Guide d'autodéfense numérique

Nous allons maintenant aborder le chiffrement d'un périphérique, afin d'y stocker des données de manière chiffrée.

Une fois un disque chiffré, les données qu’il contient ne sont accessibles que lorsqu’on a tapé une phrase de passe permettant de le déchiffrer. Pour plus d’informations là-dessus, consultez la partie sur la cryptographie.

Une fois la phrase de passe saisie, le système a accès aux données du disque dur en question, il ne faut donc pas taper cette phrase de passe n’importe où, mais seulement sur les ordinateurs et les systèmes dans lesquels on a suffisamment confiance.

En effet, non seulement ceux-ci auront accès aux données déchiffrées, mais des traces de la présence du disque dur seront également gardées sur l'ordinateur. C'est pourquoi nous vous conseillons de l'utiliser sur un système GNU/Linux chiffré ou un système live amnésique.

Il peut s’agir d’un disque dur, d'un disque SSD, d’une clé USB, d'une carte SD ou encore d’une partie seulement d’un de ces périphériques. On peut en effet découper un disque dur ou une clé USB en plusieurs morceaux indépendants, qu’on appelle des partitions.

Ci-dessous, on parlera de disque, sachant que, sauf mention contraire, le terme vaut aussi bien pour un disque dur interne qu'un disque dur externe, ou que tout type de périphérique à mémoire flash, comme une clé USB, un disque SSD, ou une carte SD.

Si on veut avoir un endroit sur le disque dur où mettre des données qui ne seront pas confidentielles, et auxquelles on pourra accéder sur des ordinateurs non dignes de confiance, il est possible de découper le disque en deux partitions :

  • une partition non chiffrée, où l’on ne met que des données non confidentielles, comme de la musique, que l’on peut utiliser depuis tous les ordinateurs sans taper la phrase de passe ;
  • une partition chiffrée, avec les données confidentielles, qu’on n’ouvre que sur les ordinateurs auxquels on fait confiance.

Chiffrer un disque dur avec LUKS et dm-crypt

On va expliquer comment chiffrer un disque avec les méthodes standards sous GNU/Linux, appelées dm-crypt et LUKS. Ce système est maintenant bien intégré avec les environnements de bureau, et la plupart des opérations sont donc possibles sans avoir besoin d’outils particuliers.

D’autres logiciels que l’on déconseille

Il existe d’autres logiciels de chiffrement comme FileVault1, qui est intégré dans Mac OS X — mais il s’agit d’un logiciel propriétaire — ou VeraCrypt. Cependant, si l’on utilise un logiciel, même libre, sur un système d’exploitation propriétaire, on fait implicitement confiance à ce dernier car il a forcément accès aux données déchiffrées.

En pratique

Si le disque a déjà servi, il peut être une bonne idée de commencer par recouvrir ses données.

Si le disque à chiffrer ne dispose pas d’espace libre, le formater.

Ensuite, si l’on souhaite chiffrer une partie seulement du disque dur, il faut créer une partition en clair.

À la suite de quoi il ne reste plus qu’à l’initialiser pour contenir des données chiffrées.

Le voilà enfin prêt à être utilisé.


  1. Une des dernières analyse récente de FileVault date de 2012. En plus d’être sensible aux mêmes attaques que d’autres systèmes, FileVault a quelques faiblesses qu’il faut préciser : la phrase de passe de chiffrement est souvent identique au mot de passe de la session, généralement faible ; le fait d’enregistrer un « mot de passe principal » ouvre un nouveau champ d’attaques. Néanmoins, en gardant en tête que cela offre un niveau de protection limité, cela vaut tout de même la peine d’activer FileVault sur un ordinateur avec Mac OS X.