Partition cryptée ? Fermé

Question

Bonjour, 

peut-on crypter une partition après avoir installé le système d'exploitation Ubutnu 12.04 LTS ou faut-il le faire pendant svp ? Une partition cryptée permet-elle de sécuriser les données même si une personne a la main sur mon ordinateur svp ? 

Je veux dire par là, même si une personne me vole mon ordinateur chez moi et de chez elle arrive à contourner le mot de passe Root et le mot de passe administrateur (je sais que c'est possible de les contourner). Pourra-t-elle avoir accès du coup à ma partition cryptée svp ?

Merci beaucoup.



Configuration: Linux / Firefox 16.0

mamiemando · Accepted Answer

Peut-on crypter une partition après avoir installé le système d'exploitation Ubutnu 12.04 LTS ou faut-il le faire pendant svp ?

Ça doit être possible avec lvm après coup, mais c'est beaucoup plus simple de le faire à l'installation.
http://doc.ubuntu-fr.org/lvm

Une partition cryptée permet-elle de sécuriser les données même si une personne a la main sur mon ordinateur svp ? 

Oui concrètement, quand tu démarres sur un système chiffré avec lvm, on te demande juste après le boot loader (grub) un mot de passe (secret ou passphrase en anglais), qui est celui que tu as défini pour chiffrer ton système. Note que cette question se pose si / est chiffré.

Si seul /home est chiffré, ce mot de passe peut être demandé à posteriori (typiquement sous ubuntu, dans ton explorateur de fichiers, tu verras dans ton home directory permettant de monter le volume chiffré).

Pour accéder à un volume chiffré (plus précisément pour monter une partition chiffrée) il faut bien évidemment le mot de passe.

Cela signifie en outre que si quelqu'un démarre sur ton PC avec live USB ou un live CD, il ne peut pas accéder facilement à tes données car il ne pourra pas facilement monter /home (comme ça pourrait être le cas avec une partition non chiffrée)

Je veux dire par là, même si une personne me vole mon ordinateur chez moi et de chez elle arrive à contourner le mot de passe Root et le mot de passe administrateur (je sais que c'est possible de les contourner). Pourra-t-elle avoir accès du coup à ma partition cryptée svp ? 

Concrètement si quelqu'un vole ton ordinateur et qu'il s'y connait en linux, il n'a pas besoin du mot de passe root pour tout déverrouiller. Pour faire simple si tu as accès physiquement à une machine, tu peux à terme démarrer sur un système tiers (live USB etc...) à partir duquel tu peux "tout faire".

Intuitivement, quelqu'un qui démarre sur un tel support est typiquement root sur ce système live. Il peut donc monter les partitions de disque dur qu'il veut et les altérer à son idée (puisque celle-ci sont non chiffré, ce n'est pas plus choquant que de pouvoir monter une clé USB ou un CD ordinaires). Du coup il ne passe pas du tout par les profils et mots de passe définis par le système installé sur le disque dur et peut faire ce qu'il veut (récupérer tes données, modifier des fichiers etc...).

La seule chose qui peut empêcher ça c'est effectivement de chiffrer ses données.

Alors tu vas me dire, pourquoi ne chiffre-t'on pas systématiquement ses partitions linux ?
1) ça force à saisir la passphrase lvm à chaque démarrage
2) ça suppose que seul linux est installé sur le disque dur, car windows ne sait pas gérer lvm
3) les gens ne connaissent pas forcément l'existence de lvm (ou n'en ressentent pas le besoin)
4) quand on veut réparer un système endommagé à partir d'un live CD, il est un peu plus compliqué de monter une partition lvm chiffrée qu'une partition ordinaire (chose qui n'est déjà pas triviale pour un utilisateur débutant).

Bonne chance

AntoineFrigel · Answer

Bonjour, merci pour la réponse rapide. 

J'ai tout lu mais j'ai difficilement tout compris. Je vais poser ma question différemment et elle ne nécessitera qu'une réponse de ce type : 

soit vous me dites : OUI il va lire tes données chiffrées 

soit vous me dîtes : NON c'est impossible 



Merci pour ces dernières précisions. Ma question est : 

Si quelqu'un s'y connaît en Linux, et que j'ai crypté ma partition /home 

Lui sera-t-il facile d'y accéder (par n'importe quel moyen) et donc d'y lire toutes mes données chiffrées sur /home svp ? (dans le cas où il ait un accès physique à ma machine svp) 

Merci beaucoup. Désolé si j'ai du mal à comprendre, je m'en excuse, et c'est pour cela que je reviens vers vous.

mamiemando · Answer

soit vous me dites : OUI il va lire tes données chiffrées   
soit vous me dîtes : NON c'est impossible   

Sans mot de passe il verra un contenu chiffré.  
S'il trouve ton mot de passe il pourra voir le contenu déchiffré.  
S'il ne [connaît pas/trouve pas] ton mot de passe, la réponse est non. 

