Nous étudions la sécurité des logiciels bureautiques - quels mécanismes affectent la protection des données





Récemment, D-Russie a publié l'opinion de l'auteur de Vladimir Katalov, PDG d'Elcomsoft, sur le niveau de vulnérabilité aux attaques par force brute sur les fichiers logiciels de bureau protégés par mot de passe. La société se spécialise dans l'analyse médico-légale des ordinateurs, des appareils mobiles et des données du cloud, et dans sa publication, entre autres, a fourni une évaluation de la sécurité des produits MyOffice lorsqu'ils travaillent avec des données. En tant que développeur de logiciels russes pour le travail collaboratif avec des documents et des communications, nous adhérons à un point de vue différent et souhaitons attirer l'attention sur les inexactitudes dans la publication.



Il faut dire tout de suite qu'il est incorrect d'assimiler les problèmes de certification et de confirmation de la fiabilité des produits à la mise en œuvre d'une fonction spécifique de protection par mot de passe des documents et, de plus, d'identifier cette fonction avec le niveau général de sécurité des produits MyOffice.



Nous nous félicitons de l'expertise et du développement d'Elcomsoft dans le sens de la protection par mot de passe, tout en notant que l'utilisation de mécanismes de cryptage de documents basés sur les informations de mot de passe ne conduit pas à un niveau adéquat de confidentialité des informations avec un accès limité (chez les éditeurs ordinaires). La gamme de solutions sécurisées de tout fabricant implique l'utilisation d' une protection complexe (en couches) au niveau de l'application, du système d'exploitation, du poste de travail, du réseau et de l'infrastructure d'information dans son ensemble.



MyOffice propose des outils de sécurité des informations au niveau des applications. Les solutions MyOffice implémentent des technologies de protection des canaux de communication (TLS), des fonctions de cryptage et de signature électronique pour les messages électroniques, ainsi que la possibilité de prendre en charge les bibliothèques cryptographiques russes (en savoir plus sur les fonctions de sécurité ). Les produits MyOffice subissent régulièrement des tests de certification pour se conformer aux exigences de la réglementation en vigueur du régulateur, et s'y conformer pleinement. En particulier, le produit "MyOffice Standard", dont la version d'essai a été étudiée par les spécialistes d'Elcomsoft dans leur publication, a été certifié avec succès par le FSTEC de Russie et a reçu un certificat qui détermine l'absence de capacités non déclarées et le respect des exigences relatives au niveau de confiance ( en savoir plus sur la certification ).



Si nécessaire et à la demande du client, les solutions MyOffice peuvent être complétées par des outils supplémentaires de sécurité de l'information. Celles-ci incluent à la fois les logiciels superposés et la protection matérielle et logicielle, par exemple, les supports de clés protégés. Les produits MyOffice sont compatibles avec les solutions CryptoPro, qui sont répandues dans la Fédération de Russie, y compris dans les organismes gouvernementaux et les grandes structures commerciales. Le complexe de mesures de sécurité des informations mises en œuvre permet à nos utilisateurs d'utiliser les produits MyOffice dans des infrastructures critiques.



Compte tenu de ce qui précède, la fonction de protection par mot de passe ne peut être considérée comme le seul et, de plus, le critère clé pour assurer la sécurité de l'information. En raison d'un certain nombre de ses caractéristiques technologiques, il n'est pas non plus soumis à certification. En général, conformément à la réglementation actuelle du système de certification FSTEC de Russie , le logiciel est évalué pour sa conformité à un ensemble d'exigences spécifiques, et la fonction de protection par mot de passe de fichier standard n'est pas revendiquée en tant que fonction de protection.



Néanmoins, nous remercions nos confrères pour leur attention aux particularités de la mise en œuvre de cette fonction dans les éditeurs de MyOffice. Il a été inclus dans les produits, entre autres, pour assurer la compatibilité avec les fichiers existants de nos utilisateurs. L'un des principaux avantages de nos produits est la prise en charge d'un grand nombre de formats différents - les éditeurs de documents et de feuilles de calcul sont capables de travailler avec tous les formats de fichiers connus, y compris les formats obsolètes qui ont été accumulés par nos utilisateurs au fil des ans et sont toujours utilisés dans leurs processus technologiques.



Le choix des paramètres de la fonction de protection par mot de passe est déterminé par les exigences des normes OOXML et ODF en termes de critères de rétrocompatibilité. Compte tenu de la dépendance exponentielle de la vitesse de prédiction de la clé sur la longueur de la clé, le nombre de caractères dans le mot de passe et le type de jeu de caractères utilisé, nous serions intéressés de savoir dans quelles conditions de test nous avons pu observer un biais aussi important dans les résultats publiés. Nous renforcerons encore la fonction de protection par mot de passe, mais nous soulignons une fois de plus qu'elle ne peut pas affecter de manière globale les problèmes de sécurité de nos produits.



Si nous parlons de cryptage de documents comme méthode de restriction de l'accès aux informations, il est conseillé de ne pas utiliser les fonctions de protection par mot de passe, mais d'utiliser les éléments PKI (infrastructure à clé publique). Cela inclut la protection des données à l'aide de certificats qualifiés pour les clés de vérification de signature électronique, où le niveau de force cryptographique, y compris la résistance aux mécanismes de devinettes de mots de passe, est fondamentalement à un niveau différent. Cette méthode permet le chiffrement à l'aide de la technologie de cryptographie asymétrique, qui n'est pas applicable aux attaques par force brute, dans lesquelles Elcomsoft est spécialisé.



La sécurité d'une signature électronique selon GOST R 34.10-2012 repose sur la complexité du calcul du logarithme discret dans un groupe de points d'une courbe elliptique, ainsi que sur la sécurité de la fonction de hachage utilisée conformément à GOST R 34.11-2012. Des normes de sécurité de l'information cryptographique ont été élaborées par le Centre pour la sécurité de l'information et les communications spéciales du FSB de Russie en collaboration avec le TC 26.



L'article contient également des données inexactes sur les composants logiciels open source utilisés dans les solutions MyOffice: il n'est pas vrai que la fonction de protection par mot de passe soit implémentée sur la base des technologies OpenOffice. Le cœur, l'interface, une partie importante du code de la plate-forme MyOffice, y compris les éditeurs de bureau, ont été entièrement écrits par les spécialistes de l'entreprise (plus de 1,5 million de lignes de code propre au total). La fonction de protection par mot de passe mentionnée dans cet article est propriétaire et n'a rien à voir avec les solutions OpenOffice.



Nous nous félicitons de la décision d'Elcomsoft d'ajouter la récupération de mot de passe aux documents chiffrés et aux feuilles de calcul dans les formats de documents MyOffice dans les nouvelles versions de Advanced Office Password Recovery et Distributed Password Recovery. Ainsi, l'écosystème MyOffice a été reconstitué avec un autre partenaire technologique, leader dans le développement d'utilitaires de service dans le domaine de la sécurité de l'information. Nous espérons une coopération plus approfondie dans l'audit indépendant des solutions logicielles MyOffice, qui rendra nos produits encore meilleurs.



All Articles