Chiffrer un disque système Windows avec TrueCrypt

| Nb visites : 5 745 |

Alors ce soir, on va causer chiffrement (dans la limite du raisonnable). J’ai eu l’envie furieuse de reformater mon netbook et de jouer un peu avec les partitions chiffrées. Mais pas simplement chiffrer une bête partition ou une clé USB… non, faire tourner carrement son OS sur une partoche chiffrée… Du coup, j’ai immédiatement pensé à Truecrypt mais j’ai vite déchanté en voyant qu’on pouvait chiffrer uniquement des partoches Windows et pas Linux (J’ai Ubuntu sur mon netbook).

Du coup, j’ai décidé de tester les 2…

Un chiffrement système avec TrueCrypt sous Windows et un chiffrement avec LVM sous Linux… Chiffrer, c’est toujours cool pour protéger vos données si par exemple on vous vole votre ordinateur. A moins que le voleur devine le mot de passe, pas moyen de casser la protection dans des délais raisonnables si votre mot de passe est assez long et compliqué !

Aujourd’hui, on commence avec le tuto facile, celui qui permet de chiffrer votre ordi Windows. Attention, même si ça se passe bien dans 99% des cas, tout ceci n’est pas sans risque, donc pensez à backuper vos données (sur une autre partition ou clé usb chiffrée ?) pour éviter de tout perdre en cas de crash de la mort. Bien sûr, je ne serai pas responsable de vos maladresses hein… faut pas déconner

Allez, on commence !!! Il faut d’abord installer TrueCrypt.

Ensuite, nous allons créer un nouveau volume.

cap 2010 07 01 à 21.23.40 Chiffrer un disque système Windows avec TrueCrypt

Truecrypt nous propose alors de créer un simple conteneur chiffré, de chiffrer une partition qui ne contienne pas d’OS (genre une clé USB ou un second disque dur) ou une partition système. C’est cette 3ème option qui nous intéresse…

Truecrypt nous demande alors si nous voulons créer une partition normale ou cachée… La partition normale chiffrée est visible sur le disque. La partition cachée est quand à elle contenue dans une partition normale chiffrée et il est alors très difficile de la détecter. J’ai choisi normal pour laisser une chance au FBI

cap 2010 07 01 à 21.31.40 Chiffrer un disque système Windows avec TrueCrypt

Vous avez alors le choix de chiffrer tout le disque dur, c’est à dire toutes les partitions de ce disque, ou alors uniquement celle qui contient le système d’exploitation (ici Windows). Comme je n’ai qu’une partition sur cet machine et qu’elle contient l’OS, j’ai choisi « Encrypt the whole drive ».

cap 2010 07 01 à 21.32.15 Chiffrer un disque système Windows avec TrueCrypt

Sur certains disques dur, il existe une partition cachée qui est souvent utilisée pour stocker des softs constructeurs de gestion RAID ou de check disk..etc. Si votre PC a besoin de cette partition pour démarrer, choisissez « No ».

cap 2010 07 01 à 21.32.41 Chiffrer un disque système Windows avec TrueCrypt

Truecrypt vous demandera ensuite si votre ordinateur dispose de un seul OS ou de plusieurs (multi boot). A vous de voir…

cap 2010 07 01 à 21.32.55 Chiffrer un disque système Windows avec TrueCrypt

Choisissez ensuite l’algo de chiffrement et l’algo de hash… J’ai pris un AES mais si vous voulez plus de détails sur les algos, allez lire ça et ça.

cap 2010 07 01 à 21.33.13 Chiffrer un disque système Windows avec TrueCrypt

Choisissez ensuite un mot de passe assez costaud… Minimum 8 caractères (mais 10 c’est mieux) avec des lettres majuscules, minuscules, et des symboles (*%#@£`$_-…etc etc)

cap 2010 07 01 à 21.33.26 Chiffrer un disque système Windows avec TrueCrypt

Commence alors le process de sélection des clés de chiffrement… En bougeant votre souris de manière aléatoire à cette étape, vous générez les données qui serviront à chiffrer votre disque dur.

cap 2010 07 01 à 21.33.35 Chiffrer un disque système Windows avec TrueCrypt

cap 2010 07 01 à 21.33.42 Chiffrer un disque système Windows avec TrueCrypt

(Oui, je me suis foiré sur la taille de la flêche et j’ai eu la flemme de recommencer la capture…)

Viens ensuite la création d’un disque de récupération, qui vous permettra de restaurer votre partition si celle-ci est endommagée. Il vous faudra obligatoirement un CD vierge pour l’étape suivante…

cap 2010 07 01 à 21.33.50 Chiffrer un disque système Windows avec TrueCrypt

cap 2010 07 01 à 21.36.20 Chiffrer un disque système Windows avec TrueCrypt

TrueCrypt vous demandera ensuite comment effacer ou plutôt comment réécrire de manière chiffrée par dessus les données existantes afin d’éviter que les anciennes ne soient récupérables. Choisissez ce que vous voulez… Plus il y a de passes, plus ça prend du temps. Du coup, moi j’ai triché et j’ai mis « none » histoire d’aller plus vite.

cap 2010 07 01 à 21.38.10 Chiffrer un disque système Windows avec TrueCrypt

Et on reboooooooot afin que truecrypt puisse tester la faisabilité de tout ça sur votre ordinateur.

Dès le démarrage, le boot loader réclame le mot de passe…

cap 2010 07 01 à 21.39.34 Chiffrer un disque système Windows avec TrueCrypt

Et ensuite, on peut entamer le process de chiffrement. Même chose que précédemment, ça peut prendre un peu de temps. Soyez patient.

cap 2010 07 01 à 21.44.26 Chiffrer un disque système Windows avec TrueCrypt

cap 2010 07 05 à 11.32.58 Chiffrer un disque système Windows avec TrueCrypt

Et voilà… Dès que c’est fini, ça reste très transparent pour vous et la baisse de performances est tellement infime que ça ne se ressent pas. Votre ordinateur est maintenant complètement chiffré pour des yeux extérieurs un peu trop curieux.

