Chapitre 19 Partitionner et chiffrer un disque dur
Nous allons maintenant aborder le chiffrement d’un périphérique, afin d’y stocker des données de manière confidentielle.
Une fois un disque chiffré, les données qu’il contient ne sont accessibles que lorsqu’on a tapé une phrase de passe permettant de le déchiffrer. Pour plus d’informations là-dessus, on peut consulter la partie sur la cryptographie.
Lorsque la phrase de passe est saisie, le système a accès aux données du périphérique en question, il ne faut donc pas taper cette phrase de passe n’importe où, mais seulement sur les ordinateurs et les systèmes dans lesquels on a suffisamment confiance.
En effet, non seulement ceux-ci auront accès aux données déchiffrées, mais des traces de la présence du périphérique seront également gardées sur l’ordinateur. C’est pourquoi nous vous conseillons plutôt de l’utiliser sur un système GNU/Linux chiffré ou un système live amnésique.
Il peut s’agir d’un disque dur, d’un disque SSD, d’une clé USB, d’une carte SD ou encore d’une partie seulement d’un de ces périphériques. On peut en effet découper un disque dur ou une clé USB en plusieurs morceaux indépendants, qu’on appelle des partitions.
Ci-dessous, on parlera de disque pour désigner, sauf mention contraire, aussi bien un disque dur interne qu’un disque dur externe, ou tout type de périphérique à mémoire flash, comme une clé USB, un disque SSD, ou une carte SD.
Si on veut avoir un endroit sur le disque où mettre des données qui ne seront pas confidentielles, et auxquelles on pourra accéder sur des ordinateurs non dignes de confiance, il est possible de découper le disque en deux partitions :
- une partition non chiffrée, où l’on ne met que des données non confidentielles, comme de la musique, et que l’on peut utiliser depuis tous les ordinateurs sans taper la phrase de passe ;
- une partition chiffrée, avec des données confidentielles, qu’on n’ouvre que sur les ordinateurs auxquels on fait confiance.
19.1 Vue d’ensemble
19.1.1 Chiffrer un disque avec LUKS et dm-crypt
On va expliquer comment chiffrer un disque avec les méthodes standard sous
GNU/Linux, appelées dm-crypt et LUKS, qui sont des logiciels
libres.
Ce système est maintenant bien intégré avec les environnements de bureau, et la
plupart des opérations sont donc possibles sans avoir besoin d’outils
particuliers.
19.1.2 D’autres logiciels que l’on déconseille
Pour chiffrer un disque, on déconseille d’utiliser des logiciels propriétaires, auxquels on ne peut pas faire confiance, comme par exemple : FileVault, BitLocker, Stormshield Endpoint Security ou encore Symantec PGP Whole Disk Encryption. Il existe aussi des logiciels libres, comme VeraCrypt qui peuvent fonctionner sur un un système d’exploitation propriétaire. Cependant, si l’on utilise un logiciel, même libre, sur un système d’exploitation propriétaire, on fait implicitement confiance à ce dernier puisqu’il a forcément accès aux données déchiffrées.
19.1.3 Aperçu des étapes
Si le disque a déjà servi, ça peut être une bonne idée de commencer par recouvrir ses données.
Si le disque à chiffrer ne dispose pas d’espace libre, commencer par le formater. Cela peut impliquer d’effacer toutes les données qui se trouvent dessus.
Ensuite, si l’on souhaite chiffrer une partie seulement du disque, il faut d’abord créer une partition en clair.
Si l’on a déjà de l’espace non partitionné sur son disque, on peut directement passer à l’étape de chiffrement.
À la suite de quoi, il ne reste plus qu’à l’initialiser pour contenir des données chiffrées.
Et le voilà enfin prêt à être utilisé.
19.2 Préparer un disque à chiffrer
Durée : Environ dix minutes.
Ci-dessous, on parlera toujours de disque pour désigner aussi bien un disque interne ou externe, que pour une clé USB, une carte SD ou un disque SSD, sauf si on précise le contraire.
