1. Introduction▲
Dans la lignée de mon article expliquant comment chiffrer vos disques, je vais vous présenter des périphériques intégrant le chiffrement directement de façon matérielle, notamment la clé USB Ironkey keypad 200 de Kingston.
Il ne faudra pas cumuler un chiffrement matériel avec un chiffrement logiciel qui ferait double emploi inutilement.
2. Présentation du produit Kingston Ironkey keypad 200▲
La clé Ironkey Keypad 200 est une clé USB à chiffrement disponible en 8, 16, 32, 64 et 128 Go. Le chiffrement intégré à cette clé est décrit comme de qualité militaire.
Elle est en attente de certification FIPS 140-3 niveau 3.
Les normes FIPS (Federal Information Processing Standards) sont des standards publiés par le gouvernement des États-Unis.
Le chiffrement s’effectue en XTS-AES 256 bits, algorithme de chiffrement utilisé par BitLocker et par Apple pour filevault. Le déverrouillage se fera avec un code à saisir sur le clavier de la clé, comme nous le verrons ultérieurement.
La clé est garantie trois ans.
Celle-ci contient une batterie incorporée, rechargeable lors de sa connexion sur un port USB.
3. Déballage▲
La clé se présente comme n’importe quelle clé USB, mis à part le capuchon.
Au dos, vous trouverez des instructions succinctes pour créer une clé de chiffrement.
Les pictogrammes ne sont à mon avis pas suffisants, mais le lien indiqué donne accès à une page fournissant le manuel d’installation, des vidéos et l’accès au support.
La clé est composée de deux parties :
La clé elle-même :
Et son capuchon :
L’anse comporte une vis qui permet de l’ouvrir :
Dans une poche, l’anse a tendance à s’ouvrir à cause des frottements.
La coque et la clé sont en aluminium. La clé répond à l’indice de protection IP57 dont les valeurs correspondent :
- pour le 1er chiffre sur l’aspect solide 5 : protection contre la poussière, elle ne peut pas interférer avec l’appareil ;
- pour le second chiffre sur l’aspect liquide : protection contre les immersions jusqu’à 1m pendant 30 minutes.
Cette protection est entendue avec le capuchon.
Une sorte de joint permet l’étanchéité une fois le capuchon installé.
Le clavier est recouvert d’une couche de polymère de façon à empêcher l’analyse d’empreinte dans le but de deviner le mot de passe. Les composants internes sont recouverts d’une couche spéciale rendant impossible leur extraction sans les endommager.
La taille de la clé est quasiment identique à celle d’une clé standard, juste un peu plus longue :
Malgré cette taille correspondant presque standard, le clavier reste ergonomique. Sur la photo ci-dessous, vous pourrez vous rendre compte de la taille des touches par rapport à un doigt :
Certains ordinateurs portables ne comportent maintenant que des ports USB-C (notamment les Macbooks d’Apple ou certains ordinateurs hybrides(1)). Il vous faudra posséder un dock USB-C ou un adaptateur USB-A/USB-C.
4. Mise en route▲
Si vous branchez directement la clé après son déballage, la LED sous la touche avec le symbole de clé clignotera en bleu, mais rien ne se passera.
Il vous faudra tout d’abord configurer un mot de passe.
4-1. Configuration du mot de passe utilisateur▲
Pour créer un mot de passe lors de la première utilisation de la clé, il va falloir utiliser la procédure ci-dessous.
- Commencer par allumer la clé en appuyant sur la touche clé : , les LED vont alors toutes s’allumer, puis seule la rouge, puis enfin la verte et la bleue :
|
- Faire ensuite un double clic sur la touche clé , la LED bleue se mettra alors à clignoter :
|
- Entrer votre code, puis le valider en effectuant un double clic sur le bouton clé . La LED bleue cessera de clignoter, et sera replacée par la verte.
|
- Entrer une seconde fois le code, puis le valider avec un double appui sur la touche clé . La LED verte restera fixe, indiquant que celle-ci est opérationnelle et déverrouillée.
|
Une fois la LED verte allumée, vous aurez une trentaine de secondes pour la connecter à un port USB. Une fois ce délai expiré, la clé s’éteindra et vous devrez recomposer le code pour la réactiver.