Demain, on se fait la même chose mais pour Linux…

[Photo]

Je vous recommande aussi la lecture des sujets suivants

Faites un lien vers cette news sur votre site

Kasi

C’est toujours bien d’expliquer ça à des non initiés .

Posté le 5 juillet 2010 à 17:37:02

dededede4

Sous ubuntu, c’est proposé pendant l’installation.

Posté le 5 juillet 2010 à 17:55:55

Woot

Pour Linux certaines distributions (Debian, ..) proposent de chiffrer tout le système au moment de l’installation, c’est assez simple à faire.

Pour le faire sur un système déjà installé par contre il faut sérieusement mettre les mains dans le cambouis Et pour juste une partition non système ça reste assez simple.

Posté le 5 juillet 2010 à 17:58:33

ZDEDEDEDEXXX

Question : ça vaut le coup de chiffrer avec TrueCrypt tous ses films de vacances ? Je parle en terme de temps si on veut en récupérer un de temps en temps, etc
@+

Posté le 5 juillet 2010 à 17:59:18

Gyzmau

Je serais curieux de savoir l’impact que ca peut avoir sur les performances, si ca en a.

Merci

Posté le 5 juillet 2010 à 18:04:36

@ZDEDEDEDEXXX: Ça vaut le coup à partir du moment où ça te dérangerait que quelqu’un les voit si tu te fait voler ton portable / clé usb.

@Gyzmau: Dans le cas de dm-crypt / luks / etc sous Linux, presque pas. (Du CPU, négligeable par rapport à la latence d’un disque dur.) Pour True-Crypt je ne sais pas mais on peut s’attendre à des performances comparables.

Posté le 5 juillet 2010 à 18:08:51

somonflex

Coucou les paranos.

Posté le 5 juillet 2010 à 18:09:39

Fajr Breeze - Yuxx

bien expliqué ce tuto, merci pour les infos

Posté le 5 juillet 2010 à 18:12:54

@somonflex: L’autre jour avec les collègues on a emprunté ton portable pendant que tu étais pas là. On a adoré les photos de ta femme.

Posté le 5 juillet 2010 à 18:13:04

lemulot

@Woot: ah ah !
Mais un kikoo de 15ans n’a pas de femme

bon tuto.
Moi aussi je me demandais si sa avait un impact sur les perf’

Posté le 5 juillet 2010 à 18:30:15

Jarabe

Bonsoir,

Concrètement qu’est-ce que cela fait? Mise à part le bootloader qui demande un mot de passe, je prend l’exemple de la réponse de Woot à somonflex, j’oublie mon portable (chiffré avec le tuto à Korben) et quelqu’un en profite pour regarder mes photos/vidéos/etc, et alors? A chaque ouverture de fichier un mot de passe est demandé? Tant que ma session est ouverte tous mes fichiers sont accessibles on est d’accord mais étant chiffrés ça fait quoi?

Je ne vois pas très bien l’utilité de la chose dans le cas de cette réponse (Woot) par exemple…

Posté le 5 juillet 2010 à 18:32:03

netokee

Et par rapport a la mise en veille des ordi portable, ca fonctionne comment ??
Imaginons qu’on créé une partition crypté ou l’on va mettre son profil ?
Comment ca se passe lors de la sortie de veille ???

Posté le 5 juillet 2010 à 18:46:51

@Jarabe: Réponse B. Le mot de passe est demandé une seule fois au démarrage et tant que ta session est ouverte tous les fichiers sont accessibles en clair, comme une partition normale.

Posté le 5 juillet 2010 à 18:50:54

@netokee: La mise en veille prolongée copie le contenu de la mémoire sur le disque dur. À mon avis il n’est pas possible de chiffrer cette copie, donc c’est pas du tout une bonne idée d’autoriser un ordinateur à se mettre en veille pendant qu’une partition chiffrée est montée (« ouverte »).

Posté le 5 juillet 2010 à 18:55:02

La question est alors, comment sont gérés ces veilles, longues ou courtes, par les systèmes Linux cryptés……
Comment le sont elles avec une partition systeme Windows ?????
Personne ne m’a jamais vraiment répondu a cette question… toujours plein de « ca devrait »…… jamais de réponses clair….. et mon anglais n’est pas assez bon pour me taper les tutos techniques qui parlent de ce sujet……
L’idéal serrait une transparence quasi totale
Mais, le petit scarabée va continuer a chercher …. (toute aide serait la bienvenue aussi)

Posté le 5 juillet 2010 à 19:20:39

XeoN

Sinon il y a BitLocker natif sur seven(et vista pour les maso ^^)

avec la possibilité d’utiliser un TPM et donc avoir une total transparence car pas besoin de mot de passe.

Et l’intérêt de crypter son disque n’est pas particulièrement de le protéger de vos collègues ou de votre famille, mais plutot de ceux qui peuvent y accéder par internet.(et ne me dite pas moi j’ai un firewall donc osef, car quelqu’un qui veut vraiment vos données ne ce souci pas de ce genre de détails)

Posté le 5 juillet 2010 à 19:30:01

MJack

En cas de chiffrement complet de partition, que ce soit Windows ou Nunux, l’ensemble des données sur la partoche sont chiffrées.

Ce qui signifie que si le fichier d’hibernation est sur cette partoche, il est chiffré aussi.

Avec Linux, on peut aussi chiffrer le Swap. Avec Windows, il faut s’assurer que le swap est bien sur la partoche chiffrée.

