Chiffrer ses données sensibles (3)
Par Kozlika le lundi 1 novembre 2010, 08:00 - Lien permanent
L’espace protégé a été créé[1], il vous faut maintenant le faire « monter » sur votre bureau pour le voir et l’utiliser. C’est ce que nous allons faire dans les écrans suivants.
Utiliser TrueCrypt au quotidien
Lancez l’application TrueCrypt, vous retrouvez sa fenêtre initiale déjà vue hier :
Cliquez à droite sur Select File, puis naviguez dans l’arborescence pour aller désigner l’espace protégé et enfin sélectionnez dans la partie haute de la fenêtre le « Slot » de votre choix. Pour autant que je sache, vous pouvez choisir n’importe quel « slot » pourvu qu’il ne soit pas déjà utilisé.
TrueCrypt vous demande alors le mot de passe d’accès à cet espace. Indiquez-le et cliquez sur OK.
Wha : il est apparu sur votre bureau ! Vous le voyez ? Il porte une icône semblable à celle d’un disque dur externe ou clé USB et est affublé du nom NO NAME, que vous pouvez modifier à votre gré (et qui sera conservé).
Double-cliquez dessus : vous y êtes !
Protéger les nouveaux documents
Vous pouvez dès maintenant enregistrer vos nouveaux documents dans ce dossier au moment de leur création, les données en seront automatiquement chiffrées. Pour cela il faut bien sûr que votre espace protégé soit déjà « monté » puis lors de la création de votre document choisissez le menu « Enregistrer sous… » et parcourez l’arborescence pour indiquer que vous voulez l’enregistrer dans votre espace protégé ou l’un de ses sous-répertoires.
La plupart des applications permettent de régler par défaut l’endroit où on veut enregistrer les nouveaux documents. Une solution simple peut être de choisir l’enregistrement par défaut dans l’espace protégé, ainsi un simple « Enregistrer » placera directement vos nouveaux documents au bon endroit.
Transfert de documents ou dossiers existants
Regardez bien l’écran ci-dessus, à gauche le dossier Contacts que je viens de glisser dans la fenêtre de mon espace chiffré (que j’ai renommé en kasstwa) car j’ai décidé qu’il serait désormais protégé ; à droite, l’icône de kasstwa et le répertoire Contacts initial. Il faut faire bien attention : quand on glisse un élément existant vers cette fenêtre, ça ne le déplace pas, ça le copie ! Après avoir fait cette opération il faut donc supprimer le dossier (ou fichier) initial de la partie non protégée de votre ordinateur, ce que j’ai fait en supprimant le dossier « Contact » de son ancien emplacement. Pensez-y vous aussi !
Ne laissez pas la porte ouverte
Ce qu’il faut bien comprendre c’est qu’une fois que votre espace protégé est rendu disponible et « monté » sur votre bureau par TrueCrypt après que vous avez saisi le mot de passe, n’importe qui ayant accès à votre ordinateur à ce moment-là peut accéder à ses données. Vous veillerez donc à le « démonter » à chaque fois que vous ne veillez pas sur lui : quand vous sortez de votre bureau pour la pause clope, quand vous mettez votre ordinateur en veille avant de le glisser dans votre sac, etc. :
- soit en l’éjectant comme vous éjecteriez tout autre volume,
- soit en passant par TrueCrypt et en cliquant sur le bouton
Unmount) ; - soit en quittant TrueCrypt (à cocher dans
Preferences -> Security).
« Démontage » automatique
Vous pouvez paramétrer TrueCrypt pour que l’espace protégé soit « démonté » automatiquement au bout d’un certain temps d’inutilisation d’icelui. Pour cela, rendez-vous dans le menu Settings -> Preferences. Au premier onglet (Security, cochez la case Auto-dismount [blabla] et indiquez une durée : j’ai quant à moi mis 10 minutes.
Si quelqu’un a des tuyaux au fait, je trouverais drôlement pratique que ça se « démonte » à la mise en veille aussi. Je n’ai pas trouvé comment faire dans la doc, mais j’ai peut-être mal cherché ?
