VeraCrypt : comment chiffrer et cacher des fichiers, un disque dur externe ou une clef USB
Welcome to Trumpland
Le 14 février 2017 à 10h00
14 min
Logiciel
Logiciel
Nouvelle étape de notre grand dossier consacré au chiffrement. Aujourd'hui, nous avons décidé de nous intéresser à VeraCrypt, l'un des successeurs de TrueCrypt qui vous permettra aussi bien de chiffrer et de cacher quelques fichiers qu'un périphérique de stockage externe.
Suite à la fin de TrueCrypt intervenue courant 2014, de nombreuses alternatives ont vu le jour. La plupart avait alors fait le choix de rééexploiter le code source de cet outil qui permettait de protéger des données et des partitions via un chiffrement symétrique. Chaque équipe promettait d'assurer un suivi sur le long terme et des évolutions, mais deux ans plus tard, force est de constater que nombreuses sont celles qui ont abandonné.
VeraCrypt, un descendant audité et évolué de TrueCrypt
Parmi les « survivants », on compte VeraCrypt, un projet open source porté par le français Mounir Idrassi (voir notre interview) et financé en partie par des dons. Le développeur a réusssi à garder l'aspect multi-plateforme de l'outil tout en continuant à le renforcer et à l'améliorer.
En fin d'année dernière, un audit (PDF) commandé par l'OSTIF et mené par Quarkslab aboutissait à une série de corrections. Lorsque nous avons décidé de proposer une série de guides sur le chiffrement des données, via un outil libre qui ne dépendait d'aucun système en particulier, nous avons donc décidé de le faire à travers la version 1.19 de VeraCrypt.
Ces guides auront pour objectif d'expliquer comment l'utiliser pour :
- Chiffrer un conteneur (fichiers, répertoires)
- Chiffrer une partition d'un disque ou d'un périphérique externe
- Chiffrer une partition système ou l'intégralité du disque principal
Vous trouverez plus de détails sur les concepts développés par VeraCrypt, ses méthodes de chiffrement et son fonctionnement au sein de sa documentation, relativement complète. Une guide d'utilisation est aussi disponible (PDF). Nous nous attarderons sur le fonctionnement de l'interface graphique, mais sachez qu'il est possible d'utiliser VeraCrypt à travers la ligne de commandes.
Quelques concepts à connaître avant de commencer
Avant de commencer, évoquons quelques points qui seront utilisés tout au long de nos guides et sur lesquels nous ne reviendrons pas de manière systématique :
- Les limites de VeraCrypt
Comme tout logiciel dédié à la sécurité et exploitant des procédures de chiffrement, VeraCrypt correspond à certains modèles de menace, mais ne protège pas de tout. Ainsi, l'équipe détaille dans sa documentation les éléments importants à prendre en compte, les mesures de sécurité à respecter ou même les limites de l'outil.
Tant de points qui sont importants à connaître pour assurer une véritable protection complète de vos données. Notez au passage qu'il est recommandé de faire attention à l'utilisation de périphériques de stockage à base de mémoire Flash lorsqu'ils utilisent la fonction TRIM ou le Wear-leveling.
- Les éléments de sécurité
Pour assurer le chiffrement de conteneurs, disques et partitions, VeraCrypt permet d'utiliser trois éléments qui peuvent être combinés : un mot de passe, un ou plusieurs fichiers clef, un PIM (Personal Iterations Multiplier). Ce dernier correspond à une valeur prise en compte pour la dérivation de clef au niveau de l'en-tête du volume.
Le nombre par défaut peut être par celui de votre choix mais attention : plus il sera élevé, plus le temps nécessaire pour monter votre volume sera important. Cela peut néanmoins permettre de renforcer une phrase de passe un peu faible. Il est conseillé par l'équipe de VeraCrypt d'utiliser une phrase de passe d'au moins 20 caractères (voir notre guide pratique).
Les fichiers clefs peuvent être n'importe quels fichiers de votre choix (texte, vidéos, photos, etc.), mais attention, les premiers 1024 kilobytes ne devront jamais être modifiés (pensez donc à bien les sauvegarder). Il peut aussi s'agir de fichiers contenant des données aléatoires générés par VeraCrypt. Dans ce cas, ils peuvent être stockés sur une smart card pour peu qu'elle gère le standard PKCS #11. Cette possibilité fera l'objet d'un article séparé.
- Partitions cachées et déni plausible
VeraCrypt propose de « cacher » les volumes chiffrés qu'il génère. Dans la pratique, il s'agit de placer un élément protégé dans un autre, de plus grande taille mais de manière invisible (à moins d'une analyse complète du disque). La seule manière d'accéder à l'un ou à l'autre étant les éléments de sécurité utilisés, ce qui constitue une sorte de tiroir à double fond pour vos données. Un concept connu sous le nom de déni plausible.
Pour créer un conteneur caché, deux possibilités : le faire au sein d'un conteneur VeraCrypt déjà existant (mode direct) ou suivre une procédure entièrement automatisée (mode normal). Dans ce second cas, l'application vous guidera dans la création du conteneur principal puis du conteneur caché.
