plus fragile et requiert de l'énergie pour faire tourner le disque. Même taille que la carte flash compacte de type II (36,4x42,8x5 mm) Bus de données 16 bits Capacité de 4 Go (utilise le système de fichiers FAT32 et peut stocker plus de 2 Go). Le dispositif doit utiliser le FAT32 (c'est le cas de plusieurs caméras numériques et de la plupart des PDA).
Carte multimédias (MMC) Cartes disques à semi-conducteurs sans pièce mobile. Protège mieux les données que les lecteurs de disque magnétique conventionnels. Timbre (32x24x1,4 mm) Connecteur à 7 broches Bus de données 1 bit Comme les cartes flash, elle contient de la mémoire flash non volatile qui conserve son information lorsqu'elle est hors tension.
Carte multimédias à modèle réduit (RS-MMC) Conçue pour les téléphones mobiles. Moins longue (18x24x1,4 mm) Possibilité d'utilisation avec un PDA (avec adaptateur mécanique pour insertion dans une fente MMC standard) La fente RS-MMC peut accepter une carte MMC pleine grandeur (dont une partie dépasse).
Carte Même concept que la carte Même taille que la carte Connecteur à 9 broches Les fentes de cartes SD
Secure Digital (SD) MMC, inclut en plus un interrupteur verrouillable pour empêcher l'effacement accidentel des données, et des contrôles de sécurité pour la gestion des droits de protection du contenu. MMC (32x24x2,1 mm) Bus de données 4 bits pour un débit plus élevé peuvent souvent recevoir aussi les cartes MMC.
Minicarte SD Extension compatible de la carte SD standard au niveau énergétique. Plus compacte (21,5x20x1,4 mm) Même interface matérielle et bus que la carte SD standard. Peut utiliser un adaptateur pour accueillir une carte SD standard dans la fente. Capacité inférieure à la carte SD (en raison de la taille).
Clé de mémoire USB Interrupteur intégré contre l'effacement pour protéger le contenu.
  • Il y a une clé standard, plus deux variantes (cartes clés Duo et Pro).
Taille d'un bâtonnet de gomme à mâcher (50x21x3 mm)
  • La variante Duo est plus petite (utilise un adaptateur pour d'insérer dans une fente standard).
Connecteur à 10 broches Bus de données 1 bit Mémoire à semiconducteurs
  • La variante Pro a une plus grande capacité et un débit de données plus élevé.
Carte de mémoire étendue Peut prendre en charge des extensions de fonctions supplémentaires - p. ex., carte multimédias incluant et une carte à puce et une puce mémoire.

Annexe G: Responsables du CST et de la GRC

(Pour les ministères et organismes du gouvernement du Canada)

Secteur de la Sécurité des TI du CST - Service à la clientèle, Sécurité des TI

Sous-direction de la sécurité technique de la GRC - Service à la clientèle STI

Annexe H : Références

  1. Politique du gouvernement sur la sécurité (PGS), février 2002, et Normes opérationnelles de la PGS, 2005
  2. Lignes directrices sur l'élimination et la destruction des renseignements protégés sur disques durs, GRC, G2-003, octobre 2003
  3. Guide d'équipement de sécurité (anciennement SG-20), GRC, G1-001
  4. Utilitaires de recouvrement de données et de vérification pour disques magnétiques (CIPR-15), mars 1997
  5. Règlement de sécurité du ministère de la Défense nationale et des Forces armées : Chapitre 72 - Manipulation sécuritaire des supports d'enregistrement magnétique (MDN A-SJ-100-001/AS-000), octobre 1999.
  6. Degausser Evaluated Products List (US NSA annex to NSA/CSS Policy Manual 9-12), mars 2006
  7. US Information Assurance Advisory IAA-006-2004 (overwriting and downgrading), (U/FOUO), (US NSA/IAD), 18 octobre 2004
  8. US Guidelines on ANP Forensics (US NIST SP800-72), ébauche, août 2004
  9. US Automated Information System Security (US DoD 5220.22-M chapitre 8) www.dss.mil/isec/nispom_0195.htm
  10. UK CESG clearing and declassification standard (replaces Memo7), 2005
  11. Secure Deletion of Data from Magnetic and Solid-State Memory, by Peter Gutmann (University of Auckland), juillet 1996
  12. Data Remanence in Semiconductor Devices, by Peter Gutmann (IBM T.J. Watson Research Center), 2001
  13. Can Intelligence Agencies Read Overwritten Data: a Response to Gutmann www.nber.org/sys-admin/recouvert-données-guttman.html
  14. Recovering Unrecoverable Data: a Channel Science White Paper Commissioned by Data Recovery Labs Inc, written by Charles H Sobey, 14 avril 2004 www.actionfront.com/ts_whitepaper.asp
  15. Reliability and Security of RAID Storage Systems and D2D Archives Using SATA Disk Drives - ACM Transactions on Storage Vol.1 No.1 pages 95-107, by G.F.Hughes & J.F.Murray, décembre 2004 dsp.ucsd.edu/~jfmurray/publications/Hughes2004.pdf
  16. Disk Drive Secure Erase: CMRR Secure Erase Protocols (University of California San Diego), octobre 2004 cmrr.ucsd.edu/Hughes/subpgset.htm
  17. Technical Report #630, "Semi-invasive attacks -- a new approach to hardware security analysis", by Sergei Skorobogatov (University of Cambridge -- Computer Laboratory), avril 2005 www.cl.cam.ac.uk/TechReports/
  18. Media Destruction guidance and products (US NSA), 2006 www.nsa.gov/ia/government/gover00001.cfm

