Cryptomator 1.5 : un chiffrement pour le cloud, multiplateforme et... simplifié ?

Cryptomator 1.5 : un chiffrement pour le cloud, multiplateforme et… simplifié ?

Avec une forte incitation aux « dons »

Avatar de l'auteur
David Legrand

Publié dans

Logiciel

23/04/2020
28

Cryptomator 1.5 : un chiffrement pour le cloud, multiplateforme et... simplifié ?

Lorsque l'on utilise des services de stockage en ligne, on veut parfois protéger nos données des yeux indiscrets. Cryptomator est une application pensée avec cet objectif, qui vient de sortir dans une version retravaillée. Un outil intéressant, mais pas sans défauts.

Il y a près de trois ans, nous faisions le point sur différentes solutions permettant de chiffrer des données à stocker sur un NAS ou dans des services en ligne (Dropbox, Google Drive, OneDrive, iCloud, etc.). Dans la liste des solutions que nous avions alors analysées, il y en avait une qui cumulait plusieurs points forts : Cryptomator.

Open source, le logiciel était à la fois simple à prendre en main et multiplateforme. Il souffrait néanmoins de quelques défauts d'intégration, avec des performances parfois limitées. Depuis cette version 1.3, l'outil a évolué. En 2018 sortait la 1.4 ne misant plus principalement sur le protocole WebDAV. Deux ans plus tard, c'est la 1.5 qui voir le jour.

Mais dans la pratique, qu'est-ce que cela donne, et comment fonctionne Cryptomator désormais ?

Nouveau look pour une nouvelle vie

Commençons par la base : il s'agit toujours d'un outil open source. Son code est diffusé sur GitHub, sous licence GPL v3. L'équipe fonctionne toujours grâce aux dons (nous y reviendrons) et ses sponsors. Le seul goodie proposé sur sa boutique est un sticker reprenant le logo de l'application. S'il a été revu, il s'agit toujours du même gros robot tout vert.

L'objectif de Cryptomator est également inchangé : permettre de chiffrer simplement les données stockées dans des services « Cloud ». Ainsi, la protection est assurée directement depuis votre machine, sans dépendre du niveau de sécurité du service utilisé. Si jamais une fuite devait avoir lieu, seules les données chiffrées seraient récupérées.

Le tout repose toujours sur un chiffrement AES-256, propre à chaque vault (coffre en anglais). Les clés sont elles-mêmes protégées en suivant la RFC 3394 et une dérivée Scrypt. Les éléments aléatoires des clés sont générés par SecureRandom, La documentation technique complète est accessible par ici, une FAQ par là

Pour rappel, l'intérêt principal d'outils tels que Cryptomator par rapport à d'autres comme VeraCrypt, est qu'ils chiffrent chaque fichier individuellement. C'est ce qui fait qu'ils sont adaptés à la protection de données destinées à être stockées en ligne. En effet, dans le cas de VeraCrypt, un fichier chiffré représente un volume entier. Si la moindre données y est modifiée, c'est tout le fichier chiffré qui l'est, et qui doit donc être remis en ligne (sauf si l'upload différentiel est géré).

Cryptomator 1.5 est tout d'abord une refonte de l'interface. Elle a entièrement été repensée et réécrite. Et puisque c'est désormais à la mode : il y a un thème sombre, d'autres pouvant être ajoutés. Attention, pour y accéder, il faut débloquer une « clé de don », un dispositif étrange puisqu'un don devant logiquement être sans contrepartie.

Il s'agit en réalité d'une licence qui ne dit pas son nom, ou plutôt présentée comme un équivalent « pour des personnes géniales utilisant un logiciel libre » à 15 dollars minimum (25 dollars par défaut). L'application est pour rappel disponible sous Linux, macOS et Windows, gratuite. Seules les versions Android et iOS sont proposées de manière payantes. Il faut ainsi payer 4,99 dollars pour une licence liée à votre compte utilisateur, sans renouvellement nécessaire.

Plusieurs nouveautés pour Cryptomator 1.5

Cette nouvelle mouture doit également simplifier la phase d'onboarding. Comprendre la façon dont un premier utilisateur va prendre en main l'outil, alors qu'il n'a aucune idée de comment il fonctionne.