Pour rappel, le second devra forcément être de plus petite taille. On peut ainsi placer des fichiers dans le conteneur principal qui peuvent paraitre crédible, puis les données que l'on veut protéger dans le conteneur caché.
- Peut-on stocker un conteneur chiffré dans le « cloud » ?
La plupart du temps, il n'est pas conseillé de stocker des conteneurs tels que ceux générés par VeraCrypt dans des services de stockage en ligne et d'utiliser plutôt des outils tels que BoxCryptor ou Cryptomator qui sont prévus à cet effet et chiffrent les données fichier par fichier.
Les conteneurs VeraCrypt prennent en effet la forme d'un fichier unique et la modification du moindre élément implique le besoin d'un nouvel upload complet. Ce n'est néanmoins pas le cas avec certains services qui proposent la synchronisation différentielle et analysent l'évolution des fichiers dans le détail. Ainsi, ils n'envoient que les différences relevées. C'est notamment le cas de Dropbox.
Téléchargement et installation
La procédure d'installation de VeraCrypt est relativement simple. Il suffit en effet de télécharger un fichier et de le lancer. Sous macOS, il faudra aussi disposer de FUSE 2.5 au minimum pour que l'application fonctionne. Outre un package général pour Linux, une version spécifique à Raspbian (Raspberry Pi ARMv7) est disponible.
L'interface de l'application est en anglais, mais il est possible d'utiliser des packs de langues (sous Windows uniquement), dont le français. Pour cela rendez-vous dans le menu Settings puis Language... Pour nos essais, nous resterons sur une interface en anglais puisqu'elle est disponible dans l'ensemble des OS.
Pour vérifier la validité du fichier téléchargé utilisez les empreintes SHA256/SHA512 (via un outil comme RapidCRC sous Windows) ou la signature en ajoutant la clef publique d'IDRIX (voir notre guide) :
https://www.idrix.fr/VeraCrypt/VeraCrypt_PGP_public_key.asc
(ID=0x54DDD393, Fingerprint=993B7D7E8E413809828F0F29EB559C7C54DDD393)
Sous Linux l'archive téléchargée devra être décompressée. La méthode d'installation sera à choisir parmi les quatre fichiers qui seront à votre disposition (console ou interface graphique, 32 ou 64 bits) :
$ tar -xjvf veracrypt-1.19-setup.tar.bz2
veracrypt-1.19-setup-console-x64
veracrypt-1.19-setup-console-x86
veracrypt-1.19-setup-gui-x64
veracrypt-1.19-setup-gui-x86
$ ./veracrypt-1.19-setup-gui-x64
Verifying archive integrity... 100% All good.
Uncompressing VeraCrypt 1.19 Installer 100%
Pour désinstaller l'application, il suffira de lancer veracrypt-uninstall.sh
.
Créer un conteneur chiffré
Passons maintenant à la pratique avec un premier élément assez simple : la création d'un conteneur. Ici, il s'agit de protéger des fichiers et des répertoires qui seront placés dans un fichier, un peu comme lorsque l'on compresse des données avec un mot de passe avec des outils tels que 7-Zip, WinRAR ou WinZip. La différence ici, c'est qu'il sera possible de « monter » ce fichier qui apparaîtra alors comme un lecteur physique. Il sera donc utilisable comme tel.
Pour procéder cliquez sur Create Volume puis Create an encrypted file container. Dans un premier temps nous opterons pour un volume standard. Sélectionnez ensuite un nom de fichier à créer et indiquez si vous voulez l'enregistrer dans l'historique ou non. Notez qu'il est possible d'utiliser n'importe quel nom de fichier et n'importe quelle extension. Cela permet de le rendre plus « discret » :
Il faudra ensuite choisir parmi les algorithmes de chiffrement et de hash (ils sont détaillés ici et là). Notez que dans le cas des algorithmes de chiffrement, il est tout à fait possible d'en cumuler plusieurs, jusqu'à un maximum de trois. Ce sera le cas si Serpent(Twofish(AES)) est sélectionné par exemple.
Un outil de mesure des performances est proposé au sein de l'application afin de s'assurer que le matériel ne sera pas une source de limitation. Notez que le chiffrement AES est de plus en plus souvent accéléré materiellement au niveau du processeur (AES-NI). Cette accélération est désactivable dans les paramètres : Settings>Performance/Driver configuration.
Il faudra ensuite choisir la taille du conteneur, ce qui représente l'espace qui sera disponible une fois qu'il sera monté, puis les éléments de sécurité qui permettront d'assurer le chiffrement/déchiffrement :
VeraCrypt demandera s'il est prévu de stocker des fichiers de plus de 4 Go, ce qui changera simplement le système de fichiers sélectionné par défaut pour le formatage. Il sera de toute façon possible de le modifier dans la fenêtre suivante, avec d'autres paramètres comme la taille des clusters ou le fait que le volume soit dynamique ou non.
Sous Linux, il sera demandé si l'on compte utiliser le volume avec d'autres OS. Dans le cas d'un volume dynamique, sa taille ne pourra pas aller au-delà de celle sélectionnée précédemment, mais l'espace occupé dépendra de celle des fichiers et répertoires qui se trouvent au sein du conteneur.
