EncFS / BoxCryptor : protégez vos données dans le « Cloud »

David Legrand
Par Le jeudi 29 mars 2012 à 17:55

Introduction

Lorsque nous évoquons les multitudes de services dans le « Cloud », et plus spécialement les solutions de stockage en ligne de type Dropbox, Box, Ftopia... la sécurité des données hébergées est un point qui est assez rapidement soulevé. En effet, comment s'assurer que le service ne peut pas lire nos fichiers, et qu'une faille de sécurité ne viendra pas les rendre publiques ?

Comme nous le répondons le plus souvent, les données les plus sensibles ne devraient, dans l'idéal, pas être hébergées de la sorte afin d'éviter ces problématiques dès la racine. Néanmoins, tout n’est pas toujours si simple et le côté pratique de ces solutions est parfois le plus séduisant.

Stockage des données dans le cloud : quid de la sécurité ?

Heureusement, si vous désirez tout de même pouvoir partager vos données en toute sécurité... il existe des solutions, que vous soyez sous Linux, sous Windows ou même sur un appareil mobile.

Dans ce dossier, nous avons décidé de nous focaliser sur le chiffrement des données stockées. Son principe est simple : vos fichiers sont protégés par une clef (le plus souvent, un mot de passe) que vous êtes le seul à connaître, et ne sont plus lisibles en l’état. Ainsi stockées, même si un utilisateur malveillant réussi à y accéder, il ne pourra rien en faire. Pour les déchiffrer et les utiliser, votre clef sera en effet nécessaire.

Matrix
Chiffrez vos données pour les rendre illisibles... telle la matrice (Source : Wikimedia - Jamie Zawinski)

Vous en apprendrez un peu plus sur le chiffrement de manière générale et sur l’algorithme AES que nous allons utiliser tout au long de ce guide sur Wikipédia :
Quoi qu'il en soit, bien que cette méthode soit souvent évoquée, elle n'est pas simple à mettre en place dans la pratique de par le fonctionnement même des services en ligne et de leur client de synchronisation.

Clients de synchronisation et problématique du fichier unique

En effet, le principe de la plupart des outils de chiffrements tels que TrueCrypt, l’un des plus célèbres d’entre eux, est de chiffrer l’ensemble de vos données à protéger et de les stocker au sein d’un fichier unique. Si cela est parfaitement adapté à un stockage local, ou sur une clef USB par exemple, ce n’est pas le cas lorsque l’on utilise un client de synchronisation.

Truecrypt fichier unique 

Car avec un tel schéma, dès que vous modifiez la moindre donnée, le fichier chiffré sera modifié en conséquence, et devra donc être mis à jour au sein de votre espace de stockage en ligne. Si vous ne protégez que quelques dizaines de Mégaoctets, cela ne posera pas trop de problèmes, mais si l’on parle de centaines de Mégaoctets ou de Gigaoctets... il en sera tout autrement, surtout si vous êtes limités par le débit d’une connexion ADSL. En effet, celui-ci est souvent limité à 100 ko/s en upload, soit 1 heure pour envoyer 350 Mo environ.

Le chiffrement dans le « Cloud » facile, c’est possible !

Ainsi, la solution serait de trouver des outils de chiffrement qui, plutôt que de générer un fichier chiffré unique, protégeraient chaque fichier de manière INdépendante. Ainsi, lorsque l’un d’entre eux sera modifié, il sera chiffré puis synchronisé avec votre espace en ligne. Une manière d’allier l’efficacité et la sécurité.

Boxcryptor Windows

Nous avons donc décidé de partir à la recherche de solutions disponibles à la fois pour Linux, Windows et même vos appareils mobiles... tout en tentant faire fonctionner ces différents systèmes ensemble. Comment faire dans la pratique ? C'est ce que vous allez apprendre dans ce dossier.

Quelques règles de prudence à respecter

Avant de démarrer ce guide, et de passer à la pratique, nous tenons à souligner deux points. Le premier concerne le mot de passe. Celui-ci se doit d’être un minimum complexe, et de comporter le plus possible des caractères alphanumériques ainsi que des symboles. Plus il sera long, plus il sera sûr.

Vous pouvez opter pour un mot de passe facile à mémoriser, mais évitez le plus possible de le composer uniquement de mots que l’on trouve dans un dictionnaire. Vous trouverez des outils vous permettant de générer des mots de passe aléatoires en ligne via ces différents liens :
Voici aussi un outil directement utilisable au sein de cette page :


Attention : si vous perdez le mot de passe qui protège vos fichiers, il vous sera impossible de les récupérer, ou de les lire. Veillez donc à ne pas l’oublier. Vous pouvez, pour le stocker de manière sécurisée, opter pour des solutions telles que Keepass.

