Le gardien des données personnelles, la CNIL, propose un guide pour chiffrer un fichier ou un dossier à envoyer ou stocker dans le cloud, ainsi que le périphérique de stockage de votre machine. Le tout s'appuie sur des logiciels libres, notamment VeraCrypt, auquel nous avons déjà consacré plusieurs articles.
Si chiffrer les communications devient une habitude, grâce notamment à la large intégration du protocole Signal dans les applications dédiées, protéger les documents que l'on stocke l'est bien moins. La CNIL propose donc un guide simple pour chiffrer ces précieux fichiers, que ce soit individuellement ou par HDD/SSD entiers.
De l'intérêt de protéger ses fichiers personnels et pros
Pourquoi protéger particulièrement ces documents ? D'un point de vue personnel, cela permet de conserver en toute tranquillité des informations confidentielles (comme des pièces d'identité numérisées) sur un ordinateur, support amovible ou stockage en ligne (comme Dropbox, Google Drive ou encore OneDrive) avec l'esprit tranquille. « Le plus souvent, lorsque vous stockez des documents dans le cloud, la confidentialité de ces fichiers n’est pas garantie » rappelle ainsi la Commission.
Pour les fichiers professionnels, encore plus sensibles, l'hébergement sur un serveur partagé (accessible par les collègues) ou sur un portable qui peut être perdu ou volé, cela apporte une protection minimale. La CNIL cite le cas d'une liste de clients, qu'il serait hasardeux de ne pas mettre à l'abri.
La Commission s'appuie sur plusieurs outils, la plupart libres. Elle cite le logiciel de compression 7-Zip, qui permet de chiffrer les archives qu'il génère, AxCrypt, PeaZip ou encore Zed! (de Prim'X), ainsi que VeraCrypt. Ce dernier est un fork de TrueCrypt, conçu par Mounir Idrassi, avec lequel nous avons déjà eu l'occasion de discuter longuement. Il a beaucoup évolué ces derniers mois, notamment à la suite d'un audit qui avait révélé plusieurs failles de sécurité, dont certaines héritées de TrueCrypt (voir notre actualité).
7-Zip et VeraCrypt à l'honneur
Pour chiffrer un fichier, la commission recommande ainsi de créer une archive avec 7-Zip, en activant le chiffrement AES. Il suffit ensuite d'envoyer le fichier chiffré, en s'assurant que son correspondant dispose bien du logiciel. Elle rappelle d'ailleurs d'utiliser un mot de passe suffisamment complexe ; nos conseils sont toujours disponibles.
Pour le chiffrement de dossiers ou de partitions, la CNIL passe par VeraCrypt. La procédure étant plus longue, elle propose donc une vidéo expliquant comment mettre en place le chiffrement simple d'un disque dur, via l'assistant dédié. Si vous souhaitez aller plus loin, pour créer une partition cachée, nous avons consacré plusieurs articles à cet outil.
Commentaires (31)
chiffrer oui, mais avec uniquement des outils incluant la backdoor gouvernementale.
Très bonne initiative.
Cela dit, à mon sens le blocage qu’ont beaucoup de gens vis-à-vis du chiffrement systématique n’est même pas l’aspect technique (processus à suivre pour chiffrer/déchiffrer) mais plutôt la peur d’une mauvaise gestion de mot de passe : un facile qui risque d’être craqué ? Ou un difficile, mais comment s’en souvenir ou le stocker de manière fiable et sécurisée ?
Parce qu’il y a bien un truc que les gens pigent, c’est que si tu as fait un bon chiffrement, et que derrière pour x raison tu n’as plus “accès” au mot de passe, t’es baisé pour un bon moment (au moins plusieurs années XD)… Et vu qu’à priori les données tu les as chiffrées parce qu’elles étaient importantes pour toi, c’est rageant…
ils ont lu NXI et du coup propagent la bonne parole
" />
Il manque juste un petit truc aux recommandations de la CNIL, notamment concernant le chiffrement des répertoires et/ou des données sur le cloud: parler des outils de gestion des mots de passe.
Parceque chiffrer pour protéger c’est bien. Mais si c’est pour oublier le mot de passe et au final tout perdre, il faut bien être conscient des enjeux mais aussi des risques…
Existe-t-il une solution de chiffrement libre avec gestion centralisée des informations de récupération ?
Un peu comme bitlocker peut le faire avec AD DS conjointement avec les instructions GPO idoines.
Je me vois mal proposer une solution type veracrypt (ou alors j’ai raté une info quelque part - /mode lecture diagonale) qui ne permette pas l’automatisation (parc conséquent). Actuellement on utilise une solution tierce (centralisée) mais non libre et, de surcroît, ce serait pas un mal de migrer vers du plus actuel.
Cryptomator pour le cloud est pas mal non plus.