Il faudra ensuite bouger la souris au sein de la fenêtre pour générer assez de données aléatoires pour assurer une entropie suffisante pour les clefs de chiffrement. On pourra alors passer au formatage :
Une fois cette phase terminée il sera temps de quitter la procédure de création. L'interface principale permettra alors de sélectionner une lettre de lecteur disponible, votre fichier (Select File...) puis de le monter. Ici, il faudra entrer les différents éléments de sécurité (mot de passe, fichiers clef, PIM). Des options complémentaires permettront d'opter pour la mise en place d'un lecteur accessible uniquement en lecture, vu comme un périphérique externe, etc.
Un lecteur physique apparaîtra alors dans le gestionnaire de fichiers. On pourra y créer, supprimer ou déplacer des éléments comme s'il s'agissait d'un périphérique de stockage. Une fois que l'accès n'est plus nécessaire, il suffit de le démonter. Le conteneur sera alors vu comme un fichier lambda, de la taille définie lors de sa création.
Si jamais vous préférez créer un conteneur caché, deux possibilités existent : via une procédure simplifiée (mode normal) ou dans une conteneur VeraCrypt déjà existant (mode direct). Dans le premier cas, un assistant permettra de créer un conteneur « externe » dans lequel on pourra placer des fichiers qui semblent sensibles, sans l'être réellement.
Il invitera ensuite à créer le second conteneur d'une taille inférieure, dans lequel on pourra placer les fichiers que l'on souhaite réellement protéger. Pour accéder à l'un ou l'autre de ces conteneurs, il suffira d'utiliserez des éléments de sécurité différents lors du montage.
Chiffrer une partition/un disque non système
Passons à l'étape suivante : le chiffrement d'une partition ou d'un disque entier qui ne contient pas de système d'exploitation. Cette procédure est idéale pour protéger un périphérique de stockage comme une clef USB ou un disque dur externe. Pour nos essais, nous utilisons un disque dur USB 3.0 de 500 Go.
Une fois connecté, lancez la procédure de création de volume. Cette fois, sélectionnez Encrypt a non-system partition/drive. On aura là encore la possibilité de créer un volume normal ou caché. Nous commencerons par la première solution.
Sélectionnez alors un périphérique ou une partition. Pour chiffrer un disque entier, celui-ci ne devra contenir aucune partition. Sous Linux, GParted est en général installé et permet d'effectuer une telle modification. Sous macOS l'Utilitaire de disque permettra de le faire alors que sous Windows il faudra utiliser l'outil Gestion des disques (clic droit sur le menu Démarrer>Gestion du disque).
Attention tout de même, certains systèmes auront tendance à vouloir initialiser des disques chiffrés de cette manière et pourront corrompre vos données. Pour l'éviter, optez pour le chiffrement d'une partition unique.
Une fois le disque ou la partition sélectionné, il faudra choisir entre remplacer les données actuellement stockées et le chiffrement de données déjà existantes. Dans ce second cas, pensez à disposer d'une sauvegarde en cas de souci.
Choisissez ensuite les algorithmes de chiffrement/hash, les éléments de sécurité, puis passez à la collecte de données aléatoire pour renforcer l'entropie. Le chiffrement sera alors mis en place. Veillez à ne pas utiliser le formatage rapide si possible, afin de préserver la sécurité de la procédure.
Si vous avez opté pour un chiffrement de données existantes, le choix d'une méthode de nettoyage pouvant aller jusqu'à 35 passes sera nécessaire. Ici, il s'agit de s'assurer que les données précédemment présentes sur le disque ne sont plus lisibles. Cela peut demander jusqu'à plusieurs heures/jours selon les cas et dépendra de l'espace à traiter, des performances du périphérique et des paramètres sélectionnés.
Il sera néanmoins possible de marquer une pause ou d'interrompre la procédure (Defer). On pourra ensuite la reprendre via le menu Volumes>Resume interrupted process.
Une fois cette phase terminée il faudra quitter la procédure de création. L'interface principale permettra alors de sélectionner une lettre de lecteur disponible, votre périphérique (Select Device...) puis le monter. Ici il faudra entrer les différents éléments de sécurité (mot de passe, fichiers clef, PIM). Des options complémentaires permettront d'opter pour la mise en place d'un lecteur accessible uniquement en lecture, vu comme un périphérique externe, etc.
Un lecteur physique apparaîtra alors dans le gestionnaire de fichiers. On pourra y créer, supprimer ou déplacer des éléments comme s'il s'agissait d'un périphérique de stockage. Une fois que l'accès n'est plus nécessaire, il suffit de le démonter. Le périphérique sera alors vu comme contenant une partition non lisible (RAW) :
Là encore, si l'on veut créer une partition cachée, deux possibilités : via une procédure simplifiée (mode normal) ou dans une conteneur VeraCrypt déjà existant (mode direct). Dans le premier cas, un assistant permettra de créer un conteneur « externe » dans lequel on pourra placer des fichiers qui semblent sensibles, sans l'être réellement.
