[Fiche 11] Le chiffrement des données

Une très large part de nos vies est "numérisée". Nos écrits, nos communications et échanges sont transformés en "bits" (0 ou 1), afin de pouvoir être interprétés et exploités par les ordinateurs, mais aussi stockés sur des mémoires informatiques et transmis via les réseaux.

Ces techniques offrent d'énormes capacités de stockage et de communication, mais elles ont leur revers. Elles facilitent l'intrusion par quelqu'un de mal intentionné. S'il importe de limiter ses traces et de protéger ses informations confidentielles, cela reste insuffisant.

Heureusement, il existe des méthodes, issues notamment des mathématiques, qui, bien employées, permettent de protéger ses données et ses communications en les rendant incompréhensibles, sauf de soi et de ses correspondants.

La cryptologie : protéger ses données par le chiffrement

L'idée générale est de "brouiller" le contenu des données par des méthodes mathématiques. On parle alors de "cryptologie" ou science du secret, dont les applications permettent le chiffrement des données et des communications. Un exemple très connu : la méthode dite du "chiffre de César", qui est une forme de chiffrement simple : chaque lettre du message est remplacée par une autre selon un nombre de décalages choisi (qui servira de code). Avec un décalage de 5 le A devient F, le B devient G, etc. BONJOUR devient GTSOTZW.

L'objectif des outils présentés ci-après est analogue : rendre des données incompréhensibles si l'on ne connait pas le code. Évidemment, le "chiffre de César" est une technique très rudimentaire et facile à décrypter (à déchiffrer sans connaitre le code). Les outils présentés dans cette fiche mettent eux en jeu des techniques bien plus complexes où la méthode de chiffrement est publique, donc analysable par une personne compétente pour s'assurer qu'il n'y a pas de faille, mais où, sans connaissance du code utilisé, il est quasiment impossible pour un attaquant de décrypter les données. Attention, le simple échange de données chiffrées est en soi une information.

Sans trop entrer dans les détails, le CECIL propose deux fiches sur le chiffrement pour éviter les mauvaises pratiques. L'objectif principal y est de présenter des outils majoritairement considérés comme fiables.

Cette fiche présente les outils permettant de chiffrer ses données stockées. La suivante explique comment protéger ses communications par chiffrement.

Chiffrer ses données stockées

Pour améliorer la sécurité et la confidentialité de ses données et documents, les chiffrer est une bonne pratique. Sans protection, ces données peuvent être consultées par quiconque peut y accéder, par exemple par l'insertion d'une clé USB, le vol d'un ordiphone, la récupération du disque dur ; les simples protections d'accès à la machine (mot de passe de session, schéma de déblocage...) sont insuffisantes. De même, si ces données sont conservées ou sauvées sur un serveur extérieur (dans le "nuage"), elles sont aussi accessibles à ceux qui y ont accès.

Chiffrer tout ou partie d'un disque dur ou d'un périphérique de stockage

Gnu-Linux

Pour l'utilisateur d'un système d'exploitation Gnu-Linux récent (Ubuntu, Linux Mint, Tails, Kali...), c'est très simple : à l'installation un choix est proposé de chiffrer intégralement le disque dur ou le dossier personnel (via le logiciel dm-crypt avec LUKS). L'intérêt de chiffrer intégralement son disque dur pour un besoin minimal de sécurité n'est pas évident, notamment en raison de la quantité de calculs nécessaire susceptible de ralentir l'ordinateur. Pour un usage personnel classique, le CECIL conseille vivement de chiffrer au moins le dossier personnel avec un code fiable (telle une phrase de passe). Ce code protégera l'accès à la session (un minimum vital) et le déchiffrement des données.

Windows et Mac OS X

Pour Windows ou Mac OS X, il faudra télécharger un logiciel. En effet, ceux préinstallés (BitLocker pour Windows, Filevault pour Mac) sont "propriétaires", ils ne peuvent donc être audités et sont donc susceptibles de comporter des failles ou portes dérobées.

Le CECIL recommande donc des logiciels libres :

Une fois téléchargé, puis installé en suivant les instructions, il suffira de choisir la partition de disque dur à chiffrer, de cliquer sur "Encrypt", de choisir de préférence le "Chiffrement AES" (Advanced Encryption Standard) et de définir une phrase de passe sûre et mémorisable. Le logiciel chiffre alors la partition du disque, ce qui peut prendre du temps. La phrase de passe sera demandée à chaque démarrage et la partition sera devenue inaccessible sans elle.

  • Pour Mac OS X, le logiciel AESCrypt : [En cours de rédaction]

Dans le cas où Filevault serait malgré tout utilisé, il faut faire attention à l'utiliser correctement.