Posté le 5 juillet 2010 à 19:30:58

azerty

TrueCrypt est une merveille ! Pour l’instant je ne l’ai utilisé que le mode « container », mais peut être que je crypterai le disque de mon os dans le futur … Je pense même que n’importe quel os devrait être entièrement chiffré par défaut. Il n’est pas normal qu’alors qu’on crée des comptes dans windows avec mot de passe, ce qu’on stocke a l’interieur soit en clair !

Petite question
- Que se passe t’il si on désinstalle TrueCrypt ?
Est ce qu’il fait le processus en sens inverse de déchiffrement du disque ?

Posté le 5 juillet 2010 à 19:37:10

Dans mes souvenirs, avec Truecrypt sous Windows, déchiffrer un disque impose de le monter, de copier l’ensemble des fichiers sur un autre support, et de reformater le disque.

C’est pas fait pour, quoi.

Une hypothèse, mais jamais testé : on monte le disque, on en fait une image (non chiffrée donc). On recopie cette image sur le disque via une distrib live, par exemple. Et enfin on reconstruit le MBR avec le CD d’install de windows. Je vois pas pourquoi ça déconnerai, mais bon… pas testé.

Posté le 5 juillet 2010 à 19:59:21

Tyo

Article très intéressant. Par contre j’ai une petite question.

Est-il possible de chiffrer l’ensemble de ses disques et dès qu’on se logue avec le truecrypt boot loader, il ouvre accès à tous les disques? Car si on veut chiffrer tous ses disques 1 par 1 et qu’à chaque fois qu’on redémarre le pc on est obligé de rentrer le mot de passe pour chaque c’est pas super pratique.

Je précise, je parle bien de disques pas de partition. J’en ai 4 dont 2 avec des données assez sensible.

Posté le 5 juillet 2010 à 20:31:50

K.

@korben

sous ubuntu / linux , si tu sépares ton home, tu peux l’encrypter de plusieurs manière, et il doit y avoir moyen avec truecrypt.

http://ubuntuforums.org/showthread.php?t=288919

Posté le 5 juillet 2010 à 20:32:18

Voila ce que ca donne : http://doc.ubuntu-fr.org/truecrypt#creer_un_home_encrypte_avec_truecrypt

pas testez : améliore et test qui veux …

Posté le 5 juillet 2010 à 20:40:17

stakhanov

Autre question : si par exemple on a un dual boot windows – Linux avec un bootloader comme GAG, et qu’on chiffre uniquement la partition windows, comment le bootloader de Truecrypt va-t-il interagir avec GAG ?

Posté le 5 juillet 2010 à 20:41:54

@netokee: Clairement, si tu as une partition cryptée, tu utilises pas la fonction veille. Sinon ça sert à rien de crypter. (Window / Linux / tout pareil.)

@XeoN: On ne doit pas parler de la même chose; je pense que tu te trompes.

@MJack: Sous Linux quand la swap est chiffrée la clé de chiffrement n’est stockée nul part, tu ne la connais pas, et elle est générée à la volée à chaque démarrage. Donc au prochain démarre impossible de lire la swap de la dernière session (et c’est bien le but). Donc tu ne peux pas y mettre le fichier d’hibernation. La seule solution serait, au démarrage, de déchiffrer une première partition contenant le fichier d’hibernation, charger les données du fichier, et continuer le démarrage. Mais ça me semble un peu acrobatique du point de vue du noyau, et je doute que ça soit possible. Tu tu mets le fichier d’hibernation sur la partition chiffrée, l’hibernation va peut être fonctionner; par contre le réveil non.

Posté le 5 juillet 2010 à 20:46:57

xeon77

@Woot: ba on parle bien de chiffrement?

Posté le 5 juillet 2010 à 21:07:14

Guicara

Je doute quand même que les performances soient identiques après chiffrement…
A tester dans un futur proche !

Posté le 5 juillet 2010 à 21:09:19

John Doe

Merci pour le tutorial

Si je comprends bien, le système est crypté quand le PC est éteint, et les données deviennent clair quand on se logue ?

Posté le 5 juillet 2010 à 21:24:55

Mjack

@Woot: Bon, OK j’dois être un gros blaireau, et mon Nunux y doit déconner, parceque chez moi ça fonctionne bien.

Pour les détails de sortie d’hibernation, la machine démarre normalement avec récupération des clés de chiffrement. La seule différence est qu’elle récupère bien le contenu de la RAM et le contexte d’exécution qui a été enregistré sur le disque. Ca permet bien de reprendre le boulot là où on l’a laissé sans avoir laissé la machine exposée.

Par contre la machine ne doit pas être laissée seule en cas de veille simple. En effet, à ce moment là :
- la machine n’est plus protégée que par le pass utilisateur ;
- les clés de chiffrement son dispo en RAM, même si très difficilement accessible (d’ailleurs si quelqu’un connait le moyen d’exploiter ce cas de figure et comment s’en prémunir, merci) ;

Je laisse le cas de Windows aux experts de cet OS.

Posté le 5 juillet 2010 à 21:28:14

tiphergane

@Gyzmau:

Ben écoute, moi sur un LAPTOP DELL E5500 j’ai pas de pertes en utilisation pure, mais lors des reprises apres une veille prolongée, la par contre ca coince un petit peu.

Avec TrueCrypt, il faut aussi se méfier du systeme d’authentification par clés. Une étude a prouvé qu’un attaquant peut retrouvé ou est la clé en tracant dans le code d’éxecution (donc le FBI et la police scientifique avec Hexedit Forensic)

Ensuite, il est plus que conseillé de faire au mininum le nombre de passe du DoD afin de bien « nettoyer » le disque pendant la création de la partition systeme cryptée (je conseille quand meme la méthode Guttman [30 Passes nldr]). Et de choisir ensuite un algo de bloc de 512 minimum.

Dans mon cas, avec un cryptage AES-TWOFISH-SERPENT (donc algo en cascade) le cryptage a duré 4h (pour 250 Go de disque), il faut rajouter a ca le temps du wipe (tout dépendra du nombre de passes).