Il invitera ensuite à créer le second conteneur d'une taille inférieure, dans lequel on pourra placer les fichiers que l'on souhaite réellement protéger. Pour accéder à l'un ou l'autre de ces conteneurs, il suffira d'utiliserez des éléments de sécurité différents lors du montage.
Vous pouvez maintenant utiliser votre machine comme bon vous semble et découvrir les nombreuses options de VeraCrypt. L'outil est en effet relativement complet, et permet d'aller bien plus loin que nos guides. N'hésitez d'ailleurs pas à partager vos astuces dans nos commentaires ou à poser vos questions au sein de nos forums.
Notre dossier sur le chiffrement et GnuPG :
- Chiffrement : notre antisèche pour l'expliquer à vos parents
- OpenPGP et GnuPG : 25 ans de chiffrement pour tous, ce qu'il faut savoir avant de s'y mettre
- GPG : création de votre première paire de clefs et chiffrement d'un fichier
- GPG : comment créer une paire de clefs presque parfaite
- Clefs GPG : comment les stocker et les utiliser via une clef USB OpenPGP Card ?
- Gpg4win 3.0 : comment chiffrer vos emails dans Outlook, utiliser Kleopatra, GPA ou GpgEX
- GnuPG Web Key Directory : comment diffuser simplement votre clé publique via votre serveur
VeraCrypt : comment chiffrer et cacher des fichiers, un disque dur externe ou une clef USB
-
VeraCrypt, un descendant audité et évolué de TrueCrypt
-
Quelques concepts à connaître avant de commencer
-
Téléchargement et installation
-
Créer un conteneur chiffré
-
Chiffrer une partition/un disque non système
Commentaires (85)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 14/02/2017 à 10h07
Ce n’est pas tout a fait ce que je cherchais, mais heureux d’avoir lu al phrase pour chiffrer et envoyer sur du Cloud avec les outils BoxCryptor ou Cryptomator.
Boxcryptor j’avais essayé, mais il laissait les noms de fichiers apparent, ou alors il faut le premium.
Cryptomator semble correspondre a mes attentes, je le testerai de retour a la maiz :zen:
Merci !
Le 14/02/2017 à 10h07
" />
Comme à chaque fois, c’est vraiment super de contribuer aussi clairement à la démocratisation du chiffrement, merci!
Le 14/02/2017 à 10h18
Ouai, merci à NXI de donner des outils aux terroristes.
Le 14/02/2017 à 10h50
Dans un autre guide.
Le 14/02/2017 à 10h51
Le 14/02/2017 à 10h52
Il y aura aussi une version pour chiffrer sous Linux avec luks ?
Le 14/02/2017 à 10h53
Le 14/02/2017 à 10h55
“Cliquer sur chiffrer le disque lors de l’installation”
Voilà, guide terminé " />
Le 14/02/2017 à 10h57
Existe sur Android ?
Je cherche à chiffrer sur carte µSD.
Avec ESExplorer je ne peux chiffrer que sur la mémoire du téléphone :(
Le 14/02/2017 à 10h57
Disons que tout dépend de ce que tu entends par “invisible”. Déjà un Windows qui boote avec VeraCrypt et qui a une partition secondaire chiffrée d’accessible… ;)
Le 14/02/2017 à 10h57
Ces deux lignes ne comportent pas de lien " />
Le 14/02/2017 à 10h58
Le 14/02/2017 à 10h58
Le 14/02/2017 à 10h59
Le 14/02/2017 à 11h00
Trouver un fichier clé par force brute ? Si c’est un fichier dont le contenu est aléatoire (généré avec l’outil dédié), probablement bien plus que l’âge de l’Univers. La taille par défaut est de 64 octets, ce qui laisse 1.34e+154 possibilités différentes à tester. Bonne chance " />
Si le fichier clé a un contenu “prédictible” (au moins en partie, par exemple entête spécifique), sûrement moins, mais dans quelle mesure ?
Le 14/02/2017 à 11h00
Le 14/02/2017 à 11h00
Ça dépends comment tu l’ouvres. Si tu l’ouvres sans protéger le volume caché, ça va te faire perdre des données de celui-ci, voire plus probablement le rendre illisible. Si tu l’ouvres avec protection du volume caché, le volume disponible est réduit par la taille du volume caché.
Le 14/02/2017 à 11h03
VeraCrypt, la meilleure solution sous Windows actuelle pour ne plus avoir peur de semer des clés USB dans la nature quand elles tombent de ta poche.
Merci de répandre la bonne parole.
Le 14/02/2017 à 11h05
Le 14/02/2017 à 12h45
Le 14/02/2017 à 12h52
Ca a l’air pas mal cryptomator, par contre sur leur page d’accueil il est dit que c’est “for your cloud files”, ce qui laisse présupposer que le machin dépose directement les fichiers cryptés sur l’espace de stockage distant (le cloud). Ce qui est mensongeux!
