Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
truecrypt [Le 18/08/2013, 12:54] Edouard973 [Faire migrer le répertoire Thunderbird dans le dossier Truecrypt] |
truecrypt [Le 06/08/2017, 17:24] 169.159.208.137 obsolète |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag>Lucid precise sécurité chiffrement}} | + | {{tag>Precise sécurité chiffrement}} |
| ---- | ---- | ||
| Ligne 5: | Ligne 5: | ||
| ====== Chiffrement de fichiers et de partitions avec Truecrypt ====== | ====== Chiffrement de fichiers et de partitions avec Truecrypt ====== | ||
| + | <note warning>**ATTENTION !** La sûreté de Truecrypt semble incertaine depuis mai 2014. | ||
| + | |||
| + | Vous ne devez plus utiliser TrueCrypt, celui-ci n'étant plus maintenu et contenant des failles de sécurité. Dans le cas où vous avez juste besoin d'ouvrir un conteneur TrueCrypt, installez [[veracrypt|VeraCrypt]], qui est compatible avec les archives TrueCrypt, il y a juste une option à cocher au moment du montage du volume.</note> | ||
| **Truecrypt** est un programme gratuit de chiffrement de partition qui fonctionne sous [[:gnu|GNU]]/[[:linux|Linux]], MacOS et Windows. Son code source est disponible, mais pour autant il ne s'agit pas d'un logiciel libre (plus de détails sur la [[http://en.wikipedia.org/wiki/TrueCrypt#Licensing|page du wikipédia anglophone]]). (([[http://www.truecrypt.org/legal/license|TrueCrypt License Version 3.0]])) | **Truecrypt** est un programme gratuit de chiffrement de partition qui fonctionne sous [[:gnu|GNU]]/[[:linux|Linux]], MacOS et Windows. Son code source est disponible, mais pour autant il ne s'agit pas d'un logiciel libre (plus de détails sur la [[http://en.wikipedia.org/wiki/TrueCrypt#Licensing|page du wikipédia anglophone]]). (([[http://www.truecrypt.org/legal/license|TrueCrypt License Version 3.0]])) | ||
| + | |||
| + | <note warning> | ||
| + | À la date du 29 mai 2014 : Le site officiel de TrueCrypt est dans un état pour le moins étrange. Les développeurs (mais s'agit-il bien d'eux ?) conseillent de ne plus utiliser TrueCrypt et d'utiliser plutôt à la place l'outil natif de Windows Bitlocker (à ne PAS faire ! et non disponible sous Linux). La seule version encore disponible sur le site, la version finale v7.2, les autres ayant toutes disparu, semble, d'une part, ne rien chiffrer du tout et, d'autre part, seulement déchiffrer vos données. | ||
| + | |||
| + | Un audit de sécurité de l'avant-dernière version de TrueCrypt, la v7.1a, est actuellement [[http://www.numerama.com/magazine/29540-l-audit-de-securite-de-truecrypt-va-continuer.html|en cours]]. En l'état actuel des choses, utilisez absolument le dépôt Ubuntu, les sites vérifiés ci-dessous ou une version alternative. NE télécharger en AUCUN CAS la version v7.2 du site officiel du développeur ! | ||
| + | |||
| + | Les sites d'archivage (vérifiés) pour télécharger/sauvegarder TrueCrypt v7.1a : | ||
| + | * [[https://www.grc.com/misc/truecrypt/truecrypt.htm|Archive de la GRC]] ([[https://twitter.com/DefuseSec/status/472846019039084544|source]]) ; | ||
| + | * [[https://github.com/DrWhax/truecrypt-archive|DrWax - GitHub]] ([[http://korben.info/alternatives-libres-truecrypt.html|source]], vérifiée par l' [[https://twitter.com/OpenCryptoAudit/status/472358613751963648|Open Crypto Audit]]) ; | ||
| + | * [[http://cyberside.net.ee/truecrypt/|CyberSiDE Mirrors]] (depuis GitHub). | ||
