Archive

Archive for the ‘Sécurité’ Category

Chiffrer son /home sous mac ou sous linux

Lorsqu’on a un accès physique à une machine, il est très facile d’avoir accès aux données présentes sur un ordinateur et sur ses disques durs. En effet, même lorsqu’on ne dispose pas du mot de passe de session, l’utilisation d’un bon live cd fait l’affaire : on démarre via le live cd, on « monte » le disque dur et le tour est presque joué.

Pour éviter quelques mauvaises surprises en cas de perte ou de vol de votre matériel, chiffrer ses partitions est un moyen efficace de se protéger et de protéger ses données. Evidemment, si on perd les clés, cela peut aussi poser quelques problèmes pour récupérer ses données.

Les solutions sont nombreuses, et elles ont chacune leurs avantages et leurs inconvénients. Vous pouvez choisir de chiffrer le disque en entier, certaines de vos partitions, votre swap et votre home, votre /home, ou juste certains dossiers ou fichiers. A chacun selon ses besoins…

Ici, je me propose de vous présenter deux solutions simples pour chiffrer votre dossier de départ ou /home/you sur Mac OS X et sur Ubuntu : une protection simple, relativement sure (bien sur les paranoïaques diront que c’est insuffisant mais on parle de protection de la vie privée, non de secrets d’état), qui chiffre et déchiffre à la volée et est relativement peu gourmande en ressources.

Chiffrer son dossier de départ son Mac OS X avec FileVault:

Sous Mac OS X, la solution est presque livrée clé en main avec l’outil FileVault : c’est un outil qui permet de chiffrer votre dossier de départ avec AES-128.

La mise en place est extrêmement simple : vous devez à priori vérifier que vous avez autant d’espace libre sur votre disque, que la taille de votre dossier de départ (en effet il va être copié). Ensuite, dans les préférences, choisir le menu sécurité, puis l’onglet FileVault. Définissez le mot de passe principal (un mot de passe filet de sécurité qui vous permettra de récupérer vos données si vous oubliez votre mot de passe de session). Cliquez, sur « Activer FileVault ». C’est gagné. Vous n’avez plus qu’à attendre, l’opération pouvant être relativement longue.

Pour plus de détails, vous trouverez la notice officiel en français sur le site d’Apple ici.

Cependant, FileVault permet seulement de chiffrer le dossier utilisateur et pas malheureusement le disque entier ou de simples fichiers ou dossiers. Il limite aussi les possibilités offertes par TimeMachine, le logiciel de sauvegarde automatique de Mac OS X: les sauvegardes ne sont plus effectuées fichiers par fichiers, avec sauvegarde des modifications, mais désormais en copiant le dossier protégé par FileVault en entier, ce qui à pour conséquence d’allonger le temps de sauvegarde et l’espace occupé par les sauvegardes.

Chiffrer son /home/me sous ubuntu:

Sous Ubuntu, choisir de chiffrer son /home lors de l’installation est encore plus trivial : il suffit de cocher « Demander mon mot de passe pour ouvrir une session et déchiffrer mon dossier personnel ». C’est tout (pour le moment).

Pour récupérer vos données, il vous faudra rentrer votre mot de passe de session (passphrase de login). C’est ce mot de masse qui sert à chiffrer la passphrase de montage (passphrase qui sert à chiffrer votre dossier). A l’image de mot de passe principal sous Mac OS X, il est bon de garder dans un coin votre passphrase de montage au cas où vous oublieriez votre mot de passe de session.

Pour récupérer cette passphrase de montage, ouvrez un terminal et tapez:

ecryptfs-unwrap-passphrase

Puis entrez la passphrase de login dans le shell. Gardez là dans un coin (pas sur un post-it sur l’écran!), on ne sait jamais.

Si vous désirez chiffrer votre /home après installation, les choses se compliquent (un peu).

Vous devez tout d’abord vérifier que vous disposez de beaucoup d’espace libre (2,5x la taille de votre dossier utilisateur, soit un /home/ remplissant au maximum 1/(1+2,5)=28,5% de la partition). Ensuite, installez le pacquet ecryptfs-utils :

sudo apt-get install ecryptfs-utils

Ensuite, vous devez exécuter le commande suivante, sans utiliser aucune ressource de l’utilisateur (pas même un shell), vous devez donc redémarrer, passer en TTY (Ctrl+Alt+F1), vous connecter en root et exécuter:

ecryptfs-migrate-home -u USER

Encore une fois, vous devez patienter un temps relativement long. Une fois terminé, vous pouvez vous connecter avec l’utilisateur et si tout c’est bien passé, ça marche nickel. En cas de pépins, vous aurez préalablement sauvegardé votre /home/you (hein!?) donc vous restez zen quoiqu’il arrive. Il ne vous reste plus qu’à effacer l’ancien dossier personnel (toujours en clair) qui est dans /home/USER.xxxxxx .