Le code choisi doit comporter entre 8 et 15 chiffres ou caractères et ne pas contenir de suite de numéros telle que 123456 ni de succession de type 3 3.
Comme sur les anciens téléphones à touches, vous trouverez sous les chiffres des lettres affichées permettant la saisie d’une chaîne alphanumérique.
- ABC sous 2 ;
- DEF sous 3 ;
- etc.
Les touches 7 et 9 comportant 4 lettres au lieu de 3 et les touches 1 et 0 n’en contenant pas.
Pour saisir «2ABC » il faudra appuyer successivement sur les touches 2 puis 22 puis 222 puis 2222. Les appuis successifs sur une même touche doivent être rapides.
La clé est formatée en exFAT et contient d’origine le quick start guide et le manuel de l’utilisateur, disponible donc une fois un premier code valide entré.
Ce Quick start guide peut être trouvé ici ou depuis le lien fourni au dos de l’emballage de la clé.
Kingston fournit également une vidéo Youtube pour la procédure :
Cliquez pour lire la vidéo |
Une fois la clé éjectée, la LED verte s’éteint quasiment tout de suite, indiquant qu’il faut réentrer le code pour la réutiliser.
5. Déverrouillage de la clé▲
Pour déverrouiller la clé, il faudra appuyer sur le symbole clé ,
- Les LED clignotantes indiquent les codes enregistrés :
- LED rouge clignotante : code utilisateur enregistré ;
- LED bleue clignotante : code administrateur enregistré ;
- LED rouge et bleu clignotantes : un code utilisateur et un code administrateur sont enregistrés.
Ci-dessous exemple avec les deux codes enregistrés :
|
Une fois le code entré, il faudra appuyer sur la clé . Si le code est bon, la LED rouge passera en fixe quelques secondes, puis sera remplacée par la LED verte.
|
Si vous ne branchez pas la clé tout de suite, la LED verte restera allumée une vingtaine de secondes.
6. Utilisation d’un code administrateur▲
La clé Ironkey permet l’utilisation de deux codes différents :
- un code utilisateur ;
- un code administrateur.
Par défaut, il n’y a pas de code administrateur.
La création d’un code administrateur se fera après la création d’un code utilisateur avec l’étape vue précédemment.
Une fois le code utilisateur activé (et donc la clé déverrouillée), il faudra appuyer sur la touche 1 et, sans la relâcher, appuyer deux fois sur la touché clé
appuyer sur la touche 1 et sans la relâcher double clé .
les LED rouges et bleues vont alors clignoter rapidement.
|
Une fois le code entré et validé par la touche clé, la LED rouge va s’allumer de façon fixe, puis passer en vert comme pour le code utilisateur, mais en clignotant.
7. intérêt code utilisateur/administrateur▲
Avoir un double code utilisateur/administrateur permet :
- d’avoir un code de secours en cas de perte par l’utilisateur ;
- d’avoir un code pour l’utilisation en lecture seule et un code en lecture/écriture ;
- pour un service informatique, de fournir une clé sur laquelle il peut garder le contrôle par rapport à l’utilisateur, et lui fournir ou non la possibilité d’écrire dessus.
8. Changement de code▲
Pour changer le code utilisateur ou administrateur, la clé devra d’abord être déverrouillée.
Une fois celle-ci déverrouillée, le changement de code se fera comme suit :
- double-cliquer sur la touche clé ;
- entrer le nouveau code une fois que les LED clignotent ;
- valider le code par double clic sur la touche clé ;
- entrer le code une seconde fois ;
- valider une nouvelle fois par double clic.