Un point essentiel pour les outils de sécurité en général, et de chiffrement en particulier, toujours considérés comme trop complexes. Cette version 1.5 est le fruit de plusieurs mois de travail, commencé en septembre dernier, devant permettre à l'équipe de rompre avec l'ancienne branche 1.4. Trois bêta et trois Release Candidates ont été nécessaire pour y parvenir.

Dans les autres nouveautés, on trouve l'introduction du format 7 pour les vaults, devant améliorer la compatibilité avec certains services en ligne et les performances. Les noms des fichiers sont ainsi encodés via Base64url. Mais aussi d'une possibilité de restaurer l'accès en cas de mot de passe perdu, avec des clés de récupération générées par l'utilisateur.

Sous Windows 10, l'application pèse 60 Mo environ. Elle comprend ce qu'il faut pour Java (qui assure son aspect multiplateformes), Dokany est installé pour l'accès aux fichiers chiffrés. En effet, il est utilisé pour générer un système de fichiers au niveau utilisateur : on les voit en clair, le système y accède comme des éléments chiffrés.

Cryptomator 1.5Cryptomator 1.5Cryptomator 1.5Cryptomator 1.5

Une prise en main toujours facile

Une fois que tout est en place, l'application prend la forme d'une simple fenêtre n'ayant pas tant changé en trois ans. Mais on y trouve plus d'informations pour l'utilisateur, l'ensemble ayant été réorganisé pour être plus clair. On regrette tout de même le point rouge incitant constamment à acheter une « clé de don », qui énervera sans doute certains.

C'est surtout ensuite que les choses évoluent. On est invité à ouvrir ou créer un coffre, dans le second cas, un assistant prend la suite. Il faut choisir un nom pour le coffre, indiquer s'il se trouve sur OneDrive ou un autre service, choisir un mot de passe et éventuellement créer une clé de récupération.

Cette dernière prend la forme d'un long texte que l'on peut copier ou imprimer. Dommage, le QR Code n'est pas proposé.

Cryptomator 1.5Cryptomator 1.5Cryptomator 1.5

Une application que l'on peut encore améliorer

Il faut ensuite déverrouiller le coffre nouvellement créé, l'enregistrement du mot de passe sur la machine étant proposé. Il apparaîtra alors comme un lecteur disque au sein du PC. Celui-ci fait 255 Go, sans possibilité de modifier cette taille apparemment. Les paramètres sont assez légers : lancer l'application en mode caché, utiliser WebDAV plutôt que Dokany, vérifier les mises à jour, etc. Rien de très exceptionnel. 

Lorsqu'un coffre est verrouillé, on peut modifier le mot de passe, gérer sa récupération, décider que le montage doit se faire sur une lettre ou un point de montage particulier, en lecture seule, avec certains paramètres, etc. L'interface est parfois simpliste mais plutôt claire et fluide dans son fonctionnement, ce qui est appréciable.

Cryptomator 1.5Cryptomator 1.5Cryptomator 1.5

Côté performances nous étions limités lors de nos essais entre 180 et 230 Mo/s environ pour la copie d'un gros fichier au sein du coffre, contre 500/600 Mo/s pour une copie classique sans chiffrement. Un comportement que nous avons pu vérifier sur différentes machines. Bref, ce n'est pas la panacée, mais ce sera suffisant pour beaucoup. 

28

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Nouveau look pour une nouvelle vie

Plusieurs nouveautés pour Cryptomator 1.5

Une prise en main toujours facile

Une application que l'on peut encore améliorer

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (28)


barbach Abonné
Le 23/04/2020 à 16h 07

Merci pour cet article, je suis en train de remplacer mon vieux Boxcryptor Classic par Cryptomator, avec en parallèle Syncthing pour le partage de fichier.

Cela reste encore un peu compliqué à utiliser pour le “noob” mais c’est pour moi un très bon compromis.


Schmultruc Abonné
Le 23/04/2020 à 16h 59

J’ai associé Cryptomator, Onedrive et freefilesync. Sauvegarde mensuelle du Nas qui récupère les fichiers des PC via syncthing.

Manuel mais top secure.