Je vous recommande vivement de lire un article très intéressant, détaillé et complet sur le chiffrement de votre dossier personnel sous Ubuntu sur le blog de Rom avant de réaliser cette opération. Vous pourrez alors saisir les détails, quelques subtilités et trouver des compléments (comment récupérer ses données chiffrer en montant son disque via un live cd et en entrant la passphrase de montage, etc).

Catégories :Informatique, Sécurité

Comment rester anonyme sur internet

Tout le monde laisse des traces sur internet . Entre autres, votre ip, votre dns, vos cookies, votre historique, votre navigateur et votre système d’exploitation sont facilement accessibles. Vous ne me croyez pas? Allez voir ici ou . Alors pour ce qui est du reste, il faudrait commencer à s’inquiéter…

Pour rester « relativement » anonyme, il existe deux solutions simples. Vous pouvez utiliser un proxy, ou bien utiliser Tor.

Utilisation d’un proxy :

Un proxy (serveur mandataire) est un relais entre vous et le serveur cible sur lequel vous voulez vous connecter. Il relaye vos paquets, et le serveur ne voit que lui. Vous pouvez en trouver une longue liste ici. Cependant, il garantit assez peu votre anonymat car les données sont le plus souvent transmises en clair, le proxy sait tout de vous (man in the middle) et en plus un simple code exécuté (du javascript par exemple) sur le client (vous) peut permettre de récupérer les données précédemment masquées (les entêtes que l’on veut cacher). Une démarche similaire peut consister à passer par un serveur VPN (virtual private network) mais ne modifie pas la liste des inconvénients. Pour plus d’information sur les VPN, je vous conseille ce site.

Pour éviter ces complications, vous pouvez par exemple utiliser Tor.

Logo de Tor

Utilisation de Tor :

Tor est un réseau de tunnels virtuels. Il permet de prendre un chemin détourné (routage sur plusieurs noeuds) pour se rendre sur un site web (i.e de dissimuler les entêtes, notre problème précédent) et en plus de crypter tous les paquets que vous envoyez entre vous et l’avant dernier noeud. En résumé, Tor vous protège de l’analyse de traffic. Il doit s’utiliser en complément d’outils gestion des cookies (qui peuvent vous trahir) par exemple le proxy web Privoxy. Cependant le simple fait d’installer Tor ne vous protège pas comme par magie. Il faut configurer les applications pour qu’elles utilisent Tor. Utiliser Firefox et TorButton est une bonne combinaison pour naviguer tranquille (cela va cependant désactiver les extensions javascript, flash, etc qui peuvent révéler des informations sur vous comme votre ip).

Pour en savoir plus sur Tor, je vous recommande le site officiel http://www.torproject.org/.

Bonne navigation.

Catégories :Sécurité, Web Étiquettes : , , , , ,

Comment crypter facilement ses données

La cryptographie et le chiffrage des données ne sont pas seulement réservés aux professionnels, aux entreprises, aux chercheurs ou aux geeks. Le chiffrage est accessible à tous, il est facile à mettre en oeuvre et facile à utiliser. Il permet de protéger ses données sensibles ou tout simplement votre vie privée. Il faut toujours garder à l’esprit qu’envoyer un mail via internet est comparable à envoyer une carte postale par la poste. Niveau confidentialité, c’est pas le top.

Pour chiffrer vos documents, il existe des solutions simples et efficaces, accessibles à l’utilisateur lambda. Je me propose ici de vous présenter quelques unes de ces solutions.

Le chiffrement symétrique par AES (Advanced Encryption Standard) :

AES est un algorithme de chiffrement symétrique, c’est à dire à clé secrète. Un logiciel très pratique, gratuit, et open source, et multiplateforme qui implémente l’algorithme AES en 256-bits est aescrypt. Il est téléchargeable ici sur le site de l’éditeur.

Une fois installé, il s’utilise très simplement en ligne de commande (non non ne prenez pas peur) via un terminal (mac, linux, unix) ou une invite de commande (windows). Rassurez vous le site propose aussi une petite interface graphique pour les frileux.

