PROTECTION DES DONNÉES SENSIBLES


La protection la plus élémentaire des données sensibles d'un disque dur consiste à "cacher" les dossiers et les fichiers que vous ne désirez pas rendre visibles au regard d'une tierce personne ou aux investigations superficielles de votre répertoire personnelle.
ubuntu

Dans une arborescence Linux, les fichiers cachés sont précédés d'un signe point. Certains dossiers et fichiers sont, au moment de l'installation du système, et par défaut, inscrits sur le disques durs comme cachés. Tous les noms de ces dossiers et fichiers sont donc précédés d'un signe point.Lorsque Nautilus, ou tout autre navigateur de fichiers, n'est pas configuré pour afficher les fichiers cachés (lien documentation Ubuntu), vous ne les verrez évidemment pas.
Vous pouvez activer l'affichage permanents des fichiers cachés dans les préférences de Nautilus, ou, plus subtilement, en utilisant les raccourçis clavier :

Sous Debian, Ubuntu et Xubuntu : Ctrl + h (h est l'abréviation de "hidden" qui signifie "caché" en anglais)
Sous Kubuntu : Alt + .
windows

Il en sera de même sous Windows ou il vous faudra activer cet affichage dans l'explorateur.
ubuntu windows mac os x

Toutefois, cette protection n'est à considérer que comme une action basique et insuffisante. Vous pouvez gérer des protections liées à la gestion des droits d'accès (UNIX,POSIX) sous Linux linux (lien documentation Ubuntu) et sous Mac Os X (lien externe), ces actions (ACL et partitions NTFS) étant nettement moins aisées sous Windows (liens externe) et énigmatiques dans la manière dont les propositions sont énoncées.
Quoiqu'il en soit, la gestion de ces droits d'accès est une opération qui nécessite une connaissance relativement avancée des systèmes d'exploitation. Efficace sur un poste de travail que vous maîtrisez ou maîtrisé par un administrateur, elle ne le sera plus lors d'une extraction du disque dur de cette machine (en cas de vol, d'intrusion dans le hardware, ou de perte, par exemple).

En cas de démontage du disque dur et de son remontage sur une machine où l'utilisateur disposerait de toute puissance d'administration, l'usage de logiciels de cryptage des données sera une véritable protection, car les techniques à mettre en œuvre pour une reprise en mains des informations font appel à un haut niveau de connaissances et des manipulations de logiciels considérés eux-mêmes comme sensibles, peu diffusés dans le grand public, voire à usage unique des services de polices et des armées. Il n'existe donc pas de protection logicielle absolue des données... Il faut garder ceci à l'esprit dans un environnement politique particulièrement répressif. La seule "protection" ultime ne peut être, non plus, un formatage, même très offensif du disque dur (par de multiples inscriptions de données incohérentes qui écrasent les données humaines).
La seule manière radicale d'effacer un disque dur est sa totale destruction mécanique et sportive à l'aide d'une massette de maçonnerie ou autre outil plus perfectionné du même type. Si vous avez des données sensibles sur un disque dur, ne laissez jamais ce disque dans votre machine lors de sa désaffectation par livraison à un atelier habilité au recyclage d'appareils informatiques. Vous ne saurez jamais si le travail aura été fait correctement... il est courant de trouver, sur le marché de l'occasion, des disques durs qui n'ont été que superficiellement formatés, voire pas du tout formatés. Vos appareils déclassés, votre vie privée et/ou professionnelle, sont livrés au hasard de l’honnêteté et de la compétence de ces officines. En cas de litige avéré, vous pouvez toujours vous retrancher derrière de possibles recours juridiques... mais l'irrémédiable aura été commis et vos données seront effectivement passées entre les mains de personnes peu scrupuleuses et sans états d'âmes qui savent pertinemment où sont leurs intérêts et profits.

Parmi les divers logiciels qui permettent d'agir efficacement sur la protection de vos données professionnelles, encfs, un utilitaire GNU (libre) multiplate-formes, crypte un ou plusieurs répertoires de votre arborescence de travail. En cas de perte ou de vol, il sera alors assez compliqué de casser ces cryptages. Encfs est considéré comme simple à mettre en œuvre et peu contraignant à l'utilisation, deux critères fondamentaux à prendre en considération dans votre expérience utilisateur.

Encfs peut être, par exemple, utile si vous êtes webmestre et que votre disque dur contient diverses informations confidentielles d'accès aux interfaces d'administrations de CMS et aux configurations FTP de sites que vous êtes chargés de maintenir ou/et de développer pour le compte de vos clients et partenaires.

