Rien n’est plus pratique qu’une clé USB pour transporter des données. Encore faut-il y préserver tout ce qui est confidentiel et pourrait être exploité par un voleur de clés ou en cas de perte.
Régulièrement, ces derniers mois, on apprenait dans l’actualité que des clés USB avaient été perdues ou volées alors qu’elles contenaient des informations privées sur des milliers de consommateurs, des dossiers médicaux, des numéros d’assurance sociale ou même des numéros de carte de crédit.
Et toutes ces données n’étaient pas sécurisées. Pourtant, tous les moyens sont là pour rendre irrécupérables les données stockées sur une clé USB; alors, pourquoi ne pas s’en servir?
On peut trouver sur le marché des clés de mémoire flash sans aucune forme de protection proposée, des clés avec un logiciel de cryptage fourni et des clés avec une puce de cryptage des données à la volée. Ces dernières sont les plus sûres et les plus simples à utiliser de façon sécuritaire, mais en même temps les plus chères.
Les clés USB sans logiciel
À vrai dire, il y a de moins en moins de clés USB de mémoire flash vendues sans logiciel. Cependant, si l’on a déjà un logiciel de compression de fichiers avec cryptage optionnel, comme WinRAR, WinZip, QuickZip, FreeZip, StuffIt pour PC ou StuffIt pour Mac, on peut s’en servir pour compresser et crypter les données avant de les sauvegarder sur la clé. Dans ce cas, il ne s’agit pas de cryptage à la volée, mais juste d’un cryptage manuel nécessaire pour la sauvegarde de chaque fichier ou groupe de fichiers. On peut aussi utiliser des mots de passe différents.
Autrement, on peut faire appel à des logiciels de cryptage comme TrueCrypt, un logiciel en code source libre, gratuit, homologué par la NSA, dont on peut facilement franciser la version originale anglaise. Il peut crypter en AES-256, Blowfish 448-bit, CAST5, Serpent 256-bit, Triple DES ou Twofish. Le logiciel TrueCrypt permet de créer une zone protégée (ou dossier) dans l’espace mémoire de la clé et tout fichier qui y sera placé sera crypté puis décrypté à la volée, automatiquement, si bien qu’un mot de passe sera nécessaire pour y accéder.
Bien entendu, il faut choisir un mot de passe difficile à trouver tout en étant facile à mémoriser, ce qui est toujours le principal défi des mots de passe. Seul inconvénient de TrueCrypt : on ne peut gérer la clé cryptée que sur un ordinateur où l’on peut accéder en mode administrateur, ce qui limite beaucoup les possibilités.
Un autre logiciel gratuit et efficace peut faire l’affaire puisqu’il est un peu plus ouvert : Rohos Mini Drive de la firme Rohos qui est spécialement conçu pour crypter les clés USB sous Windows 2000/XP/2003/Vista. Comme TrueCrypt, Rohos Mini Drive crée sur la clé une partition de la taille choisie et il crypte ou décrypte ensuite à la volée les données qu’on y écrit ou qu’on y lit. L’algorithme de cryptage utilisé est l’AES-256 et Rohos Mini Drive ne nécessite pas qu’on ait accès à l’ordinateur en mode administrateur. Personnellement, c’est celui que je préfère parmi les logiciels de cryptage de clés USB autonomes, non intégrés à des clés lors de leur achat.
La plupart des logiciels de cryptage de données commerciaux sont maintenant aussi adaptés aux clés de mémoire USB, soit directement, soit par une option.
Les clés USB avec cryptage
On peut trouver sur le marché des clés de mémoire fournies soit avec un logiciel de cryptage que l’on fait exécuter sur l’ordinateur où est branchée la clé, soit avec une puce interne qui filtre et crypte automatiquement les données, soit avec un capteur biométrique qui s’ajoute à une puce pour assurer un maximum de sécurité. Le mieux est de se rapporter au site Web du fabricant ou à ce qui est écrit sur l’emballage de la clé vendue en magasin. Une chose est sûre : plus elles peuvent être sécurisées, plus elles sont chères, mais le minimum est déjà très sécurisé.
D’après ce que nous avons pu constater, peu de sites de marchands mentionnent si un logiciel de cryptage est inclus sur la clé. Il faut aussi faire attention parce que, parfois, deux clés d’une même marque et d’un même modèle peuvent être vendues avec un logiciel de cryptage ou pas. Il en est ainsi soit parce qu’il s’agit d’une mise à jour d’un modèle déjà sorti sans logiciel, soit parce qu’on désire vendre la clé à plus bas prix.
Ainsi, certaines clés USB DataTraveler de Kingston sont fournies sans logiciel alors que d’autres disposent d’un logiciel de cryptage à la volée en AES 128 bits, tandis que d’autres offrent un cryptage AES de 256 bits encore plus sûr. Dans cette marque, il faut aller vers les modèles DataTraveler Vault et DataTraveler Blackbox pour s’assurer un maximum de sécurité, mais la série DataTraveler 400, avec son logiciel SecureTraveler, pourrait être suffisante dans la plupart des cas sinon on peut toujours se tourner vers les DataTraveler Secure qui comportent un logiciel de cryptage sur puce.
Parmi les clés sécurisées et biométriques, notons, par exemple, les clés Kanguru Bio AES de 1, 2 ou 8 Go qui ont une vitesse d’écriture de 5 Mo par seconde, une vitesse de lecture de 10 Mo par seconde, un système de cryptage à la volée AES 256 bits et un lecteur d’empreintes digitales avec une résolution de 500 points au pouce. Le prix de ces clés va de 110 $ à 240 $ selon leur capacité.
Dans la même gamme de clés, la firme MXI Security propose sa famille de clés Stealth MXP. Comme ces clés sécurisées biométriques sont assez coûteuses, on les trouve rarement en magasin et il faut les commander ou les acheter sur Internet.
En fait, chaque modèle de clé est facile à sécuriser en suivant les instructions fournies. Au pire, le seul effort à faire est de donner un mot de passe pour accéder aux données ou en sauvegarder sur la clé. C’est quand même peu pour éviter des risques de voir des informations sensibles tomber en d’autres mains.
François Picard est rédacteur en chef et éditeur du magazine Atout Micro.