Enfin un dernier point, en cas de partition cryptée la police (ou tout autre représentant de la loi) vous êtes obligés de donner la clé de décryptage, donc pour les données pro’ sur votre laptop qui sont « confidentielles » ca ira, car je ne vois pas quelqu’un ayant assez de moyen de pression.

Pour votre disque dur ou vous avez stocké toute vos vidéo de « vacances » partagée sur Torrent ou Mumule, je conseil quand même de faire un conteneur secret qui ne laisse AUCUNE trace de sa présence (même pour nos amis en uniformes).

A savoir, TrueCrypt (ou un équivalent, faut que je retrouve mes sources) était utilisé par la DGSE et la DST. Ce qui certifie donc le niveau de protection (voir même un peu oversized pour nos besoin).

Mais bon, si on commence a vraiment crypter son disque, on va continuer en cryptant systématiquement ses mails (ben oui on envoie nos lettre sous enveloppe par la poste non ?), on va utiliser zphone pour crypter ses conversations SIP (car sous ubuntu on peut facilement intercepter une conversation et le flux vidéo s’il y est), et peut etre que le wiki de korben entrera dans la loi Francaise comme wiki contestataire et interdit !

Je finirai donc juste avec la traduction d’une phrase de Phill Zimmerman que je trouve tellement vrai:

« Le jour ou la vie privée sera hors la loi, seul les hors la loi aurons une vie privée »

Posté le 5 juillet 2010 à 21:30:27

@John Doe: La partoche est complètement chiffrée. Qaund tu démarre et que tu donne la passphrase à Truecrypt, il va déchiffrer à la volée toutes les données lues sur la partoche.

Même principe sous Nux saux que c’est directement le noyau qui (dé)chiffre.

Posté le 5 juillet 2010 à 21:30:58

brazz

Bon, je ne sais pas en ce qui concerne Windows, mais pour Linux la vitesse apparente est la même. Ca m’a d’ailleurs toujours surpris.
En ce qui concerne le chiffrement, il faut insister sur deux choses: 1-d’abord celui de Truecrypt est particulièrement efficace puisque nous savons que même le FBI n’a pas pu le casser en plusieurs mois… 2- Truecrypt propose aussi l’option de déni plausible, c’est à dire du chiffrement dans le chiffrement, au cas où on aurait été obligé de donner son mot de passe (réquisition, torture,…)ainsi le volume caché-chiffré est à l’abri. Bien sur ça ne concerne pas tout le monde mais je trouve que c’est pas mal!

Posté le 5 juillet 2010 à 21:34:25

@brazz: pour la vitesse, un lien fort intéressant sous nunux : http://blog.wpkg.org/2009/04/23/cipher-benchmark-for-dm-crypt-luks/ . Il donne les débits de (dé)chiffrement mesuré de divers algos. A comparer à la vitesse de [lecture|écriture] de son disque.

On remarquera que aes (Rijndael) est très optimisé par rapport à Serpent / Twofish.

Attention, dans le lien donné les mesures faites par Franck ne sont pas valides.

Posté le 5 juillet 2010 à 21:46:50

debianuser6

Bonsoir korben, et tout les autres aussi ^^

Truecrypt existe bien sous Linux, y’a un zoli tar.gz ici -> http://www.truecrypt.org/downloads

Par contre, je n’ai pas testé, j’ai choisi de crypter comme ceci, après installation de ma Debian :

cryptsetup –verbose –verify-passphrase luksFormat /dev/gv/home etc …

Cordialement

Posté le 5 juillet 2010 à 21:47:08

J@Y

@Woot:
« To prevent the issues described above, encrypt the system partition/drive (for information on how to do so, see the chapter System Encryption) and make sure that the hibernation file is located on one the partitions within the key scope of system encryption (which it typically is, by default), for example, on the partition where Windows is installed. When the computer hibernates, data will be encrypted on the fly before they are written to the hibernation file. »

Cf http://www.truecrypt.org/docs/hibernation-file

Posté le 5 juillet 2010 à 21:54:08

Oui il existe pour Linux, mais il ne permet pas encore de chiffrer tout le disque : la partition de boot reste en clair, et le MBR n’est pas remplacé par celui de TrueCrypt.

Posté le 5 juillet 2010 à 21:56:36

@Guicara la performance dépendra du processeur, au pire une perte de quelque pourcent … c’est négligeable (comme un antivirus ou un firewall sous windows … )

Posté le 5 juillet 2010 à 21:56:50

aqwzsx

[Est-il possible de chiffrer l’ensemble de ses disques et dès qu’on se logue avec le truecrypt boot loader, il ouvre accès à tous les disques? Car si on veut chiffrer tous ses disques 1 par 1 et qu’à chaque fois qu’on redémarre le pc on est obligé de rentrer le mot de passe pour chaque c’est pas super pratique.

Je précise, je parle bien de disques pas de partition]

Quelqu’un aurait la réponse à cette question svp? Est ce que si c’est le même mdp sur notre disque système et sur d’autres disques TrueCrypt sais les monter tous d’un coup ou il faut le faire pour tous les disques séparément?

Posté le 5 juillet 2010 à 22:07:35

@aqwzsx: Il faut d’abord connaitre les limitations de Truecrypt.
1) Impossible de chiffrer des disques contenant des partitions logiques avec Windows XP/2003 ;
2) Impossible d’utiliser des disques dynamiques sous Windows ;

Une fois que tu as pris ça en compte, la meilleure solution est de chiffrer complètement le disque contenant Windows. Une fois le système chiffré, tu crées des volumes chiffrés sur l’ensemble des autres disques et configure leur montage automatique au démarrage.
Pour ne pas à avoir à taper les passphrases de chaque disque, tu utilises des keyfiles qui sont stockés sur le disque de l’OS.