Demain, nous verrons comment créer un espace caché au sein même de l’espace caché pour ceux dont les données sont particulièrement sensibles. On collectionnera tous ensemble si vous le voulez et si vous en connaissez d’autres « pas à pas pour les nuls » concernant l’utilisation de TrueCrypt.
Je passerai ensuite la main à qui veut – et qui envisage de se mettre à notre portée – pour d’autres conseils de sécurisation (je pense aux mails, par exemple, ou aux mots de passe enregistrés dans le gestionnaire de mots de passe de Firefox et dont je viens de découvrir avec stupéfaction que n’importe qui ayant accès à mon ordinateur peut accéder à tous les sites où je me rends avec un mot de passe, y compris mon compte gmail…)
Notes
[1] Tous les articles de cette série : présentation, partie 1, partie 2, la présente partie 3 et partie 4 constituent des pas à accompagnant les conseils donnés par Zythom dans son billet Pour ceux qui ont peur de se faire voler leur ordinateur.
Commentaires
C’est fait ! :-)) Merci ! :-))
Dans la foulée, j’ai copié l’application et mon “espace secret” sur mon disque dur externe, et après d’intenses cogitations, je suis arrivée à le monter depuis le disque dur externe. Donc je peux aussi le sauvegarder. Suis bien contente.
Je vais quand même pratiquer un peu avant de bazarder les documents initiaux…
Dans la section “Ne laissez pas la porte ouverte” : TrueType -> TrueCrypt… ;-)
Ooops merci Julien, je mets mes lunettes et je corrige ! o^o
Il faut aussi souligner (une avocate que nous connaissons tous les deux m’avait posé la question) qu’il est “interdit” de ne pas donner son mot de passe (TrueCrypt ou tout autre) suite à une demande officielle d’un OPJ ou similaire. Le volume caché que tu évoques est une solution (on donne le mot de passe du volume externe, pas celui du volume caché - ce que l’auteur appelle “plausible deniability”, qu’on pourrait traduire par “refus crédible”). Une autre solution est d’avoir plusieurs volumes TrueCrypt (chacun disposant de son propre volume caché). Ainsi, le requérant doit demander l’autorisation de déchiffrer chacun des volumes chiffrés. Si les dossiers (par exemple liés à des clients) sont organisés ainsi, ça évite que le “lecteur” ne voie, en passant, des trucs qui ne concernen pas sa requête initiale.
Autre point, comme toujours, la qualité des mots de passe joue un très grand rôle dans l’affaire. Il faut des mots de passe que l’on n’utilise nulle part ailleurs et qui sont suffisament “longs et complexes” pour ne pas être devinés par un agresseur (ou une personne autorisée à analyser la bécane). Se pose alors la question de leur mémorisation et/ou stockage. A ce titre, il y a l’outil Password Safe, du même auteur que TrueCrypt - mais qui ne me semble pas exister en “facilement installable” sous Mac.
Dernier point : si le volume TrueCrypt est créé (volume normal ou volume caché) et qu’on y déplace des fichiers, ces derniers laissent des traces sur le disque originel (si ce dernier n’est pas chiffré, ou s’il est chiffré avec des mots de passe fragiles). Il faut donc aussi faire le ménage derrière soi - la méthode la plus simple étant d’effacer les fichiers après les avoir copiés dans le volume chiffré, puis de remplir le disque dur à 100% avec des gros fichiers “propres”. Inutile de s’affoler avec l’histoire des sept réécritures nécessaires pour être certain que personne ne peut, par rémanence latérale, récupérer les valeurs des bits ainsi écrasés. C’était marginalement vrai il y a 15 ans (matériel très cher), ça ne l’est plus avec les technologies modernes.
Merci pour toutes ces précieuses informations, Nuits de Chine ! (si j’avais su qu’en causant de tout ça je te ferais donner de tes nouvelles, je m’y serais mise plus tôt ;-) tu vas bien ?)
Ah crotte pour les traces des fichiers effacés, je n’y pensais plus ; c’est vachement contraignant du coup. Le mieux est sans doute de le faire une fois après l’installation de TrueCrypt et le déplacement des dossiers confidentiels (le machin du remplissage à 100%), puis veiller à ne plus enregistrer les documents confidentiels que directement dans le volume chiffré du coup ?