En mode administrateur, cette manipulation changera le code utilisateur. Pour changer le code administrateur l’étape sera la même, mais en appuyant en même temps sur la touche 1 sans la relâcher au moment du premier double clic sur la touche clé.
9. Perte du mot de passe▲
En cas de 10 tentatives infructueuses de saisie du mot de passe, la clé va se bloquer. Si vous avez un code utilisateur et un code administrateur et que la clé est bloquée au niveau du code utilisateur, vous pourrez la déverrouiller en changeant le mot de passe utilisateur après connexion en administrateur.
En cas de blocage avec la présence d’un unique code utilisateur ou de blocage du compte administrateur, la clé sera réinitialisée et les données perdues.
10. Autres fonctionnalités▲
La clé Ironkey Keypad inclut d’autres fonctionnalités qui vont être exposées ci-dessous. Celles-ci s’activent en effectuant un triple clic sur la touche clé suivi d’un code à deux chiffres de la fonction souhaitée.
10-1. Mode lecture seule▲
La clé permet un mode lecture seule.
Pour activer celui-ci, il faudra déverrouiller la clé normalement puis effectuer un triple clic sur la touche clé .
Les LED vertes et bleues vont clignoter :
|
Il faudra alors entrer le code 76 pour activer le mode lecture seule. Une fois ce code saisi, la LED verte va passer en mode fixe comme pour un fonctionnement normal.
Après montage de la clé sur un ordinateur, vous pourrez alors constater qu’il n’est pas possible d’écrire sur celle-ci. La LED verte clignotera toutes les deux secondes signifiant le mode lecture seule.
Le verrouillage en lecture seule reste actif après éjection.
Pour invalider le mode lecture seule, la procédure sera la même avec le code 79 à la place de 76.
Le mode lecture seule activé depuis le code administrateur ne permettra pas son déverrouillage en mode lecture/écriture depuis le code utilisateur. L’accès en mode utilisateur ne sera alors possible qu’en lecture seule.
10-2. temps d’inactivité▲
Cette fonctionnalité permet le réglage d’un temps d’inactivité après lequel la clé se verrouille automatiquement. Cette fonctionnalité est désactivée par défaut.
Pour l’activer, il faudra faire 3 appuis sur la touché clé, puis saisir le code 85 suivi de la touche clé pour valider.
Vous devrez ensuite saisir la durée en minutes entre 0 et 99, qui devra être validée par l’appui sur la touche clé.
Après ce délai, sans activité, la clé va automatiquement se couper. Une fois la clé désactivée la LED bleue clignotera tant que la clé reste branchée sur l’appareil.
En cas de fichier resté ouvert sur la clé, le comportement sera le même qu’en cas de débranchement. Il y aura un risque de perte de données.
Pour désactiver la fonctionnalité, il faudra applique le réglage ci-dessus en indiquant une durée de 0.
10-3. Suppression des données▲
En mode administrateur, vous pouvez effacer la clé en gardant les autres réglages avec la fonction 32 après les trois appuis sur la touche clé.
Cette fonctionnalité garde tous les réglages et supprime toutes les données.
Après appel de cette fonction, il vous faudra déverrouiller la clé puis la reformater.
11. Test de débit▲
La clé USB dispose d’une interface USB 3.2 Génération 1.
La vitesse maximale possible en USB 3.2 étant de 10 Gbits/s soit 1,25 Go/s. Les clés USB les plus rapides disponibles sur le marché, sans gestion de chiffrement, plafonnent à environ 400 Mo/s.
Les tests ont été effectués sur machine en production, avec antivirus.
Un test sur une machine vieillissante core i3, Windows 8.1, disque SSD avec port USB 3.0 a donné une vitesse de 145 Mo/s en lecture et 115 Mo/s en écriture.
Le test a été fait avec le logiciel CystaldiskMark (l’éditeur de Crysaldiskinfo).
