Chiffrer ses partitions

Bonjour,

Est ce qu'il y a un intérêt à chiffrer uniquement le /home?

Le chiffrement de la partition /home est bien-entendu nécessaire car c'est là que tu y stockes tes données, que ça soit tes fichiers personnels mais aussi les données d'application. Par exemple, ton navigateur Web y stocke ses cookies, parmi lesquels se trouvent ceux qui permettent de t'identifier sur un site où tu as choisi "se souvenir de moi".

En-dehors de /home, se trouvent aussi des données confidentielles, par exemple le fichier de mot de passe /etc/shadow ou dans le cas d'un serveur /etc/letsencrypt qui contient les clés privées associées aux certificats.

si je ne chiffre pas la partition system, peut on altéré les binaires? ( ex: le /bin)

En plus de l'aspect confidentiel, il faut aussi considérer l'aspect intégrité : certains fichiers n'ont pas d'intérêt à être protégés contre la lecture (par exemple les binaires qui sont communs à tout les utilisateurs de la même distribution), mais dont une modification pourrait être problématique : par exemple, on pourrait modifier le binaire qui te demande le mot de passe pour déchiffrer ta partition, en vue de récupérer ce mot de passe. On pourrait aussi écraser le mot de passe dans /etc/shadow.

Le plus simple est donc de faire un chiffrement entier (FDE ou full disk encryption). Le chiffrement offre ainsi à la fois confidentialité et intégrité.

Ce type de chiffrement est généralement suffisant pour l'individu lambda, qui souhaite juste que ses données restent inaccessibles si l'ordinateur est volé / perdu.

Cependant, il n'est pas suffisant pour des modèles de menace (threat models) plus avancés, comme le "evil maid", ou tu as des raisons de craindre qu'un individu altère ton système en ton absence. Pour ce genre de cas, il faut combiner Secure Boot + une image noyau unifiée (UKI / Unified Kernel Image) + des mesures TPM. C'est seulement depuis la version 253 de systemd qu'on peut obtenir un boot entièrement vérifié. La majorité des implémentations de LUKS + TPM jusque là proposées avaient des points faibles (ex: l'UKI bien que attestée, délègue la confiance à une partition root sans vérifier que ça soit bien la bonne). Voir cet article complet de l'auteur de systemd. C'est assez récent et avancé, mais actuellement possible avec Arch Linux et Fedora 38 (moyennant quelques manips "avancées").

est ce que ça va ralentir ma machine?

Concernant l'impact performances, le chiffrement sera transparent si ton CPU supporte AES-NI capables de (dé)chiffrer quelques GB/s.

j'ai cru comprendre que la manip la plus safe/simple serait de faire une ré-installe chiffré directement, qu'en pensez vous?

Il est possible de convertir un système existant, cela nécessite de chiffrer la partition existante (avec la commande "cryptsetup reencrypt") mais aussi de mettre à jour les différents intervenants (grub, cmdline, fichier crypttab, ...). Le plus simple est donc effectivement de faire une nouvelle installation et de choisir le chiffrement lors du partitionnement.

Bonjour,

Pour te rassurer, il faut bien comprendre que si tes partitions ne sont pas chiffrer, tes données ne sont accessibles qu'à condition que quelqu'un ait accès physiquement à la machine ou que celle-ci ait été piratée. Ce n'est donc en général pas le cas :-)

Si ta machine est accessible physiquement, il faut partir du principe que tout ce qui est en dehors d'une partition chiffrée peut potentiellement être compromis par exemple à l'aide d'un live USB.

Si un utilisateur malveillant a accès à un compte utilisateur, il ne peut (modulo les failles de sécurité inhérente à ton système) pas faire plus que ce que ses droits lui permettent de faire. Cela peut néanmoins être suffisant démarrer une attaque, en particulier si cet utilisateur est amené à utiliser des commandes telles que sudo ou su.

Est ce qu'il y a un intérêt à chiffrer uniquement le /home?

