Chiffrer ses données à la volée avec Truecrypt

Il y a quelques mois de cela, j’ai rédigé un article sur différents moyens de surfer sécurisé.

Aujourd’hui, c’est un moyen de protéger ses fichiers que nous allons voir ensemble.

Certains mots reviennent toujours, comme par exemple le chiffrement qui est d’actualité. En effet, protéger vos fichiers revient à les mettre non seulement en lieu sur, mais surtout accessible que par vous même.

En premier lieu, nous pouvons définir quels types de fichiers il est intéressant de protéger :

  • vos fichiers liés à votre vie privée (extraits de compte bancaires, documents officiels, fichiers de mots de passe, etc)
  • vos fichiers professionnels (confidentiels ou non, ils ne regardent que vous)
  • et tout autre fichier sensible comme vos certificats SSL par exemple, ou encore des documents secrets.

Voici maintenant plusieurs situations qui ne sont que des exemples, mais qui peuvent corrompre vos informations personnelles rapidement :

  • vol, ou perte d’ordinateur (contenant un ou plusieurs disques durs)
  • piratage de votre système (via Internet, ou le réseau de votre entreprise)
  • accès à votre ordinateur par d’autres personnes (collègues ou amis)

Brefs, dans tous les cas, nous avons tous des fichiers sensibles, et nous allons voir comment les garder bien au chaud.

Une solution très efficace : Truecrypt .

C’est un logiciel qui permet deux choses :

  • chiffrer des données à la volée (par un simple copier collé)
  • stocker ces données soit dans un fichier qui sera monté comme un volume, soit sur une partition qui sera au préalablement formatée par Truecrypt.

L’avantage d’une telle solution est tout d’abord l’impossibilité pour une personne tierce de voir que vous utilisez un moyen de chiffrement. Le fichier ou le périphérique est complétement anodin, et vous offre le déni plausible dans une situation de force. En d’autres termes, personne ne vous mettra le couteau sous la gorge pour vous demander un mot de passe, puisque vos données sont stockées dans un fichier chiffré, qui n’a aucune apparence d’un fichier chiffré.

Nous allons voir l’utilité de ces deux fonctionnement possibles, mais avant tout sachez une chose : vos volumes seront protégés par un mot de passe, et si vous avez envie de renforcer la sécurité, par une clé SSL. Il est primordial de ne pas oublier ce mot de passe, sinon vos fichiers seraient perdus à jamais. De plus, il est bon de rappeler d’avoir des sauvegardes sur plusieurs périphériques différents, au cas où l’un deviendrait défectueux. Bon c’est finis, j’arrête de vous plomber le moral, et je passe à l’action.

 

  • Téléchargement de Truecrypt

Ce logiciel est gratuit, et dispose d’une licence dite libre par les éditeurs, mais reconnue non open-source par certaines distributions Linux. Il fonctionne sous Linux, Mac OS X et MS Windows. Les données chiffrées sur un système d’exploitation sont bien entendu accessibles depuis un autre.

Voici le lien de téléchargement.

Pour le paquetage linux, je vous suggère la version “standard” qui comprend une interface graphique. Cependant, sur un serveur, la version “Console-only” sera la plus appropriée.

Il s’installe simplement en exécutant le binaire téléchargé, rien de bien compliqué.

 

  • Utilisation de Truecrypt par la création d’un fichier

Nous l’avons dit plus haut, vous avez la possibilité de créer un fichier vide dans lequel vous placerez vos fichiers confidentiels. Ce fichier sera de taille fixe, et entièrement chiffré avec plusieurs algorithmes. C’est donc un moyen très facile pour envoyer des fichiers de manière ultra sécurisée par e-mail, par FTP, ou encore si vous devez les stocker sur une clé USB.

Cliquez sur “Volumes“, puis sur “Create New Volume” (chez moi c’est en anglais !). Choisissez ensuite “Create an encrypted file container” (1er choix par défaut). Pour la suite, un volume standard fera l’affaire dans la plupart des situations. Mais sachez qu’il est possible de créer un volume caché sur une partition. Il convient ensuite de choisir l’emplacement du fichier à créer, et son nom.

Ensuite, ce sont les algorithmes de chiffrement qu’il faudra sélectionner. Pour des petits volumes (5 Mo par exemple), je suggère la combinaisons des algorithmes “Serpent-Twofish-AES“, qui permettra une vitesse d’écriture d’environ 70 Mo/s selon votre matériel. Pour des gros volumes, vous pouvez soit utiliser la même chose que précédemment, tout en assumant la vitesse lente de copie, ou alors opter pour un seul chiffrement comme par exemple “Serpent”, qui propose une vitesse moyenne d’écriture 130 Mo/s.