Pour chiffrer, il suffit de taper la commande suivante (-e pour chiffrer, -p pour le mot de passe, suivi du nom du fichier) :

aescrypt -e -p passwordcle secretsdevictor.rtf

On obtient alors un fichier chiffrer pour l’extension .aes :

secretsdevictor.rtf.aes

Pour déchiffrer, il suffit de taper la commande avec -d (pour déchiffrer) :

aescrypt -d -p passwordcle secretsdevictor.rtf.aes

Voilà vous savez désormais chiffrer un fichier. Pensez à transmettre la clé de votre fichier à son destinataire par un moyen sûr.

Vous pouvez aussi utiliser directement la librairie OpenSSL pour crypter/décrypter via AES. Il suffit de taper la ligne suivante sous un UnixLike disposant de la bibliothèque OpenSSL (avec -e pour crypter et -d pour décrypter).

openssl aes-256-cbc -e -a -salt -in secrets.rtf -out secrets.rtf.aes

Je vous conseille aussi de consulter l’article Wikipédia Mode d’opération (cryptographie) si vous êtes intéréssé par les différences entre ecb, cbc, etc (et aussi pour comprendre les faiblesses de ecb).

Chiffrement avancé d’un disque, d’une partition ou d’une partition système :

Un des meilleurs logiciels de chiffrement à la volée, multi-plateformes, gratuits et dont le code est accessible (mais non libre) est certainement TrueCrypt. Il permet de créer un disque virtuel chiffré, ou de chiffrer une partition ou un périphérique (disque dur externe, clé usb). Il supporte plusieurs algorithmes de chiffrement (AES, Serpent, Twofish). Si vous êtes rebutés par les exemples précédents et/ou que vous cherchez une solution pour le chiffrement à la volée de partitions, ce soft est fait pour vous. Vous pouvez le télécharger ici.

Logo de GnuPG

Le chiffrement asymétrique avec GnuPG (OpenPGP) :

GnuPG est un logiciel qui permet de transmettre des messages signés et/ou chiffrés. Il se base sur de la cryptographie asymétrique, i.e un principe de clé publique et de clé privée. En gros, je vous donne un cadenas ouvert mais je garde le clé. Lorsque vous m’envoyez un message, vous cadenassez le message, et moi seul peut l’ouvrir.

Vous trouverez tout le nécessaire pour installer GnuPG sur ce site. Celui ci peut s’utiliser en ligne de commande ou vous pouvez ajouter des extensions à vos clients mails pour intégrer directement GnuPG, par exemple Enigmail pour Thunderbird.

Une fois installé, vous devez générer les clés, avant de pouvoir chiffrer. Le plus simple encore c’est d’ouvrir un terminal (mac, linux) et taper :

gpg --gen-key

Vous devez ensuite spécifier le type de clé (par défaut (1) DSA and ElGamal) , la taille de la clé (1024, 2048 bits), la durée de validité de la clé, vos informations utilisateur (votre nom, qui servira d’identificateur pour la clé, votre adresse email et un commentaire) et enfin la passphrase (le mot de passe de votre clé). Pendant la génération de clés, faites autres choses, n’importe quoi (bougez la sourie, tapez au clavier, écoutez une chanson, ouvrez des fichiers), cela aide à la génération de nombres aléatoires.

Vous pouvez afficher les clés générées en tapant :

gpg --list-key

Vous devez ensuite communiquer votre clé publique à vos correspondants (via un serveur de clé PGP par exemple). Pour cela, vous devez l’exporter :

gpg --export --armor

Vous pouvez désormais recevoir des messages chiffrés, ou signer vos messages via votre client et les extensions ou en utilisant :

gpg --d message.asc (pour déchiffrer)
gpg -s -u victor -a fichierdumessage (pour signer en tant que victor)

Pour envoyer des messages chiffrés, vous devez récupérer les clés de vos correspondants et les ajouter à votre trousseau.

Pour importer la clé de Marc par exemple (fichier cleducopainmarc) tapez:

gpg --import cleducopainmarc

Enfin, après ce laborieux travail, vous pouvez désormais envoyer un message chiffré à Marc via votre client mail (Thunderbird, Evolution, Mail) à l’aide de leurs extensions ou en tapant :

gpg -r Marc -e -a messagepourmarc

Je vous rassure toute la partie génération et/ou importation de clés peut se faire via des interfaces adaptées à vos OS respectifs (par exemple pour mac vous pouvez installer la suite disponible ici).

Pour plus d’informations sur gpg, je vous conseille de lire le HowTo de Julien Francoz.