Arkeen Abonné
Le 23/04/2020 à 17h 55

Alors pour le gros n00b que je suis : est-ce que ça peut servir à chiffrer des données sur mon NAS ? J’imagine que oui, mais dans ce cas, comment j’y accède depuis un système utilisateur classique ? Ou si je veux accéder à ce NAS via NextCloud en WebDav (ou autre) ?


Jarodd Abonné
Le 23/04/2020 à 18h 36



Mais aussi d’une possibilité de restaurer l’accès en cas de mot de passe

perdu, avec des clés de récupération générées par l’utilisateur.





J’ignorais ça, je vais regarder de plus près. Mais je suis en 1.4.15, avec aucune mise à jour proposée vers la 1.5.x…



Sinon, il est dommage que l’actu n’indique pas que désormais, il est possible de se passer du Play Store pour Android. La licence “stand-alone” est à 10 euros, mais pour son lancement il y a un code NOPLAYSTORE qui la passe à 5 euros.


Le 24/04/2020 à 00h 46







Arkeen a écrit :



Alors pour le gros n00b que je suis : est-ce que ça peut servir à chiffrer des données sur mon NAS ? J’imagine que oui, mais dans ce cas, comment j’y accède depuis un système utilisateur classique ? Ou si je veux accéder à ce NAS via NextCloud en WebDav (ou autre) ?





Ton NAS, il ne chiffre pas déjà les données ???



David_L Abonné
Le 24/04/2020 à 04h 01







Arkeen a écrit :



Alors pour le gros n00b que je suis : est-ce que ça peut servir à chiffrer des données sur mon NAS ? J’imagine que oui, mais dans ce cas, comment j’y accède depuis un système utilisateur classique ? Ou si je veux accéder à ce NAS via NextCloud en WebDav (ou autre) ?





Oui, comme dit dans le papier, tu peux considérer n’importe quel répertoire comme un coffre, et donc il peut être sur ton NAS ou n’importe où ailleurs. Une fois déverouillé, il sera vu comme un lecteur. Par contre ça devra passer par le client Cryptomator (ou un logiciel compatible vu que c’est open source) pour déchiffrer les données. Si tu lis ce qu’il y a sur le NAS via NextCloud, tu verras le contenu chiffré.

 



DayWalker a écrit :



Ton NAS, il ne chiffre pas déjà les données ???





En réalité, c’est rarement le cas. Pour une raison simple : le chiffrement passe souvent par des mots de passe sur les dossiers partagés et pas forcément par la couche FS, du coup c’est horriblement chiant à mettre en place. Et une couche de chiffrement du HDD/SSD n’est pas toujours la bonne solution. 



Elle protège en cas de vol, mais si le NAS est allumé, les données sont le plus souvent accessible, ça n’est pas forcément un usage à la demande (comme peut l’être un outil du type cryptomator). Et si on synchronise avec un appareil tiers, les données seront envoyées telles que (donc pas top sur du cloud par exemple si les données sont un minimum sensibles).



Le 24/04/2020 à 07h 06







Jarodd a écrit :



Sinon, il est dommage que l’actu n’indique pas que désormais, il est possible de se passer du Play Store pour Android. La licence “stand-alone” est à 10 euros, mais pour son lancement il y a un code NOPLAYSTORE qui la passe à 5 euros.





Intéressant comme  nouvelle. Malheureusement, le coupon NOPLAYSTORE et celui STAYATHOME (qu’ils indiquent sur la page d’achat) ne fonctionnent pas.



Nozalys Abonné
Le 24/04/2020 à 07h 42

Ah c’est marrant ça, ça fait justement 2 semaines que j’ai commencé à me développer mon propre outil pour ce besoin simple : chiffrer chaque fichier indépendamment plutôt que de créer un conteneur qui lui seul est chiffré. Et justement, je me demandais pourquoi je ne trouvais pas d’équivalent déjà existant.

Dans mon cas, pour savoir si le fichier source a changé lors d’une synchro, je stocke aussi le checksum du fichier en clair à côté du fichier chiffré, comme ça pas besoin de déchiffrer pour comparer l’égalité des 2 fichiers.



Du coup vu que leur source est publique je vais pouvoir examiner ça et confronter mon approche avec la leur !


Jarodd Abonné
Le 24/04/2020 à 07h 57

Il a peut-être expiré alors. Pour moi ça avait fonctionné, il y a une dizaine de jours.