Personnellement, tous mes volumes utilisent “Serpent-Twofish-AES“, histoire n’être vraiment protégé. Les informations du volumes (mot de passe, etc) sont hachées, par l’algorithme de votre choix. Mon choix par défaut est “SHA-512″, développé par la NSA (oui, donc vous comprenez pourquoi je l’ai choisis !).

Il faut maintenant choisir la taille du fichier. A vous d’estimer combien de mémoire il vous faudra pour stocker vos fichiers confidentiels, sachant que pour un volume d’1 Mo, seuls 746 Ko seront disponibles.

Une fois votre fichier créé, il va falloir le “monter” avec Truecrypt. Dans la fenêtre principale, choisissez un slot de libre, puis cliquez sur “Select File“. En cliquant sur “Mount“, il vous sera demandé le mot de passe, et si besoin les clés SSL pour ouvrir le volume.

Copier vos fichiers dans ce volume reviendra à les chiffrer à la volée.

 

  • Utilisation de Truecrypt par la création d’une partition

Si vous souhaitez protéger des fichiers présents sur votre ordinateur, il serait préférable de créer une partition qui serait dédiée.

Le principe de création est le même que pour un fichier conteneur.

Le mieux est de disposer d’une partition au préalablement formatée en NTFS. Truecrypt se chargera de la reformater avec les algorithmes choisis. Si vous ne savez pas lesquels choisir, reportez vous au paragraphe précédent.

Attention cependant sous MS Windows où la partition apparaitra comme une partition non formatée. Une fois montée, pas de soucis accéder librement à vos fichiers ! Ne vous faites pas avoir !

La partition se monte également avec Truecrypt en cliquant sur “Select device“, puis en sélectionnant le périphérique voulu.

Personnellement, j’utilise cette méthode pour conserver sur mon ordinateur des fichiers sensibles.

Sachez toutefois qu’il faut démonter le volume une fois que vous quitter votre ordinateur :

  • Sous MS Windows, une déconnexion d’utilisateur n’entraine pas le démontage du volume, attention donc si vous utilisez des sessions !
  • Les fichiers étant montés sur l’ordinateur, restent à la merci de tout pirate ayant accès à votre ordinateur.

Il faudra donc éviter de mémoriser les mots de passe des volumes (en désactivant l’historique), ainsi que de les laisser ouverts.

Enfin, je vous conseille vivement un mot de passe long et compliqué (au moins 15 caractères avec des lettres, des chiffres et des symboles). Par exemple, une phrase mnémotechnique peut faire l’affaire. En effet, avec un outil de bruteforce il serait possible d’ouvrir le fichier ou périphérique au bout d’un certain temps. Plus votre mot de passe est long et dur, plus de temps il sera nécessaire pour accéder aux données.

 

  • Conclusion

Truecrypt est un logiciel de chiffrement à la volée parmi tant d’autres.. Pas de backdoor, et le code source est complètement ouvert à tous.

Sachez que l’application est également disponible en “application portable” et qu’il est possible (et même conseillé) de changer les mots de passe des volumes autant de fois que l’on souhaite.

Protéger ses fichiers est aussi important que de protéger ses informations personnelles.

Dans un environnement toujours plus “online”, il est plus que nécessaire d’utiliser ce type de solution. A bon entendeur !

 

[Edit] J’ai pris en compte vos commentaires, et je remercie des précisions qui m’ont été apportées. J’ai bien entendu corrigé le fait que Truecrypt n’est pas un logiciel reconnu comme libre. Merci de faire vivre ce blog !

 

 

 

 

 

  • bubu

    Une question : quelle différence entre truecrypt et encryptfs (paquet crypsetup sous ubuntu et debian créer une partition chiffrée se fait facilement par palimpset)

  • Hela

    Truecrypt n’est pas libre… http://fr.wikipedia.org/wiki/TrueCrypt

  • [email protected]

    Lit la 1ere phrase de ton article et tu verras que “Truecrypt est un logiciel libre”. Pour d’autres infos, vas sur le site officiel où tu pourras y trouver le code source.

  • [email protected]

    Effectivement, il existe cette alternative. Je me sert de ecryptfs pour chiffrer mon /home par exemple.
    mais le résultat est le même…

  • Jco

    Je suis pas tellement d’accord avec l’aspect “totalement anodin” d’une partition truecrypt, le déni plausible et tout le reste.

    D’une part si on cherche vraiment, on peut facilement trouver une partition truecrypt (présence du logiciel sur la machine, fichier volumineux ou partition existante “inutilisée” sur la machine, etc).
    Je crois même qu’une équipe de chercheurs a réussi à identifier des partitions truecrypt sur la base d’une analyse de leur structure (je ne retrouve plus le lien ni l’info malheureusement).