| + | |||
| + | Les alternatives à TrueCrypt : http://korben.info/alternatives-libres-truecrypt.html | ||
| + | |||
| + | Quelques informations supplémentaires ici : | ||
| + | * [[http://korben.info/truecrypt.html|Blog de Korben]] ; | ||
| + | * [[http://www.numerama.com/magazine/29528-truecrypt-ferme-pour-insecurite-et-conseille-de-faire-confiance-a-microsoft.html|Site de Numerama]] ; | ||
| + | * [[http://blogs.mediapart.fr/blog/mfrick/310514/qui-tue-truecrypt-le-debut-de-lattaque-contre-lencryption-informatique|Blog de MediaPart]]. | ||
| + | </note> | ||
| + | |||
| + | <note tip>//Un site web situé en Suisse, truecrypt.ch, affirme vouloir relancer le projet, en tirant les leçons de la fin énigmatique du projet initial. Le projet sera situé en Suisse, pour se soustraire à l'influence des services de renseignement américains, l'équipe de développement ne sera plus anonyme et le projet sera « réellement open-source ».// | ||
| + | |||
| + | https://truecrypt.ch/ | ||
| + | |||
| + | //Source : Wikipédia.org//</note> | ||
| Fonctionnalités principales (traduction du site de [[http://www.truecrypt.org/|TrueCrypt]]) : | Fonctionnalités principales (traduction du site de [[http://www.truecrypt.org/|TrueCrypt]]) : | ||
| Ligne 22: | Ligne 49: | ||
| [[http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-cspn/certificat_cspn_2008_03.html|Certification sur le site de l'ANSSI]] | [[http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-cspn/certificat_cspn_2008_03.html|Certification sur le site de l'ANSSI]] | ||
| - | <note>Trucrypt utilise une license un peu obscure considérée même comme dangereuse par le projet Fedora ([[https://fedoraproject.org/wiki/ForbiddenItems#TrueCrypt]]), c'est pour cela que des versions libres ont vu le jour comme [[http://rpmfusion.org/Package/realcrypt|realcrypt]] ou[[https://github.com/bwalex/tc-play|tc-play]]</note> | + | <note>Truecrypt utilise une licence un peu obscure considérée même comme dangereuse par le projet Fedora ([[https://fedoraproject.org/wiki/ForbiddenItems#TrueCrypt]]), c'est pour cela que des versions libres ont vu le jour comme [[http://rpmfusion.org/Package/realcrypt|realcrypt]] ou[[https://github.com/bwalex/tc-play|tc-play]].</note> |
| ===== Concept ===== | ===== Concept ===== | ||
| - | Pour les détails techniques sur le schéma du chiffrement, reportez vous à la section "Encryption Scheme" du //[[http://www.truecrypt.org/docs/TrueCrypt%20User%20Guide.pdf|TrueCrypt User Guide (en anglais)]]// (page 71). | + | Pour les détails techniques sur le schéma du chiffrement, reportez-vous à la section "Encryption Scheme" du //[[http://www.truecrypt.org/docs/TrueCrypt%20User%20Guide.pdf|TrueCrypt User Guide (en anglais)]]// (page 71). |
| ===== Pré-requis ===== | ===== Pré-requis ===== | ||
| Ligne 33: | Ligne 60: | ||
| ===== Installation ===== | ===== Installation ===== | ||
| + | |||
| + | ==== Téléchargement ==== | ||
| + | <note> Truecrypt.org recommande d'utiliser la version mise en ligne sur leur site plutôt que la version des dépots Ubuntu car elle est plus récente. | ||
| + | C'est ce qui est présenté ici. | ||
| + | </note> | ||