En fait quand on lit la page architecture, il est dit tout en bas, dernier paragraphe, que le machin crypte et dépose les fichiers cryptés dans un répertoire destination (en local donc), ensuite le logiciel de synchronisation du cloud qu’on utilise va synchroniser les données…
Conclusion:
Le 14/02/2017 à 12h52
Pas trouvé de softs direct sur Debian/KDE pour me farcir le chiffrement - après coup.
cryptsetup -v -y luksFormat /dev/sdX
cryptsetup luksOpen /dev/sdX crypt_sdX
dd if=/dev/urandom of=/dev/mapper/crypt_sdX
mkfs.ext4 /dev/mapper/crypt_sdX
“à peu près” + les entrées qui vont bien dans /etc/crypttab et /etc/fstab pour le montage automatique (et génération de clés).
Le 14/02/2017 à 12h56
Utilise un logiciel portable (sans installation) d’encryption/décryption de fichiers? :p
Donc ne pas utiliser Veracrypt qui nécessite d’avoir les droits admin pour être installé (si j’ai bien compris ton problème). Apres Veracrypt fait le café a priori (encryption de volume, dd,…). Faut savoir ce qu’on veut. Mais cet article est tourné Vercrypt et pas autre chose.
Le 14/02/2017 à 12h58
Faut utiliser du LVM à l’intérieur de ton disque chiffré. Mais je ne me suis pas encore amusé à y toucher. paraîtrait que c’est simple.
Le 14/02/2017 à 13h19
Dans ton cas, utilise zip/7zip/winrar, crée une archive avec password, voilà.
Le 14/02/2017 à 13h33
C’est bien ce que j’avais compris et c’est ce que je souhaite faire.
J’ai un hubic, et je préfèrerais garder la main sur chaque étape.
Comme je chiffre tranquille dans le dossier de destination, et dans l’appli hubic je sélectionne ce dossier chiffré pour une synchro sur le cloud.
Le 14/02/2017 à 14h24
J’ai la mienne depuis des années autour du cou, je le l’enlève qu’à la maison " />
Sinon merci pour l’article. Je viens d’acheter un nouveau DD pour faire de la sauvegarde, et je me demandais s’il était possible de la chiffrer. Y’a plus qu’à…
Le 14/02/2017 à 15h19
Y a des DD qui sont cryptés de facon hardware (par exemple les Western Digital My Passport). Tu branches, ca te monte un nouveau lecteur qui contient rien, a part un prog qui te demande un mot de passe. Tu mets le bon mot de passe.. et hop ca te monte un second lecteur qui contient tes données.
Pas besoin de devoir installer verycrypt ou quoi que ce soit d’autre.
Le 14/02/2017 à 15h45
Joli article.
Mais pour rendre à César…, il faut rappeler que tout ce qui est évoqué ici existait déjà dans TrueCrypt. VC ayant “juste” corriger/améliorer la sécurité.
D’ailleurs +1 sur le côté pénible du temps nécessaire à monter une partition VC. Sur un CPU destkop, ca va encore, sur un atom (z de ma tablette, supporte aussi l AES), c est une plaie. Du coup, meme si c est moins secure, les header TC sont pas si mal car bcp plus rapide à monter sous VC!
Il serait souhaitable que VC propose en option d avoir ces headers moins sûrs mais plus rapide!
Le 14/02/2017 à 16h26
Ce qui suppose de faire confiance à l’outil de Western Digital. A noter que VeraCrypt peut aussi marcher sans install sur l’OS, on peut le mettre une clé USB qui a au moins une partition non chiffrée.
Le 14/02/2017 à 16h58
ça existe déjà : baisser la valeur du PIM
Le 14/02/2017 à 17h06
Ce sont des DD spéciaux ? Ou il faut jste installer le bon outil ?
J’ai acheté un DD standard, est-ce que ce dont tu parles est faisable avec ?
Le 14/02/2017 à 17h59
Windows dispose déjà d’un outil de vérification de signature intégré : CertUtil
certutil -hashfile <fichier> <fonction de hachage (cryptographique, c’est mieux)>
Ex: certutil -hashfile <fichier> SHA512
Le 14/02/2017 à 18h22
Au pire tu peux toujours faire un sha512sum dans le Bash Ubuntu sous Windows 10 " />
Le 14/02/2017 à 22h14
Le 20/02/2017 à 08h59
Le 20/02/2017 à 12h24
Le 14/02/2017 à 10h19
Le 14/02/2017 à 10h20
Trop gros, ne passera pas (enfin j’espère !)
Merci pour cette série de tutos très détaillés !
Le 14/02/2017 à 10h30
Je confirme pour l’utilisation avec Dropbox : seules les parties modifiées du fichier sont modifiées, ce qui est rudement pratique pour des conteneurs passablement lourds " />
Par contre une précision utile concernant les fichiers clés : les 1024 premiers kilobytes des fichiers ne devront jamais être modifiés, sans quoi il sera impossible de déchiffrer le conteneur/la partition !
Et mine de rien, il faut être très prudent avec ça, de nombreux changements peuvent avoir lieu sans s’en rendre forcément compte : une image peut être pivotée (dans la visionneuse Windows par exemple), une musique ou une vidéo peut voir ses métadonnées changées (ajout d’un artiste, pochette d’album, etc.), etc. Ah et ne pas oublier d’en faire une sauvegarde, au cas où…
Le 14/02/2017 à 10h31
petite question: il me semble que Veracrypt permet le chiffrement d’un disque / partition système.
