En ce début du mois consacré à la cybersécurité, l’ANSSI fait un focus sur les PC portables et de bureau reconditionnés. Administrations et collectivités locales sont concernées à travers la loi AGEC (anti-gaspillage pour une économie circulaire) qui leur impose d’acquérir des biens issus du réemploi, de la réutilisation de matériel ou comportant des matières recyclées. Sur la partie PC, la loi précise que la proportion de réemploi est fixée à 20 %. Des entrées et des sorties du parc qui posent quelques problèmes de sécurité et où les recommandations de l’Anssi sont les bievenues.

Elle fait d’abord la distinction entre les PC reconditionnés et ceux qui vont être cédés. Sur les premiers, l’agence rapporte les risques encourus avec ce type de matériel. Une liste qui comprend la persistance de code malveillant, le piégeage du matériel avec l’ajout de pièces (micro, caméra), modification des firmwares notamment pour l’UEFI (avec plusieurs types d’attaques). Une fois ces menaces recensées, le déploiement de PC reconditionnés s’organise avec différents points de vigilance.

Une liste de recommandations en amont et en aval

Comme d’autres pans du système d’information, les PC reconditionnés doivent être soumis à une analyse de risques, souligne l’Anssi. Un exercice nécessaire au regard de l’hétérogénéité de ce parc, « Il est rare que les reconditionneurs disposent de lots de plusieurs milliers de machines identiques », glisse l’agence. Elle plaide pour réduire au maximum le nombre de modèles différents et ne pas hésiter non plus à restreindre les cas d’usages d’ordinateurs reconditionnés en fonction de la sensibilité des données. L’administration doit également effectuer un contrôle en amont du reconditionnement (phase d’audit), vérifier que le matériel est sous garantie (mininum 1 an) et bénéficie d’une mise à jour des firmwares et d’une compatibilité l’évolution des OS. Le reconditionneur devra s’assurer de la suppression de composants indésirables et de l’effacement des supports de stockage (à surveiller particulièrement). Enfin, les terminaux devront intégrer des fonctions de sécurité comme le TPM v 2.0, l’accés en modification aux paramètres du firmware, les changements des clés UEFI Secure Boot, etc.

Pour les ordinateurs cédés, l’Anssi insiste beaucoup sur l’effacement des données. « Avant d’être cédé, un ordinateur doit faire l’objet d’un effacement cryptographique. Les clés de chiffrement doivent avoir été stockées dans un composant de sécurité, tel que le TPM, une carte à puce ou un token », recommande-t-elle. D’autres solutions alternatives sont proposées. En complément, l’agence préconise d’effacer tous les composants mémoires et de retirer les supports amovibles (carte SIM et carte SD). Il conviendra enfin de révoquer les droits liés à ce terminal et à l’anonymiser (autocollants, QR Code ou code barre).