Chiffrer des données

MALGRÉ un mot de passe-utilisateur, il suffit d'extraire le disque dur où se situe la partition /home/toto pour monter et lire le répertoire entier. Il est donc précautionner de chiffrer la partition de l'utilisateur. Et encore bien plus un disque dur externe ou une clé contenant des données sensibles.

0. Mots de passe

Un chiffrement nécessite un mot de passe. Pour qu’un mot de passe soit solide :

1. ne pas utiliser de noms propres de son entourage, d’animal domestique…
2. ne pas utiliser de mots prédictibles, comme «moi», «moimoi», «amour» ni de gros mots ; une étude du dernier millénaire a montré que beaucoup de naïfs utilisaient un mot scatologique enfantin.
3. les noms communs permettent une attaque par épuisement d’un dictionnaire¹
4. utiliser un mot de passe long, avec majuscules, minuscules, chiffres et symboles rend difficile une attaque qui tente tous les mots de passe possibles²

Notes

1. Un dictionnaire contient plusieurs dizaines de milliers de mots, ce qui est dérisoire pour une application de craquage.
2. Un mot de cinq minuscules permet près de douze millions (26⁵) de possibilités, ce qui est à peine mieux. En mélangeant majuscules, minuscules, chiffres et symboles parmi une dizaine &@#!?=§+-*, on arrive à près de deux milliards (72⁵). En portant un tel mot de passe à dix caractères, on approche des quatre milliards de milliards (72¹⁰).

1. Chiffrer un fichier

LibreOffice

LibreOffice permet de crypter un document lors de sa première sauvegarde (en bas à gauche: cocher «Enregistrer avec mot de passe». Pour un fichier déjà enregistré sans mot de passe : enregistrer le document avec «Enregistrer sous…» en réutiliant le même nom (LibreOffice vous fera remarquer qu'un fichier sous ce nom existe déjà). Je ne connais pas l'efficacité du chiffrement.

ccrypt

Cette application en mode console permet d’encrypter et de décrypter très facilement un fichier, mais il faudra probablement l’installer (Debian et dérivées) au préalable.

ccrypt topsecret demande deux fois le même mot de passe, encrypte et sauvegarde le résultat sous le nom de fichier topsecret.cpt. Le fichier original non crypté topsecret est effacé.

ccrypt -d topsecret.cpt (-d pour «décrypter») demande le mot de passe, décrypte et restaure le fichier topsecret en effaçant topsecret.cpt.

ccrypt -c topsecret.cpt (-c pour «console») demande le mot de passe et affiche le contenu décrypté d’un fichier-texte sur la sortie standard (habituellement la console ; inutile pour un fichier binaire), en conservant le fichier crypté topsecret.cpt. C’est la meilleure façon de prendre connaissance d’un contenu sans l’endommager. Pour effacer ce qui a été affiché sur la console : clear.

Pour information, ccrypt utilise l’algorithme «Rijndael», réputé très sécurisé, pour autant que le mot de passe soit solide.

Note : aescrypt -c topsecret et aescrypt -d topsecret semble fonctionner de la même façon et semble utiliser le même système d’encodage, mais il ne figure pas dans la logithèque de Debian 12 Bookworm.

gpg

gpg -c monfichier.txt produit le fichier crypté monfichier.txt.gpg sans effacer l'ancien.

gpg -d monfichier.txt.gpg affiche le fichier clair sur la console

gpg -d monfichier.txt.gpg > ccc.txt produit un fichier décrypté

3. Chiffrer un disque

Le chiffrement proposé est LUKS (Linux Unified Key Setup), qui doit être installé. Le chiffrement d'une partition nécessite son formatage, ce qui signifie l’écrasement des données.

À la console

Installer cryptsetup, qui permet l’utilisation de luksformat (sd_ est l’appareil à formater: sdb, sdc…) :

luksformat --type ext4 /dev/sd_

Affichage de :

ATTENTION !
===========
Cette action écrasera définitivement les données sur /dev/sd_.

Répondre YES si vous êtes sûr·e que sd_ est bien le disque ou la partition que vous voulez formater pour la chiffrer.

Saisissez la phrase secrète pour /dev/sdb :
Vérifiez la phrase secrète :

(«vérifiez» signifie la saisir une seconde fois) et puis attendre. Ensuite retirer et remettre le média et regarder ce qui apparaît dans /media/toto (pour l’utilisateur toto)

Interface graphique

En GNOME (et Mate-Desktop), il suffit d’utiliser l’accessoire «Disques» (du paquet gnome-disk-utilities, probablement à installer), qui s’affiche dans le menu du Bureau.

• lancer l’accessoire
• brancher la clé USB ou le disque dur externe
• le disque apparaît dans la liste à gauche, cliquer dessus
• il est possible qu’il faille d’abord détruire la partition
•  +  permet la création d’une partition
• cocher «Disque interne à utiliser avec les systèmes Linux uniquement (Ext4)»
• cocher «Volume protégé par mot de passe (LUKS)» (qui n'apparaîtra peut-être que si LUKS est installé)
• lancer le formatage en cliquant  Suivant 

À faire

• encfs chiffre des répertoires
• veracrypt ou luks/clevis chiffrent des partitions