{"id":521,"date":"2011-12-01T22:39:14","date_gmt":"2011-12-01T21:39:14","guid":{"rendered":"https:\/\/hoper.dnsalias.net\/atdc\/?p=521"},"modified":"2017-05-03T13:39:43","modified_gmt":"2017-05-03T11:39:43","slug":"chiffrement-theorie","status":"publish","type":"post","link":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/2011\/12\/01\/chiffrement-theorie\/","title":{"rendered":"Chiffrement – Th\u00e9orie"},"content":{"rendered":"
\n

Pourquoi chiffrer<\/h3>\n

Si vraiment vous vous posez la question, c’est que vous n’avez pas vraiment du suivre l’actualit\u00e9 durant ces 10 derni\u00e8res ann\u00e9es…<\/p>\n

 <\/p>\n

Pourquoi ne PAS chiffrer<\/h3>\n

Si vous n’avez pas confiance dans vos capacit\u00e9s en informatique, si vous avez de fr\u00e9quents \u00ab\u00a0trou de m\u00e9moire\u00a0\u00bb, ou si votre syst\u00e8me doit avoir les meilleures performances possibles. Il faut surtout bien comprendre une chose. Si vous perdez les \u00ab\u00a0codes d’acc\u00e8s\u00a0\u00bb d’un espace de stockage r\u00e9ellement chiffr\u00e9, vous perdrez vos donn\u00e9es. Et cela de fa\u00e7on totalement irr\u00e9m\u00e9diable. Bien sur, vos sauvegardes seront elles aussi inutilisables, car elles aussi seront chiffr\u00e9s \u00e9galement. (Si ce n’est pas le cas, le chiffrement de vos donn\u00e9s n’a aucun sens).<\/p>\n

 <\/p>\n

Que chiffrer<\/h3>\n

En fonction du \u00ab\u00a0quoi\u00a0\u00bb, on pourra d\u00e9cider du \u00ab\u00a0comment\u00a0\u00bb. Si par exemple vous ne souhaitez chiffrer que vos mots de passe, des logiciels existent et font cela tr\u00e8s bien. Par exemple celui ci : keepassx<\/a>. (des versions ou logiciels compatibles existes pour toutes les plateformes, smartphones compris). Si vous souhaitez chiffrer un fichier en particulier, alors c’est probablement gpg qui sera l’outil le plus adapt\u00e9. Nous allons plut\u00f4t nous int\u00e9resser au troisi\u00e8me cas : Le chiffrement int\u00e9gral d’un syst\u00e8me de fichier.<\/p>\n

 <\/p>\n

Un peu de th\u00e9orie<\/h3>\n

Chiffrer une donn\u00e9e, c’est lui appliquer un proc\u00e9d\u00e9 math\u00e9matique R\u00c9VERSIBLE. La m\u00eame \u00ab\u00a0clef\u00a0\u00bb permet donc de chiffrer ou de d\u00e9chiffrer l’information. (On parle de chiffrement sym\u00e9trique). Mais, avant de pouvoir utiliser une clef pour chiffrer, il faut choisir une m\u00e9thode de chiffrement. le \u00ab\u00a0comment\u00a0\u00bb (quel proc\u00e9d\u00e9 math\u00e9matique va t-on appliquer). Ce \u00ab\u00a0comment\u00a0\u00bb est aussi important que le \u00ab\u00a0avec quoi\u00a0\u00bb (quel clef). Dans la suite, nous appellerons ce \u00ab\u00a0comment\u00a0\u00bb, le cypher<\/strong>. Ce cypher est donc le nom de l\u2019algorithme (ou de la suite d\u2019algorithmes) qui sera utilis\u00e9 pour chiffrer les donn\u00e9es de l’utilisateur. Enfin, derni\u00e8re notion, apr\u00e8s le cypher et la clef, il reste \u00e0 d\u00e9terminer la taille de la clef. Un peu comme la longueur d’un mot de passe, plus la clef est longue, et plus le chiffrement sera s\u00e9curis\u00e9. (Mais il faut bien comprendre que cela d\u00e9pend aussi beaucoup du cypher ! Un cypher peu s\u00e9curis\u00e9 le restera quel que soit la taille de la clef. Inversement, certains cypher sont consid\u00e9r\u00e9s comme tr\u00e8s s\u00e9curis\u00e9s, m\u00eame avec des clefs qui ne sont pas hyper longues).<\/p>\n