Par contre le mot impossible est un peu fort, car il peut espérer le trouver. Par exemple, il est toujours possible d'écrire un programme qui teste un mot de passe et qui, si le mount échoue, essaye un autre mot de passe et répéter la procédure jusqu'à trouver le bon mot de passe. 

Mais l'éventail des mots de passe possibles est énorme ;rien que si tu te limites au caractères alpha-numériques ça fait 26*2 + 10 = 62 possibilités par caractères, soit 62^n possibilités pour un mot de passe de n caractères. Supposons que lancer un mount et voir s'il échoue/réussit prenne 1 seconde et on sait que le mot de passe est composé de 10 caractères alphanumériques. Dans le pire cas ça prendra :

(62^10)/(3600*24*365) = 26 614 008 303 ans

En conclusion, au bout d'un temps très long, un mot de passe peut toujours être cassé, mais en pratique, si ton mot de passe n'est pas trivial, ce temps est tellement long que tu ne seras plus là quand ça arrivera. 

C'est pourquoi les programmes qui essayent de casser un mot de passe vont par exemple tester des mots du dictionnaires (ou basé sur des mots du dictionnaires, comme par exemple bonjour, BoNjoUr, b0nj0ur), des séquences triviales (genre azerty, 1234), etc, bref des mots de passe qui ont de bonnes chances d'avoir été choisis...

Conclusion, si tu choisis une séquence complètement "aléatoire" par exemple @6ff56qc!Fz (idéalement un bon mot de passe comporte des chiffres, des minuscules, des majuscules, des caractères spéciaux, et n'est pas basé sur un mot du dictionnaire) tu es tranquille pour quelques milliers d'années. 

Lui sera-t-il facile d'y accéder (par n'importe quel moyen) et donc d'y lire toutes mes données chiffrées sur /home svp ? (dans le cas où il ait un accès physique à ma machine svp)   

Il ne pourra pas accéder à tes fichiers tant qu'il n'aura pas saisi le mot de passe avec succès. C'est justement à ça que sert LVM : quelque soit la manière dont tu accèdes à la partition ou au disque dur, fondamentalement un mot de passe est requis pour pouvoir lire les données, car celle-ci sont chiffrées.  

Fais gaffe, si tu cryptes ta partition /home et que ton système crashe (ne démarre plus, oui, ça arrive aussi sous linux), ça va être la grosse galère pour récupérer tes données (pas à la portée d'un newbie en tout cas) car elles seront illisibles directement à partir d'un live-cd .   

En fait ce n'est pas beaucoup plus compliqué, mais ça force à avoir un système live sur lequel lvm2 est installé.  
http://www.brandonhutchinson.com/Mounting_a_Linux_LVM_volume.html  

- dans le cas "non chiffré", on se serait arrêté à la 2e étape (qui aurait réussi)  
- dans le cas "chiffré avec lvm", il faut récupérer le nom du vg et du lv pour être en mesure de taper la bonne commande "mount".  

Finalement comme les "newbies" ne savent pas non plus monter une partition non chiffrée, ça ne change pas forcément grand chose quand on doit les guider pas à pas, il faut juste leur demander en plus le résultat de pvs et lvdisplay.  

Alors réfléchis bien avant de le faire... Si tu détiens des secrets d'état, fais-le mais si c'est juste pour te dire que c'est crypté... hum ?  

Je ne suis pas vraiment d'accord jns55. Sans aller jusqu'au secret d'état, tu peux bosser pour une entreprise dont certaines données sont confidentielles et sur ton portable ou encore, tu n'as pas forcément envie que quelqu'un puisse fouiller dans tes photos. Tu peux avoir une clé ssh qui te permet d'accéder à des machines sensibles. Dans tous ces exemples, tu peux avoir l'envie légitime de protéger tes données.  

Pour moi toujours le même débat, est-ce que tu as envie de laisser à quelqu'un l'opportunité d'accéder à ta vie privée.   

