Votre ordi portable peut être perdu ou volé, avec dedans toutes vos précieuse données, et vous ne voudriez pas que le voleur ait accès à vos mails, vos fiches de paie, vos documents fiscaux, vos mots de passe enregistrés dans votre navigateur, vos précieuses photos...
Vous avez des sauvegardes de vos documents personnels dans “le cloud” mais vous n’avez pas une confiance immodérée dans Dropbox ou Google Drive et vous ne voudriez pas que des inconnus puissent avoir accès à vos fichiers...
Vous avez des sauvegardes de documents précieux sur une clé USB ou un disque externe mais vous craignez qu’elle tombe de votre poche ou qu’on vous vole votre sac...
Dans tous ces cas de figure il est important de chiffrer (“crypter” veut dire la même chose, mais est incorrect) vos supports ou vos précieux fichiers.
Mais comment ? Les outils adaptés sont souvent inconnus du grand public, ou mal utilisés, alors un petit guide...
Ce guide parlera de #Linux (évidemment), mais un grand nombre d’outils indiqués ici sont également disponibles sous Windows, Mac...
On va voir ça dans l’ordre par cas d’usage.
Le principe fondamental en premier : Utilisez une phrase secrète sûre et complexe que vous seul pouvez connnaître, rien qui puisse se deviner, évitez votre plaque d’immatriculation ou les prénoms de vos enfants.
Ne la notez nulle part sinon dans votre esprit.
Et sachez que si l’outil de chiffrement que vous utilisez est de bonne qualité, il n’existera aucun moyen pour personne de récupérer vos données si vous oubliez votre phrase secrète.
Pas la peine de solliciter votre pote informaticien ce jour-là !
S’il le pouvait, un voleur aussi
Premièrement, le disque dur de votre portable.
Il est largement préférable qu’il soit entièrement chiffré (full disk encryption) car cela empêchera un voleur d’accéder à quoi que ce soit s’il dérobe votre machine. Il ne pourra pas démarrer le système, et...
S’il en extrait le disque pour l’analyser, il n’aura accès à absolument rien et aucune visibilité sur le contenu, ni le nombre, ni le nom, ni la taille des fichiers contenus dessus, sans la phrase secrète de déchiffrement.
C’est donc la solution idéale.
L’excellente nouvelle est que la majorité des distributions #Linux récentes proposent le chiffrement intégral du disque dur (ou SSD) à lors de l’installation, et ce n’est généralement pas plus difficile qu’une case à cocher !
(Le système utilisé s’appelle cryptsetup LUKS)Alors pourquoi ne pas le faire ? Cette méthode comporte des inconvénients mineurs :
– Il vous faudra taper votre phrase secrète à chaque démarrage de la machine, et elle ne pourra pas être démarrée en votre absence (par exemple si vous souhaitez y accéder à distance).
– Un PC peut puissant sera légèrement ralenti dans l’ensemble de son fonctionnement.
Et un inconvénient plus ennuyeux : Si vous partagez votre PC (famille), TOUS les utilisateurs devront connaître la phrase secrète pour pouvoir utiliser la machine, ce qui n’est jamais très bon.
Vous pouvez toujours définir plusieurs phrases secrètes différentes, mais si vous le faites, n’importe laquelle déverrouillera le système et permettra à l’utilisateur, s’il a de plus les droits “administrateur”, d’accéder à l’ensemble des fichiers présents sur la machine.
Donc, ce n’est pas idéal pour un PC partagé. Pour un PC partagé, l’idéal est de ne pas chiffrer la totalité de la machine, mais seulement votre répertoire personnel (home)
Cette méthode est proposée par de nombreuses distributions #Linux, et est là aussi très facile à mettre en œuvre. Il suffit généralement de cocher [Chiffrer le répertoire personnel de l’utilisateur] lors de l’installation du système ou de la création d’un utilisateur.
Dans ce cas, le déchiffrement de l’ensemble de votre répertoire personnel est contrôlé par votre connexion avec votre mot de passe - qui doit donc être choisi robuste.Les avantages de cette méthode sont le chiffrement intégral de votre répertoire personnel, incluant donc vos mails, les mots de passe enregistrés dans votre navigateur, votre historique de navigation, etc.
De plus, un autre utilisateur de votre ordinateur ne peut avoir aucun accès à vos données quand vous n’êtes pas connecté (loggué) à votre compte utilisateur, s’il ne connaît pas votre mot de passe, et même s’il a les droits administrateur sur la machine.
Cette méthode semble idéale sur un ordinateur partagé, mais a quand même quelques inconvénients :
L’outil employé, ecryptfs est ancien et plus maintenu, sa sécurité future n’est donc pas garantie, et il n’est plus proposé par défaut sur certaines distributions #Linux récentes.