La procédure que l’on explique ici implique d’effacer toutes les données qui se trouvent sur le disque177. Si l’on a déjà de l’espace non partitionné sur son disque, on peut directement passer à l’étape de chiffrement.
19.2.1 Installer les paquets nécessaires
Pour chiffrer un disque, nous avons besoin des paquets suivants :
secure-delete, dosfstools et cryptsetup. Avec Debian 11, il faut donc
installer le
paquet
secure-delete, les deux autres étant installés par défaut. Si l’on
utilise Tails, ces trois paquets sont déjà installés.
19.2.2 Formater le disque avec l’utilitaire Disques
Formater implique d’effacer toutes les données qui se trouvent sur le disque.
Pour ouvrir l’application Disques à partir de la vue d’ensemble des
Activités : taper sur la touche (⌘ sur un
Mac), puis taper disques et cliquer sur Disques.
Dans la fenêtre de l’application Disques la partie de gauche liste les disques connus du système ; la partie de droite permet d’effectuer des actions.
19.2.2.1 Choisir le périphérique
À gauche, il y a la liste des disques. Si l’ordinateur utilisé contient un système chiffré, il y a aussi les volumes chiffrés de notre système.
Les icônes, la taille indiquée ainsi que le nom des disques doivent nous permettre d’identifier celui que l’on cherche.
Une fois le disque repéré, le sélectionner dans la liste. Les informations qui s’affichent dans la partie droite de la fenêtre doivent permettre de confirmer qu’on a sélectionné le disque voulu.
19.2.2.2 Démonter les volumes
Si le volume est monté, une icône carrée est visible dans la partie de droite, sous la représentation graphique du disque dans la rubrique Volumes. Cliquer sur ce bouton afin de démonter le volume.
Si ce disque contient plusieurs volumes, les démonter un par un : les sélectionner dans la représentation graphique de la rubrique Volumes puis les démonter comme expliqué précédemment.
19.2.2.3 Reformater le disque
Attention : formater un disque revient à supprimer tous les fichiers qui s’y trouvent.
Dans la barre supérieure du logiciel, cliquer sur l’icône , puis sur Formater le disque…. Une fenêtre s’ouvre et propose d’effacer ou non les données sur le support, et de formater le disque. En fonction du contexte, et des limites abordées précédemment, choisir si les données doivent être effacées ou non. Laisser Compatible avec tous les systèmes et périphériques dans Partitionnement, puis cliquer sur le bouton Formater….
Disques demande si l’on veut vraiment formater le périphérique. C’est le moment de vérifier que l’on a choisi le bon périphérique avant de faire une bêtise. Si c’est bien le cas, confirmer en cliquant sur Formater.
Le formatage peut prendre un peu de temps, une barre d’avancement apparaît dans l’application Disques. Attendre que la tâche soit terminée avant de démonter ou débrancher le disque.
19.3 Créer une partition non chiffrée
Durée : Deux minutes.
Si on le souhaite, c’est le moment de créer une partition non chiffrée où l’on mettra des données qui ne sont pas confidentielles, et que l’on pourra utiliser depuis tous les ordinateurs sans avoir à taper de phrase de passe.
Si l’on désire chiffrer le disque en entier, on peut directement passer à l’étape suivante.
Toujours dans l’application Disques, sélectionner le disque voulu, puis dans la partie droite cliquer sur la zone Espace disponible du schéma des Volumes. En-dessous, cliquer ensuite sur le symbole .
Choisir la taille voulue pour la partition non chiffrée dans le champ dédié. L’espace laissé libre nous servira pour la partition chiffrée. Cliquer sur Suivant.
On peut choisir un nom pour cette partition. Dans Type, choisir Compatible avec tous les systèmes et périphériques (FAT). Une fois cela fait, cliquer sur Créer.
19.4 Créer une partition chiffrée
Durée : Dix minutes + entre quelques minutes et plusieurs heures pour remplir l’espace libre, selon la taille de la partition.