Mais bon tu me diras, quand tu vois qu'aujourd'hui les gens passent leur vie sur facebook ou twitter pour raconter leur vie privée, ce que je dis est peut-être complètement hors de propos de nos jours :-)

Utilisateur anonyme · Answer

Bonjour tout le monde,

Le cryptage de l'ensemble du disque dur ou seulement d'une partition empêche la lecture des données, même par les organismes les plus compétents en la matière si le mot de passe est assez long. Concernant la question de la personne qui a lancé le sujet, tu peux crypter ton disque dur ou la partition après avoir installé ton OS, en revanche, si la police fait une enquête, tu seras dans l'obligation de lui donner le mot de passe. Donc oui, tes informations une fois cryptées seront en sécurité.

Tu as raison quant à crypter des données, quand on sait que la vie privée d'internet en a pris un coup en ce mois d'octobre et que des logiciels de surveillance à distance sont développés par les forces de sécurité internet.

AntoineFrigel · Answer

Merci beaucoup pour toutes vos réponses. Je n'ai pas encore lu la totalité des messages mais je peux déjà dire que j'utilise une clé de cryptage de 20 caractères comprenant lettres-symboles-chiffres mélangés. Pour Antoine de Caumartin j'avais une question svp ? 

Quel est le logiciel qui peut me permettre de crypter tout mon disque dur après installation d'Ubuntu 12.04 LTS svp ? Cela m'intéresse beaucoup, merci à vous...

mamiemando · Answer

luks et lvm
https://www.debuntu.org/how-to-encrypted-partitions-over-lvm-with-luks/index.html

AntoineFrigel · Answer

Merci beaucoup pour la réponse rapide.  

Seulement je ne comprends rien à l'anglais, je suis perdu, si quelqu'un peut  me dire comment faire en français je suis preneur svp.  

Je cherche à crypter la totalité de mon disque dur et non pas seulement la partition /home 

Et cela sur un disque dur où Ubuntu 12.04 LTS est déjà installée. 


En ayant ces données, si vous voulez m'aider je reste à l'écoute,merci beaucoup de votre aide, vous avez déjà fait beaucoup sur cette discussion.

Utilisateur anonyme · Answer

Bonjour, 

Est-ce que Truecrypt fonctionne également sur ubuntu ?
  
Traité établissant une Constitution vampirique; Tome I: La Pieuvre pourpre.

AntoineFrigel · Answer

Salut et merci pour Truecrypt, je l'utilise déjà sur DD USB. Mais j'aimerai apprendre à crypter mon disque dur comportant le système d'exploitation complet d'Ubuntu 12.04 LTS. Le DD doit faire 80 gigas, j'aimerai le crypter entièrement, merci à vous, déjà vous m'avez beaucoup aidé, ce n'est pas grave si on ne peut pas le faire, vous avez déjà fait beaucoup. @ plus

Utilisateur anonyme · Answer

Pour répondre à ta question, tu as la possibilité de crypter la totalité de ton disque dur avec Truecrypt, et même de créer une partition cachée.

AntoineFrigel · Answer

Merci mais comment faire svp ? Car j'ai bien Truecrypt d'installé sur mon disque dur sous Ubuntu mais je le lance pour décrypter mes partitions cryptées, cachées ou pas, mais comment faire pour lui dire maintenant de crypter tout le disque dur ou j'ai Ubutnu d'installé dessus svp ?

Merci beaucoup.

Utilisateur anonyme · Answer

Salut,

Alors pour ubuntu j'ignore comment procéder, les tests de cryptage que j'ai faits ayant été réalisés sur Vista. C'est pourquoi je te laisse un petit tuto clair ici 

-> http://doc.ubuntu-fr.org/truecrypt

Si tu n'y arrives pas, on cherchera ensemble.

AntoineFrigel · Answer

Bonjour et merci Antoine. Je crois avoir compris que Truecrypt permet de chiffrer une partition ou un disque dur interne ou externe entier, mais pas de crypter (chiffrer) le disque du contenant le système d'exploitation, là c'est seulement LVM et LUKS qui peuvent le faire, mais j'ignore comment. Merci de ton aide...

Utilisateur anonyme · Answer

Bonjour,

Je l'ai déjà fait j'ai crypté l'intégralité d'un disque dur de A à Z, donc dès que j'allumai l'ordinateur, il me demandait un mot de passe (plus de 30 caractères donc impossible à craquer) car sans mot de passe, même pas d'accès au bios, ni aux informations concernant les touches F8, F2... ni à quoi que ce soit d'autre.

AntoineFrigel · Answer

Un disque dur où était installé un système d'exploitation stp ?

