Qu'est ce qu'une machine air-gap ? A quoi ça sert ? En sécurité informatique, un air gap aussi appelé air wall est une mesure de sécurité consistant à isoler physiquement un système à sécuriser de tout réseau informatique. Air gap (informatique) sur Wikipedia. Formulé autrement cela correspond à une machine qui n'est jamais connecté à Internet.

Une machine air-gap est-ce utile pour moi ? Une machine air-gap, pourquoi faire ?

Tout dépend de votre modèle de menace qu'il faut clairement définir avant de se lancer, tant les contraintes que l'on va s'infliger peuvent être grandes/aller loin.

Avoir une machine air-gap, c'est avoir une machine que l'on ne connecte jamais à Internet.

L'intérêt est d'avoir une machine en laquelle on pourra avoir relativement confiance et sur laquelle on pourra faire des choses sensibles (là encore les dîtes choses sensibles dépendent du modèle de menace. Ce peut être l'édition de texte militant par exemple. Ou autre. A vous de définir.

Ce qu'il est important à retenir c'est que l'on ne connectera jamais cette machine à Internet. JAMAIS. Même pas une fois.

Une machine que l'on connait

Idéalement, on utilisera une machine que l'on aura monté soi-même (un PC fixe de type tour donc). Le fait de monter sa machine soi-même permet de connaitre les composants que l'on aura mis dans la machine, de vérifier (de façon relative) les composants... Là encore, cela dépend de son niveau/besoin de sécurité (un PC portable acheter par une entreprise sensible peut avoir des ajouts matériels de type keylogger ou autre). Monter sa machine soi-même veut aussi dire installer le système d'exploitation et donc avoir la maitrise sur ce qui est fait, installé, sur les services qui tournent etc.

Là encore, le but est de sécuriser la machine par défaut au niveau du système d'exploitation, en appliquant les règles de bases et avancées de sécurité (mots de passes, droits des utilisateurs etc.)

Mises à jour

On peut imaginer qu'elles sont relativement inutiles vu que la machine n'est pas connecté au réseau Internet. Mais l'application des mises à jour permet de corriger les failles de sécurité et les bugs des logiciels que l'on utilise, donc appliquer les mises à jour est une bonne chose.

Pour les faire, on passera par la mise à jour via un cd/dvd-rom de mise à jour et les commandes adéquates (permettant d'utiliser le CD comme source sous Debian par exemple).

Une machine chiffrée

Le chiffrement est une nécessité. Si on a le besoin d'une machine déconnectée du réseau pour des raisons de sécurité, le chiffrement du disque permet de protéger les données quand la machine n'est pas sous tension. Une machine cryptée On peut aller encore plus loin en mettant sa machine dans une chambre forte avec un accès limité... Le but étant là encore de limiter tout accès physique à la machine.

Comment déposer des fichiers sur une machine air-gap ?

Une machine air-gap, ça reste un ordinateur que l'on souhaite utiliser pour différents usages et donc de l'édition/manipulation de fichiers.

La communication et transmission de données vers cette machine se fera idéalement via un CD. Oui un CD. CD inscriptible.

Pour récupérer les fichiers, on pensera donc à mettre sur la machine un graveur de cd/dvd pour récupérer les documents que l'on aura créé / édité sur la machine.

On peut envisager le transfert de données via une clef USB mais là encore, tout dépend de la confiance que l'on a dans la clef USB que l'on utilise... Retour au pré-requis d'avoir défini son modèle de menace.

L'accès physique à la machine

Il faut bien comprendre qu'un accès physique à la machine permet de faire beaucoup de choses. L'accès physique à la machine permet de récupérer / voler le disque dur (d'où le chiffrement). Si l'attaquant peut démarrer la machine, il peut tenter d'exploiter une faille de sécurité (d'où la nécessité de faire les mises à jour), la mettre en réseau avec son propre ordinateur.... Tout dépend du temps qu'il a.

Donc une machine air-gap, elle est déconnectée du réseau mais aussi sécurisé physiquement. Elle n'est pas utilisée par n'importe qui, elle n'est pas accessible par n'importe qui...

Et les sauvegardes

Comme tout ordinateur, si on stocke des données sur la machine air-gap, il faut également envisager les problématiques de sauvegarde. Car si la machine ne marche plus, si on y stocke des documents importants, il faut également envisager et réfléchir sur comment les sauvegarder...

On pourra graver régulièrement des DVD chiffrés par exemple. Le branchement d'un disque dur ou d'une clef USB pour les sauvegardes renvoie à la partie transfert de données sur la machine (on est dans le même cas).

De plus il faudra gérer la sécurité de ces sauvegardes (chiffrement, stockage dans un autre endroit). Car si on a besoin d'une machine air-gap, c'est que l'on a des documents sensibles. Et ce n'est pas pour que ces documents sensibles se retrouvent dans la nature dès qu'ils sont sauvegardés.