Le second point concerne un fichier spécifique qui sera créé par les deux solutions que nous avons décidé d'étudier plus loin : encfs6.xml. Celui-ci se trouve à la racine de vos répertoires chiffrés et contient toutes les informations concernant le chiffrement de vos données. Bien que son contenu ne soit pas « sensible » du point de vue de la sécurité, s'il venait à être supprimé ou abimé, vous ne pourrez plus accéder à vos fichiers. Comme votre mot de passe, nous vous conseillons donc de le sauvegarder précieusement.

Keepass

Linux : EncFS, la solution simple et parfaite ? (1/2)

Commençons avec la méthode la plus simple : utiliser EncFS sous Linux. Pour faire court, il s'agit ici d'utiliser un système de fichier qui exploite FUSE (File System in User Space) et qui va émuler un périphérique de stockage. Chaque fichier qui sera placé dans celui-ci sera chiffré via un mot de passe de votre choix, et stocké dans un dossier que vous pouvez placer où bon vous semble.

EncFS : le système de fichier qui simplifie le chiffrement

Dans le cadre de l’utilisation d’un service de stockage en ligne tel que Dropbox, par exemple, il vous suffit donc de placer ce dossier chiffré au sein de votre espace de synchronisation. Ainsi, seules vos données chiffrées seront hébergées, et vous avez tout loisir de les utiliser de manière déchiffrée via votre copie locale. Mais assez parlé, passons à la pratique.

Dropbox chiffree Ubuntu EncFS

Pour notre test, nous avons utilisé Ubuntu dans sa version 11.10. Le service de stockage d’exemple était Dropbox, qui est l’un des rares à disposer d’un client de synchronisation sous Linux et Windows (c’est aussi le cas d’Ubuntu One, par exemple).

Attention, il faudra par contre se méfier des solutions de type WebDAV qui passent par un lecteur réseau et qui vous donnent accès à un stockage en ligne, et non à sa copie locale. Beaucoup plus lentes, elles pourront devenir insupportables à utiliser avec un tel outil.

Une installation et une utilisation assez simple, même en ligne de commande

L’installation d’EncFS est plutôt simple puisqu’il est présent au sein de la logithèque d’Ubuntu. Il est bien entendu aussi possible de l’installer via cette ligne de commande :

sudo apt-get install encfs

Comme nous le disions un peu plus haut, son principe est assez simple : vous définissez un dossier qui contiendra vos fichiers chiffrés (les noms seront également chiffres), et un autre qui servira de point de montage pour le périphérique virtuel contenant vos fichiers déchiffrés. La ligne de commande minimale nécessaire est la suivante :

encfs <dossier chiffré> <point de montage déchiffré>

Dans notre cas, cela donnait donc :

encfs /home/david/.chiff /home/david/déchiff

Vous noterez le point dans le nom du dossier chiffré qui nous permet de le cacher de l’affichage par défaut. Une fois cette ligne validée, si les dossiers n’existent pas, il vous sera proposé de les créer.

EncFS Terminal Creation 

Une option pour les paranoïaques et de nombreuses possibilités

Ensuite, vous aurez le choix entre trois modes de configuration : normal, paranoïaque ou expert. Dans les deux premiers cas, seul un mot de passe vous sera demandé, seul le niveau de protection sera différent. Dans le mode expert, de nombreuses options vous seront proposées, attention donc à ne l’utiliser que si vous savez ce que vous faites.

Linux : EncFS, la solution simple et parfaite ? (2/2)

Notez que si vous utilisez un dossier chiffré qui contient déjà des données, et que celles-ci sont compatibles avec EncFS (ce qui est le cas des fichiers créés par la méthode que nous utilisons pour Windows), il vous sera juste demandé le mot de passe de chiffrement et le périphérique contenant les fichiers déchiffrés sera directement monté.

EncFS Terminal Creation 

Ceux qui veulent plus de détails et de possibilités pourront se rendre sur cette page qui reprend le manuel de la fonction EncFS. Vous noterez que certaines options peuvent avoir leur intérêt, notamment celle permettant de démonter le périphérique déchiffré au bout d’un certain nombre de minutes d’inactivité (--idle=minutes), ou celle permettant un montage / démontage à la demande (--ondemand).

Pour le démonter de manière manuelle, il faudra utiliser la commande fusermount de la sorte :

fusermount -u <point de montage déchiffré>

Soit, dans notre cas :

fusermount -u /home/david/déchiff

Cryptkeeper : pour ceux qui préfèrent une interface simple au terminal

Que ceux que la ligne de commande effraie soient rassurés, nous avons aussi pensé à eux. En effet, il existe un petit outil nommé Cryptkeeper qui permet d’effectuer toutes ces opérations via une interface simple. Pour son installation, vous pouvez vous rendre dans la logithèque d’Ubuntu, ou sur le site de l’outil.