En g\u00e9n\u00e9ral, c’est \u00e0 l’utilisateur de choisir le cypher, et la taille de la clef (sans indications de votre part, il existe bien sur des valeurs par d\u00e9faut). Mais pas la clef elle m\u00eame ! En effet, pour \u00eatre efficace, une clef doit \u00eatre tr\u00e8s al\u00e9atoire, et tout de m\u00eame relativement longue (trop longue pour pouvoir \u00eatre retenu par un \u00eatre humain normalement constitu\u00e9). Du coup, la plupart des logiciels de chiffrement demande un mot de passe \u00e0 l’utilisateur. Et c’est \u00e0 partir de ce mot de passe, qu’une clef est g\u00e9n\u00e9r\u00e9e. Globalement cela revient \u00e0 peu pr\u00e8s au m\u00eame, et, en simplifiant, on peut s’imaginer que le mot de passe correspond \u00e0 la clef, m\u00eame si ce n’est pas l’exacte v\u00e9rit\u00e9.<\/p>\n

 <\/p>\n

Truecrypt<\/h3>\n

Sous windows, le choix sera tr\u00e8s vite fait. Utilisez truecrypt<\/a>. Et c’est tout ce que je dirai \u00e0 propos de windows \ud83d\ude42 Sous linux, il est \u00e9galement possible d’utiliser ce logiciel (open source et d\u00e9j\u00e0 compil\u00e9 pour Windows, Mac et linux 32 et 64 bits). Mais d’autres choix sont possibles.<\/p>\n

Les avantages de truecrypt<\/h4>\n

En plus d\u2019\u00eatre open source (ne faites jamais confiance \u00e0 un logiciel de chiffrement qui ne le serait pas) truecrypt offre des fonctionnalit\u00e9s vraiment tr\u00e8s \u00e9volu\u00e9es pour un logiciel de ce type. Il est par exemple possible d’avoir des volumes chiffr\u00e9s dans lequel vous n’auriez strictement rien de compromettant (vous pouvez donc les d\u00e9chiffrer sans crainte devant un expert judiciaire par exemple). A cot\u00e9 de cela, vous pouvez avoir des volumes chiffr\u00e9s dissimul\u00e9s. Or, m\u00eame si l’expert en question peut soup\u00e7onner la pr\u00e9sence de tels volumes dissimul\u00e9s \u00ab\u00a0derri\u00e8re\u00a0\u00bb les volumes chiffr\u00e9s \u00ab\u00a0normaux\u00a0\u00bb, il n’a AUCUN moyen de prouver qu’ils existent. Il suffit donc de nier l’existence d’autres volumes et, techniquement et l\u00e9galement, personne ne devrait rien pouvoir y faire. Il est m\u00eame possible de stocker l’int\u00e9gralit\u00e9 d’un syst\u00e8me d’exploitation bootable dans un de ces volumes chiffr\u00e9s ET secret.<\/p>\n

Un autre avantage ind\u00e9niable de ce logiciel et que les volumes chiffr\u00e9s qu’il cr\u00e9e pourront \u00eatre lus sur toutes les plateformes. Si vous souhaitez pouvoir acc\u00e9der \u00e0 vos donn\u00e9s \u00e0 partir de linux et de windows, la encore, c’est vraiment vers truecrypt qu’il faut vous tourner.<\/p>\n

Les inconv\u00e9nients<\/h4>\n

Objectivement… techniquement, il ne semble pas en avoir. Mais… Je commence personnellement \u00e0 trouver un peu \u00ab\u00a0louche\u00a0\u00bb toute cette publicit\u00e9 qui lui est faite. Oui, sur le papier, c’est une excellente solution. Mais que le FBI et d’autres organismes similaires r\u00e9p\u00e8tent \u00e0 qui veut l’entendre que ce programme est trop parfait, que vraiment ils n’arrivent pas \u00e0 d\u00e9chiffrer quoi que ce soit etc… Peut \u00eatre que c’est vrai, mais mon cot\u00e9 parano\u00efaque ne peut s\u2019emp\u00eacher d’imaginer que c’est exactement le genre de publicit\u00e9 que ces agences feraient \u00e0 un logiciel qu’ils auraient r\u00e9ussit \u00e0 contourner. Bref, que ce soit d\u00e9j\u00e0 le cas ou pas, cela arrangera bien les forces de l’ordre que tout le monde utilise truecrypt le jour ou ils d\u00e9couvriront un moyen de d\u00e9chiffrer ces donn\u00e9es. Etre un peu original, \u00e7a \u00e0 souvent du bon \ud83d\ude42<\/p>\n

 <\/p>\n

eCryptFs<\/h3>\n

C’est est la solution utilis\u00e9e par ubuntu lorsque vous demandez le chiffrement de vos donn\u00e9es au moment de l’installation. Cette solution est tr\u00e8s simple \u00e0 mettre en place, mais elle \u00e0 un tr\u00e8s gros inconv\u00e9nient : Vous ne maitrisez rien de ce qui se passe ! Le jour ou il y aura un soucis (ou changement de distribution etc), vous allez gal\u00e9rer un moment pour retrouver vos fichiers. Ce n’est donc clairement pas la solution que je recommande, mais si vous voulez plus d’informations (ou si vos donn\u00e9es sont d\u00e9j\u00e0 chiffr\u00e9es de cette fa\u00e7on et que vous cherchez \u00e0 les r\u00e9cup\u00e9rer) je vous invite \u00e0 lire ce billet<\/a> ou tout est parfaitement expliqu\u00e9.<\/p>\n

