1° étape: déballage de la bete:
Bon, c'est du IBM, moche mais indestructible....là-dessus, on va mettre un Win$
XP :((, avec Lotus Notes en messagerie. Bon, apparemment, la bestiole tiens le
coup et les performances sont appréciables....
2° étape: faire connaissance avec la bete:
Bon, première manip, un petit saut dans le Bios, et là on découvre les
focntionnalité de cryptage sur divers degrés.... On découvre en plus que si on
dégage la sécurité, toutes les données cryptées seront perudes...Hop, sécurité
max, on va voir comment il réagit.
Et là, on me dis que pour une meilleure sécurité, il faut télécharger les softs
IBM sécurisés, qui ne peuvent etre mis en standard, bla, bla, bla....ca commence
Bon, ben on va sur www.ibm.com/fr, et je trouve ce que je veux, un soft en 4
parties: le système de cryptage (pour info, RSA 128 bits), le driver pour la
puce, les docs, et plein de softs supplémentaire, notamment la gestion de
stratégie, et la gestion des mots de passe.
3° étape: apprivoiser la bete:
Donc, on installe les softs, on fait gérer les mdp Lotus et Win$ par le
cryptage, et on génère les clés.... et on redémarre...
Wouah, cé beau...adieu le log de Windows, on récupère un log IBM, sans mdp... en
fait, il le demande aprés, on doit en redéfinir un par utilisateur, un seul mdp
qui gère tous les autres (notamment Win$ + lotus).
C'est bien beau, alors quelques essais, cryptage de fichiers par clic droit, il
devient inaccessible à tous, si c'est un dossier, le propriétaire peut continuer
à le lire, le modifier sans toucher aux sécurités...
Le partage de fichier fonctionne...meme si on voit les fichiers dans un dossier
protégé, il reste impossible de les lire...et l'envoi par Notes décrypte le
fichier (tiens??? j'ai été agréablement surpris....je croyais que c'était pas
possible).
4° étape: dominer la bete!
Bon, aprés ces tests plus ou moins convaincants, j'ai essayé de me connecter sur
le domaine de mon entreprise, et c'est la que ca se gate....
J'installe la bécane sur le domaine, je reboote, et là, surprise, je retrouve le
WinLogon de XP :@ j'i pas demandé à dégagé le Log IBM...ca commence bien....
Bon, je remets le log IBm, je reboote, et la c'est pas drole, voilà que WinLogon
me fais un écran bleu...je suis tétu, j'insiste, je reboote deux-trois
fois...mais rien à faire....
Bon, ben on va faire un restore du PC, et voilou....donc voici mes conclusions à
propos de cette première approche du TCPA:
5° conclusions:
- Il doit certainement s'agir d'une version bridée, mais qui peut paraitre
séduisante au premier abord. Mais:
- Il est impossible de crypter quoi que ce soit qui se situe dans le dossier Mes
Documents
- Apparemment, on ne peut pas utiliser la gestion des mots de passe Windows sur
le domaine
- Il faut redéfinir un nouveau mot de passe pour chaque utilisateur du poste
Voilà, donc sous des dehors plutot sympa, le TCPA ne rese pas adapté à notre
politique d'entreprise...et toutes les fonctionnalités TCPA ne sont à mon avis
pas encore implémentée dans cette version, et le pire reste à venir...
Cependant, le cryptage de fichier semble fonctionner, et dans certains cas (vol
de PC notamment), cela peut constituer une vraie sécurité....
C'est terminé, dés que j'ai trouvé un peu de place quelque part, je vous file
les doc sIBM (en anglais, désolé) sur le sujet. Cet article n'as pas pour but de
prendre position par rapport au TCPA, juste de vous donner mes premières
impressions, sur une des premières implémentations du truc, afin de savoir à
quelle sauce ils veulent nous manger.
Pour rappel, le texte de la dépêche est copié ci-dessous :
Bon, ben voilà...on a recu les nouveaux portables IBM T30 au boulot, ceux avec
la puce de sécurité TCPA...et on m'as demandé de tester le systèmes....
Voici donc mes premières impressions....
PS: Si quelqu'un pouvait me donner un FTP où je pourrais poser la doc IBM à ce
sujet, ca m'intéresse:)
# Re: TCPA: Dans l'antre de la bete
Posté par earxtacy . Évalué à 2.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.