Comment Chiffrer
avec TrueCrypt
Vincent Mazenod, CRSSI DR7
F11 plein écran, touche ←, ↑, →, ↓ pour naviguer
Sommaire
- Concepts fondamentaux
- Prérequis
- Installation de True Crypt
-
Chiffrer un système
- sans multiboot
- avec multiboot
- Séquestre
- Recouvrement
- Chiffrer une partition
- Monter une partition chiffrée
- Créer un conteneur de fichiers chiffré
- Monter un conteneur de fichiers chiffré
- Changer de mot de passe
- Exécuter TrueCrypt à partir de votre clé USB
- Utiliser les Keyfiles
- Netographie
Concepts fondamentaux
Recouvrement
- procédure qui permet d’accéder à une information qui a été chiffrée en cas d’oubli du mot de passe ou de l’indisponibilité de son détenteur
Séquestre
- Conservation du mot de passe
- méthode la plus simple
- noter le mot de passe sur une feuille de papier
- mettre la feuille de papier dans une enveloppe
- cacheter l'enveloppe
- la ranger en lieu sûr
- méthode la plus simple
- Pour un chiffrement du système avec TrueCrypt, il faut conserver à la fois le mot de passe et le TrueCrypt Rescue Disk (CD de restauration)
Prérequis
- une machine ou un espace disque à chiffrer
- une sauvegarde intégrale des données en cas de problème
- 20 minutes pour lancer la procédure
- de une à plusieurs heures pour le temps de chiffrement
- 5 minutes pour procéder au séquestre du mot de passe et du TrueCrypt Rescue Disk
Installation de TrueCrypt
→ aller à la procédure de chiffrement d'un système
↓ parcourir la procédure d'installation de TrueCrypt
Installation de TrueCrypt
pour chiffrer un système TrueCrypt doit être installé
Choix de l'emplacement de l'installation
Installation
Installation terminée
Suggestion de donation
... c'est un logiciel libre
Le tutoriel du débutant
dans ce tutoriel vous apprendrez a créer un conteneur de fichiers chiffrés
Vous pouvez répondre "non"
Version française (optionnel)
- télécharger la langue souhaitée
- extraire l'archive
- copier le fichier Language.fr.xml dans le répertoire où est installé TrueCrypt, généralement
C:\Program Files\TrueCrypt - Démarrer TrueCrypt, aller dans « Settings (Paramètres) » à « Language (Langue) », choisir « Français » et valider en cliquant sur « OK »
les copie d'écrans sont en version anglaise
Chiffrement d'un système
TrueCrypt doit être installé sur le système à chiffrer
→ aller à la section sur le séquestre
↓ parcourir la procédure de chiffrement d'un système
lancement de la procédure de chiffrement d'un système
Vous pouvez supprimer le raccourci TrueCrypt créé sur le bureau
Pour chiffrer le système nous devons invoquer l'exécutable TrueCrypt Format
- avec le raccourci par défaut TrueCrypt Format insistera pour graver l'image iso du TrueCrypt Rescue Disk tant qu'un graveur est diponible sur la machine
- avec l'option /noisocheck l'exécutable TrueCrypt Format se contentera d'enregistrer l'image iso du TrueCrypt Rescue Disk sur le disque
"C:\Program Files\TrueCrypt\TrueCrypt Format" /noisocheckRaccourci TrueCrypt Format avec l'option /noisocheck (1/4)
- clic droit sur le bureau -> "Nouveau" -> "Raccourci"
Raccourci TrueCrypt Format avec l'option /noisocheck (2/4)
- renseigner le chemin du raccourci
Raccourci TrueCrypt Format avec l'option /noisocheck (3/4)
- choisir l'intitulé du raccourci
Raccourci TrueCrypt Format avec l'option /noisocheck (4/4)
- le raccourci est créé
lancement de la procédure de chiffrement d'un système
- Cliquer sur le raccourci TrueCrypt Format avec l'option /noisocheck
Choix de la stratégie de chiffrement
Emplacement de chiffrement
- chiffrer le disque entier couvre le cas des partitions de données
Message possible
- Répondre oui
-
Explications détaillées:
- si vous utilisez la partition de recouvrement, privilégiez le chiffrement du seul système
- dans le cas contraire, privélégiez le chiffrement du disque entier
Message possible
- Répondre oui
-
Explications détaillées:
- si votre ordianteur utilise RAID, vous devirez répondre non
Scénario sans multiboot
Scénario avec multiboot
- non géré en natif!