    Enfin, le déni plausible… Face à une menace physique (cas extrème) je doute que cela tienne longtemps. On peut par ailleurs crée un volume dans un volume, pour faire face à cette situation.

    Tout cela étant dit, j’utilise Truecrypt quotidiennement sur mon portable. J’y ai même déplacé mes profils thunderbird et firefox (mais il faut alors nécessairement ouvrir la partition avant de lancer ces programmes).
    On peut faire la même chose avec Outlook, sauf que ce dernier recrée un .pst si on le lance et que la partition n’est pas ouverte ! C’est alors la galère pour récupérer tous ses mails (fusionner le nouveau et l’ancien .pst, etc.).

  • http://idoric.free.fr/dotclear/ idoric

    > « Une solution très efficace, et open-source : Truecrypt. »

    Rien n’est moins sûr : http://en.wikipedia.org/wiki/Truecrypt#Licensing (voir les nombreuses références)

    Bien sûr (quand on connaît le passif de TrueCrypt), la licence a depuis (encore) changé, mais le cœur du problème est resté : la licence est peu claire et présente des incertitudes, et donc personne ne peut vraiment dire si elle est ou n’est pas open-source (à part un juge si un jour on lui soumet le cas), l’OSI ayant tout simplement jeté l’éponge…

  • http://tanguy.ortolo.eu/ Elessar

    La différence principale entre TrueCrypt et encryptfs/cryptsetup/dm-crypt/luks, c’est que le premier est multi-plateforme et moins bien intégré, alors que le second est spécifique et très bien intégré à Linux.

    Ensuite, une spécificité notoire de TrueCrypt est qu’il permet le déni plausible, je vous laisse chercher de quoi il s’agit…

  • florent

    Bon article, j’ai apprécié la lecture. A essayer prochainement.

    Cependant Hela a raison, être gratuit et avoir accès au source ne signifie ni opensource ni libre ! Et oui ; il ne faut pas confondre … Bon je suis d’accord faut suivre pour comprendre. Lire la partie licence de l’article wikipedia explique pourquoi (faut suivre les liens).

  • [email protected]

    merci à tous pour vos commentaires. je vais tâcher de corriger mes erreurs. Merci pour vos témoignages et explications intéressantes !

  • jakez

    Bonjour à tous ! J’ai crypté mon OS et une partion D: maintenant j’aimerais savoir si je peux faire un master du disque que je réplique sur d’autre ordi et avoir ainsi des systèmes crypté sur toute les machines ? rep par mail si quelqu’un a une solution ou autre logiciel a me proposer .

  • GILBERT

    la solution pour le deni de plausible, c’est donc d’avoir des fichier true crypt en mode conteuneur , stocker sur des hebergeur en ligne et jamais sur soi !! , deja ca evite de les avoir sur soi , et l’hebergeur ne peut pas voir aussi puisque il n’y pas la cle . , l

    le mechant ou l’etat qui voudrait voler vos donner devrait savoir que elle sont sur un site en ligne !! il fauderait donc qu’il esionne le pc et tout vos connection !! avant !!

    et pour chez soi d’avoir des partition true crypt , les disque etant vide , pres a etre formaté , pour les parano faudrait une combinaison de touche qui formate le disque dur au cas ou ! pour carrement rendre impossible la lecture puisque meme le code n’arriverait plus a rien ouvrir , puisque meme avec quelque donner ou si le mec stop le formatage que vous vener de lancer , la moindre donner perdu ou formate rendra pas possible l’ouverture du disque true crypt ( donne abimmer par le formatage classique ) , la difference entre un disque vide et un disque formate true crypt , puisque les donner sont aleatoire ? on peut toujour dire que le disque est neuf ! ou qu’on vient de l’avoir !!

    sinon ya aussi les keyfile , on peut placer les key file dans des endroit eloigné sur 2 personne ou endroit different , les placer sur une carte sd differente , ou bien meme sur son propre disque dur , il suffira de detruire ce fichier a l’aide d’un programme qui fait 35 pass , sans se fichier , les mec seront obliger d’attacker au brute force !! car le mot de passe ne suffira pas !on peut aussi foutre ces key file sur une carte micro sd , sous une perceuse , des que les intrue viennent saisir chez toi , destruction automatic du key file !!
    pour le reste le stockage ou la decompression des fichier se fait dans une zone de disque dur en ram , et voila , faudrat que les mec viennent a l’azote liquide refroidir la ram de ton , pc , , et temps bien meme , un petit coup de destructeur de fichier avec 35 pass en ram sa va super vite !!