Dans certains cas il peut même ne pas être disponible du tout, et il peut être problématique de l’utiliser si vous pensez mettre votre système à jour vers des versions ultérieures : il est voué à disparaître et vous pourriez ne plus avoir accès à vos données dans le futur.
D’autre part, il ne chiffre pas l’espace d’échange (swap), et certaines données (portions de documents en cours de travail, etc...) peuvent se retrouver “en clair dans le swap”, à la merci de l’analyse par un spécialiste.
(La plupart des distros proposant ecryptfs proposent également de chiffrer facilement le swap, mais c’est au prix de la fonctionnalité de “veille prolongée” (hibernation) qui ne pourra plus être utilisée dans ce cas, alors qu’elle peut l’être sur un disque entièrement chiffré)
Enfin, ecryptfs protège le contenu et le nom de vos fichiers, mais restent visibles le volume qu’ils occupent, leurs tailles individuelles, l’arborescence de répertoires.
Ceci peut être sans aucune importance pour vous, si tout ce qui vous intéresse est de protéger le contenu de documents (factures, fiches de paie, mails) mais un attaquant pourra voir facilement à la taille et à l’organisation de vos fichiers, si vous avez une collections de films...
ou d’albums de musique par exemple. Gênant ou pas pour vous, tout dépend de votre cas d’usage et de votre modèle de menace.
Si maintenant vous ne voulez pas faire de chiffrement complet de votre disque (PC partagé par exemple), ou de chiffrement ecryptfs de votre répertoire personnel, parce qu’il est obsolète, il existe de nombreuses solutions permettant de chiffrer un support externe, un répertoire,ou les données que vous mettez “dans le cloud”.
Mais attention ! Sachez que dans ce cas vous aurez nécessairement un GRAND nombre de données qui ne seront pas chiffrées sur le disque dur de votre PC !Pour ce que vous mettrez dans le cloud, si c’est chiffré, c’est bon, pour ce que vous mettrez sur une clé USB, si c’est chiffré, c’est bon, mais sur le disque dur de votre PC il y aura des fuites !Par exemple, si vous mettez des documents confidentiels dans un répertoire chiffré “Confidentiel”... ça ne protègera pas...- Les mots de passe stockés dans votre navigateur web.- Votre historique de navigation- Les “documents récents” dont le nom peut être retenu par le menu “documents récents” du sytème ou d’une application, bureautique, lecteur de PDF, lecteur de musique ou vidéo...- Les miniatures (thumbnails) d’images ou de vidéos qui peuvent être créées par votre gestionnaire de fichiers en dehors du répertoire chiffré, et qui resteront en clair même quand celui-ci sera fermé...- Les fichiers temporaires créés par une application bureautique etc......et être supprimés, mais demeurer récupérables, en clair.Bref si vous ne chiffrez pas TOUT le disque de votre PC, ou a minima TOUT votre répertoire personnel et le swap, vous protégerez des choses, mais en laisserez d’autres fuir comme par une passoire.Là encore, tout dépend de votre modèle de menace. Si vous voulez vous protéger du vol intégral de votre thèse ou de votre manuscrit, que quelque morceaux hachés traînent en clair n’est pas bien grave.Si vous voulez protéger vos documents perso de la curiosité de vos enfants, OK.Mais si vous avez des informations hautement confidentielles à protéger d’une personne qualifiée qui s’emparerait de votre machine, c’est un no-go, seul le chiffrement intégral du disque sera efficace face à un tel adversaire.Ceci posé, si vous voulez tout de même chiffrer uniquement le contenu de certains répertoires - ce qui reste très pertinent pour un répertoire à synchroniser par le cloud ou sur une clé USB par exemple, pour protéger non votre PC mais ce seul périphérique - voici quelques outils.- Si vous voulez chiffrer tout un disque dur ou une clé USB que vous n’utiliserez que sur des machines #Linux, le mieux est encore d’utiliser cryptsetup/LUKS.Votre disque pourra même se monter automatiquement en le branchant !Inconvénients :- Il faudra taper quelques lignes de commande au terminal pour chiffrer et formater le disque.- Il ne sera pas utilisable sur une machine non-Linux.Si donc vous voulez chiffrer un disque ou une clé USB intégralement, sans taper de commandes en console, et pouvoir aussi l’utiliser avec #Windows par exemple,l’outil qu’il vous faut est : Veracrypt.Les avantages de Veracrypt : Il peut soit chiffrer un périphérique entier (la clé USB), soit créer un volume chiffré (de taille fixe réservée à l’avance) sur un périphérique pouvant par ailleurs contenir des répertoires et fichiers non chiffrés, ordinaire.- Veracrypt camoufle complètement l’arborescence de répertoires, les tailles et noms des fichiers stockés, en plus de leur contenu. Tout ce qui est visible est un périphérique chiffré, ou un container de “n” Go chiffré sur un périphérique, dont le contenu est inconnu.