Comme ça, au boot Truecrypt te demande ta passphrase. Ensuite le système démarre normalement. Tu rentres tes login/pass de session. Une fois ta session ouverte, Truecrypt utilise les keyfiles pour monter les volumes chiffrés couvrant les autres disques.

La doc complète : http://www.truecrypt.org/docs/

Posté le 5 juillet 2010 à 22:22:33

Vince

@aqwzsx:

[[Est-il possible de chiffrer l’ensemble de ses disques et dès qu’on se logue avec le truecrypt boot loader, il ouvre accès à tous les disques?]]

Oui, ça fonctionne très bien. Il faut que le mot de passe des volumes en question soit le même que celui du disque système chiffré.

Tu définis les volumes en question comme « volumes préférés » (voir l’aide) et dans « Settings », sous « Actions to perform upon log on to Windows » tu coches « Mount favorite volumes ».

Posté le 5 juillet 2010 à 22:35:02

@Mjack: Tu es certain que le fichier d’hibernation est chiffré ? Avec quel système ? (truecrypt, .., ?)

@J@Y: Ha donc TrueCrypt le fait alors, merci. Est-ce que les trucs qui sont en standard dans le noyau Linux le font aussi ? Parce que c’est resté impossible longtemps. Et j’avais l’impression que lors de l’initialisation du noyau, le moment où le noyau est capable de déchiffrer une partition ça commence à être trop tard pour restaurer l’hibernation.

@xeon77: Oui mais pas du tout des mêmes utilisations, visiblement.

Posté le 5 juillet 2010 à 23:14:51

Axel

J’aimerais savoir quel sont les meilleur (en terme de sécurité) algos de hash et de chiffrement

Posté le 5 juillet 2010 à 23:20:27

FireTrap115

Hello. Excellent tuto, bien expliqué, un step by step ficelé ! Thx

Posté le 5 juillet 2010 à 23:33:37

SocketOfDeath

je suis alle sur ce site

Ubuntu Privacy Remix

https://www.privacy-cd.org

Il est ecrit , je cite

For example software like Microsoft Office or Google Desktop, which create an unencrypted copy on hard disk when opening files from an encrypted TrueCrypt-Volume.
Or a trojan that waits for you to open a TrueCrypt-Container, mailing your sensitive files to someone else at the next opportuinity.
Or malicious software that logs your keystrokes, including the passphrase for your secret GPG-Key, and mailing it along with the key to some unknown attacker. Heor she could then read all your past and future Mails he/she gets his hands on.

la solution serait donc celle du live cd ??

quel est votre avis sur le sujet ??

Posté le 5 juillet 2010 à 23:59:38

Dd

Mouai, facile pour Linux : Par exemple à l’installation d’Ubuntu ils te demandent si tu veux chiffrer, tu coches la case et c’est fait .

Posté le 6 juillet 2010 à 00:23:00

Korben

@Dd: sur quelle version ? Parce que moi sur une 10.04 desktop classique je ne l’ai pas vu cette case… Par contre, c’est possible avec la version alternate

Posté le 6 juillet 2010 à 00:24:55

kasi

@Dd@Korben: Je crois que ça chiffre juste le /home : http://blog.rom1v.com/2010/05/chiffrer-son-dossier-personnel-home-sous-ubuntu/

Posté le 6 juillet 2010 à 00:26:20

artiflo

Salut korben,

J’ai fait pas mal d’article sur truecrypt en dual-boot, HOS, Rubber-analyse, etc.
Si tu veux t’en inspirer c’est ici : http://www.artiflo.net/category/chiffrement/truecrypt-chiffrement/

Si cela peut vulgariser, le chiffrement de disque alors que cela profite à tous le monde.

Posté le 6 juillet 2010 à 00:36:10

@kasi: ah yes ! et bien demain, on va tout chiffrer ))

Posté le 6 juillet 2010 à 00:37:04

@Korben: Pour que le tuto soit complet, n’oublies pas de préciser comment accéder au disque dur depuis un autre pc (pour récupérer des données en cas de crash du pc).

Posté le 6 juillet 2010 à 00:42:32

@Woot:

Oui. Le disque est totalement chiffré, swap compris. Le fichier d’hibernation est donc bien dans cet espace chiffré :

/dev/mapper/cryptdisk-root / ext4 errors=remount-ro 0 1
/dev/mapper/cryptdisk-swap none swap sw 0 0

Pour cela, LUKS inévitable, et LVM2 pour les volumes logiques.

@Axel:

Pour le chiffrement on a tendance à faire le plus confiance à Serpent.
AES (Rijndael) et Twofish suivent. Dans la pratique aucun des 3 n’a montré de vraies faiblesses pour l’instant.
Pour le hashage ont fait plutôt confiance à SHA512, SHA256, puis RIPEMD160. Les raisons sont plutôt obscures et dans la pratique c’est kif kif.

Disons que AES:SHA256 est particulièrement intéressant niveau performances, et c’est finalement ça qui aide à les départager.
Certains recommandent tout de même d’utiliser une clé de 512 bits avec AES, ayant des doutes sur le fait que Rijndael ait été secrètement partiellement cassé et poussé au standard AES pour cette raison.

Posté le 6 juillet 2010 à 00:53:34

Merci @Mjack et @Vince et à la citation de aqwzsx.
Pour la réponse

Posté le 6 juillet 2010 à 01:01:02

plop

L’alternate cd permet d’installer facilement dm-crypt luks sur un lvm chiffré avec une ubuntu.