- des pistes existent sur le net
Option de chiffrement
- le choix par défaut est la recommandation officielle du CNRS
- A priori AES-Twofish-Serpent est l'algorithme de chiffrement le plus sûr
Choix du mot de passe
- il est indispensable de choisir un bon mot de passe
Warning Possible
- Attention! vous avez choisi un mauvais mot de passe!
- testeur de mot de passe Microsoft
- The Password Meter pour avoir une liste exhaustive des critères
Collecte de données aléatoires
-
l'aléatoire est basé sur les mouvements du curseur
-
il faut donc remuer la souris de manière aléatoire au dessus de la fenêtre
- la qualité du chiffrement augmente fonction du temps où le curseur bouge
-
il faut donc remuer la souris de manière aléatoire au dessus de la fenêtre
Génération des clés
- Pour en savoir plus sur les clés de chiffrements
Enregistrement TrueCrypt Rescue Disk
-
si TrueCrypt Format a été lancé avec l'option /noisocheck
- l'image iso du TrueCrypt Rescue Disk est enregistrée dans "Mes documents" par défaut
Création du TrueCrypt Rescue Disk réussie
-
Conservez précieusement l'image iso du TrueCrypt Rescue Disk
- Pour plus de détail sur la gestion des TrueCrypt Rescue Disk, aller la section recouvrement
Une image iso par machine!
- Chaque TrueCrypt Rescue Disk possède ses propres clés de chiffrement
- pour recouvrer une machine à partir d'un TrueCrypt Rescue Disk il faut l'image iso et le mot de passe
Mode de nettoyage
-
permet de se prémunir de l'accès aux données sur le disque dur avant le chiffrement
- inutile sur un système fraîchement installé
- potentiellement plus long
- à réserver à des données très sensibles ...
Pré-test de chiffrement
-
le système va redémarrer une fois pour tester le bootloader
- rien est encore chiffré!
Message d'alerte concernant le pré-test
- explique notamment quoi faire en cas de non redémarrage de windows
Message d'alerte pour la version française
Redémarrage du système
Saisie du mot de passe
- préférer la saisie des chiffres en évitant le pavé numérique
Message de pré-test réussi
Documentation pour le TrueCryptRescue Disk
Chiffrement
- la durée est fonction de la taille du disque
- le système ne doit pas être interrompu pendant cette opération
Chiffrement Terminé
- il faut maintenant procéder au séquestre du mot de passe et du TrueCrypt Rescue Disk
Séquestre
→ aller à la section sur le recouvrement
↓ parcourir la procédure de séquestre
TrueCrypt Rescue Disk
-
il est possible à tout moment de créer un nouveau TrueCrypt Rescue Disk
-
l'image ISO du TrueCrypt Rescue Disk est à conserver en lieu sûr
- non loin du mot de passe associé
-
l'image ISO du TrueCrypt Rescue Disk est à conserver en lieu sûr
Le mot de passe
- le mot de passe choisi lors du chiffrement reste toujours celui du TrueCrypt Rescue Disk associé
-
l'utilisateur peut alors lui même changer son mot de passe via TrueCrypt
-
le mot de passe du TrueCrypt Rescue Disk est restaurable ;)
- ... sans connaître le mot de passe changé par l'utilisateur \o/
-
le mot de passe du TrueCrypt Rescue Disk est restaurable ;)
Keepass
Permet de sauver au même endroit le mot de passe original et le TrueCrypt Rescue disk de manière sécurisé
-
stocke les mots de passe et toutes les informations qui s'y rattachent dans un fichier chiffré
- Advanced Encryption Standard (AES, Rijndael)
- Twofish
-
il permet également d'associer un fichier à un mot de passe (chiffrés lui aussi)
- idéal pour stocker l'image iso du TrueCrypt Rescue Disk
- logiciel libre
- Utiliser KeePass2
Recouvrement
→ aller à la section sur le chiffrement d'une partition
↓ parcourir la procédure de recouvrement
Booter sur un TrueCrypt Rescue Disk
- Sélectionner l'option (appuyer sur la touche) [F8]
-
Détails du menu
- [Esc] donne accès au Boot Manager sans saisir de mot de passe
- [F8] permet d'effectuer différentes opérations sur le système chiffré
- saisir le mot de passe courant permet de booter le système chiffré
Options disponibles
-
[1] le Déchiffrement permanent du disque
- si windows est endommagé ou ne pleut plus démarrer
-
[2] la restauration d'un Bootloader (logiciel permettant de lancer le(s) système(s) d'exploitation)TrueCrypt endommagé