19.4.1 Créer la partition chiffrée
Toujours dans Disques avec le disque cible sélectionné, cliquer dans la partie droite sur la zone Espace disponible du schéma des Volumes. Cliquer ensuite en-dessous sur le symbole .
Choisir la taille de la partition : garder la taille maximale puisqu’on veut créer une seule partition chiffrée dans cet espace disponible. Cliquer sur Suivant.
Il est possible de donner un nom à la future partition chiffrée. Il n’est pas nécessaire d’activer l’option Effacer. L’effacement se fera à l’étape suivante, via le remplissage par des données aléatoires, qui sera plus fiable. Dans la section Type choisir Disque interne à utiliser avec les systèmes Linux uniquement (Ext4) puis cocher Volume protégé par mot de passe (LUKS). Cliquer sur Suivant. Choisir une bonne phrase de passe pour le volume chiffré et la taper dans les deux champs appropriés. Enfin, cliquer sur Créer.
19.4.2 Remplir la partition de données aléatoires
Pour finir, on va remplir l’espace vide du disque chiffré avec des données aléatoires. Cela permet de cacher l’endroit où vont se trouver nos données, et donc de compliquer la vie des personnes qui voudraient tenter de les déchiffrer.
Sur le schéma des Volumes, repérer Partition […] LUKS et sélectionner le Système de Fichiers situé en dessous. Sous le schéma, cliquer sur .
En bas de la fenêtre, dans Contenu, un lien apparaît après Monté sur. Cliquer sur ce lien pour ouvrir le dossier, puis suivre l’outil servant à rendre irrécupérables des données déjà supprimées.
Le processus dure de quelques minutes à quelques heures, selon la taille du disque et sa vitesse (par exemple, deux heures pour une clé USB de 4 Go).
19.4.3 Débrancher proprement le disque
Dans le navigateur de fichiers, cliquer sur le symbole , puis débrancher physiquement le disque (le cas échéant).
Le disque chiffré est maintenant utilisable.
19.5 Utiliser un disque dur chiffré
Durée : Deux minutes, quelques heures… ou jamais, si la phrase de passe nous échappe.
Afin de permettre au système d’accéder aux données qui se trouvent sur un disque chiffré, il est nécessaire d’indiquer une phrase de passe (ça tombe bien, c’est ce qu’on voulait !) Mais cette opération est plus ou moins simple selon les environnements.
19.5.1 Avec Debian (ou autre GNU/Linux)
Sur un système GNU/Linux avec un environnement de bureau configuré pour ouvrir automatiquement les médias externes, une fenêtre apparaît pour demander la phrase de passe lorsqu’on branche un disque externe contenant des données chiffrées.
Si ce n’est pas le cas, cette fenêtre apparaît quand on demande au système d’ouvrir la partition chiffrée, par exemple à partir de Fichiers en cliquant sur le nom du disque dans la colonne de gauche.
Pour fermer la partition chiffrée, il suffit de démonter le disque comme on le fait habituellement.
19.5.2 Avec d’autres systèmes
Nous ne connaissons pas de moyen simple d’accéder à la partition chiffrée du disque ni sous Windows, ni sous macOS. Même si des solutions peuvent exister178, il est bon de rappeler qu’il s’agit de systèmes d’exploitation propriétaires, en lesquels il n’y a aucune raison d’avoir confiance.
Pour mettre sur le disque des données auxquelles on veut accéder sur des ordinateurs en lesquels on n’a pas confiance, le mieux à faire est alors probablement de prévoir sur ce disque une deuxième partition, non chiffrée, comme expliqué précédemment.
Il est cependant possible de redimensionner une partition déjà existante tout en gardant les fichiers qui s’y trouvent.↩︎
Pour les anciennes versions de Windows (jusqu’à Vista), il était possible d’utiliser FreeOTFE (https://sourceforge.net/projects/freeotfe.mirror/) (en anglais).↩︎