Posté le 6 juillet 2010 à 04:48:24

hmztr

Mmm, ca va être chô du slip quand Mme Michu va m’appeler parce que sa progéniture aura suivi pas à pas ton tuto, mais qu’il ne se sera pas souvenu du mot de passe :]

« Mais, mais, vous comprenez, il y a toutes les photos de notre petit Kevin sur cet ordinateur m’ssieur.
- J’veux bien vous croire, mais votre troufion de gamin a crypté ça en AES, sans le mot de passe, j’peux rien pour vous
- Mais puisque je vous dis qu’il y a toutes les photos de notre petit Kevin…
- … »

Posté le 6 juillet 2010 à 06:37:56

gluttony

Merci pour ce tuto, je voulais le faire sur mon PC mais la flemme de chercher un tuto, du coup Korben l’a fait
Sinon niveau mot de passe quand j’ai un zip à faire avec mot de passe par exemple je vais sur ce site: http://strongpasswordgenerator.com/ est-ce que quelqu’un sait pourquoi les tailles 7 et 14 sont recommandées ?
Merci,
G.

Posté le 6 juillet 2010 à 09:00:36

bubba

@Mjack

pour les attaques coldboot je pense qu’on peut raisonnablement ignorer la menace. obtenir un acces physique a la machine, recuperer la ram, la refroidir si on a pas un acces immédiat au lecteur (une autre machine par exemple) puis extraire les clefs. on est franchement dans le james bond, et si on en est a considerer ça comme une menace réelle et serieuse (donc qu’on s’est deja prémuni des 99.99% menaces plus plausible) jvois plus vraiment ce qui sauvera tes données.
je suis plus inquiet au sujet des evil maiden like (cf http://theinvisiblethings.blogspot.com/2009/01/why-do-i-miss-microsoft-bitlocker.html) ou des attaque DMA. on a toujours besoin d’un acces physique, mais le scénario est suffisament simple a mettre en oeuvre et peu couteux en ressource pour que ce puisse etre une menace corporate credible.

Posté le 6 juillet 2010 à 09:35:49

steph

Salut,

en effet il est indispensable de chiffrer tout le disque et nom pas que le /home !

Dans ma boite (full linux) nos laptop sont chiffrer avec LUCKS et la perte de performance est estimé a 10% en moyenne. Si on passes les disque des laptop de 5400 tour/min a 7200 tour/min on gagne 30% de perf. alors sa compense très largement la perte de performance du chiffrement.

Posté le 6 juillet 2010 à 10:33:10

Wifi-Securite.com

Merci Korben, je fais ça dès ce soir !

Posté le 6 juillet 2010 à 12:39:53

bigLose

Salut les experts !

Je viens de voir que dès que je met mon ordi en veille prolongée, quand je le relance le bootloader me demande à chaque fois le mdp de truecrypt ! Dans ce cas il me semble que le pass du compte windows est redondant et qu’il ne sert plus à rien n’est-ce pas ?

Merci
Bye

Posté le 6 juillet 2010 à 14:04:10

Bon je me répond à moi même après quelques tests : en fait le mot de passe du compte windows est utile seulement si vous prévoyez de fermer votre session (touche windows+l) sans mettre l’ordi en veille. Si a l’inverse vous ne faites jamais ça et dès que vous n’utilisez plus votre pc vous le mettez en veille, le mot de passe windows est inutile.

J’ajoute que la baisse de perfs au niveau du disque système est négligeable, on ne se rend compte de rien lors d’une utilisation normale. Par contre quand on fait une copie entre disque chiffrés, ça va à peu près 3 ou 4 fois moins vite que la même opération sur des disques non chiffrés !

Posté le 6 juillet 2010 à 16:13:40

herss

Merci pour cet excellent tutoriel, mais j’aurais deux petites précisions à demander :

1/ Y a t il un interet à creer une partition cachée? Car si j’ai bien compris, ca va aboutir à une perte de données au final car cette partition est dans une autre…

2/ Il est dit : « Sur certains disques dur, il existe une partition cachée qui est souvent utilisée pour stocker des softs constructeurs de gestion RAID ou de check disk..etc. Si votre PC a besoin de cette partition pour démarrer, choisissez « No ». »

Mais comment puis je savoir si c’est mon cas ? Dans l’ignorance, puis je quand même cocher « no » sans perdre en confidentialité ?
Merci

Posté le 6 juillet 2010 à 16:46:16

Pour ta question 1 l’intérêt de la partition cachée est que si pour une raison ou une autre on te force à révéler le mot de passe de la partition (police, justice ou menaces par exemple ta femme te dit « ouvre la partition maintenant pour faire voir qu’il n’y a pas de truc de cul sinon je te quitte ») tu donnes le mot de passe bidon qui montrera uniquement les fichiers que tu as choisi de montrer … et il sera impossible à quiconque de prouver que d’autres fichiers existent dans cette partition, seul toi pourra y accéder avec le bon mot de passe ! Super comme truc.

Pour ta question 2 je ne sais pas trop. Moi j’ai choisi de tout crypter mais j’ai vu qu’il a effectué un test après que j’ai choisi cette option donc peut être que TrueCrypt a vérifie que c’était bon et qu’il aurait gueulé si ce n’était pas le cas … Mais je n’en suis pas sur !

Posté le 6 juillet 2010 à 16:55:47

Ah daccord, merci beaucoup de cette petite précision, à vrai dire j’ai un peu peur de crypter tout mon ordi, j’ai peur de ne plus pouvoir l’utiliser ensuite donc je fait bien attention à ce que je fait, surtout que je ne suis pas hyper balèze non plus en informatique

Posté le 6 juillet 2010 à 17:15:08

Happi_Meal

Alors @Korben il arrive ce tuto sur Linux ? C’est que je suis intéressé moi !

Posté le 6 juillet 2010 à 20:51:33

@Happi_Meal: il peut pas là… occupé à essayer de retrouver sa clé de chiffrement

Posté le 6 juillet 2010 à 22:44:48

Caes

il n’y a (ou avait) pas une faille avec l’authentification “pre-boot” de la partition système avec Truecrypt sous Windows ?