Pourquoi ne pas en avoir parlé?
Le 14/02/2017 à 10h31
Merci je rajoute une mention sur la non modification (même si ça semble logique :p)
Le 14/02/2017 à 10h31
Pourquoi commenter avant de lire ? :(
Le 14/02/2017 à 10h34
VeraCrypt " />
Le 14/02/2017 à 10h37
" />
Le 14/02/2017 à 10h40
Il y a toujours un délai d’une minute lors de la vérification du password au boot ?
C’est vachement pénible et d’après les rapports de bug c’est considéré comme une sécurité et cela ne sera pas corrigé.
Le 14/02/2017 à 10h46
Merci de l’info !!!
Le 14/02/2017 à 10h47
“Chiffrer une partition système ou l’intégralité du disque principal” est dans le sommaire mais pas dans la suite de l’article.
Le 14/02/2017 à 10h47
Je préfère séparer les deux aspects “sécurité” et “secret”.
Pour la sécurité -> chiffrement “non-caché” d’un volume/partition.
Pour le secret -> stégano (avec déni plausible, genre “OpenPuff decoy”)
Et si on veut les deux, on met le ficher stégano dans un volume chiffré.
Le 14/02/2017 à 10h48
Je viens de lire l’article en entier et sa question est censée.
Le paragraphe sur le chiffrement de disque/partition concerne bien les non-système.
La question parle des partitions système : est-il possible de chiffrer cette partition (avant ou après installation de l’OS par exemple ?)
Le 14/02/2017 à 10h49
Disons que ça peut dépendre de la valeur du PIM (mais par défaut on est pas à 1 minute). Tu peux le baisser si tu veux (mais ça abaisse le niveau de sécurité). Après on a vu plus dramatique, le tout étant de savoir ce que tu cherches.
Le 14/02/2017 à 10h49
On ne dit pas “vachement” ">
Le 14/02/2017 à 10h50
On dit au début de l’article que ce sera traité dans les guides, dans le sommaire de fin ça apparaît. Donc sa question montre juste qu’il a survolé les inter sans lire ni le début ni la fin du papier :)
Pour le reste, on publie les guides au fur et à mesure. Je sais que l’impatience est plus forte que tout chez certains, mais on ne fait rien sans un minimum de temps " />
Le 14/02/2017 à 11h06
Le 14/02/2017 à 11h06
Sur les dernières versions d’Android, c’est proposé en natif si le chiffrement est activé sur ton mobile et si tu marques la carte microSD comme étant juste à utiliser sur ton téléphone, lorsque l’OS te pose la question la première fois.
Le 14/02/2017 à 11h06
Autre possibilité :
Amazon" />
Le 14/02/2017 à 11h07
Par invisible, j’entends qu’on ne peux pas avoir la certitude qu’il existe sans en avoir la clé.
Pour le cas du Windows, je ne me prononcerais pas dans le cadre de la sécurité, pas envie de faire d’antinomies. " />
Le 14/02/2017 à 11h09
J’en profiter pour demander si quelqu’un sait pourquoi techniquement dm-crypt n’offre pas de possibilite de cacher une partition dans une autre comme le fait Veracrypt (et le faisais truecrypt) ?
D’apres la doc (5.18 surhttps://gitlab.com/cryptsetup/cryptsetup/wikis/FrequentlyAskedQuestions) et qq messages des devs, il est possible de le faire en gardant sur un support externe les entetes contenant le numero de cylindre etc, a partir duquel commence la partition cachee. Il ne serait pas possible de faire autrement tandis que Veracrypt/Truecrypt le permet sans problemes.
Seulement les devs passent plus de temps a expliquer en quoi utiliser cette methode est inutile plutot que d’expliquer comment le faire techniquement, ce que j’apprecie assez moyennement.
J’ai cherche la justification technique pendant des semaines et j’apprecierai vraiment si quelqu’un avait des infos la dessus.
Le 14/02/2017 à 11h09
Tu oublies le début de l’article (mais effectivement ça complète la liste du dossier qui intégrait déjà le futur papier sur le chiffrement disque/partition système :
Lorsque nous avons décidé de proposer une série de guides sur le chiffrement des données, via un outil libre qui ne dépendait d’aucun système en particulier, nous avons donc décidé de le faire à travers la version 1.19 de VeraCrypt.
Ces guides auront pour objectif d’expliquer comment l’utiliser pour :
Le 14/02/2017 à 11h09
Si tu actives la protection, c’est que tu as le mot de passe du volume caché et que tu sais qu’il existe.
Quelqu’un qui ne connaît pas le mot de passe du volume caché, ne peux pas le « protéger. »
Le 14/02/2017 à 11h11
Oh, c’est pas mal du tout, ça. Merci !
Mais je vais quand même conserver le chiffrement, c’est tellement simple et ça permet une vraie tranquillité d’esprit.