ENCFS SOUS LINUX (Debian,Ubuntu)


Vérifications avant installation


Le tutoriel de la documentation d’ubuntu-fr relative à l'installation de encfs est un document de référence mais, comme souvent dans les tutoriels, il faut en suivre les méandres; de surcroît, dans ce cas précis, certaines informations présentes sont obsolètes (lien ratur.ovh.org, par exemple).
Le fil conducteur de cette page est la description d'une installation standard censée bien se passer mais ce fil est interrompu par diverses considérations qui peuvent troubler l'utilisateur, qui apprend, au final seulement, pourquoi et comment son installation a échoué.
Ce tutoriel part d'un parti pris inverse. Les erreurs possibles classiques sont énoncées et leurs raisons expliquées. Procédant ainsi, un protocole de check-up est établi. Ce check-up est ensuite mis en œuvre. Puis, le terrain des erreurs potentielles les plus courantes étant déblayé, il est alors possible de procéder à l'installation en ayant toute chance d'y parvenir.

Installation de fuse-utils


encfs ne fonctionnera que si fuse-utils est installé; pour le vérifier, lancez cette commande dans le terminal:
sudo apt-get install fuse-utils

Soit le paquet est installé et le terminal vous le signalera:
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances       
Lecture des informations d'état... Fait
fuse-utils est déjà la plus récente version disponible.
0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.

Soit il n'est pas installé et la commande s'en chargera.

Activation du module fuse au démarrage


sudo sh -c "echo fuse >> /etc/modules"

Le module est configuré être automatiquement activé au prochain démarrage de la machine;
soit vous redémarrez, soit vous en demandez la prise en charge immédiate et ponctuelle durant cette session:
sudo modprobe fuse

appartenance au groupe fuse


encfs ne fonctionnera que si l'utilisateur de encfs est membre du groupe fuse; généralement l'utilisateur ne fait pas partie de ce groupe. Avant toute installation de encfs, il est donc nécessaire de respecter l'ordre des choses et de commencer par ajouter l'utilisateur en cours au groupe fuse:
> sudo adduser (nom d'utilisateur de la session en cours) fuse

Ceci fait, vous fermez votre session en cours et vous la relancez. N'oubliez surtout pas cette action car, si vous ne le faites pas, la suite des événements vous conduira à un échec de la mise en place de votre dossier crypté.

Vous vérifiez que vous êtes bien membre du groupe fuse:
grep "fuse" "/etc/group"

Vous vérifiez que ce groupe a bien accès au répertoire /dev/fuse:
ls -l /dev/fuse

Réponse positive du terminal:
crw-rw---T 1 root fuse 10, 229 nov.  10 11:22 /dev/fuse

La votre sera partiellement différente mais root et fuse y seront bien présents.

Vous avez mené à bien cette première étape. Il va donc être possible d'installer encfs sans rencontrer d'erreurs courantes.

Installation de encfs


Lancez cette commande dans le terminal:
sudo apt-get install encfs

Ceci fait, il est alors possible de commencer à configurer encfs pour que soit créé votre dossier crypté.

Création du dossier crypté


La solution la plus sûre est de partir de zéro.
Vous conservez le dossier que vous désirez crypter; vous le renommez en ajoutant, par exemple, au bout de son nom, -old.
Admettons que votre dossier se nomme Secret; vous le renommez Secret-old.
Puis vous en faites une copie ou une sauvegarde avant de commencer quoique ce soit.
Vous ne travaillez plus sans filet. Tout est prêt pour lancer la configuration de encfs.

Il faut alors lancer une commande qui va créer:
- un dossier dans lequel seront cryptés les fichiers contenus dans un dossier ayant pour nom "Secret"
- un dossier dans lequel vous déposerez les fichiers originaux non cryptés ayant pour nom "Secret-open"
le signe ~ placé devant le slash indique au terminal que vous travaillez dans votre home. Vous pouvez toujours compliquer les choses ultérieurement et placer ces deux dossiers dans une autre partition.
Pour le moment, nous partons du principe que nous testons la configuration de encfs et/ou que vous stockez vos fichiers sensibles dans un répertoire nommé Secret placé dans votre /home Debian ou Ubuntu. Vous passez donc cette commande au terminal:
encfs ~/Secret ~/Secret-open

Il vous répondra ceci:
Le répertoire "/home/(votre nom d'utilisateur)/Secret/" n'existe pas. Faut-il le créer ? (y/n)