- Inconvénients : La taille du volume chiffré est fixée à sa création et ne peut pas être modifiée. S’il le faut, il faut créer un autre volume chiffré de taille différente et y transférer tout le contenu.- On a un seul gros volume chiffré, et si on modifie de petits fichiers chiffrés “à l’intérieur du container” et qu’on sauvegarde ce dernier sur un cloud, c’est à chaque fois TOUT le gros container qui devra être re-uploadé, et non pas les petits fichiers individuels.Pour cette raison, Veracrypt est très bien adapté à une clé USB par exemple, mais très mal adapté à un stockage sur “le cloud”.Pour stocker sur le cloud, il vous faut un outil de chiffrement à la volée qui travaille fichier par fichier - comme le faisait fort bien ecryptfs - mais on va devoir s’en passer, alors qu’y a-t-il d’autre ?J’ai examiné divers outils et j’en ai retenu deux, qui m’ont semblé meilleurs et plus crédibles que les autres :- Gocryptfs- CryfsCe deux outils sont simple d’utilisation et peuvent tous deux être utilisés depuis une interface graphique commune qui s’appelle Sirikali.Quelles sont leurs principales différences et pourquoi utiliser l’un plutôt que l’autre ?- Cryfs masque complètement la structure de répertoires, les noms et les tailles des fichiers contenus- Gocryptfs masque les noms et contenus des fichiers, mais laisse les tailles des fichiers et l’arborescence visible (pas les noms)- Gocryptfs est notablement plus rapide que Cryfs (ce qui, pour des fichiers, n’est pas un problème sauf si votre PC est horriblement lent)- Selon les cas d’usage, (en cas de nombreux petits fichiers), Cryfs utilisera beaucoup plus d’espace de stockage que Gocryptfs, ce qui peut être à considérer si votre espace Cloud gratuit est petit.- Avec Cryfs, vous devez absolument éviter de monter le répertoire chiffré simultanément sur deux machines différentes, au risque de corruption du filesystem.- Avec Gocryptfs, c’est possible à condition de ne pas travailler simultanément sur les mêmes fichiers.Donc cas d’usage typiques : Vous synchronisez un répertoire sur le cloud, avec UNE SEULE machine simultanément, et vous ne voulez pas que votre prestataire cloud puisse connaître le nombre et le type de fichiers que vous stockez (musique, vidéos), vous utiliserez CryfsVous synchronisez plusieurs machines sur le cloud, elles peuvent être en fonction simultanément (mais vous ne travaillez pas des deux côtés sur les mêmes fichiers), il est sans importance que votre prestataire cloud connaisse le nombre et la taille de vos fichiers : GocryptfsEt bien sûr, avec ces outils, il est possible de chiffrer des répertoires sur votre PC, mais soyez conscient de la possibilité de “fuites de données” vers votre répertoire personnel ou le swap, comme indiqué plus haut.Mais c’est une solution très pertinente (à défaut d’ecryptfs) si vous voulez faire une double couche de chiffrement, par exemple un PC familial au disque entièrement chiffré - et tout le monde connaît le mot de passe de démarrage......sur lequel vous souhaitez par-dessus le marché protéger des fichiers personnels de la curiosité de vos enfants, qui ont peu de chances d’aller explorer le swap ou “undeleter” des fichiers temporaires supprimés, surtout s’ils n’ont normalement pas accès à votre répertoire persoVoilà c’est à peu près tout, j’espère que ce petit tour d’horizon aura pu vous être utile et vous donner quelques idées, pour les questions c’est dessous 😁Ah et pour gérer et chiffrer votre base de mots de passe, c’est keepass ou keepassxc, sinon, rien.Un dernier truc qui-n’a-rien-à-voir-mais-quand-même : les outils “d’effacement sécurisé” fichier par fichier, efficaces sur des disques durs, sont inefficaces sur des SSD, sachez-le. Un SSD déplace tout le temps les données de lui-même...Avec un SSD, réécrire 13 fois du garbage “au même endroit” ne sert absolument à rien. Avec un SSD, la seule méthode efficace et certaine est l’effacement sécurisé de l’ensemble du SSD avec la commande ATA ou NVME spécifique, ou le passer au micro-ondes...Ah tiens y’a même la recette pour chiffrer intégralement le /home/toto avec Gocryptfs, comme on le faisait avec ecryptfs... Marcherait aussi avec Cryfs évidemment. ▻https://wiki.archlinux.org/title/User:Lukeus_Maximus …HEADS UP : J’ai copié une arborescence de 9500 fichiers divers d’un container Gocryptfs en parfaite santé vers un container Cryfs, j’ai direct 4 fichiers corrompus sur le container Cryfs à l’arrivée.Ça élimine direct Cryfs de mes options, d’autant qu’il ne dispose pas d’un fsck.You can follow @petaramesh. (Source : ►https://threader.app/thread/1450396509153935361)