- si l'écran de saisie du mot de passe n'apparaît plus au démarrage
-
[3] la restauration des Key data (clé de chiffrement) endommagées
- si l'écran de saisie du mot de passe n'apparaît plus au démarrage
-
[4] la restauration d'un system loader (chargement du système) endommagées
- si windows est endommagé ou ne pleut plus démarrer
Restaurer le mot de passe admin standard
-
Sélectionner l'option (appuyer sur la touche) [3]
- restauration des Key data (clé de chiffrement) endommagées
-
Une fois les Key data (clé de chiffrement) restaurées (copie d'écran ci-dessus)
-
le mot de passe admin standard est restauré \o/
- Sélectionner l'option (appuyer sur la touche) [Esc]
- Saisir le mot de passe admin standard
- Le système chiffré doit démarrer
-
le mot de passe admin standard est restauré \o/
Gestion des TrueCrypt Rescue Disk
- Graver sur CD ou DVD, éventuellement réinscriptibles
-
Possibilité de boot à partir d'une clé USB
- truecrypt rescue disk on usb
- certains BIOS sont incompatibles
- possibilité de chiffrement matériel
- état S.M.A.R.T du disque
Chiffrer une partition
→ aller à la section sur le montage d'une partition chiffrer
↓ parcourir la procédure de chiffrement d'une partition
Chiffrer une partition
.png)
Choix de la stratégie de chiffrement
.png)
Choix de la partition à chiffrer
.png)
- cliquer sur le bouton "Select Device ..."
Choix de la partition à chiffrer
.png)
Formater et chiffrer ou chiffrer une partition en place
.png)
- l'option "formater et chiffrer" est ici cochée
- l'option "chiffrer une partition en place" est ici décochée
Option de chiffrement
.png)
- le choix par défaut est la recommandation officielle du CNRS
- A priori AES-Twofish-Serpent est l'algorithme de chiffrement le plus sûr
Information sur la taille de la partition
.png)
Choix du mot de passe
.png)
- il est indispensable de choisir un bon mot de passe
Warning Possible
.png)
- Attention! vous avez choisi un mauvais mot de passe!
- testeur de mot de passe Microsoft
- The Password Meter pour avoir une liste exhaustive des critères
Choix du filesystem
.png)
- "Oui" TrueCrypt choisira NTFS
- "Non" TrueCrypt choisira FAT
Collecte de données aléatoires
.png)
-
l'aléatoire est basé sur les mouvements du curseur
-
il faut donc remuer la souris de manière aléatoire au dessus de la fenêtre
- la qualité du chiffrement augmente fonction du temps où le curseur bouge
-
il faut donc remuer la souris de manière aléatoire au dessus de la fenêtre
Warning Possible
.png)
Lors du formatage toutes les données de la partition seront perdues
Autre Warning Possible
.png)
- Une fois chiffrée la partition ne sera plsu disponible sous sa lettre originale dans le poste de travail (ici F:\).
- La partition ne pourra être accédée qu'une fois montée en cliquant sur les boutons "Auto-Mount Devices" ou "Select Devices"
Succès de la création du Volume
une fois tout validé cliquer sur le bouton "Format"
.png)
Monter une partition chiffrée
→ aller à la section sur le créer un conteneur de fichiers chiffré
↓ parcourir la procédure de montage d'une partition chiffrée
Monter une partition chiffrée
.png)
- Choisir le point (la lettre) de montage
- Cliquer sur le boutons "Select Device" ou "Auto-Mount Devices"
Monter une partition chiffrée
- Choisir la partition à monter
.png)
- Saisir le mot de passe et éventuellement sélectionner les Keyfiles
Créer un conteneur de fichiers chiffré
→ aller à la section sur le montage d'un conteneur de fichiers chiffré
↓ parcourir la procédure de création d'un conteneur de fichiers chiffré
Créer un conteneur de fichiers chiffré
.png)
Choix de la stratégie de chiffrement
.png)
Choix du conteneur
.png)
- cliquer sur le bouton "Select File ..."
Choix du conteneur
.png)
- sélectionner l'emplacement
- saisir le nom du conteneur
- cliquer sur enregistrer
Choix du conteneur
.png)
Option de chiffrement
.png)
- le choix par défaut est la recommandation officielle du CNRS
- A priori AES-Twofish-Serpent est l'algorithme de chiffrement le plus sûr
Choix de la taille du conteneur
.png)
Choix du mot de passe
.png)
- il est indispensable de choisir un bon mot de passe
Warning Possible
.png)
- Attention! vous avez choisi un mauvais mot de passe!
