PC reconditionnés : les recommandations de l’ANSSI

Le disque a-t-il été chiffré dès l’installation du système d’exploitation ou par après ? Dans l’optique d’une cession d’ordinateur, cela peut tout changer. L’ANSSI en fait part dans un guide consacré au reconditionnement.

Le chiffrement immédiat favorise les opérations de nettoyage et d’effacement en vue d’une démarche de seconde vie, explique l’agence. L’activer a posteriori ne garantit pas l’irrécupérabilité des données traitées antérieurement. Y compris lorsqu’on réalise un effacement cryptographique « par perte de clé » (les composants de sécurité de type TPM, carte à puce ou token gèrent ce mécanisme, recommandé).

À défaut d’un chiffrement « à l’origine », il faut adapter le processus d’effacement à la sensibilité des données. L’ANSSI a synthétisé les options envisageables en un arbre de décision.

Pour réaliser un « effacement sécurisé » par voie logicielle, trois possibilités :

– Les outils que fournit le fabricant du disque
– Des outils open source comme hdparm
– Un logiciel ayant reçu au moins une certification CSPN, « par exemple Blancco Drive Eraser »

On gardera à l’esprit que cet « effacement sécurisé » ne couvre pas les secteurs défectueux. Lesquels peuvent, même s’ils sont de taille réduite, contenir des informations importantes. Chacun adaptera la procédure en conséquence, en se référant à son analyse de risques.

Sécurité du SI : pas de « quoi qu’il en coûte »

Préparer la seconde vie d’un ordinateur implique aussi d’effacer les composants mémoire : réinitialiser l’UEFI, vider le TPM, remettre à zéro le lecteur d’empreintes digitales… On pensera aussi à retirer les supports amovibles et à anonymiser les machines – en retirant les autocollants, codes-barres, QR codes, etc.

Qu’en est-il pour qui veut intégrer des machines reconditionnées dans son parc ? Il faut d’abord comprendre les risques, et cela induit la prise en compte des méthodes de persistance. Cela va du dépôt de codes malveillants sur le disque à la réécriture du firmware en passant par le piégeage du matériel. Aussi bien par l’ajout d’implants physiques (micro caché, câble USB doté d’une antenne radio…) que la reprogrammation de microcontrôleurs, jusqu’à ceux des chargeurs et des stations d’accueil USB.

Intégrer des ordinateurs reconditionnés peut poser des risques d’hétérogénéisation du parc. Et donc de maintien en condition opérationnelle. De manière générale, on s’assurera de ne pas affaiblir le niveau de sécurité global du SI. Regrouper les ordinateurs en question par services ou fonctions métiers peut aider, en réduisant le risque à des périmètres bien identifiés.

Au moins 2 ans de mises à jour du firmware

Au-delà du périmètre, on restreindra aussi les cas d’usage. L’ANSSI déconseille, en particulier, de faire de ces machines des postes d’administration. Elle invite à privilégier les scénarios les moins risqués : formation, ordinateurs de prêt… Tout en choisissant des ordinateurs dotés de fonctionnalités de sécurité équivalentes au matériel neuf (exemples : TPM 2.0 et clés UEFI Secure Boot changeables par l’autorité qualifiée).

Le cahier des charges devrait également comprendre, d’une part, au moins 1 an de garantie pièces et main-d’œuvre. Et de l’autre, au moins 2 ans de mises à jour OEM pour le firmware.

Autant que possible, on choisira des machines vierges soi lesquelles on installera soi-même un OS, avance l’ANSSI. À défaut, on effacera entièrement le disque à la livraison pour réinstaller sa propre image système. Une opération sur laquelle l’entreprise destinatrice doit garder la maîtrise (pas de délégation à un tiers).

À consulter en complément :

Les nouveaux enjeux de l’obsolescence technologique
Quelle empreinte écologique pour l’IT chez Atos et Capgemini ?
Écoconception web : les 10 meilleurs élèves du CAC 40
Sait-on vraiment mesurer l’impact environnemental du numérique ?

Illustration principale © Mihail – Adobe Stock