En fait, la question est plutôt : est-il intéressant de chiffrer autre chose ?

• Sous Ubuntu, il me semble que l'installation "chiffrée" ne chiffre que /home à l'aide de cryptsetup/LUKS. Généralement, on fait le chiffrement dès l'installation, ce qui évite d'avoir à chiffrer la partition a posteriori (avec tous les risques que ça comporte).
• Néanmoins, comme l'indique avion-f16, d'autres données sont potentiellement sensibles en dehors de /home.
  • Cela concerne les fichiers stockant de mots de passe (genre /etc/shadow). Comme ceux-ci sont chiffrés, donc même s'il existe des logiciels qui tentent de déduire les mots de passe originaux, le risque est moindre.
  • Cela concerne /etc/passwd, car même si ce fichier ne contient pas les mots de passe chiffrés, il suffit de l'altérer pour s'authentifier en root au prochain redémarrage sans avoir à fournir de mot de passe.
  • Il y a aussi tous les fichiers liés à ton systèmes, et en particulier toutes les commandes systèmes (stockées dans /bin et /sbin). Or les attaques par rootkit visent précisément à bidouiller ces fichiers pour faire croire à l'utilisateur que tout va bien pendant que le pirate masque ses activités malveillantes. Si tu es victime d'une telle attaque, je préconise une réinstallation pour s'assurer que l'on repart sur des bases saines.

Si je ne chiffre pas la partition système, peut on altérer les binaires? ( ex: le /bin)

Le fait de pouvoir altérer ou non une partition ne dépend pas vraiment de si elle est chiffrée ou pas, mais plutôt si on possibilité de la lire et si on a les droits dessus.

• En utilisation normale, seul root peut altérer /bin.
• Si tu passes par un live USB et que depuis ce live, tu parviens à monter la partition en question (ce qui impose de savoir la déchiffrer si elle est chiffrée) et que tu es root sur ton live, alors tu peux potentiellement altérer tout ce qu'elle contient.

Est ce que ça va ralentir ma machine? c'est un portable qui n'est pas de toute première jeunesse, mais pour faire de la bureautique et éventuellement un tout petit peu de développement (je débute, j'ai un niveau noob -4, je me bats contre des buffers overflow !)

Pas vraiment, en pratique, ça devrait être imperceptible.

Le vrai problème, c'est plutôt que tu devras saisir ton mot de passe à chaque démarrage (si la partition système est chiffrée) et à chaque identification (si la partition /home est chiffrée) ce qui peut être assez pénible à la longue. Et tu t'en remets à un mot de passe, donc si celui-ci est brute forcé, alors le chiffrement perd tout son intérêt.

C'est pourquoi, personnellement, je ne chiffre pas mes partitions :

• concernant mes serveurs, ils sont dans une salle serveur sous clé et personne ne peut y accéder
• concernant mes machines personnelles, ils sont chez moi et a priori personne d'autre que moi et ma famille ne peuvent y accéder
• concernant les accès extérieurs, je veille à ce que tout soit sécurisé pour que seuls les utilisateurs légitimes y aient accès avec les bons droits (mais cela impose une certaine rigueur)

À noter qu'il est possible de chiffrer un fichier spécifique avec GPG. Cela évite d'avoir à chiffrer toute une partition qui contient une vaste majorité de fichier anodins et de devoir présenter son mot de passe à chaque fois qu'on veut y accéder. Toutefois, cela est inapplicable pour les fichiers "systèmes" (par exemple /etc/shadow) car le système s'attend à trouver un fichier directement lisible (quitte à ce qu'il soit stocké sur une partition chiffrée).

J'ai cru comprendre que la manipulation la plus sûre/simple serait de faire une ré-installation chiffrée directement, qu'en pensez vous?

C'est effectivement le plus simple mais ça n'est pas obligatoire. Ce que je te recommande par contre, c'est de sauver tes données précieuses sur un autre support au cas où tu te rates.

Si tu décides de chiffrer une partition existante, je t'invite à lire cette discussion.

Bonne chance