Chiffrer certains fichiers ou dossiers

Dans la partie précédente, l'objectif était de chiffrer tout ou partie d'un disque dur ou un périphérique de stockage, selon la situation (ordinateur partagé, etc.), cela peut être inadapté ou contraignant. Il existe des logiciels permettant de ne chiffrer que certains fichiers particuliers et sensibles. Le CECIL recommande le logiciel libre 7zip, adapté aux trois systèmes d'exploitation, qui permet de réaliser des archives compressées et chiffrées de documents rapidement via la méthode AES256 considérée comme fiable.

  • Pour distributions Gnu-Linux, il est généralement installé par défaut sous le nom de p7zip :

Pour l'utiliser, il suffit de sélectionner les fichiers ou dossiers à protéger, de réaliser un clic droit et de cliquer sur "Compresser".
Il faut ensuite choisir l'emplacement de destination de l'archive et une phrase de passe. L'archive produite sera ainsi chiffrée.
Il faudra par contre penser à supprimer complètement les fichiers originels qui sinon resteraient accessibles. Si le besoin en sécurité est important, il faut aussi s'assurer qu'ils ne seront pas récupérables en utilisant un logiciel tel que Bleachbit.

  • Pour Windows, pour utiliser 7zip :

    Après avoir téléchargé le logiciel, l'installer en conservant les options par défaut qui l'intégreront au menu contextuel (accessible par clic droit sur un fichier ou un dossier).
    Sélectionner ensuite les fichiers à chiffrer, un clic droit -> "7-zip" -> "Ajouter à l'archive"
    Dans la fenêtre qui s'affiche choisir le code de chiffrement, le chiffrement AES 256 et cocher "Chiffre les noms de fichiers" si cela a une importance et "Effacer les fichiers après compression".

  • Pour Mac OS X, il s'agit du logiciel 7zx
    [En cours de rédaction].

Limites au chiffrement des données

Attention même si actuellement ces méthodes sont considérées comme fiables, pour autant elles ne sont pas infaillibles :

  • failles encore non détectées, portes dérobées,
  • présence d'un virus, d'un enregistreur de frappes espion, d'une surveillance directe de l'ordinateur,
  • augmentation constante de la puissance de calcul,
  • etc.

Elles ne protègent surtout pas d'une erreur ou d'une faiblesse humaine, comme l'exprime parfaitement ce strip de XKCD sur la sécurité.

Ces limites valent aussi pour le chiffrement des communications.

Pour aller plus loin :

Sur la cryptologie et le chiffrement en général

Plus généralement, le chiffrement des données et des communications ouvre un débat public. En effet, cette protection sérieuse, nécessaire pour sécuriser sa vie privée, ses données et ses communications, peut rendre plus complexe le travail des différentes autorités. Le débat est vif, on peut s'en convaincre avec les articles suivants :

Sur le chiffrement de ses données

  • Moserware.com, A Stick Figure Guide to the Advanced Encryption Standard (AES), une BD pédagogique en anglais sur le chiffrement et l'algorithme AES. Elle commence par les notions très simples et elle se termine par des aspects très techniques,
  • un article très complet de M. Lee sur The Intercept (en anglais), Encrypting Your Laptop Like You Mean It, explique ce que permet ou non le chiffrement et les attaques possibles. Toutefois, l'article propose d'utiliser (et décrit comment le faire) BitLocker pour Windows et Filevault pour OS X, deux logiciels que le CECIL déconseille,
  • Gfi.com (en anglais), The top 24 free tools for data encryption, un résumé des différents outils de chiffrement existants,
  • un tutoriel de l'EFF, Instructions de chiffrement de votre dispositif Windows. Attention, rien ne garantit qu'il n'y ait pas de porte dérobée sur Windows ou OS X donnant un accès insoupçonné aux données déchiffrées,
  • le CECIL signale aussi les logiciels CipherShed et Veracrypt pour chiffrer ses données, utilisable sous les trois systèmes d'exploitation. Il s’agit de fork du logiciel libre TrueCrypt qui autrefois faisait référence, mais a été victime d'un épisode étrange en 2014. Ces deux logiciels s'appuient toutefois sur une ancienne version de TrueCrypt qui a été auditée et ne semble pas contenir de failles de sécurité,
  • le logiciel BleachBit (équivalent libre de CCleaner) permet de supprimer définitivement les données en réinscrivant des 0 et des 1 aléatoirement à la place des anciens fichiers. Il permet aussi de supprimer d'autres traces (fichiers temporaires, historiques de navigation, précédentes recherches...).

Fiche 11 [publiée le 6 novembre 2015, dernière mise à jour février 2016]