Le 14/02/2017 à 11h13
C’est le principe même du déni plausible, si une personne ne connait pas le mot de passe du conteneur caché, elle n’est pas censée savoir qu’il existe.
Le 14/02/2017 à 11h15
Attention, à cause de la fin de parenthèse le lien ne marche pas.
Voici la bonne adresse.
Le 14/02/2017 à 11h24
Ça fait beaucoup d’articles en ce moment sur le sujet des protections et cryptage des données, c’est louche tout ça, c’est louche ! #Bisous
Le 14/02/2017 à 11h59
Le problème et toujours le même, comment accéder a mes données depuis un poste a priori sûr dont je n’ai pas les droits d’administration (mon pc perso au boulot) ?
Les puristes vont dire que dans ce cas, le PC en question n’est pas sûr et donc que ce n’est pas une bonne idée. Dans l’absolu, c’est vrai, mais je ne travaille pas à la CIA. Et le risque réel et presque aussi faible que trouver mon mot de passe en brute-forçant.
A cause de ce problème, je ne l’utilise pas sur mes disques externes, ce qui, finalement, est encore pire que mieux…
Le 14/02/2017 à 12h05
Quel est le problème exactement ?
Le 14/02/2017 à 12h21
Pour lire les données chiffrées, il faut installer Veracrypt. Pour installer Veracrypt, il faut les droits administrateur de l’ordinateur (au moins sous Windows).
Donc si je crypte mon disque externe à la maison pas de problème. J’installe Veracrypt à la maison.
Si j’amène mon disque au boulot (pour montrer mes photos de vacances, par exemple), il me faut Veracrypt installé sur l’ordinateur du boulot. Chose je l’on ne peut généralement pas faire, car on ne dispose pas des droits nécessaires. Donc, je ne peut pas accéder à mes données au boulot (par exemple).
Sauf erreur de ma part, sous Windows, c’est dû au fait que l’OS demande des droits particuliers pour générer un nouveau lecteur (qui donne accès au volume crypté).
Le 14/02/2017 à 12h26
Oui il faut les droits administrateurs pour monter un disque, mais j’ai du mal à comprendre en quoi c’est un souci de VC ? C’est plutôt à voir au niveau du SI en interne et ce qu’ils autorisent ou non, des outils de chiffrement qu’ils préconisent, de ce qu’ils permettent d’apporter de l’extérieur… (le fait de ne pas permettre à un employé de monter un disque externe chiffré fait peut être de la pratique maison " />)
Le 14/02/2017 à 12h39
Le 15/02/2017 à 05h27
Le 15/02/2017 à 09h19
Le 15/02/2017 à 09h49
En réponse à David_L:
Non, bien sûr, c’est un problème commun a tout les programme de ce type.
Après, c’est pas vraiment un problème de SI.
C’est
plutôt un problème de standardisation de ce type de
problématique (création d’un lecteur) et la limitation imposé par un acteur dominant
(Microsoft). De la à dire qu’il essaye de promouvoir sa solution ou
qu’il subit des pressions étatiques pour que la situation ne s’améliore
pas…
Le 15/02/2017 à 09h59
Et pourquoi aurais tu plus confiance en VeraCrypt qu’en Western Ditigal (ou d’un autre) niveau sécurité de l’outil proposé?
Si on ne peut plus faire confiance à personne, autant recoder le truc soit même, mais là le moindre petit bug ou incompréhension de comment faire un bon cryptage… et hop c’est la porte ouverte.
Le 15/02/2017 à 10h06
Aucune idée!
Je sais qu’en achetant le My Passport c’est tout préconfiguré comme il faut (formatage NTFS + encryption matériel). A la premiere utilisation faut définir ton mot de passe et voila.
Je suppose que ca s’appuie sur une puce électronique pour encrypter /décrypter à la volée les fichiers ou la partition (sinon on ne parlerait pas d’encryption matériel). Enfin je ne sais pas trop comment ca se passe puisqu’on voit ses fichiers “en clair” (la partition / lecteur monté) une fois le bon mot de passe tapé.
Le 15/02/2017 à 11h56
Le 15/02/2017 à 12h06
Le 15/02/2017 à 17h48
Le 15/02/2017 à 19h20
Tout dépend, mais bon, je ne vois pas tellement quel est l’avantage par rapport à une solution Bitlocker/VeraCrypt
Le 16/02/2017 à 09h42
VeraCrypt est open source et a été audité. Il a en plus au choix des méthodes de chiffrement non affiliées aux Etats-Unis. On peut lire le code librement. Alors certes, c’est de la cryptographie et ça n’est donc pas à la portée du premier venu, mais au moins c’est auditable.
Si on demande à Western Digital un audit de leurs disques chiffrés, permettez-moi de penser qu’ils vont nous rire au nez.
Le 16/02/2017 à 13h07
Open source + Audit = sécure?
Qui a audité? Un pro qui s’y connait à fond et à qui on peut avoir entièrement confiance? Je veux dire c’est ultra touchy l’encryption, la moindre petite connerie dans l’implémentation et hop on s’appercoit des années apres que c’était pas vraiment crypté.
