Guide d'autodéfense numérique

Si on souhaite mettre sur un support de stockage (disque dur, clé USB, etc.) uniquement des données chiffrées, il va falloir que le système d’exploitation se charge de réaliser « à la volée » les opérations de chiffrement et de déchiffrement.

Ainsi, chaque fois que des données devront êtres lues du disque dur, elles seront déchiffrées au passage afin que les logiciels qui en ont besoin puissent y accéder. À l’inverse, chaque fois qu’un logiciel demandera à écrire des données, elles seront chiffrées avant d’atterrir sur le disque dur.

Pour que ces opérations fonctionnent, il est nécessaire que la clé de chiffrement se trouve en mémoire vive aussi longtemps que le support aura besoin d’être utilisé.

Par ailleurs, la clé de chiffrement ne peut pas être changée. Une fois que cette dernière a servi à chiffrer des données inscrites sur le disque, elle devient indispensable pour pouvoir les relire. Pour pouvoir changer la clé, il faudrait donc relire puis réécrire l’intégralité des données du disque…

Pour éviter cette opération pénible, la plupart des systèmes utilisés pour chiffrer les supports de stockage utilisent donc une astuce : la clé de chiffrement est en fait un grand nombre, totalement aléatoire, qui sera lui-même chiffré à l’aide d’une phrase de passe1. Cette version chiffrée de la clé de chiffrement est généralement inscrite sur le support de stockage au début du disque, « en tête » des données chiffrées.

Avec ce système, changer le code d’accès devient simple, vu qu’il suffira de remplacer uniquement cet en-tête par un nouveau.


  1. Le système LUKS, utilisé sous GNU/Linux, permet même d’utiliser plusieurs versions chiffrées de la clé de chiffrement. Chacune de ces versions pourra être chiffrée avec une phrase de passe différente, ce qui permet à plusieurs personnes d’accéder aux mêmes données sans pour autant avoir à retenir le même secret.