 <\/p>\n

Cryptsetup<\/h3>\n

cryptsetup est la solution de chiffrement int\u00e9gr\u00e9e par d\u00e9faut \u00e0 la grande majorit\u00e9 les distributions linux existantes. Cette solution ne fonctionne donc que sous linux, et nul par ailleurs. Beaucoup plus \u00ab\u00a0basique\u00a0\u00bb dans son fonctionnement que truecrypt, cette solution \u00e0 l’avantage de ne pas n\u00e9cessiter de logiciels sp\u00e9cifiques. Si vous utiliser cryptsetup pour chiffrer une clef usb par exemple, vous saurez lire cette clef sur toutes les machines linux, sans logiciels suppl\u00e9mentaire, sans m\u00eame avoir besoin d’une interface graphique ou quoi que ce soit de ce genre. Une seule commande suffira pour \u00ab\u00a0ouvrir\u00a0\u00bb le volume chiffr\u00e9 situ\u00e9 sur votre clef, et basta.<\/p>\n

Simple et efficace, cette commande peut s’utiliser de deux fa\u00e7on sensiblement diff\u00e9rentes. Je vais essayer de r\u00e9sumer les avantages et les inconv\u00e9nients de ces deux solutions.<\/p>\n

Utilisation basique (sans formatage luks)<\/h4>\n

C’est la solution la plus simple qui soit. Comme nous l’avons vu plus haut, il vous suffira de choisir un cypher, un mot de passe, et C’EST TOUT. Tant que vous n’oubliez pas ces informations, vous pourrez toujours retrouver vos donn\u00e9es. Mais si vous oubliez l’une de ces informations… c’est mort. Dites adieu \u00e0 vos fichiers, ils sont perdus. L’avantage de cette m\u00e9thode, c’est qu’il n’y a que vous qui \u00eates cens\u00e9 connaitre les bons param\u00e8tres (cypher, mot de passe, taille de la clef si vous n’avez pas utilis\u00e9 la valeur par d\u00e9faut). Une personne qui analysera votre disque dur n’aura AUCUN moyen de les connaitre. Bref, il ne devra pas seulement trouver votre mot de passe, mais aussi tout le reste, d\u2019o\u00f9 une s\u00e9curit\u00e9 qui est \u00e0 mon avis maximale. Probl\u00e8me, les donn\u00e9es sont donc toutes chiffr\u00e9s avec ces param\u00e8tres. Imaginez qu’une personne d\u00e9couvre votre mot de passe. Et bien vous ne pouvez pas faire grand chose. Impossible par exemple de \u00ab\u00a0changer le mot de passe\u00a0\u00bb. Il faudrait pour cela recopier l’ensemble des donn\u00e9s dans un nouveau disque chiffr\u00e9 avec le nouveau mot de passe, puis effacer les donn\u00e9es de l’ancien disque. Si cela concerne plusieurs To de donn\u00e9es, bon courage \ud83d\ude42<\/p>\n

Utilisation avec formatage luks<\/h4>\n

luks corrige les probl\u00e8mes de la pr\u00e9c\u00e9dente solution. au lieu de chiffrer brutalement toutes les donn\u00e9es directement avec votre mot de passe unique, luks permet de \u00ab\u00a0formater\u00a0\u00bb le disque chiffr\u00e9. Une ent\u00eate est donc cr\u00e9e sur le volume. Cette ent\u00eate permet d’enregistrer le cypher utilis\u00e9 (vous n’avez plus \u00e0 le retenir, mais n’importe qui pourra donc savoir que vos donn\u00e9e sont chiffr\u00e9s, et avec quel cypher). De plus, les donnes ne sont plus directement chiffr\u00e9s avec votre mot de passe, mais avec une clef qui peut etre associ\u00e9 a plusieurs mot de passe, tous permettant de d\u00e9chiffrer les donn\u00e9es (ou de cr\u00e9er d’autres mot de passe, ou d’en supprimer). Une solution un peu moins s\u00e9curis\u00e9e donc (et qui surtout ne vous permettra pas de nier l\u2019existence du chiffrement). Par contre vous pourrez supprimer un mot de passe, si vous pensez que celui ci est compromis.<\/p>\n

 <\/p>\n

Quel cypher utiliser<\/h3>\n

Pour commencer, je tiens \u00e0 dire que je ne suis pas du tout expert sur le sujet. Voila simplement un r\u00e9sum\u00e9 de ce que j’ai pu lire ici ou la sur le net. A vous de faire vos propres tests, et n’h\u00e9sitez pas \u00e0 m’envoyer un petit mail pour me faire part des r\u00e9sultats observ\u00e9s \ud83d\ude09<\/p>\n