D’ailleurs l’article dit:
“En fin d’année dernière, un audit (PDF) commandé par l’OSTIFet mené par Quarkslababoutissait à une série de corrections.”
Ok, mais un nouvel audit (d’une autre entité) ne pourrait pas révéler d’autres bugs et de nouvelles corrections à apporter? Les corrections ont elle été audité?…
Par exemple, n’a-t-on pas découvert un bug récemment sur l’implémentation de SSL par OpenSSL?
cfhttps://fr.wikipedia.org/wiki/Heartbleed
OpenSSL est pourtant open source, a surement du être audité et est en plus utilisé par des millions de système…
Bref je peux réitérer ma question sur WD vs autre chose :)
On peut ne pas avoir confiance en WD parce que tout est caché, mais je ne vois pas en quoi on pourrait avoir une confiance aveugle en Veracrypt.
Quand à audité l’encryption WD… pas besoin de leur demander, on achete un disque dur, on y fou plein de fichier pré défini avec des patterns bien connus… et un bon hacker pourra auditer le truc. (bref pas moi).
(et puis quand à l’intérêt de crypter tout son systeme d’exploitation et de le rendre invisible… ca me laisse un peu dubitatif… vous avez quoi à cacher réellement les gars sur vos pas à part vos pr0n?)
Le 16/02/2017 à 14h45
Entre une sécurité par transparence et une sécurité par opacité, je préfère totalement celle par transparence.
Chiffrer son OS, ça sert tout simplement à ne pas de faire piquer ou altérer de données quand on sème un ordinateur portable ou son système de stockage dans la nature, que ce soit lors d’un cambriolage, vol à l’arrachée, une perte de bagage ou le remplacement d’un disque dur.
En fait, je peux retourner la question, pourquoi ne pas chiffrer une partition d’OS complète ? Qu’avez-vous à y perdre ? On en est au stade où les smartphones sont chiffrés sans la moindre perte de performance visible.
J’ai les clés privées ssh de mes serveurs persos sur mon ordinateur portable. Et plutôt que de craindre que ça tombe entre de mauvaises mains, je chiffre. Voilà tout. Ça ne me coûte rien, ça ne me fait pas perdre de temps, et ça m’économise potentiellement du temps.
Autant chiffrer un max de trucs sans réfléchir.
Le 16/02/2017 à 15h06
Et bien dans la discussion on parlait de chiffrement sans avoir les droits admin de la machine et sans la solution de chiffrement préalablement installée.
Je n’ai absolument rien contre Veracrypt (installé sur mon pc d’ailleurs " />) mais on parlait d’un cadre dans lequel il ne convenait pas, c’est tout.
Le 20/02/2017 à 01h53
Le dossier évoque :
Si vous avez opté pour un chiffrement de données existantes, le choix d’une méthode de nettoyage pouvant aller jusqu’à 35 passes sera nécessaire. Ici, il s’agit de s’assurer que les données précédemment présentes sur le disque ne sont plus lisibles. Cela peut demander jusqu’à plusieurs heures/jours selon les cas et dépendra de l’espace à traiter, des performances du périphérique et des paramètres sélectionnés.
Apparemment, je dois être le seul un peu déconcerté à la lecture de ce passage.
D’une part, sur les mémoires Flash, cela fait perdre autant de précieux cycles d’écriture qu’il y a de passes pour un intérêt infinitésimal. Ne pas faire de passe du tout est en principe suffisant puisque l’ensemble des données va être écrasé par le chiffrement. Pour les plus soupçonneux, l’idéal serait de chiffrer les données à partir d’un autre stockage afin d’utiliser avant, si possible, la commande « ATA Secure Erase » afin de nettoyer certaines zones cachées — je pense notamment à l’over-provisioning. Mais même comme ça, rien ne garantit que cela va vraiment réinitialiser TOUS les secteurs selon la manière dont le logiciel interne implémente la commande.
D’autres parts, même sur les disques durs, étant données la densité et les technologies de stockage actuelles, le risque de pouvoir relire des données écrasées est également très faible, voire quasi-nul. Donc là aussi, je me répète, ne pas faire la moindre passe est largement suffisant dans la mesure où l’ensemble des données va être écrasé par le chiffrement. Pour les plus paranoïaques, on va dire que quelques passes ne peut pas faire de mal, mais c’est perdre beaucoup de temps pour ce qui s’apparenterait plus à un mythe qu’à une véritable réalité scientifique.
Si vous voulez plus d’explications pour vous en convaincre, je vous invite à lire cet article ou cette étude par exemple.
Et quand bien même cela s’avèrerait finalement possible, étant donné l’ampleur de la tâche, et donc le coût que cela représenterait, il faudrait être bien imprudent pour stocker en clair, même pendant un temps limité, des données sensibles pouvant justifier l’usage d’un tel arsenal afin d’en prendre connaissance à tout prix.
Le 20/02/2017 à 08h07
Le 20/02/2017 à 08h08
Comme les chances de vie du post précédent sont minimes, j’en rajoute un pour dire que ça m’intéresse Veracrypt. Ça a l’air d’être au point et le côté open-source est un gros plus pour moi.
Je vais installer ça chez moi, à suivre !