Vous tapez sur la touche y de votre clavier. Le terminal continue de vous guider:
Le répertoire "/home/(votre nom d'utilisateur)/Secret-open" n'existe pas. Faut-il le créer ? (y/n)

Vous tapez sur la touche y de votre clavier.
Le terminal vous répond:
Création du nouveau volume encrypté.
Veuillez choisir l'une des options suivantes :
 entrez "x" pour le mode de configuration expert,
 entrez "p" pour le mode paranoïaque préconfiguré,
 toute autre entrée ou une ligne vide sélectionnera le mode normal.
?>


Au bout de ?>, vous ne faites rien d'autre que de taper sur la touche "Entrée" de votre clavier.
Le terminal vous répond:
Configuration normale sélectionnée.

Configuration terminée. Le système de fichier à créer a les propriétés suivantes :
Cryptage du système de fichiers : "ssl/aes" version 3:0:2
Encodage de fichier "nameio/block", version 3:0:1
Taille de clé : 192 bits
Taille de bloc : 1024 octets
Chaque fichier contient un en-tête de 8 octets avec des données IV uniques.
Noms de fichier encodés à l'aide du mode de chaînage IV.
File holes passed through to ciphertext.

Vous devez entrer un mot de passe pour votre système de fichiers.
Vous devez vous en souvenir, car il n'existe aucun mécanisme de récupération.
Toutefois, le mot de passe peut être changé plus tard à l'aide d'encfsctl.

Nouveau mot de passe :

Vous tapez votre mot de passe au clavier (et vous ne l'oubliez pas car il sera assez compliqué de retrouver un accès à vos fichiers cryptés (ce qui semble censé puisque le but est justement de les rendre très difficile d'accès aux curieux).
Le terminal vous répond:
Vérifier le mot de passe :

Vous retapez votre mot de passe au clavier.
Vous en avez terminé, en principe sans message d'erreur de fuse-utils ou de encfs.

Finalisation


Si, malgré toutes les précautions ci-dessus prisent, votre configuration échoue, copiez les indications fournies par le terminal et collez-les dans votre moteur de recherche afin de trouver une solution.
Dans tous les cas, suit à une échec, rendez-vous dans votre répertoire ~/Secret et supprimez le seul fichier que vous allez y trouver. Il se nomme
.encfs6.xml

Pendant que vous y êtes, supprimez complètement les deux répertoires ~/Secret et ~/Secret-open. Ceci vous permettra de recommencer à zéro votre configuration de encfs.

Mais, en principe, tout devrait être OK. Vous pouvez le vérifier en passant cette commande au terminal :
cat /proc/mounts

Qui vous répondra sur plusieurs lignes dans lesquelles vous trouverez celle-ci:
encfs /home/(votre nom d'utilisateur)/Secret-open fuse.encfs rw,nosuid,nodev,relatime,user_id=1000,group_id=1000,default_permissions 0 0


Si c'est bien le cas, vous pouvez alors ouvrir Nautilus et votre répertoire de sauvegarde Secret-old.
Vous sélectionnez tous les fichiers qu'il contient et vous les copiez.

Vous allez au dossier ~/Secret-open et vous y collez les fichiers de Secret-old.

Puis vous fermez ~/Secret-open avec cette commande:
fusermount -u ~/Secret-open


Vous pouvez vérifier que tout est OK :
Si vous allez dans Nautilus et que vous cliquez sur Secret-open, il sera indiqué comme vide. Si vous cliquez sur Secret, vos fichiers apparaîtront avec des noms cryptés et si vous ouvrez un de ces fichiers dans un éditeurs de texte, vous n'obtiendrez que des lignes de signes en langage non humain.

Usage quotidien


Vous pourrez, à tout moment, ouvrir ou fermer ~/Secret-open en réutilisant les deux commandes:

Pour ouvrir le coffre


encfs ~/Secret ~/Secret-open

Pour fermer le coffre


fusermount -u ~/Secret-open

Ne supprimez jamais le fichier caché ~/Secret/.encfs6.xml; faites en une sauvegarde, voire plusieurs; la perte de ce fichier rendre quasi impossible la récupération des fichiers contenus dans votre répertoire crypté. ~/Secret/.encfs6.xml étant un fichier caché, vous ne verrez évidemment pas (voir départ de ce tuto et la notion de fichier caché).
mac os x

Encfs sous Mac Os X


Encfs sous Windows


En savoir plus