[Ubuntu-QC] Encrypter les données ?

Fabián Rodríguez magicfab at ubuntu.com
Dim 15 Mai 04:06:01 UTC 2011


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 05/14/2011 06:20 PM, Yannick Pavard wrote:
> Bonjour,
> 
> Est ce que quelqu'un connait quelque chose concernant l'encryption des
> données sous Ubuntu ? Est ce facile à mettre en place, fiable, quels
> sont les contraires, etc...
> 
> Merci d'avance
> 

Il y en a long à dire...

Personellement je classe me besoins en 3 catégories:
1- Chiffrement de fichiers (avec OpenPGP)
2- Chiffrement de répertoire personnel (Encrypted Home Directory)
3- Chiffrement complet (Full Disk Encryption)

1 & 2 sont disponibles avec toutes les versions d'installateur. 3 est
seulement disponible avec l'installateur Alternate (ou les versions
DVD). Cependant il y a une discussion[1] et un bug[2] pour rendre 3
disponible sur les LiveCD :)

Personellement j'utilise 3 pour mes besoins personnels (ordi familial et
perso), et 2 sur chaque poste où j'ai un compte à protéger des autres
usagers (ex: compte "support" pour un poste publique). Parfois je
combine. Attention si tu chiffres le disque complet de l'ordi familial -
quitte pas vers une île sans accès Internet sans partager le mot de
passe avec ta conjointe :D (j'avais prévu le coup).

J'utilise rarement 1 à moins d'avoir affaire à des fichiers de mots de
passe ou des fichiers en transit (courriel/stockage externe/cloud). "Ça
dépends!". Il y a qqs. années j'avais écrit un guide sur le chiffrement
avec Thunderbird[3]. Maintenant il y en a plusieurs autres en ligne!

Côté fiabilité dis-toi qu'il y a toujours plus de risque plus tu ajoutes
des couches de complexité à ton schéma de sécurité. En cas de panne
matérielle par exemple, des outils de récupération de données ne seront
pas très pratiques... un bon backup (chiffré aussi pourquoi pas) n'est
pas en option.

J'utilise 3 aussi pour tout mon stockage externe, c'est assez simple
(proposé dans System > Admin. > Disk utility ou par ligne de
commande[4]). Quand on réinsère un dispositif USB ainsi chiffré, Ubuntu
présente une jolie question pour le mot de passe, c'est très réussi. Ça
fonctionne par défaut et automatiquement avec un LiveCD donc je ne me
soucie même plus de compatibilité avec Windows mais si tu es curieux va
voir le projet FreeOTFE[5].

Pour 3 c'est assez facile à mettre en place mais on doit le faire à
l'installation - convertir un disque non-chiffré en chiffré se fait bien
par ligne de commande mais faut faire ça sans stress ni enfants autour
:) Concernant la fiabilité de cette méthode rien ne vaut un bon backup
(au risque de me répéter)... le seul problème que j'ai eu par le passé
était d'upgrader Ubuntu et me retrouver sans partition root du à des
bugs dans cryptsetup (!)[6]. Ça fait ch... mais depuis 3 versions je
n'ai pas ce problème.

Pour 2 tu peux le faire à la création d'un usager par interface
graphique ou tu peux convertir un répertoire home existant d'un usager
en répertoire chiffré - c'est bien expliqué dans la doc officielle[7].

Je te suggère d'essayer, tester et retester et surtout des backups avant
de chiffrer des trucs importants à triple tour. Surtout ne chiffre
jamais qq chose avec un mot de passe compliqué que tu n'as noté nulle
part et dont tu ne te sers jamais - il y a une option "always remember
this passphrase" pour le chiffrement complet de disques que je n'utilise
jamais, ça m'oblige à me rappeler de ces mots de passe. Je compte pas le
nombre de fois que j'ai vu des utilisateurs chiffrer des trucs (ou créer
des clés OpenPGP, SSH, etc.) avec des mots de passe
ultra-sécuritaires... qu'ils oubliaent immédiatement!

Je suis curieux d'entendre la réponse de Marc Deslauriers, car la
sécurité et plus son domaine que le mien si je ne me trompe pas.

Si ça intéresse qq'un parmi mes ateliers conférences j'en donne un pour
démystifier les aspects de la sécurité personnelle à l'aide de logiciels
libres[7].

Pour terminer, si qq'un se demande pourquoi devrait-on chiffrer nos
données... je dirais simplement "parce qu'on peut" :)

Bonne lecture!

A+

Fabian


[1] http://ubuntuforums.org/showthread.php?t=1752568
[2] https://bugs.launchpad.net/ubuntu/+source/ubiquity/+bug/245399
[3]
http://www.fabianrodriguez.com/blog/2005/01/30/guide-pour-chiffrer-son-courriel-avec-enigmail-et-thunderbird
[4]
http://www.fabianrodriguez.com/blog/2009/01/21/easy-removable-storage-encryption-that-works-with-hardy-and-intrepid
[5] http://www.freeotfe.org/
[6]
https://bugs.launchpad.net/ubuntu/+source/cryptsetup/+bug/428435/comments/59
[7] https://help.ubuntu.com/community/EncryptedHome
[8]
http://www.fabianrodriguez.com/blog/2004/11/28/computer-security-lecture-at-atwater-library

- --
Fabián Rodríguez
http://wiki.ubuntu.com/MagicFab
~
Local Community ("LoCo") team contact pour Ubuntu Québec
http://wiki.ubuntu.com/QuebecTeam

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: PGP/Mime available upon request
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk3PUSkACgkQfUcTXFrypNWZGQCg5hUG6yCOudGoFDwZw2Lg16Ud
X5EAoOsOfJRErhGB2Vum3l9DE7HUW+fg
=WtNP
-----END PGP SIGNATURE-----



Plus d'informations sur la liste de diffusion Ubuntu-quebec