Le 24/04/2020 à 07h 57

Je ne sais pas si c’est exactement comparable en terme de fonctionnalités, mais pour les besoins en cloud cryptés (souvent en backup mais pas que), il y a beaucoup de redditer (y compris moi même) qui utilisent l’utilitaire Rclone

On peut également faire un mount sous windows ou linux pour monter le répertoire crypté à distance.

https://rclone.org/commands/rclone_mount/



ça crypte les fichiers individuellement (y compris le nom si on le souhaite)    



C’est open source et gratuit… mais simple, pas toujours…


Le 24/04/2020 à 08h 56

:drapal: <img data-src=" /><img data-src=" />


Le 24/04/2020 à 09h 02







David_L a écrit :



https://www.nextinpact.com/news/104998-rclone-browser-accedez-a-vos-services-stockage-en-ligne-et-chiffrez-y-vos-donnees.htm



;)





Oui je l’avais lu en plus… <img data-src=" />

C’était surtout pour rappeler aux autres lecteurs cette alternative. <img data-src=" />

&nbsp;

Au niveau de la complexité dont je parlais, c’était surtout la mise en place coté cloud: il a fallu créer un compte utilisateur “spécial” pour utiliser les api drive google sans avoir trop de rate-limiting.

J’ai mis un peu de temps à comprendre comment ça marchait…







&nbsp;



Le 24/04/2020 à 10h 05

Merci pour le suivi de ce soft prometteur ! Il m’avait intéressé au premier article, content de voir qu’il évolue!



&nbsp;Par contre, le coffre à la taille non paramétrable, j’ai du mal à comprendre…



Perso, j’ai un coffre Veracrypt que je synchro de temps en temps, c’est plus brut mais ça me suffit pour le moment

&nbsp;


SebGF Abonné
Le 24/04/2020 à 11h 10

Personnellement j’ai testé un combo rclone + duplicity pour sauvegarder mon PC pro sur un stockage en ligne.



rclone sert à monter le volume, et duplicity fait la backup incrémentielle en chiffrant en GPG les fichiers.


Kazer2.0 Abonné
Le 24/04/2020 à 15h 42

Si tu chiffres ton NAS, c’est généralement pour le cas où le mec te vole ton NAS.



La plupart du temps tu boots ton NAS, déverrouille les disques et tu y accèdent sur ton réseau local depuis les autres périphérique.


Kazer2.0 Abonné
Le 24/04/2020 à 15h 45

Le client BackBlaze “user-friendly” n’étant pas dispo sous Nunux (et j’essaye de migrer mes vieux car la hackintosh par en sucette <img data-src=" /> , j’ai trouvé deux outils utilisant duplicity en back :



https://www.duplicati.com/

https://wiki.gnome.org/Apps/DejaDup



Pas encore pu tester, je vais essayer prochainement sans doute vu que j’ai un vieux laptop pour faire tester nunux en réel à mes vieux et les pousser doucement <img data-src=" />


SebGF Abonné
Le 24/04/2020 à 16h 52

Intéressant, merci !


Kazer2.0 Abonné
Le 24/04/2020 à 17h 47

Je viens de tester duplicati vers Backblaze B2 (sans chiffrement), ça marche pas mal le bousin.



Note que l’appli se contrôle depuis une interface web (le raccourcie de l’appli lance le navigateur).



Il me semble très puissant et tu peux exporter / importer la config (avec ou sans chiffrement).



J’ai pas testé le second, mais je pense que duplicati va répondre à mes besoins (enfin, celui de mon vieux surtout <img data-src=" /> ).



J’ai découvert les deux aujourd’hui parce que justement BackBlaze ne dispose pas de client linux user-friendly ….


vonstael Abonné
Le 25/04/2020 à 10h 01

Excellent produit. Bon compromis entre simplicité / Sécurité / OpenSource / UX

&nbsp;

L’application iOS en revanche poussait être un peu plus sécurisée (je ne sais pas pour Android) : on peut modifier TouchID /FaceID en rajoutant un profil ou un doigt et déverrouiller son coffre fort sans devoir re-saisir son mot de passe. L’équipe m’a indiqué qu’ils allaient modifier ce comportement. J’attends le correctif pour déployer cette application.&nbsp;

Wait and see…

&nbsp;


SebGF Abonné
Le 25/04/2020 à 10h 35

J’ai installé et configuré Duplicati sur mon PC Pro, c’est très intuitif et rapide à mettre en place effectivement.