Et tu l'avais crypté pendant l'installation du système d'exploitation ou après stp ?

Et tu avais crypter tout ça avec Truecrypt ??


Tu ne sais plus comment faire stp ?

Merci beaucoup.

Utilisateur anonyme · Answer

Très exactement j'avais un ordinateur sous Vista. J'ai installé truecrypt, et j'ai choisi l'option ''crypter la totalité du disque dur''.

Je te donne la suite rapidement.

seb3333 · Answer

Bonjour,

Pour crypter ton home, il y cette doc en anglais qui est très bien ( je l'ai suivie pas à pas ) 

http://sysphere.org/~anrxc/j/articles/ecryptfs/index.html

J'ai pas eu le temps de lire tout le topic, j'espère ne pas l'alourdir.

L'intérêt d' eCryptfs, c'est aussi que tu sauvegarde tes données directement chiifrées, il a aussi le cloud :

https://haridas.in/how-to-put-encrypted-contents-on-cloud-storages.html

J'avais trouvé un article très intéressant qui montrait qu'un subtil mix de chiffrage complet de partition, associé à des partition en clair utilisant eCryptfs était l'idéal, si je retrouve, je le poste

Salut :-)

AntoineFrigel · Answer

Merci, c'est toujours pareil. C'est de l'anglais et je n'y comprends strictement rien. Merci quand même, mais pour moi, c'est un coup dans l'eau.

AntoineFrigel · Answer

Par contre c'est bien parce que ça pourra servir à d'autres. Merci.

seb3333 · Answer

Heu ... ben justement, mon ancien eeePC 1000 H m'a lâché le 24 Octobre, et les différents rep perso de ma Debian Squeeze étaient chiffrés grâce au super tuto que j'ai donné.

Comme mon disque interne était automatiquement sauvegardé sur un DD externe ( avec dirvish : excellent ), toutes mes données sont chiffrées sur mes sauvegarde.

Galère si on ne sait pas y accéder à nouveau !!!

Je me suis monté un sys de remplacement avec une vieille tour de 2004, et pour acceder à mes données chiffrées, je dois sous root entrer les commandes suivantes ( non, ne pas avoir peur ... ) :

1-> insérer la wrapped passphrase dans le trousseau de clé :
( en fait c'est une seule et même ligne de commande )

root@SunPC:~# ecryptfs-insert-wrapped-passphrase-into-keyring /media/sauvegarde/seb/20120808/tree/.ecryptfs/wrapped-passphrase

Passphrase: Donner le mot de passe

Inserted auth tok with sig [59a9c46648dafb75] into the user session keyring


2-> monter le rep chiffré, par exemple :
( en fait c'est une seule et même ligne de commande )

root@SunPC:~# mount -t ecryptfs /media/sauvegarde/seb/20121024/tree/.Private /media/sauvegarde/seb/20121024/tree/.Private -o rw,user,noauto,exec,noatime,ecryptfs_sig=c0d8de9f42e7b556,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_fnek_sig=c0d8de9f42e7b556,ecryptfs_unlink_sigs

Passphrase: 
Enable plaintext passthrough (y/n) [n]: n
Attempting to mount with the following options:
  ecryptfs_unlink_sigs
  ecryptfs_fnek_sig=c0a9dc9f51e7b556
  ecryptfs_key_bytes=16
  ecryptfs_cipher=aes
  ecryptfs_sig=99f9e0c26cbf8f6e
Mounted eCryptfs



Et enfin je peux accéder à mes sauvegardes du 24 Octobre 2012 ( bah, je ne l'ai fait que pour copier mes données vers ma nouvelle machine et on peut scripter)

Ça me fait rigoler, quand j'y pense, cette complexité, mais ça me fiche un peu la trouille aussi !!! :-)

Je vais bientôt devoir refaire cette manip, lorsqu'enfin j'aurais un nouveau laptop supportant Linux, ( voir mon message sur l'Aspire One qui me pourris la vie ) et à cette occasion, je traduirait du mieux que je pourrais cette doc, et la publierait ici, ça pourra servir

Non, faut pas flipper, c'est pas si compliqué, faut y aller progressivement, c'est pour ça que la doc que j'ai donnée est excellente. Et je crois qu' eCryptfs va devenir incontournable si l'on veut avoir ses données de cloud chiffrées, donc je pense que ça vaut le coup de se pencher là dessus ... mais bon ... c'est vrai que ça fait flipper !!! MDR 

Salut :-)

Partition cryptée ?

21 réponses

Discussions similaires