Bonjour,
Voici un billet très utile pour tous ceux qui sont paranos comme moi.
Vous le savez peut-être, il est facile sur n'importe quelle machine d'accéder au données et de les manipuler sans démarrer le système d'exploitation. Il est également très facile avec GNU/Linux, si on à un accès physique à la machine, de lancer une session en tant qu'administrateur.
En effet, pour accéder aux données, un simple Live-CD suffit. Il n'y a qu'à insérer le CD au démarrage de l'ordinateur et choisir de démarrer sur le CD dans le BIOS ou sur pression d'une touche, la plupart du temps F12.
Pour démarrer une session en tant qu'administrateur, pour Windows c'est simple, vous gardez la touche F8 appuyée avant qu'il ne démarre, vous pouvez alors sélectionner le mode sans échec. Une fois le mode sans échec lancé, il est possible de lancer une session en tant qu'administrateur, si aucun mot de passe n'a été défini, ce qui est le cas par défaut et donc sur la plupart des ordinateurs grand public.
Dans le cas de GNU/Linux, au moment d'arriver sous Grub, pour Ubuntu, choisissez le mode Recovery et vous obtenez alors une session Root, sans aucun mot de passe, avec tous les droits. Si le mode Recovery n'est pas disponible, appuyez sur E à l'écran de Grub, pour éditer la commande de démarrage, et ajoutez single à la fin, puis appuyez sur B pour démarrer en tant qu'administrateur encore une fois.
Pour sécuriser tout cela nous avons les solutions suivantes :
- Enlever le lecteur CD et le support des périphériques USB (pour les Live-USB) dans les périphériques de démarrage dans le BIOS, ainsi que le démarrage réseau ou encore le démarrage sur disquette. Ce n'est pas toujours possible cependant, et il se peut qu'ils soient toujours présent sur le panneau de choix du périphérique de démarrage. De plus, n'oubliez pas d'ajouter un mot de passe pour l'accès au BIOS, pour que la configuration ne soit pas modifiée par quelqu'un d'autre.
- Sécuriser Grub. Pour cela, deux choses à faire :
- La première chose à faire est de créer un mot de passe pour Grub. Pour cela, la commande
grub-md5-crypt a été créée. Il suffit de la taper, d'entrer un mot de passe et elle ressort le hash md5 de ce mot de passe. Ensuite il faut éditer le fichier de configuration de Grub, avec la commande gksudo gedit /boot/grub/menu.lst sous Ubuntu, trouver cette ligne ## password ['--md5'] passwd et ajouter en dessous des exemples, la directive password --md5 hash_md5 où hash_md5 correspond au résultat de la commande grub-md5-crypt.
- Tant qu'à faire, pendant que le fichier est ouvert, profitez-en pour chercher cette ligne
# lockalternative=false et remplacez false par true.
- Avec ce que vous venez de faire, Grub demandera un mot de passe à chaque fois que vous voudrez éditer une commande de démarrage, ou que vous voudrez démarrer en mode Recovery.
- Pour sécuriser Windows, le plus simple est de mettre un mot de passe au compte Administrateur, sans toutefois le désactiver car il peut être utile pour des opérations de maintenance ou en cas de plantage grave du système.
Enfin, je terminerais en précisant bien entendu que ces protections ne valent rien s'il est possible d'enlever la pile du BIOS pour réinitialiser le mot de passe. Si le fait d'enlever la pile ne marche pas, il doit y avoir un interrupteur pour faire cette manipulation. Attention toutefois car pour certains ordinateurs (de marque IBM par exemple), enlever la pile du BIOS rendra l'ordinateur complètement inopérant, et vous n'aurez plus qu'à racheter une nouvelle carte mère. Cela n'est d'aucune n'aide non plus s'il est possible d'enlever le disque dur pour le placer dans un autre ordinateur.
Tags:
Bios,
Debian,
FLOSS,
GRUB,
Linux,
Live-CD,
Microsoft,
Security,
Tips,
Ubuntu,
Windows