| Il vous faut télécharger le paquet linux standard pour votre [[:architecture_materielle#mon_processeur_est-il_32_bits_ou_64_bits|architecture]] de **TrueCrypt** sur le [[http://www.truecrypt.org/downloads|site officiel]] : | Il vous faut télécharger le paquet linux standard pour votre [[:architecture_materielle#mon_processeur_est-il_32_bits_ou_64_bits|architecture]] de **TrueCrypt** sur le [[http://www.truecrypt.org/downloads|site officiel]] : | ||
| - | * Dans le dossier où vous avez téléchargé le fichier, [[:archivage#graphiquement| extraire l'archive]] et cliquez deux fois sur le fichier truecrypt-<version>-setup-<architecture> (ie: //truecrypt-7.0a-setup-x64//) pour lancer l'installation;\\ de là, choisissez //lancer dans un terminal//, puis suivez les indications d'installation. Pour finir, appuyez sur entrée. | + | ==== Vérification des fichiers téléchargés ==== |
| - | * Au besoin, essayer : | + | Cette étape (optionnelle) consiste à vérifier que les fichiers téléchargés sont bien ceux mis en ligne par www.truecrypt.org. |
| - | $ sh truecrypt-7.0a-setup-x86 | + | |
| - | | + | Les commandes sont bien décrites [[http://www.mattnworb.com/post/16019918033/how-to-verify-a-pgp-signature-with-gnupg|ici]]. |
| - | Lors de l'installation on vous informe que TrueCrypt nécessite : | + | |
| + | Les étapes sont: | ||
| + | * créer votre propres signature (si ce n'est déjà fait) | ||
| + | * télécharger la clé publique de truecrypt.org | ||
| + | * télécharger la signature numérique (fichier gpg) de l'archive | ||
| + | * autoriser la clé publique | ||
| + | * authentifier la signature du paquet | ||
| + | |||
| + | |||
| + | ==== Installation ==== | ||
| + | |||
| + | ** Mode graphique ** | ||
| + | Dans le dossier où vous avez téléchargé le fichier archive, [[:archivage#graphiquement| extraire l'archive]] et cliquez deux fois sur le fichier truecrypt-<version>-setup-<architecture> (ie: //truecrypt-7.0a-setup-x64//) pour lancer l'installation;\\ de là, choisissez //lancer dans un terminal//, puis suivez les indications d'installation. Pour finir, appuyez sur entrée. | ||
| + | |||
| + | ** Mode commande en ligne (pas en root) ** | ||
| + | tar -xzf truecrypt-<version>-setup-<architecture>.tar.gz | ||
| + | sh truecrypt-7.0a-setup-x86 | ||
| + | |||
| + | <note information> | ||
| + | Sur Kubuntu 13.10 64 bit, avec truecrypt7-1a-setup-x64, la version en Mode commande en ligne ne fonctionne pas, à vérifier pour les autres versions. | ||
| + | </note> | ||
| + | |||
| + | <note> Lors de l'installation, si les paquets ne sont pas disponibles sur votre système, on vous informera que TrueCrypt nécessite l'installation de : | ||
| * FUSE library and tools | * FUSE library and tools | ||
| * device mapper tools | * device mapper tools | ||
| - | [[:tutoriel:comment_installer_un_paquet|Les paquets à installer]] sont respectivement [[apt>fuse-utils]] et [[apt>dmsetup]] s'ils ne sont pas encore présents sur votre système. | + | [[:tutoriel:comment_installer_un_paquet|Les paquets à installer]] sont respectivement [[apt>fuse-utils]] et [[apt>dmsetup]]. |
| + | |||
| + | ex: | ||
| + | sudo apt-get install fuse-utils dmsetup | ||
| + | |||
| + | </note> | ||
| ===== Utilisation ===== | ===== Utilisation ===== | ||
| Ligne 86: | Ligne 145: | ||
| - | Truecrypt demande à chaque fois le mot de passe administrateur pour pouvoir monter vos fichiers. Voici les étapes: | + | Truecrypt demande à chaque fois le mot de passe administrateur. Pour pouvoir monter vos fichiers sans demande systématique du mot de passe, voici les étapes: |
