Protéger ses données avec TrueCrypt

Le logiciel TrueCrypt permet de chiffrer un simple fichier, une partition entière d'un disque dur ou un périphérique, comme une clé USB. Chiffrer ses données permet de transformer une information afin qu’elle ne soit pas accessible par des tiers non autorisés. En cas de perte ou de vol de votre ordinateur (ou de votre clé USB), il est impossible d'accéder aux données chiffrées sans connaitre le mot de passe que vous aurez défini.

Le principe

Ce tutoriel aborde la création d'un volume (ou conteneur) TrueCrypt permettant de chiffrer un ensemble de fichiers. Ce conteneur ou volume peut se trouver sur votre disque dur, une clé USB, une carte mémoire, etc.

Pour en comprendre le fonctionnement, il faut comparer l'utilisation des volumes ou conteneur TrueCrypt à celle d'un coffre fort. Chaque fois que vous souhaitez stocker un fichier chiffré, vous ouvrez le volume TrueCrypt pour l'y déposer. Une fois le fichier stocké, vous fermez le volume. Le fichier est alors chiffré et protégé.

Avant de commencer


L'équipe de développement TrueCrypt a annoncé sur son site que le logiciel n'était plus sécurisé. Elle propose de remplacer TrueCrypt par un équivalent commercial, BitLocker et propose en téléchargement une version 7.2 de TrueCrypt qui ne permet que de déchiffrer les volumes chiffrés. Nous déconseillons d'installer cette dernière version. Nous déconseillons également d'utiliser le logiciel BitLocker dont le code n'est pas open source et n'offre donc pas de possibilité d'Audit de sécurité. D'autres équipes de développement ont déjà annoncé leur volonté de continuer le projet TrueCrypt. En attendant le développement d'un logiciel équivalent, vous pouvez soit continuer à utiliser la précédente version de TrueCrypt, la version 7.1 (accessible en téléchargement ici), soit vous tourner vers d'autres logiciels qui intègrent des options de chiffrement de données tels que Tails.

Avant de commencer, télécharger et installez TrueCrypt sur votre ordinateur. TrueCrypt est un logiciel libre, gratuit, disponible sur Windows, Mac et Linux.

Le volume TrueCrypt s'ouvre à l'aide d'un mot de passe. Vous devez donc :

  • Créer un mot de passe solide : une phrase à vous (pas de citation ou réplique de film), un mot de passe aléatoire… Quelque chose de long et compliqué qu'on ne peut pas trouver dans un dictionnaire.
  • Retenir votre mot de passe ! En cas d'oubli, vous ne pourrez pas récupérer les données du volume TruCrypt.
  • Ne pas écrire votre mot de passe en clair où que ce soit: le meilleur mot de passe ne vaut rien si on peut le trouver… Collé sous votre clavier par exemple..

 

Créer le volume

Pour créer un volume chiffré, après avoir lancé le logiciel TrueCrypt, cliquez sur le bouton Create Volume.

 

Vous avez à présent le choix entre 3 options. La première est la création d'un volume dans un fichier, la seconde dans une partition et la dernière concerne votre système d'exploitation. Sélectionnez la première option Create an encrypted file container et cliquez sur Next.

 

Vous avez le choix entre créer un volume chiffré standard et créer un espace protégé invisible (nous y reviendrons plus tard). Cliquez sur le premier, Standard TrueCrypt volume puis Next.

 

Vous devez maintenant sélectionner l'emplacement où sera stocké votre volume chiffré. Il peut se trouver sur votre disque dur (dans votre ordinateur), un support de stockage externe (clé USB, disque externe, NAS…), dans un service de stockage en ligne, etc. Cliquez sur Select File pour choisir votre emplacement de sauvegarde.

 

Positionnez-vous dans le répertoire voulu et donnez un nom au fichier (explicite ou non, tel que “Mes Photos.tc” ou alors “Données chiffrés.tc”. Enfin, cliquez sur Enregistrer.

 

Le chemin du fichier apparaît à présent dans le champ de sélection de l'emplacement. Cliquez sur Next.

 

In the next window, choose AES, the default encryption algorithm.
Choisissez l'algorithme proposé par défaut : AES.
Sélectionnez à présent l'algorithme de chiffrement voulu. Il y a un deuxième choix à faire, celui du Hash. Le hash permet de transformer votre mot de passe en un code irréversible. Si vous ne savez pas lequel choisir, prenez le SHA-512 (également utilisé par les organisations gouvernementales des USA). Une fois votre sélection faite, cliquez sur Next.

 

Sélectionnez à présent l'algorithme de chiffrement voulu. Il y a un deuxième choix à faire, celui du Hash. Le hash permet de transformer votre mot de passe en un code irréversible. Si vous ne savez pas lequel choisir, prenez le SHA-512 (également utilisé par les organisations gouvernementales des USA). Une fois votre sélection faite, cliquez sur Next.

  • A Word file: 200 KB
  • A photo (taken with a camera): 1 MB
  • A sound file (MP3): 4 MB
  • A film (encoded in DivX): 700 MB.

Aujourd'hui, un ordinateur portable est vendu avec un disque dur de 160 Go à 320 Go et une clé USB de 2 Go à 16 Go. Après avoir indiqué la taille de votre espace de stockage, cliquez sur Next.

 

Vous devez à présent définir le mot de passe permettant de chiffrer et déchiffrer vos données. Il est conseillé d'avoir un mot de passe d'au moins 20 caractères. Vous pouvez composer une phrase pour vous en rappeler plus facilement ou choisir un mot de passe aléatoire (plus difficile à cracker). Votre phrase ne doit pas être connue : citations, répliques de film et titres de chansons sont à éviter. Cliquez sur Next.