Je suppose que c’est parce qu’ils en ont fait il y a juste quelques semaines (avec un tuto Keepass) ;)
https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe
Ils le rappellent juste dans l’encadré que si on le perd c’est foutu, ils auraient du y ajouter le lien là et pas que dans le tuto 7-zip.
+1
Parce que chiffrer un volume veracrypt de 100Go et devoir le ré-uploader totalement dès que dropbox détecte un changement… ça va quoi !
Il y a t’il moyen d’envoyer un dossier zippé sur le Cloud et faire une synchro de sauvegarde qu’avec les fichiers qui ont été ajoutés/changés ?
Cryptomator me parait pas mal, mais toujours le stress de perdre le mdp, donc ce qui m’intéresse cest d’envoyer un zip/rar afin de n’avoir qu’un ficher et optimiser la bande passante, mais tout en évitant de devoir tout renvoyer à chaque sauvegarde…
Sauf que, comme dit dans le papier sur VeraCrypt, Dropbox est l’un des rares à faire de la synchro différentielle, donc n’upload que des morceaux de fichiers, ceux qui changent.
Au passage, on a déjà parlé de plusieurs solutions qui sont nativement orienté “cloud” (notamment parce que le chiffrement fichier par fichier, comme Cryptomator ou BoxCryptor).
Hashcat et une ferme de GPU
" />
Ce serait éventuellement bien de prendre le temps de lire les coms avant de réagir…
" />
Au risque de me répéter, Dropbox supporte la synchronisation différentielle. Seules les parties modifiées d’un fichier sont transférées et non le fichier entier. Je parle par expérience
" />
Oui, avec Dropbox (voir mon commentaire ci-dessus ou celui de David)
" />
Il faudra dire à la CNIL que le problème du cloud se trouve dans la confiance que les utilisateurs accordent aux tiers à qui ils confient leurs fichiers, plus que dans le cryptage de ces derniers. Or, qui peut me dire qu’un service de cloud peut-être digne de confiance ? En théorie, un service de cloud n’a pas à aller fouiller les fichiers de ses utilisateurs… en théorie, parce que, en pratique, il peut le faire, la preuve étant que des fichiers qui ne respectent pas les règles d’utilisation peuvent être supprimés. Pour pouvoir supprimer de tels fichiers, c’est bien que le service de cloud a un total contrôle sur le compte de ses utilisateurs.
Je rappelle aussi que confier ses fichiers à un service de cloud revient à devenir tributaire du bon fonctionnement de ce dernier. Par exemple, celui-ci doit être disponible 24h/24, 7j/7. Ce n’est pas toujours le cas, puisque celui-ci peut notamment effectuer de la maintenance sur ses serveurs. Sauf que lorsque cela tombe au moment où les utilisateurs ont besoin d’un de leurs fichiers, ils n’ont que leurs yeux pour pleurer. Et n’oublions pas qu’il est arrivé que des suppressions inopportunes de fichiers soient effectués : erreurs de manipulation lors d’une maintenance, attaque des serveurs par des personnes malveillantes, ect… Dans de tels cas, les utilisateur peuvent sortir leurs tubes de vaselines.
Au jour d’aujourd’hui, j’ai donc toujours plus confiance en mes disques durs pour stocker mes fichiers, même si ceux-ci peuvent me lâcher à tout moment.
Un autre problème avec le cloud et notamment la synchronisation différentielle c’est qu’il existe, certes pas à la portée de tout le monde, des attaques basées sur les changements de bits d’un fichier pour essayer de le déchiffrer (il me semble qu’Idrassi en parle dans certaines de ses recommandations quant à l’utilisation de VeraCrypt). Donc d’un point de vue cryptographique c’est pas l’idéal, du moins d’ici à ce que la chiffrement homomorphique arrive. De toute façon la sécurité et la facilité d’utilisation des outils vont rarement de paire 
" />
Personne ne s’en émeut mais ça me dérange profondément ce mélange des genres
D’un côté on a l’exécutif, les bien-pensants, les media qui sont contre le chiffrement
Et de l’autre, la CNIL, l’ANSSI et tout ceux qui ont un minimum de connaissances techniques qui le voient indispensable
Il me semble primordial qu’ils se mettent d’accord…
Soit c’est un truc de terronazis, soit c’est bien pour la vie privée
Qaelle backdoor ? Ton lien parle de propositions, et les outils proposés sont open soarce. Autrement dit, ça n’arrivera pas.
pas les 4 matins pour moi au travail mais tous les 90 jours avec une durée de vie minimale d’1 jours pour éviter les petits malins qui changent 5 fois le mots de passe dans la journée pour retourner au 1er (nombre de mdp antérieurs à conserver = 5). source : commande net accounts sous Windows.
Cypherpunks powa !