La loi AGEC (loi anti-gaspillage pour une économie circulaire) qui s’applique au cycle de production et de consommation, fixe dans son volet numérique, une proportion de 20 % d’ordinateurs devant être réemployés par les administrations et collectivités locales.
L’ANSSI distingue les sorties de parc informatique de leur gestion par les équipes IT. L’Agence nationale explique les risques associés aux disques durs et SSD, comme la persistance des malwares écrits sur les disques. Cette méthode de persistance est la plus classique et l’effacement du disque puis la réinstallation du système à partir d’un support sain, protègent de ce risque. Autre danger potentiel, la persistance via la réécriture du firmware en particulier pour l’UEFI (Unified Extensible Firmware Interface) qui est la version évoluée de l’ancien Bios. Cette attaque est beaucoup plus avancée et l’ANSSI explique que certaines attaques de cette nature ont déjà été observées tel que le rootkit UEFI LoJax.
L’effacement des données est de la responsabilité de l’équipe qui a gèré les ordinateurs. Le choix du type d’effacement à réaliser dépend de plusieurs critères tels que le chiffrement initial ou non du poste.
Les fonctions de sécurité doivent être équivalentes à celles de matériel neuf. En particulier, les ordinateurs reconditionnés doivent intégrer un module TPM 2.0 (Module de plateforme fiable), utilisé pour stocker les clés de chiffrement pour BitLocker, par exemple et vérifier l’intégrité de l’OS et du firmware du PC. Avant d’être cédé, un ordinateur doit ainsi faire l’objet d’un effacement cryptographique si les données ont été chiffrées.
Les clés de chiffrement doivent avoir été stockées dans un composant de sécurité, tel que le TPM, une carte à puce ou un token.
Les recommandations concernant la cession des PC
A noter et sans surprises, la cession de matériel ayant hébergé des informations classifiées de défense « SECRET, TRES SECRET » est interdite. Il importe de s’assurer, bien entendu, de l’effacement correct de toutes les données critiques et sensibles telles que les codes d’accès, projets et autres. Les principaux risques à gérer lors de la cession d’ordinateurs sont de 3 sortes.D’une part, la fuite d’information. La méconnaissance du contenu des PC peut mener à une mauvaise gestion des actions à réaliser avant la cession.
D’autre part la compromission par un tiers. Il faut faire réaliser le reconditionnement des ordinateurs par un tiers ce qui signifie lui donner accès aux données. En confiant le reconditionnement des machines, il faut, bien entendu, s’assurer du niveau de confiance à accorder au prestataire et fixer clairement dans le contrat passé, l’ensemble du processus de cession ou de mise au rebut du matériel.
Enfin, la diffusion de code malveillant qui est stocké dans l’ordinateur cédé. L’utilisation de ce dernier par son futur propriétaire peut l’exposer à une compromission du système d’information sur lequel il le déploiera.
Pour bien gérer le déploiement et la cession des PC, l’Anssi publie 30 recommandations qui vont de l’élaboration d’une stratégie d’utilisation des ordinateurs reconditionnés à leur anonymisation, en passant par le chiffrement des disques dès l’installation du système d’’exploitation.