 

TrueCrypt n'autorise pas l'utilisation de lettres accentuées (tel que: é à ï ô ù…) dans le mot de passe. Remplacez les lettres accentuées par leurs équivalents non accentuées. Il est possible d'utiliser des chiffres et des signes de ponctuation pour complexifier le mot de passe.

 

Optionnel : Cette fenêtre n'apparaît que si vous avez choisi de créer un volume de stockage supérieur à 4096 Mo (soit plus de 4 Go). Le système de fichier FAT32 limite la taille des fichiers à 4096 Mo. Pour outrepasser cette limite, choisissez le format NTFS de Microsoft. Si vous n'avez pas de connaissances approfondies en informatique, sélectionnez No. Cliquez ensuite sur Next.

 

Le conteneur TrueCrypt va maintenant être créé. Si vous ne savez pas à quoi correspondent les options de cet écran, conservez les choix par défaut. Utilisateurs expérimentés : nous déconseillons de cocher la case Dynamic. Cette option permet d'augmenter la taille du volume TrueCrypt dynamiquement mais pose un problème de sécurité car cette fonctionnalité peut permettre à un attaquant de connaître la taille réelle des données stockées. C'est un problème lors de l'utilisation d'un déni plausible.'un volume caché. Vous allez à présent formater le volume de stockage. Le programme remplit de données aléatoires l'espace non utilisé de votre conteneur. Lancer le formatage en cliquant sur le bouton Format.

 

 La progression peut être longue, elle est en fonction de la taille de votre fichier, des performances du support physique et de votre processeur

 

Bravo ! Vous venez de créer votre fichier chiffré ! Pour finir, cliquez sur Exit.

 

Ouverture du volume chiffré

 Pour accéder à vos données, cliquez sur Select File.

 

Sélectionner le volume chiffré là où il a été enregistré puis cliquez sur Ouvrir.

 

Il est également possible d'accéder au volume chiffré en double-cliquant dessus dans votre explorateur de fichier.

 

Le chemin de votre volume chiffré apparaît dans le champ Volume. Sélectionner dans la liste, la lettre du lecteur virtuel par laquelle vous souhaitez accéder à vos données chiffrées (généralement la première convient). Cliquez sur le bouton Mount.

 

Entrez le mot de passe défini lors de la création du volume TrueCrypt puis cliquez sur OK.

 

Le volume chiffré est à présent accessible en clair depuis votre explorateur de fichiers comme un support de stockage classique.
Vous pouvez maintenant accéder au contenu de votre volume chiffré directement par votre explorateur de fichiers, en double cliquant sur la ligne où se trouve votre espace chiffré ou en faisant un clic droit sur cette ligne et en sélectionnant Open.

 

Utilisation du Volume chiffré

Nous allons chiffrer un fichier se trouvant sur notre disque dur : une image. Celle-ci se trouve actuellement dans le dossier Images. Après l'avoir sélectionnée, nous la “coupons” afin qu'elle ne soit plus disponible à son emplacement d'origine en version non chiffrée.

 

Une fois positionnée dans le volume TrueCrypt, nous la “collons”. Elle est désormais en sécurité dans notre volume chiffré. Notre image et tous les fichiers que nous y mettrons à l'avenir seront chiffrés. Pour y accéder, le mot de passé défini lors de la création du volume sera nécessaire.

 

Une fois les fichiers déplacés dans le coffre fort numérique (le volume TrueCrypt), il faut en refermer l'accès (l'accès est automatiquement fermé lorsque l'ordinateur s'éteint): c'est l'opération dite de “démontage”. Pour cela, il cliquez sur l'élément à refermer et sélectionnez Dismount (démonter). Vous pouvez aussi cliquer sur le bouton du bas Dismount All (démonter tout).

 

TrueCrypt et le déni plausible

TrueCrypt offre la possibilité de créer un volume caché pour prévenir le cas où on est forcé de donner son mot de passe. C'est le principe de la valise à double fond ou, en cryptographie, déni plausible.Au lieu de créer un volume chiffré unique, TrueCrypt en créera deux, un volume extérieur (outer volume) et un volume caché (hidden volume). Chaque volume s'ouvrira avec des mots de passe différents. L’un fera office de leurre, l’autre contiendra les données vraiment confidentielles. Même si le mot de passe du volume extérieur est révélé, il ne permettra pas d’accéder au volume caché qui est lui protégé par un autre mot de passe. Il est impossible de savoir si un espace chiffré avec TrueCrypt contient un ou deux volumes.

Pour créer un volume chiffré caché, suivez les mêmes étapes que lors de la création d'un volume simple :

Cliquez sur le bouton Create Volume

 

Sélectionnez l'option Create an encrypted file container puis cliquez sur Next

 

Vous avez le choix entre créer un volume chiffré standard et créer un espace protégé invisible. Cliquez sur Hidden TrueCrypt Volume volume puis sur Next

L'utilisation d'un volume caché présente quelques inconvénients :

  • La création d'un container caché fait perdre de la place
  • Vous devrez retenir un mot de passe supplémentaire
  • Si vous avez mis le déni plausible en place il y a un certain temps et que vous n’avez pas touché à la partition cachée depuis, votre agresseur, s’il sait ce qu’il cherche et s’il sait regarder la date de dernière modification d’un fichier, aura tôt fait de s’apercevoir de l'astuce. 

Il existe d'autres moyens de dissimuler des données : il est possible de cacher un conteneur truecrypt dans des fichiers vidéo. Cette solution est moins facile à mettre en œuvre mais plus crédible en terme de camouflage.

Article original publié sur http://wiki.korben.info/truecrypt.