Remarques

Notes de bas de page

Note de bas de page 1

Phénomène des bordures de piste : Des restes de données peuvent subsister en bordures de piste. Les têtes de lecture-écriture ne passent pas toujours de façon concentrique exactement au-dessus du centre de la configuration binaire originale - principalement en raison de variables et des tolérences mécaniques et électriques. Par conséquent, les bordures résiduelles de pistes des configurations originales sont généralement laissées sur le disque même si la majeure partie de la piste a été réécrite.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Secure Erase : Norme élaborée par le CMRR (Center for Magnetic Recording Research) de l'UCSD (Université de Californie à San Diego) et adoptée ensuite par les fabricants de disques durs pour permettre au personnel de la sécurité de l'organisme utilisateur d'effacer de manière sûre et simple toutes les parties accessibles du disque dur avant sa disposition. Voir les annexes B et H.

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Critères de recouvrement de disque de la GRC : Nettoyer un disque dur au moyen de l'utilitaire de réécriture de disque DSX de la GRC au réglage triple réécriture ou avec un programme externe qui rencontre les lignes directrices de la GRC concernant la réécriture (ou avec « Secure Erase » si le disque répond à cette norme). De manière générale, le logiciel de réécriture doit effectuer trois passes - des zéros (0) binaires sont écrits à la première passe, des uns (1) binaires sont écrits à la deuxième, et un modèle de texte ASCII que l'opérateur peut vérifier par la suite à la troisième. Ce modèle peut inclure par exemple le nom du produit logiciel de réécriture, suivi du numéro de version et du timbre horodateur actuel.

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Démagnétisation : Lorsque l'opérateur utilise un démagnétiseur, il doit connaître sa force de démagnétisation par rapport à la rémanence magnétique réelle (ou « coercivité », mesurée en Oersteds) du support magnétique. Il doit s'assurer que le démagnétiseur choisi est approuvé pour la coercivité du support à démagnétiser, à défaut de quoi, la destruction des données du support pourrait être incomplète.

Retour à la référence de la note de bas de page 4

Note de bas de page 5

Certains adversaires ont les moyens d'effectuer des analyses de laboratoire complexes sur des supports magnétiques non complètement détruits et ils peuvent y recourir lorsqu'ils mettent la main sur des supports ou des fragments de données d'une source qui les intéresse suffisamment pour justifier le coût et les efforts nécessaires à une telle analyse.

Retour à la référence de la note de bas de page 5

Note de bas de page 6

Voir « Calcul de la capacité du lecteur de disque » à la fin de cette section.

Retour à la référence de la note de bas de page 6

Note de bas de page 7

Le CMRR (Center for Magnetic Recording Research) de l’UCSD (Université de Californie à San Diego) effectue des études constantes pour évaluer la force des champs magnétiques des appareils de démagnétisation actuels et les forces nécessaires pour vaincre la résistance aux variations magnétiques des différents types et générations de disque magnétique et de support sur bande. Les résultats de ces tests sont appliqués à la liste des appareils de démagnétisation de la NSA américaine, que le CST utilise pour la sélection de modèles d'appareils de démagnétisation adaptés aux versions et types particuliers de support magnétique.

Retour à la référence de la note de bas de page 7

Note de bas de page 8

Pour plus de détails concernant la norme Secure Erase, visitez le site Web du CMRR (Center for Magnetic Recording Research) de l'UCSD (Université de Californie à San Diego) à l'adresse suivante : cmrr.ucsd.edu/Hughes/subpgset.htm

Retour à la référence de la note de bas de page 8