Comment Chiffrer
son système

Vincent Mazenod, CRSSI DR7



F11 plein écran, touche ←, ↑, →, ↓ pour naviguer

Sommaire

Installation de TrueCrypt

Télécharger TrueCrypt

pour chiffrer un système TrueCrypt doit être installé

Choix de l'emplacement de l'installation

Installation

Installation terminée

Suggestion de donation

... c'est un logiciel libre

Le tutoriel du débutant

  • dans ce tutoriel vous apprendrez a créer un conteneur de fichiers cryptés
  • Vous pouvez répondre "non"

Version française (optionnel)

  • télécharger la langue souhaitée
  • extraire l'archive
  • copier le fichier Language.fr.xml dans le répertoire où est installé TrueCrypt, généralement 
    C:\Program Files\TrueCrypt
  • Démarrer TrueCrypt, aller dans « Settings (Paramètres) » à « Language (Langue) », choisir « Français » et valider en cliquant sur « OK »

FYIles copie d'écrans sont en version anglaise

Chiffrement d'un système

TrueCrypt doit être installé sur le système à chiffrer

lancement de la procédure de chiffrement d'un système

  • le raccourci TrueCrypt créé automatiquement sur le bureau peut être supprimé
  • Pour chiffrer le système l'exécutable TrueCrypt Format doit être invoquer
  • Le raccourci par défaut TrueCrypt Format insistera pour graver l'image iso du TrueCrypt Rescue Disk tant qu'un graveur est diponible sur la machine
  • avec l'option /noisocheck l'exécutable TrueCrypt Format se contentera d'enregistrer l'image iso du TrueCrypt Rescue Disk sur le disque
"C:\Program Files\TrueCrypt\TrueCrypt Format" /noisocheck

Raccourci TrueCrypt Format avec l'option /noisocheck (1/4)

  • clic droit sur le bureau -> "Nouveau" -> "Raccourci"

Raccourci TrueCrypt Format avec l'option /noisocheck (2/4)

  • renseigner le chemin du raccourci

Raccourci TrueCrypt Format avec l'option /noisocheck (3/4)

  • choisir l'intitulé du raccourci

Raccourci TrueCrypt Format avec l'option /noisocheck (4/4)

  • le raccourci est créé

lancement de la procédure de chiffrement d'un système

  • Cliquer sur le raccourci TrueCrypt Format avec l'option /noisocheck

Choix de la stratégie de chiffrement

Emplacement de chiffrement

  • chiffrer le disque entier couvre le cas des partitions de données

Message possible

  • Répondre oui
  • Explications détaillées:
    • si vous utilisez la partition de recouvrement, privilégiez le chiffrement du seul système
    • dans le cas contraire, privélégiez le chiffrement du disque entier

Message possible

  • Répondre oui
  • Explications détaillées:
    • si votre ordianteur utilise RAID, vous devirez répondre non

Scénario sans multiboot

Option de chiffrement

Choix du mot de passe

Warning Possible

Collecte de données aléatoires

  • l'aléatoire est basé sur les mouvements du curseur
    • il faut donc remuer la souris de manière aléatoire au dessus de la fenêtre
      • la qualité du chiffrement augmente fonction du temps où le curseur bouge

Génération des clés

Enregistrement TrueCrypt Rescue Disk

  • si TrueCrypt Format a été lancé avec l'option /noisocheck
    • l'image iso du TrueCrypt Rescue Disk est enregistrée dans "Mes documents" par défaut

Création du TrueCrypt Rescue Disk réussie

  • Conservez précieusement l'image iso du TrueCrypt Rescue Disk 
    • \\dse.u-clermont1.fr\dsi\__Chiffrement_Portables
    • Pour plus de détail sur la gestion des TrueCrypt Rescue Disk, aller la section recouvrement

Une image iso par machine!

  • Chaque TrueCrypt Rescue Disk possède ses propres clés de chiffrement
  • pour recouvrer une machine à partir d'un TrueCrypt Rescue Disk il faut l'image iso et le mot de passe admin standard

Mode de nettoyage

  • permet de se prémunir de l'accès aux données sur le disque dur avant le chiffrement
    • inutile sur un système fraîchement installé
    • potentiellement plus long
    • à réserver à des données très sensibles ...

Pré-test de chiffrement

  • le système va redémarrer une fois pour tester le bootloader
    • rien est encore chiffré!

Message d'alerte concernant le pré-test

  • explique notamment quoi faire en cas de non redémarrage de windows

Message d'alerte pour la version française

Redémarrage du système

Saisie du mot de passe

  • préférer la saisie des chiffres en évitant le pavé numérique

Message de pré-test réussi

Documentation pour le TrueCryptRescue Disk

Chiffrement

  • la durée est fonction de la taille du disque
  • le système ne doit pas être interrompu pendant cette opération

Chiffrement Terminé

  • il faut maintenant procéder au séquestre du mot de passe et du TrueCrypt Rescue Disk

Séquestre

TrueCrypt Rescue Disk

  • il est possible à tout moment de créer un nouveau TrueCrypt Rescue Disk
    • l'image ISO du TrueCrypt Rescue Disk est à conserver en lieu sûr 
      • \\dse.u-clermont1.fr\dsi\__Chiffrement_Portables
      • le mot de passe est le mot de passe admin standard

Le mot de passe

  • le mot de passe choisi lors du chiffrement (mot de passe admin standard) reste toujours celui du TrueCrypt Rescue Disk associé
  • l'utilisateur peut alors lui même changer son mot de passe via TrueCrypt
    • le mot de passe du TrueCrypt Rescue Disk (mot de passe admin standard) est restaurable ;)
      • ... sans connaître le mot de passe changé par l'utilisateur \o/

Changer de mot de passe

Changer le mot de passe d'un système chiffré avec TrueCrypt (1/2)

  • il est également possible d'accéder à l'option change Password via un clic droit sur la lettre du système chiffré dans la fenêtre TrueCrypt

Changer le mot de passe d'un système chiffré avec TrueCrypt (2/2)

  • Saisir l'ancien mot de passe
  • Saisir le nouveau mot de passe deux fois

Recouvrement

Booter sur un TrueCrypt Rescue Disk

  • Sélectionner l'option (appuyer sur la touche) [F8]
  • Détails du menu
    • [Esc] donne accès au Boot Manager sans saisir de mot de passe
    • [F8] permet d'effectuer différentes opérations sur le système chiffré
    • saisir le mot de passe courant permet de booter le système chiffré

Options disponibles

  • [1] le Déchiffrement permanent du disque
    • si windows est endommagé ou ne pleut plus démarrer
  • [2] la restauration d'un Bootloader (logiciel permettant de lancer le(s) système(s) d'exploitation)TrueCrypt endommagé
    • si l'écran de saisie du mot de passe n'apparaît plus au démarrage
  • [3] la restauration des Key data (clé de chiffrement) endommagées
    • si l'écran de saisie du mot de passe n'apparaît plus au démarrage
  • [4] la restauration d'un system loader (chargement du système) endommagées
    • si windows est endommagé ou ne pleut plus démarrer

Restaurer le mot de passe admin standard

  • Sélectionner l'option (appuyer sur la touche) [3]
    • restauration des Key data (clé de chiffrement) endommagées
      • Une fois les Key data (clé de chiffrement) restaurées (copie d'écran ci-dessus)
        • le mot de passe admin standard est restauré \o/
          • Sélectionner l'option (appuyer sur la touche) [Esc]
          • Saisir le mot de passe admin standard
          • Le système chiffré doit démarrer

Gestion des TrueCrypt Rescue Disk

netographie