Archive

Archive for juillet 2010

Chiffrer son /home sous mac ou sous linux

Lorsqu’on a un accès physique à une machine, il est très facile d’avoir accès aux données présentes sur un ordinateur et sur ses disques durs. En effet, même lorsqu’on ne dispose pas du mot de passe de session, l’utilisation d’un bon live cd fait l’affaire : on démarre via le live cd, on « monte » le disque dur et le tour est presque joué.

Pour éviter quelques mauvaises surprises en cas de perte ou de vol de votre matériel, chiffrer ses partitions est un moyen efficace de se protéger et de protéger ses données. Evidemment, si on perd les clés, cela peut aussi poser quelques problèmes pour récupérer ses données.

Les solutions sont nombreuses, et elles ont chacune leurs avantages et leurs inconvénients. Vous pouvez choisir de chiffrer le disque en entier, certaines de vos partitions, votre swap et votre home, votre /home, ou juste certains dossiers ou fichiers. A chacun selon ses besoins…

Ici, je me propose de vous présenter deux solutions simples pour chiffrer votre dossier de départ ou /home/you sur Mac OS X et sur Ubuntu : une protection simple, relativement sure (bien sur les paranoïaques diront que c’est insuffisant mais on parle de protection de la vie privée, non de secrets d’état), qui chiffre et déchiffre à la volée et est relativement peu gourmande en ressources.

Chiffrer son dossier de départ son Mac OS X avec FileVault:

Sous Mac OS X, la solution est presque livrée clé en main avec l’outil FileVault : c’est un outil qui permet de chiffrer votre dossier de départ avec AES-128.

La mise en place est extrêmement simple : vous devez à priori vérifier que vous avez autant d’espace libre sur votre disque, que la taille de votre dossier de départ (en effet il va être copié). Ensuite, dans les préférences, choisir le menu sécurité, puis l’onglet FileVault. Définissez le mot de passe principal (un mot de passe filet de sécurité qui vous permettra de récupérer vos données si vous oubliez votre mot de passe de session). Cliquez, sur « Activer FileVault ». C’est gagné. Vous n’avez plus qu’à attendre, l’opération pouvant être relativement longue.

Pour plus de détails, vous trouverez la notice officiel en français sur le site d’Apple ici.

Cependant, FileVault permet seulement de chiffrer le dossier utilisateur et pas malheureusement le disque entier ou de simples fichiers ou dossiers. Il limite aussi les possibilités offertes par TimeMachine, le logiciel de sauvegarde automatique de Mac OS X: les sauvegardes ne sont plus effectuées fichiers par fichiers, avec sauvegarde des modifications, mais désormais en copiant le dossier protégé par FileVault en entier, ce qui à pour conséquence d’allonger le temps de sauvegarde et l’espace occupé par les sauvegardes.

Chiffrer son /home/me sous ubuntu:

Sous Ubuntu, choisir de chiffrer son /home lors de l’installation est encore plus trivial : il suffit de cocher « Demander mon mot de passe pour ouvrir une session et déchiffrer mon dossier personnel ». C’est tout (pour le moment).

Pour récupérer vos données, il vous faudra rentrer votre mot de passe de session (passphrase de login). C’est ce mot de masse qui sert à chiffrer la passphrase de montage (passphrase qui sert à chiffrer votre dossier). A l’image de mot de passe principal sous Mac OS X, il est bon de garder dans un coin votre passphrase de montage au cas où vous oublieriez votre mot de passe de session.

Pour récupérer cette passphrase de montage, ouvrez un terminal et tapez:

ecryptfs-unwrap-passphrase

Puis entrez la passphrase de login dans le shell. Gardez là dans un coin (pas sur un post-it sur l’écran!), on ne sait jamais.

Si vous désirez chiffrer votre /home après installation, les choses se compliquent (un peu).

Vous devez tout d’abord vérifier que vous disposez de beaucoup d’espace libre (2,5x la taille de votre dossier utilisateur, soit un /home/ remplissant au maximum 1/(1+2,5)=28,5% de la partition). Ensuite, installez le pacquet ecryptfs-utils :

sudo apt-get install ecryptfs-utils

Ensuite, vous devez exécuter le commande suivante, sans utiliser aucune ressource de l’utilisateur (pas même un shell), vous devez donc redémarrer, passer en TTY (Ctrl+Alt+F1), vous connecter en root et exécuter:

ecryptfs-migrate-home -u USER

Encore une fois, vous devez patienter un temps relativement long. Une fois terminé, vous pouvez vous connecter avec l’utilisateur et si tout c’est bien passé, ça marche nickel. En cas de pépins, vous aurez préalablement sauvegardé votre /home/you (hein!?) donc vous restez zen quoiqu’il arrive. Il ne vous reste plus qu’à effacer l’ancien dossier personnel (toujours en clair) qui est dans /home/USER.xxxxxx .

Je vous recommande vivement de lire un article très intéressant, détaillé et complet sur le chiffrement de votre dossier personnel sous Ubuntu sur le blog de Rom avant de réaliser cette opération. Vous pourrez alors saisir les détails, quelques subtilités et trouver des compléments (comment récupérer ses données chiffrer en montant son disque via un live cd et en entrant la passphrase de montage, etc).

Publicités
Catégories :Informatique, Sécurité