| Saisir cette commande dans un terminal: | Saisir cette commande dans un terminal: | ||
| sudo EDITOR=gedit visudo | sudo EDITOR=gedit visudo | ||
| Ligne 110: | Ligne 169: | ||
| A chaque démarrage, une fenêtre //Truecrypt// apparaîtra automatiquement et vous demandera d'entrer votre mot de passe. Votre dossier chiffré sera donc monté très rapidement, sans avoir à vous casser la tête. | A chaque démarrage, une fenêtre //Truecrypt// apparaîtra automatiquement et vous demandera d'entrer votre mot de passe. Votre dossier chiffré sera donc monté très rapidement, sans avoir à vous casser la tête. | ||
| - | <note warning>Attention : en procédant ainsi, vous rendez visible votre dossier chiffré. Dans l'hypothèse (paranoïaque) où quelqu'un aurait cracké le mot de passe de votre session, il serait informé de l'existence d'un dossier chiffré, ce qui peut représenter une faille de sécurité, même si celui-ci n'est pas lisible.</note> | + | <note warning>Attention : en procédant ainsi, vous rendez visible votre dossier chiffré. Dans l'hypothèse (<del>paranoïaque</del>) où quelqu'un aurait cracké le mot de passe de votre session, il serait informé de l'existence d'un dossier chiffré, ce qui peut représenter une faille de sécurité, même si celui-ci n'est pas lisible.</note> |
| ===== Lancement au démarrage sans saisie de mot de passe ===== | ===== Lancement au démarrage sans saisie de mot de passe ===== | ||
| <note warning>En utilisant cette méthode, votre fichier ou partition Truecrypt sera montée automatiquement dès le démarrage du système. Toute personne ayant un accès à votre session peut donc avoir accès à vos fichiers.</note> | <note warning>En utilisant cette méthode, votre fichier ou partition Truecrypt sera montée automatiquement dès le démarrage du système. Toute personne ayant un accès à votre session peut donc avoir accès à vos fichiers.</note> | ||
| Ligne 135: | Ligne 194: | ||
| - Générez une clé PGP uniquement pour Truecrypt: <code>gpg --gen-key</code> et suivez les instructions. | - Générez une clé PGP uniquement pour Truecrypt: <code>gpg --gen-key</code> et suivez les instructions. | ||
| - Créez un volume Truecypt avec mot de passe et fichier-clé. | - Créez un volume Truecypt avec mot de passe et fichier-clé. | ||
| + | - Chiffrez votre fichier-clé avec la nouvelle clé PGP crée pour l'occasion. En effet, le contrôle proposé ici repose sur le chiffrement et déchiffrement du fichier-clé. Truecrypt a besoin du fichier-clé en clair pour pouvoir monter votre conteneur. Si votre fichier-clé est absent, votre conteneur Truecrypt ne se montera pas. | ||
| - Adaptez ce script et configurez le pour qu'il se lance au démarrage: <code> #!/bin/bash | - Adaptez ce script et configurez le pour qu'il se lance au démarrage: <code> #!/bin/bash | ||
| # Script pour déverouiller un fichier-clé necessaire pour TrueCrypt chiffré par PGP. | # Script pour déverouiller un fichier-clé necessaire pour TrueCrypt chiffré par PGP. | ||
| Ligne 140: | Ligne 200: | ||
| # Version: 1.00 ( Dimanche 18 août 2013) | # Version: 1.00 ( Dimanche 18 août 2013) | ||
| # Licence GPL | # Licence GPL | ||