EncFS Cryptkeeper Ubuntu EncFS Cryptkeeper Ubuntu

Pour le lancer, il vous suffit de faire ALT + F2 et de taper Cryptkeeper. Son utilisation est assez simple puisqu’il suffit de cliquer sur son icône (un trousseau de clefs). Là vous aurez au départ deux possibilités : importer un dossier EncFS existant, ou en créer un nouveau. Dans le premier cas, il vous suffira de pointer l’emplacement à utiliser, puis le point de montage du périphérique déchiffré. Dans le second, vous devrez aussi choisir deux emplacements, mais il vous sera en plus demandé un mot de passe.

Vous pourrez ensuite monter et démonter vos périphériques d’un simple clic, sans avoir à utiliser la moindre ligne de commande.

De plus, notez qu’un clic droit sur l’icône vous donne accès à une fenêtre de préférences. Vous pourrez là aussi choisir un nombre de minutes avant lequel vos périphériques chiffrés seront automatiquement démontés en cas d’inactivité, par exemple :

EncFS Ubuntu Dconf editor

Comment régler les soucis de Cryptkeeper avec l'interface Unity

Enfin, notez qu’avec Ubuntu 11.10, le fonctionnement de Cryptkeeper semble être gêné par le passage à Unity, et son icône ne s’affiche pas par défaut. Il vous faudra donc effectuer la procédure suivante :

Aller dans un terminal et tapez :

sudo apt-get install dconf-tools
dconf-editor

Rendez-vous dans la section Desktop > Unity > Panel et rajoutez ‘Cryptkeeper’ à la fin de la variable systray-whitelist. Ainsi, dans notre cas, voici la ligne obtenue :
  • Avant : ['JavaEmbeddedFrame', 'Wine', 'scp-dbus-service', 'Update-notifier']
  • Après : ['JavaEmbeddedFrame', 'Wine', 'scp-dbus-service', 'Update-notifier', 'Cryptkeeper']
Déconnectez-vous et reconnectez-vous, le problème sera réglé.

EncFS Ubuntu Dconf editor

Windows : BoxCryptor à la rescousse (1/2)

Sous Windows, EncFS n'existe pas. Mais le projet open source a servi de base à la bibliothèque Dokan, qui est un équivalent de FUSE qui était utilisée comme base par le logiciel BoxCryptor (et par Hubic d'OVH, comme certains l'ont déjà remarqué).

BoxCryptor 1.3 : exit Dokan... mais arrivée d’AES-NI et meilleur support de Windows

Celui-ci propose donc le même principe que le couple EncFS / Cryptkeeper mais en plus complet, et comme nous le précisions précédemment, les fichiers chiffrés obtenus par l’un, sont parfaitement lisibles par l’autre. Vous aurez donc tout loisir de lire les fichiers contenus dans votre espace de stockage en ligne depuis Linux ou Windows, sans avoir à vous soucier d’un éventuel problème de compatibilité. 

Voici une petite vidéo de présentation du service (en anglais) :


Notez néanmoins que BoxCryptor a récemment évolué et utilise plus Dokan depuis sa version 1.3, mais une solution propriétaire. Cela lui apporte néanmoins un intérêt : le support des instructions AES-NI est de la partie. Ainsi, si vous disposez de certains processeurs Intel ou d’un processeur AMD FX (Bulldozer), vous pourrez bénéficier d’une accélération matérielle du chiffrement / déchiffrement AES-256 qui est utilisée.

Nous avons effectué un petit comparatif en créant un espace de stockage chiffré avec les versions 1.2 puis 1.3, et en lançant CrystalDiskMark sur une machine sous Windows 7 à exploitant un Core i7 2600K et un SSD Intel 320 Series de 300 Go. Voici les résultats obtenus :

BoxCryptor 1.2 Bench BoxCryptor 1.3 Bench
BoxCryptor 1.2 VS 1.3


Notez aussi que cette mouture permet un meilleur support des programmes portables, et une meilleure intégration des différentes fonctions de Windows (lancement d’applications en mode administrateur, support de la recherche, du partage de fichiers...).

Un outil Freemium, aussi disponible pour Android et iOS (iPad, iPhone)

Il est gratuit, mais se base sur un modèle Freemium : l'utilisateur est limité à un lecteur virtuel, d'une taille maximale de 2 Go, sauf s'il opte pour une licence qui est proposée pour 29.99 € (69.99 € dans le cadre d'une utilisation commerciale). Il pourra alors gérer un nombre illimité de dossiers chiffrés, d’une taille illimitée.