- testeur de mot de passe Microsoft
- The Password Meter pour avoir une liste exhaustive des critères
Choix du filesystem & collecte des données aléatoires
.png)
- Après avoir remué la souris cliquer sur le bouton "Format"
Succès de la création du conteneur
.png)
Monter un contenur de fichier chiffré
→ aller à la section sur le changement du mot de passe
↓ parcourir la procédure de montage d'un conteneur de fichier chiffré
Monter un conteneur de fichiers chiffré
.png)
- Choisir le point (la lettre) de montage
- Cliquer sur le bouton "Select File ..." et choisir le conteneur de fichiers crypté
Monter un conteneur de fichiers chiffré
.png)
- Saisir le mot de passe et éventuellement sélectionner les Keyfiles
Monter un conteneur de fichiers chiffré
.png)
le conteneur est monté
Changer de mot de passe
→ aller à la section sur l'utilisation des keyfiles
↓ parcourir la procédure de changement de mot de passe
Changer le mot de passe d'un système chiffré avec TrueCrypt
.png)
- il est également possible d'accéder à l'option change Password via un clic droit sur la lettre du système chiffré dans la fenêtre TrueCrypt
Changer le mot de passe d'un volume ou d'un conteneur TrueCrypt
.png)
Le volume ou le conteneur chiffré ne doit pas être monté pour effectuer cette opération
Changer le mot de passe d'un volume ou d'un conteneur TrueCrypt
.png)
- Saisir l'ancien mot de passe
- Sélectionner éventuellement les Keyfiles
- Saisir le nouveau mot de passe deux fois
- Sélectionner éventuellement les nouveaux Keyfiles
Exécuter TrueCrypt à partir de votre clé USB
→ aller à la Utiliser les Keyfiles
↓ parcourir l'exécution de TrueCrypt à partir de votre clé USB
Comment?
-
en ayant TrueCrypt installé
- à l'aide du "TrueCrypt Traveler Disk Setup"
-
sans avoir TrueCrypt installé
- en procédant à l'extraction de l'archive TrueCrypt
-
dans tous les cas
- Vous devrez avoir les droits d'administrateur sur la machine hôte pour monter le conteneur de fichiers chiffré
-
pour commence
- Vous devez disposer d'un conteneur de fichiers chiffré
TrueCrypt Traveler Disk Setup
- Tools (ou outils) -> TrueCrypt Traveler Disk Setup
- Sélectionner le lecteur correspondant au support amovilble devant embarqué les fichiers TrueCrypt
Extraction de l'archive TrueCrypt (1/8)
Extraction de l'archive TrueCrypt (2/8)
Extraction de l'archive TrueCrypt (3/8)
Extraction de l'archive TrueCrypt (4/8)
Extraction de l'archive TrueCrypt (5/8)
Extraction de l'archive TrueCrypt (6/8)
Extraction de l'archive TrueCrypt (7/8)
Extraction de l'archive TrueCrypt (8/8)
Script de montage / démontage
- TODO
Utiliser les Keyfiles
→ aller à la netographie
↓ parcourir l'utilisation des keyfiles
Utiliser les Keyfiles
- les Keyfiles peuvent s'utiliser en plus ou à la place du mot de passe
- il est possible de générer des Keyfiles
- les Keyfiles peuvent être n'importe quel fichier ou ensemble de fichiers de n 'importe quel type
- Le volume ou le conteneur chiffré ne doit pas être monté pour effectuer cette opération
Changer les Keyfiles d'un volume ou d'un conteneur TrueCrypt
.png)
Changer les Keyfiles d'un volume ou d'un conteneur TrueCrypt
.png)
- Saisir l'ancien mot de passe
- Sélectionner éventuellement les Keyfiles
- Sélectionner éventuellement les nouveaux Keyfiles
Changer les Keyfiles d'un volume ou d'un conteneur TrueCrypt
.png)
netographie
- [CNRS] Chiffrement des portables - Mise en œuvre et utilisation
- TrueCrypt
- [CNRS] Recommandations de la DSI en matière de sécurité
- [CNRS] Signaler un incident
- circulaire interministérielle de mise en oeuvre du dispositif de protection du potentiel scientifique et technique de la nation
- [ANSSI] Guide d'hygiène informatique
- [ANSSI] ssi.gouv.fr
- [ANSSI] Recommandations et guides
- intelligence économique pour la recherche