Source : http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html

Traduction en FR : http://prox-ia.blogspot.com/2010/02/lauthentification-pre-boot-nest-pas.html

Posté le 6 juillet 2010 à 23:06:30

@Caes: Oui, effectivement, cette faille est connue et exploitable assez facilement.

Le défaut vient du fait que le chiffrement n’est pas « total ». Le MBR et le loader de Truecrypt ne sont pas chiffrés et donc accessibles et modifiables. Une fois modifiés on en fait ce qu’on veut.
D’où l’intérêt de calculer un hash des premiers secteurs du disque qui sera comparé à un hash stocké dans la zone chiffrée à chaque démarrage. En cas de changement il faut envisager que la machine ait été corrompue.

Le problème n’existe pas avec un chiffrement complet de linux, avec /boot sur clé usb. Une fois la clé USB retirée, tout est chiffré à 100% et aucune modification n’est envisageable. Evidemment il est primordial de garder la clé sur soi pour éviter qu’elle ne soit attaquée de la même manière.

@bubba: Tout à fait d’accord. J’envisageai plutôt la possibilité pour un attaquant de lancer un soft en sortant la machine de veille, mais sans se loguer. Et de là réussir à accéder à la clé en RAM. Il y avait l’attaque via Firewire à une époque (http://www.whatsmypass.com/winlockpwn-access-through-firewire), alors pourquoi pas ?

Posté le 6 juillet 2010 à 23:41:14

@Happi_Meal: Tiens c’est cadeaux Windows + Linux chiffré http://www.artiflo.net/2009/05/dualboot-os-fde-windows-chiffre-linux-chiffre/ Bon il a plus d’un 1 ans.

Posté le 6 juillet 2010 à 23:43:40

tutelacool

Alors @Korben il arrive ce tuto sur Linux ?

Posté le 7 juillet 2010 à 00:16:19

TrueCrypt | Fansub Streaming - Actu numérique, Japon et streaming de fansubs

[...] vous voulez chiffrer un disque Windows, Korben m’a pris de vitesse. Pas grave, son tuto est très bien foutu. Son futur tuto pour Linux sera complet lui aussi, pas la [...]

Posté le 7 juillet 2010 à 01:13:53

Petite question, une fois qu’on a entré son mot de passe au boot est qu’on est sous Windows, y-a-t’il moyen, de la même manière qu’on locke sa session Windows, de repasser en mode sécurisé de TrueCrypt ? Ou c’est uniquement quand le PC est éteint qu’on est protégé des vilains ?
Merci,
G.

Posté le 7 juillet 2010 à 11:12:27

[une fois qu’on a entré son mot de passe au boot est qu’on est sous Windows, y-a-t’il moyen, de la même manière qu’on locke sa session Windows, de repasser en mode sécurisé de TrueCrypt ? Ou c’est uniquement quand le PC est éteint qu’on est protégé des vilains ?]

Oui si tu ferme ta session puis que tu met ton ordi en veille prolongée tu repasse en sécurisé puisque quand tu ressort du mode veille ça te redemande ton password TrueCrypt. Mais il faut mettre en veille, la fermeture de session ne suffit pas puisque si tu ferme et rouvre une session sans passer par le mode veille ca ne te redemande pas ton password TrueCrypt !

Posté le 7 juillet 2010 à 15:28:15

mister

Dites, quand on chiffre la partition système TrueCrypte nous demande de graver un recovery disk mais est-ce que ce disque est lié a mon disque système ou est ce que le disque est générique.

En gros si je dois chiffrer les partitions systèmes de 10 ordis est-ce que je dois créer 10 disques de recovery ou 1 seul suffit …. ???

Si quelqu’un était capable de me répondre
Merci d’avance

Posté le 7 juillet 2010 à 17:08:16

Comment chiffrer une partition système Linux (ici Ubuntu)

[...] ce premier tuto qui explique comment chiffrer une partition système Windows avec Truecrypt, j’en viens directement à mon but premier : Le faire sous linux… enfin, sous Ubuntu [...]

Posté le 7 juillet 2010 à 20:26:57

Grâce à cette page j’ai trouvé la réponse à ma question http://www.truecrypt.org/docs/?s=rescue-disk. Un recue disk est nécessaire pour chaque partition chiffrée, et un disque doit être regénéré si on change le pass de notre partition !

Posté le 8 juillet 2010 à 00:55:55

@bigLose: Merci pour l’info.

Posté le 8 juillet 2010 à 09:09:58

blacksith

Bonjour à Toutes et Tous,
une question de novice, durant le chiffrement du disque est il possible d’utiliser le pc ? Ou il faut attendre la fin du chiffrement ?
Merci d’avance !

Posté le 8 juillet 2010 à 11:59:45

Posté le 8 juillet 2010 à 12:51:33

[une question de novice, durant le chiffrement du disque est il possible d’utiliser le pc ? Ou il faut attendre la fin du chiffrement ?]

Pour un disque de 500Go en Wipe mode 3-pass ça prend environ 15 heures. Et pendant ce temps tu peux utiliser le pc normalement. Tu peux même mettre le chiffrement en pause et reprendre le lendemain par exemple.

Posté le 8 juillet 2010 à 15:02:31

Merci pour l’info bigLose !

Posté le 8 juillet 2010 à 15:50:47

Gilles

C’est compatible avec le bootloader de Vista / Seven ?
Ça se lance quand la demande de mot de passe ?

Car j’ai envie de crypter tout le disque d’un coup (3 partoches Windows).

Pour info, si je formate c: et que j’essaye d’installer un autre OS c’est plantage car ça me sort bootmgr missing machin et j’ai pas envie de crypter mes disques et au redémarrage ça plante et je peux plus y accéder

Posté le 9 juillet 2010 à 00:06:35

[C’est compatible avec le bootloader de Vista / Seven ?]
Oui

[Ça se lance quand la demande de mot de passe ?]
Après le test POST (http://fr.wikipedia.org/wiki/Power-On_Self-Test) et avant le boot de windows. Mais aussi après la reprise d’une mise en veille.