Par contre il n’arrivait pas à se connecter au stockage en ligne mais je soupçonne le fait d’avoir le proxy du client dans mon bashrc qui le bloque.. .Testerai ça plus tard. Au pire je monterai le volume localement avec fuse.



Mais ça semble bien foutu.


Kazer2.0 Abonné
Le 25/04/2020 à 13h 15

Surtout que vu la doc, le bousin gère aussi les “catastrophic failure”. Genre si tu as des sauvegardes corrompu, tu peux lui faire rechercher dans l’ensemble de l’historique des saves pour trouver quand ta sauvegarde est corrompu et corriger le truc.


Jarodd Abonné
Le 27/04/2020 à 06h 49

J’ai tenté Duplicati il y a ~1824 mois. J’étais tombé qur un bug qui bloquait mes sauvegardes, et on m’avait dit qu’il n’était plus développé, je le sais pas s’il a été repris depuis. Et de mémoire il sauvegardait tout, sans faire de delta avec la précédente sauvegarde. Ici on m’a conseillé borg, mais je n’ai pas réussi à faire la config de départ pour le laisser tourner seul ensuite.



Actuellement j’utilise Unison et des scripts avec rsync pour sauvegarder en local, avec Cryptomator pour les données sensibles. Pour du “cloud” je n’ai pas trouvé mieux que Spideroak ONE. Depuis janvier je teste kdrive d’Infomaniak, le client n’est pas top mais le produit est très jeune. L’avantage est qu’il supporte webdav donc on peut se passer du client.



Et je pense tester Icedrive et Tresorit… Quand je trouverai un moment <img data-src=" />


Kazer2.0 Abonné
Le 27/04/2020 à 08h 42

Je suis à la deuxième sauvegarde, il n’a pas tout sauvegarder à nouveau (j’suis passé de la première sauvegarde total d’une heure vers un autre disque à 15 min. Il reprend aussi les sauvegardes à première vu).



Selon GitHub, il y a eu une modification il y a 9 jours, donc je pense que ça a été repris.


Jarodd Abonné
Le 27/04/2020 à 08h 51

Ok j’y rejetterai un oeil alors <img data-src=" />


SebGF Abonné
Le 27/04/2020 à 16h 42

Pour le moment c’est adopté.

Je suis finalement passé par un point de montage fuse car impossible de valider la connexion OAuth malgré l’obtention du token.



Pas grave, ça marche aussi comme ça. Le job a été assez rapide pour sauvegarder les quelques 24Go de mon /home



Il faudra que je teste un job de restauration pour voir.



Merci encore pour le tuyau ! <img data-src=" />


Le 28/04/2020 à 00h 10







David_L a écrit :



En réalité, c’est rarement le cas. Pour une raison simple : le chiffrement passe souvent par des mots de passe sur les dossiers partagés et pas forcément par la couche FS, du coup c’est horriblement chiant à mettre en place. Et une couche de chiffrement du HDD/SSD n’est pas toujours la bonne solution.&nbsp;



Elle protège en cas de vol, mais si le NAS est allumé, les données sont le plus souvent accessible, ça n’est pas forcément un usage à la demande (comme peut l’être un outil du type cryptomator). Et si on synchronise avec un appareil tiers, les données seront envoyées telles que (donc pas top sur du cloud par exemple si les données sont un minimum sensibles).





Merci de la précision !



Kazer2.0 Abonné
Le 28/04/2020 à 07h 38

Je crois que tu as dans les paramètres supplémentaires la possibilité de rajouter une tripoté d’option, me semble que tu as une partie spécifique OAuth dedans.



Perso j’ai réussi à migrer mes vieux du hackintosh vers Pop!_OS, sauf que backblaze n’a pas d’appli pour Linux <img data-src=" /> donc actuellement j’ai un backup vers un disque local et un deuxième vers le B2 Cloud de BackBlaze, ça marche niquel pour l’instant. Je vais essayer une restauration à l’occasion.