En ce qui concerne les fichiers à effacer une fois à l’abri dans l’espace chiffré on peut les mettre à la corbeille et utiliser, sur mac — il faudrait voir si une commande équivalente existe sur les autres systèmes —, la commande « Vider la corbeille en mode sécurisée… » du menu « Finder ».
La partie du disque dur occupée précédemment par ces fichiers suprimés sera alors remplie de valeurs arbitraires (ce qui revient à peu près au même que de placer à cette place des gros fichiers propres comme le proposait Nuits de Chine dans le commentaire précédent.
Voui je vais très bien, même si je me fais rare sur mon blog.
Pour les traces rémanentes, ce que tu dis est juste. Il faut penser à “faire le ménage” après avoir déplacé les fichiers/dossiers dans le volume TrueCrypt, et à n’utiliser que celui-ci par la suite (ce qui peut être délicat si, par exemple, tu récupères via Internet un fichier que tu veux protéger : ton navigateur l’enregistrera par défaut dans un dossier placé ailleurs que sur le volume TrueCrypt).
La remarque de Franck est exacte, sous réserve que l’outil en question fasse bien son boulot. Par contre, il n’effacera que les blocs du fichier concerné (ie, si tu as de vieux fantômes sur ton disque, ils seront toujours là). Et si ton fichier a déjà été copié/effacé plusieurs fois, les fantômes peuvent être nombreux.
Il me semble important de fixer un périmètre à la confidentialité. Depuis plus de 30 ans, les services ad hoc savent capter les informations qui s’affichent sur un écran, et cela à plusieurs dizaine de mètres de distance. Inutile donc de croire que si un état décide de mettre les moyens un particulier saura échapper à une surveillance complète. Mais tout cela coute très cher, et n’est pas forcément très discret.
Plus réaliste est le scénario où votre ordinateur est mis sous scellés dans le cadre d’une perquisition. Là, il faut avouer que les experts judiciaires disposent d’un grand nombre d’outils permettant de reconstituer les données: récupération des fichiers effacés, analyse des différents caches (swap, navigateur internet…) ou tout simplement lecture des emails. Les professionnels souhaitant se protéger doivent donc se plier à des règles contraignantes (effacement en “profondeur” des zones non utilisées de l’ordinateur…).
Pour tout un chacun, s’il s’agit de protéger des données sensibles que l’on n’aimerait pas voir tomber dans les mains d’un cambrioleur, ou d’un douanier étranger, TrueCrypt est la bonne solution, surtout si l’on transfère les données d’un PC vers un ultraportable par exemple.
Il s’agit de trouver un équilibre entre facilité d’usage et protection de sa vie privée, sans nécessairement tomber dans la paranoïa.
Et pour aller dans le même sens que Zythom je peux dire — j’en ai fait maintes fois l’expérience dans le cadre professionnel — qu’une procédure trop compliquée n’est pas du tout efficace car elle est souvent ignorée par manque de temps quand ce n’est pas tout simplement parce qu’elle a été oubliée !
Avec TrueCrypt il est possible de protéger la partition invisible quand l’on travaille sur la partition visible, on donnant les deux mots de passe.
Il n’est pas rare de les mots de passe se retrouve dans la mémoire de l’ordinateur.
Comme le dit Zythom, un disque caché, c’est contraignant. Vous devez effacer toutes les historiques des fichiers que vous consulter sur ce disque.
Il existe une solution.
Apres reste les problemes de backup !
juste pour info
il est tout a fait possible de “démonter” le volume lors du passage de mise en veille
simplement en cochant l’option “Dismount all when” : “Screen saver is launched”
cette option est disponible dans la version que j’utilise actuellement (7.0a)
Aaaaah, merci Moubai, je vais regarder de nouveau en chaussant mes lunettes avant !
Merci pour cette série très didactique : j’ai pu mettre en place une zone protégée, sans fioritures particulières (pas de zone secrète dans la zone protégée) avec, entre autre, mes profils Firefox et Thunderbird (dont tous les messages archivés) ainsi que les paramètres sensibles de FileZilla (comptes FTP).