Résultat avec la clé Ironkey Keypad 200 :
Même test avec une clé standard :
Le test a été fait comme indiqué sur 5 passes avec 1 Go de données.
Première ligne : lecture/écriture séquentielle par blocs de 1 Mbit 8 queues 1 thread
Deuxième : lecture/écriture séquentielle par blocs de 128 Kbits 32 queues 1 thread
Troisième ligne : lecture/écriture aléatoire 4Kbits 32 queues 8 threads
quatrième ligne : lecture/écriture aléatoire 4Kbits 1 queue 1 threads
12. Autres produits similaires▲
12-1. Kingston Ironkey Locker 50+▲
Cette clé a un niveau de sécurité moindre que l’Ironkey Keypad 200 : sécurité grand public contre sécurité militaire. Elle est environ deux fois moins chère, mais possède une fonctionnalité intéressante : la sauvegarde automatique vers un cloud.
La clé ne comporte pas de clavier, mais aura les mêmes fonctionnalités. Ces fonctionnalités seront disponibles grâce au le logiciel fourni avec. Ce logiciel servant également au déverrouillage de la clé.
La clé contient une partition en lecture seule contenant le logiciel. Il n’y a pas de version pour Linux.
Ci-dessous : écran du logiciel :
configuration Ironkey Locker |
Pour la sauvegarde automatique cloud, Kingston s’appuie sur le service USB-cloud de la société ClevX pour lequel vous aurez une licence valable 5 ans. Au-delà, vous devrez souscrire un abonnement auprès de ClevX (l’abonnement n’est pas très cher : 10$ par an pour un périphérique).
Le logiciel permet d’effectuer une sauvegarde sur les services :
- Dropbox ;
- Google Drive ;
- OneDrive ;
- Box ;
- Sharefile ;
- Amazon S3.
La compatibilité Amazon S3 ouvre la porte à d’éventuelles autres solutions fournissant une compatibilité S3.
12-2. Disque dur SSD chiffré avec écran (Ironkey Vault Privacy)▲
Kingston dispose d’un modèle de disque SSD chiffré, L’Ironkey Vault Privacy 80. Il est au moment de l’écriture de ce tutoriel disponible en 480Go, 960 Go et 1,92 To.
|
Contrairement aux clés USB, l’appareil a un connecteur USB-C et il est fourni avec un câble USB-C/USB-C et un autre USB-C/USB-A.
L’appareil contient les mêmes fonctions que les clés chiffrées, le paramétrage et la saisie se faisant depuis un écran tactile incorporé à l’appareil.
Vous avez ici un lien de configuration vous montrant le produit.
12-3. Autres modèles Ironkey▲
D’autres modèles de clés chiffrées existent, les différences étant les options proposées telles que la possibilité de mot de passe utilisateur/administrateur ou le niveau de sécurité.
Vous trouverez ci-dessous le lien vers le comparatif des clés et disques chiffrés de Kingston :
https://www.kingston.com/datasheets/Secure_Comparison_Chart_fr.pdf
13. Conclusion▲
Comme pour toute donnée, par sécurité, il ne faudra pas avoir une copie unique sur la clé. Celle-ci peut être perdue ou volée, endommagée, le mot de passe peut être oublié entraînant l’accès impossible aux données, les données peuvent être corrompues au niveau du système (virus, crash du système d’exploitation pendant écriture).
Je vous recommande de bien la prendre en main avant de l’utiliser en production et d’activer un mot de passe administrateur même si vous en avez un usage personnel et de simples stockages chiffrés.
13-1. Remerciements▲
Je remercie Kingston pour la fourniture d’une clé Ironkey Keypad 200 m’ayant permis la réalisation de ce document ainsi que l’autorisation d’utilisation des images de leur site Internet, ces images restant leur propriété.
Je remercie également Gaby277, laurent_ott et LittleWhite pour leur relecture technique, ainsi que escartefigue pour sa relecture orthographique..