Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
And Linux For All

Chiffrer les données avec Linux : deux méthodes.

15 Février 2010 , Rédigé par Emmanuel PIEUX Publié dans #Sécurité

 

Est-il nécessaire de rappeler la nécessité de chiffrer les données contenues dans le disque dur de son ordinateur ?

Disons que la nécessité de chiffrement découle directement de la valeur que l'on octroie à ses données. On trouve généralement des solutions de chiffrement de données dans le monde professionnel, là où les informations ont le plus de valeur, financière généralement.

De plus, la nécessité de chiffrer ses données dépend du support utilisé : un ordinateur portable, donc nomade, devra être plus protégé qu'un ordinateur fixe dans un bureau fermé à clé.

 

Que proposent les distributions Linux pour protéger les données des utilisateurs ?

Il existe pour moi deux méthode majeures :

  • le chiffrement d'un disque dur entier, ou du moins d'une partition

  • l'utilisation d'un gros fichier chiffré, que le système voit comme une partition.

Voyons les avantages et inconvénients de chaque méthode.

 

Remarques préliminaires.

Il faut savoir que l'installation et le paramétrage du chiffrement se fait de préférence à l'installation du système. Toutes les distributions ne proposent pas le chiffrement en standard, du moins pas toujours de façon très accessible à l'utilisateur lambda.

 

Parmi les distributions qui ont mis l'accent sur la simplicité, citons Debian, Ubuntu, OpenSuSE, Fedora.

D'autres le proposent, mais pas de façon aussi évidente que cela : voir mon précédent article « Howto : chiffrer son home à l'installation de Mandriva 2010 ».

 

 

Principe de fonctionnement des deux systèmes.

  • Partition chiffrée :

    Le disque dur est formaté suivant un schéma particulier. Ici, une seule partition classique est créée, celle qui accueille le noyau et les fichiers de boot. Le reste des partitions est créé dans ce que l'on appelle un LVM (logical volume management).

    Derrière cet acronyme se cache un système qui permet de créer des volumes de données indépendants du matériel sur lequel ils sont hébergés. Cela permet notamment de redimensionner à la volée les volumes et de les chiffrés.

    Lorsque l'utilisateur allume son PC, un mot de passe lui est demandé, juste après le chargement du noyau. Ce mot de passe permet de déverrouiller le volume chiffré, permettant ainsi au système d'accéder aux répertoires.

  • Fichier chiffré :

    Ici, le schéma des partitions est tout à fait classique (sda1, sda2, sdb1, etc). Les données de l'utilisateur sont stockées dans un fichier chiffré particulier, qui est physiquement présent dans une partition classique. Lorsque l'utilisateur tape son login et mot de passe pour ouvrir une session, le fichier est déverrouillé, et se comporte comme une partition home de l'utilisateur. Si l'utilisateur quitte sa session, le fichier est verrouillé de nouveau.

 

Facilité de paramétrage.

Entre les deux solutions (partition chiffrée ou fichier chiffré), la plus transparente pour l'utilisateur semble être la deuxième.

En effet, pendant l'installation, il suffit généralement de cocher une case pour que les données de l'utilisateur du système soit chiffrée.

L'autre système peut être aussi simple, mais cela dépend des distributions. Par exemple, une case à cocher suffit sous Debian 5 avec l'installateur graphique, mais il faut installer la version « Alternate » d'Ubuntu pour accéder à ces fonctionnalités, avec un installateur en mode texte, moins simple que son pendant graphique.

 

A l'utilisation.

Là, pas de contestation possible : le plus simple est le fichier. En effet, celui-ci se déverrouille automatiquement à la connexion de l'utilisateur.

L'autre système nécessite la saisie d'un autre mot de passe au démarrage du système, en plus du mot de passe utilisateur.

 

 

Sécurité.

Avantages du système de chiffrement du disque entier :

  • l'intégralité des données et programmes est chiffré. Ainsi, aucun outil ni donnée de l'utilisateur n'est accessible sans le mot de passe de démarrage.

  • Le swap est chiffré lui aussi. Ca n'a l'air de rien, mais des données temporaires peuvent être stockées dans cette partition, et notamment des données de connexion.
  • Un deuxième mot de passe (en plus de l'ouverture de session) est nécessaire. Un mot de passe peut être simple à trouver, deux, c'est tout de suite plus dur.


Inconvénients :

  • Une fois le mot de passe tapé, les partitions sont déverrouillées, quelles que soient les sessions utilisateurs, et restent déverrouillées jusqu'au prochain redémarrage du système. Il ne faut donc pas simplement mettre en veille son ordinateur lors de déplacement par exemple, mais bel est bien l'éteindre. C'est là que la sécurité est la plus forte. Mais c'est bien moins pratique bien entendu.

  • Le chiffrement et déchiffrement est une opération complexe pour un ordinateur. Cela va prendre des ressources systèmes, à chaque lecture et écriture de données et de programmes sur le disque. Il s'ensuit une légère baisse des performances d'entrée/sortie disque. Rien de méchant, mais c'est à noter.

 

 

Avantage du fichier chiffré :

  • Une simple clôture de session est nécessaire pour verrouiller ses données. On peut alors mettre son ordinateur en veille sans problème pendant le transport.

  • Pas de perte de performance en lecture/écriture, sauf pour les données utilisateur. Les programmes n'étant pas chiffrés, ils démarrent normalement.

 

Inconvénient :

  • Le mot de passe est celui de la session de l'utilisateur. Il peut être parfois facile à deviner ou à trouver, voire à casser via un programme de force brut.

 

 

Conclusion

D'un point de vue sécurité, je recommande le chiffrement de la totalité du disque dur. C'est la méthode la plus sûre pour les ordinateurs portables. La seule contrainte est de bien penser à éteindre son PC, notamment pendant les déplacements des utilisateurs.

D'un point de vue utilisateur, il est clair que la solution par fichier est la plus simple. Mais simplicité ne rime pas souvent avec sécurité, hélas.

 

Quoi qu'il en soit, il ma paraît important d'utiliser au moins une de ces méthodes, pour protéger ses données, quelle que soit la valeur que l'on y accorde.

Couplée à une sauvegarde hebdomadaire sur un disque dur externe lui aussi chiffré (voir mon article « Mettre en sécurité vos données sur un disque externe »), vos données seront efficacement protégées.

Partager cet article

Repost 0

Commenter cet article

windows 8 problems 25/07/2014 11:39

Both methods you have shared here are interesting. However, I would prefer the first method. Recently I changed my OS to Ubuntu and I am sure that I can expect more posts regarding encryption and other things in your blog.

Photo bijou 07/06/2010 11:32


Bonjour,Merci de donner les phases a suivre pour chiffrer les clés usb sur Ubuntu.