Posté le 9 juillet 2010 à 15:36:37

SVP j’ai besoin d’aide ! Qui peut me dire comment faire pour monter automatiquement des partitions chiffrés, ça ne fonctionne pas et pourtant j’ai l’impression d’avoir fait tout comme il faut !

1) J’ai chiffré mon disque système (C:)
2) J’ai chiffré un disque non système (E:)

La partition E: a le même mot de passe que la partition C: ! J’ai monté le volume E: dans TrueCrypt puis j’ai choisi « Volumes -> Save Currently Mounted Volumes As System Favorites » ! Ensuite dans « Settings -> System Favorites Volumes » j’ai coché « Mount system favorites volumes when windows starts (in the initail phase of the start procedure ».

Seulement quand mon windows démarre le disque E: n’est pas monté !
SVP need help !

Posté le 9 juillet 2010 à 19:08:41

Quick & Dirty (17) « Journal du Hack

[...] se penche sur le cryptage des données de disque dur sous Windob et Linux (Ubuntu). J’achète! (si il y a un jour sur Mac se serait tip top!); pendant ce [...]

Posté le 11 juillet 2010 à 17:04:37

Geek De France.fr » Blog Archive » Cryptez vos disques durs (Windows & Linux)

[...] Tuto Windows [...]

Posté le 12 juillet 2010 à 16:56:05

Pi-R

Bonjour à touT (windowsien, linuxien et mactien)

j’ai un macbook avec une partition systeme et une partition données, ainsi qu’une partition windows créée avec Bootcamp.
Je voudrais savoir si c’est possible de chiffrer chaque partition, et continuer d’avoir acces à ma partition windows en étant sous mac ou ma partition données en étant sous windows.
Et si possible que les partitions soient automontées aprés le déamrrage ?

MERCI !!

Posté le 14 juillet 2010 à 12:30:00

Au secours !

J’ai fini le chiffrement après 35 passes, et TrueCrypt refuse au démarrage mon mot de passe, alors que je suis sur qu’il fonctionne car j’ai fait une pause et j’ai une fois différer mis mon mot de passe et l’ordinateur avait redémarré avec le mdp sans soucis. J’ai un message : « if you are sure the password is correct the key data way be damaged. if so use « repair options » « restore key data ».
J’ai fait tout ceci et dans restore key data je rentre mon mot de passe (dont je suis sûr) et toujours le même message incorrect password.
J’ai un besoin urgent de mon pc pour communiquer avec mon fiston merci de m’aider, comment virer truecrypt ou tout autre solution je m’arrache les cheveux, merci pour votre aide !!!

Posté le 17 juillet 2010 à 16:10:59

@blacksith

Quand tu fait le chiffrement de ta partition système, truecrypt te demande de graver un « Recovery Disc ». Avec celui ci tu peut booter truecrypt si le boot de ton ordi est endommagé. Et si tu est sur du mot de passe ca marchera …

Posté le 18 juillet 2010 à 01:19:26

@bigLose:

Merci pour ta réponse, j’ai utilisé le Recovery Disc et c’est à ce moment là qu’il m’indique le message key data be damaged, et là rien à faire pour le récupérer. J’ai reformaté mon pc avec les outils systèmes de mon HP car j’avais besoin de communiquer avec mon fils en webcam qui est hospitalisé dans une bulle. Merci à Toi quand même.

Posté le 18 juillet 2010 à 11:17:51

C’est que tu as du faire une erreur quelque part (mot de passe mal tapé ?) ou je ne sais pas quoi car TrueCrypt est vraiment fiable comme truc !

Posté le 18 juillet 2010 à 17:22:16

Merci pour ton message, mais j’étais assez sur de mon mot de passe car en redémarrant le pc auparavant en faisant une pause du chiffrage cela fonctionnait.
Je ne sais vraiment pas ce qu’il y a pu arriver !

Posté le 18 juillet 2010 à 23:32:38

Sinon pour des geeks vous avez pas l’air trop au courant…
Y a vraiment personne qui pourrait me donner une réponse pour mes questions 5 ou 6 post plus haut ??

Posté le 20 juillet 2010 à 15:07:44

Sandrinej: Personnellement, je teste la version bêta de Firefox 4 depuis le tout début, et j’ai toujours le...
charliejade: Euh… J’ai fait à l’instant une vérification de la conservation ou non des données EXIF...
TabDambrine: @Jipi’s: L’exemple n’est pas si mal choisi car même si on paie l’eau en effet, elle...
gougou74: Bonjour. je possède un aCER F900 sous windows mobile 6.1, et j’aimerais également passer sous...
Jipi's: @Koladz, je sais pas où tu vis mais chez moi l’eau n’est pas gratuite, on paye un abonnement tous...

Je vous recommande aussi la lecture des sujets suivants

Faites un lien vers cette news sur votre site

91 commentaires

Kasi

dededede4

Woot

ZDEDEDEDEXXX

Gyzmau

Woot

somonflex

Woot

lemulot

Jarabe

netokee

Woot

Woot

netokee

XeoN

MJack

azerty

MJack

Tyo

K.

K.

stakhanov

Woot

xeon77

John Doe

Mjack

tiphergane

Mjack

brazz

Mjack

debianuser6

J@Y

azerty

K.

aqwzsx

Mjack

Vince

Woot

Axel

FireTrap115

kasi

kasi

Mjack

Tyo

plop

hmztr

gluttony

bubba

steph

bigLose

bigLose

herss

bigLose

herss

Happi_Meal

MJack

Caes

Mjack

tutelacool

gluttony

bigLose

mister

mister

gluttony

blacksith

blacksith

bigLose

blacksith

bigLose

azerty

Pi-R

blacksith

bigLose

blacksith

bigLose

blacksith

Pi-R