| - | xterm -e "gpg --output /home/richard/fichier --decrypt votre_fichier_clé_chiffré_avec_pgp" # Se lance dès l'ouverture de session pour demander le mot de passe PGP pour déchiffrer | + | xterm -e "gpg --output destination_de_votre_fichier_en_clair_pour_truecrypt --decrypt votre_fichier_clé_chiffré_avec_pgp" # Se lance dès l'ouverture de session pour demander le mot de passe PGP pour déchiffrer |
| # le fichier-clé. | # le fichier-clé. | ||
| - | sleep 1 # Attend une seconde pour monter avec TrueCrypt et le fichier-clé en clair. | + | sleep 1 # Attend une seconde pour monter avec TrueCrypt avec le fichier-clé en clair. |
| - | sudo truecrypt --keyfiles=/votre_fichier_en_clair --password=votre_mot_de_passe /chemin_vers_votr_contenur_truecrypt | + | sudo truecrypt --keyfiles=/votre_fichier_en_clair --password=votre_mot_de_passe /chemin_vers_votre_conteneur_truecrypt |
| sleep 1 # Attend une seule seconde avant de détruire le fichier-clé en clair. | sleep 1 # Attend une seule seconde avant de détruire le fichier-clé en clair. | ||
| shred -n 35 -z -u / votre_fichier_en_clair | shred -n 35 -z -u / votre_fichier_en_clair | ||
| Ligne 150: | Ligne 210: | ||
| <note important>Pensez à rendre votre script exécutable.</note> | <note important>Pensez à rendre votre script exécutable.</note> | ||
| | | ||
| - | Ainsi, dès le démarrage, vous avez un terminal vous demandant un mot de passe. Je vous conseille un mot de passe relativement court. Ainsi, vous tapez votre mot de passe pour déverrouiller votre conteneur puis vous pourrez laisser votre session à une autre personne. | + | Ainsi, dès le démarrage, vous avez un terminal vous demandant un mot de passe. Je vous conseille un mot de passe relativement court. Ainsi, vous tapez votre mot de passe pour déverrouiller votre conteneur puis vous pourrez laisser votre session à une autre personne. L'avantage de cette méthode est que le fichier-clé nécessaire à Truecrypt n'existe pas en clair: il faut votre mot de passe pour le déchiffrer. Si vous ne souhaitez pas ouvrir votre conteneur, vous n'avez qu'à fermer la fenêtre du terminal vous demandant votre mot de passe puis fermez la fenêtre d'erreur de Truecrypt (**qui indique le chemin vers votre fichier-clé en clair**). |
| | | ||
| <note tip>Je vous conseille de ne pas donner un nom trop explicite pour votre script pour le lancement au démarrage.</note> | <note tip>Je vous conseille de ne pas donner un nom trop explicite pour votre script pour le lancement au démarrage.</note> | ||
| Ligne 178: | Ligne 238: | ||
| * [[http://www.truecrypt.org/|Site officiel]] | * [[http://www.truecrypt.org/|Site officiel]] | ||
| * [[http://www.truecrypt.org/downloads.php| La page de téléchargement du dernier paquet .deb stable sur le site officiel]] | * [[http://www.truecrypt.org/downloads.php| La page de téléchargement du dernier paquet .deb stable sur le site officiel]] | ||
| + | * [[http://youtu.be/tAwQ4Zsw5bE/|Vidéo tuto en français]] | ||
| + | * [[http://mhogomchungu.github.io/zuluCrypt/|Zulucrypt - Interface GUI avec récemment une interface francisée]] | ||
| | | ||
| ---- | ---- | ||
| //Contributeurs : zanonime, [[:utilisateurs/aurelien88]], [[:utilisateurs/Mr_Djez]]// \\ --- //[[:utilisateurs:Edouard973|Edouard973]] | //Contributeurs : zanonime, [[:utilisateurs/aurelien88]], [[:utilisateurs/Mr_Djez]]// \\ --- //[[:utilisateurs:Edouard973|Edouard973]] | ||
| - | //mise à jour : [[:utilisateurs/Ool]]// | + | //mise à jour : [[:utilisateurs/Ool]], [[:utilisateurs/lorried]]// |