Boxcryptor Comparatif


Notez aussi que des applications sont disponibles pour Android et iOS, fonctionnant de pair avec Dropbox, ce qui est plutôt appréciable même si l'on aimerait que plus de services soient reconnus (Box, Ftopia, SugarSync, Skydrive...).

Là aussi il s’agit d’un modèle Freemium, et l’on regrettera que la licence payée pour la version Windows ne donne pas droit à un accès gratuit, ou au moins à tarif réduit, pour les versions mobiles complètes. De plus, les licences sont le plus souvent rattachées à un appareil précis ou à un compte.

BoxCryptor iPad


Enfin, sachez que si vous êtes sous Mac OS X, BoxCryptor propose une solution vous permettant d'installer simplement FUSE / EncFS sous le système d'exploitation de la pomme.

Windows : BoxCryptor à la rescousse (2/2)

Le fichier à installer pèse 7 Mo environ que nous avons utilisé lors de nos tests. Une fois la procédure effectuée, vous aurez droit à une nouvelle icône au sein de votre barre des tâches, et à un assistant qui vous permettra de créer votre premier espace chiffré.

Notez que vous pourrez relancer cet assistant à tout instant, en cliquant avec le bouton droit de votre souris sur l’icône de l’outil si aucun lecteur n'existe. Sinon, vous suivrez la même procédure en cas de création, de remplacement ou d'ajout d'un dossier chiffré.

Le chiffrement fichier par fichier, simple et efficace, en quelques clics

Comme sous Linux, notre but est simple : créer un lecteur dont le contenu sera chiffré, via un mot de passe, au sein d’un répertoire. Là encore, chaque fichier sera chiffré indépendamment, tout comme son nom, et nous placerons le tout dans notre répertoire Dropbox afin que le contenu stocké en ligne soit celui qui est chiffré.

Ainsi, lorsqu’un fichier sera modifié, il sera le seul à être mis à jour, et depuis n’importe quelle machine nous pourrons déchiffrer le contenu local, et l’utiliser comme si de rien n’était.

Boxcryptor Windows

Comme c’était le cas précédemment avec CryptKeeper, deux choix s’offrent à nous dans la procédure assistée : utiliser un dossier chiffré existant, ou en créer un nouveau. La seule différence sera que dans le premier cas, vous n’aurez pas à configurer le chiffrement et le mot de passe.

Nous avons donc opté pour le second, où il nous est tout d’abord demandé de choisir un répertoire où sera stocké celui où se trouvera le contenu chiffré. Il s’agit bien entendu du répertoire de notre Dropbox. Ensuite, il nous faut choisir un nom pour le dossier chiffré, puis une lettre pour le lecteur contenant les fichiers déchiffrés, qui sera créé.

Boxcryptor Windows AssistantBoxcryptor Windows AssistantBoxcryptor Windows Assistant

Bien entendu, il vous faudra choisir un mot de passe. Vous aurez la possibilité de l’enregistrer ou de choisir de le taper à chaque fois afin de rajouter une sécurité supplémentaire.

Boxcryptor Windows AssistantBoxcryptor Windows Assistant

Deux interfaces, et une bonne mise en avant des règles de prudence

BoxCryptor vous proposera enfin d’effectuer une sauvegarde du fichier de configuration de votre espace de stockage chiffré, comme nous l’évoquions dans nos règles de prudence.

Au quotidien, cet outil vous proposera deux interfaces : l’une est simplifiée et ne vous permettra de gérer qu’un seul lecteur chiffré. Elle est donc parfaite pour les utilisateurs de la version gratuite. Elle propose quelques options : modifier le mot de passe, ne plus l’enregistrer localement, changer la lettre du lecteur contenant les fichiers déchiffrés, créer un nouveau dossier chiffré et vérifier les mises à jour en ligne.

Boxcryptor Windows InterfacesBoxcryptor Windows Interfaces

Le mode avancé, lui, vous permettra de gérer plusieurs lecteurs, et de les monter / démonter en fonction de vos besoins. Elle ne sera donc utile que pour les utilisateurs de la version payante.

2000 - 2023 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0326 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact

abonnez-vousS'abonner

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

ABONNÉS

7404

Abonnez-vous
à partir de 6,00 € / mois
Faire un don défiscalisable
Nos catégories
Composants Culture Numérique Droit Économie IH Internet Logiciel Mobilité Périphériques Réseau Systèmes Tech #LeBrief Next INpact
Nos rubriques
Dossiers Guides Tests Tutoriels Accès Libre Flock
Nous suivre
Flux RSS Newsletter Facebook LinkedIn Twitter Youtube
Nos services
Bons plans Boutique de Goodies
Nos partenaires
Tous Les Forfaits
La communauté et le site
Contact Dons défiscalisables Discord Forums Déontologie Vie privée GitHub Votre compte Règles de modération Vos commentaires