VeraCrypt : comment chiffrer et cacher un OS complet

Si VeraCrypt permet de chiffrer et de cacher des fichiers et autres clefs USB, on peut aller bien plus loin. Car il est possible de faire de même avec un disque dur contenant un système d'exploitation, et de le cacher de manière assez fine.

Nous sommes revenus sur la montée en puissance de VeraCrypt à la fin de TrueCrypt, dans un précédent article. L'occasion d'évoquer ses notions de base, son installation ou son utilisation pour le chiffrement de données et de périphériques externes.

Désormais, nous allons nous tourner vers une autre possibilité offerte par cet outil : le chiffrement d'une partition ou d'un disque système. Comprendre, là où se situe votre OS. Une fonctionnalité utile puisqu'elle permet de rendre vos données illisibles pour un tiers qui aurait accès à votre disque dur/SSD principal.

Cela peut éviter de voir vos données dans la nature en cas de perte ou de vol d'un ordinateur portable, ou de voir un réparateur un peu trop curieux fouiller dans votre vie lorsque vous lui déposez votre machine.

Pour les utilisateurs de Windows, VeraCrypt viendra ici jouer le rôle d'alternative à Bitlocker, qui a un défaut majeur : cette fonctionnalité n'est proposée qu'à ceux qui disposent d'une licence « Pro ». L'OS de Microsoft est d'ailleurs le seul système concerné (de Windows XP à Windows 10). Linux et macOS intègrent eux aussi nativement un dispositif de chiffrement de la partition système (via LUKS ou FileVault).

Notre dossier sur Veracrypt :

• VeraCrypt : comment chiffrer et cacher des fichiers, un disque dur externe ou une clef USB
• VeraCrypt : comment chiffrer et cacher un OS complet

Chiffrer une partition ou l'intégralité du disque système

Passons maintenant à la pratique. Une fois VeraCrypt installé et lancé, clique sur Create Volume, puis sur Encrypt the system partition or entire system drive. Comme précédemment, il est possible d'opter pour un chiffrement normal ou la création d'un volume caché. Nous opterons d'abord pour la première solution.

Vous devrez ensuite choisir entre ne chiffrer que la partition contenant Windows ou le disque complet. Dans le second cas, on pourra choisir de chiffrer ou non la HPA (Host Protected Area) qui peut être utilisée par les constructeurs pour y stocker des outils. Attention donc à ne pas la chiffrer dans un tel cas.

Pendant cette procédure, lorsqu'il faudra taper le mot de passe, le clavier du système sera configuré en langue anglaise (QWERTY). En effet, après le chargement du BIOS/UEFI au démarrage de la machine, c'est cette configuration de clavier qui sera utilisée. Une astuce qui vous évite d'avoir à gérer la conversion du mot de passe.

Il faudra ensuite créer un disque de récupération, ou au moins son image ISO que l'on pourra graver ou extraire sur une clef USB par la suite. Après avoir sélectionné la méthode de nettoyage du disque, un « pré-test » sera lancé. Objectif, vérifier que tout va bien au démarrage de votre machine. Si c'est le cas, la phase de chiffrement débutera.

Une fois la procédure terminée, un message s'affichera désormais au démarrage de la machine, invitant à taper le mot de passe et éventuellement le PIM (Personal Iterations Multiplier, voir notre précédent article). Il est possible de masquer ce message et de le remplacer par un simple texte, laissant par exemple penser que votre machine n'a pas d'OS installé.

Pour cela, il faut se rendre dans les paramètres du chiffrement de VeraCrypt (System > Settings). Une case à cocher prévue à cet effet sera présente, ainsi qu'un champ de texte d'un maximum de 24 caractères. C'est celui-ci qui apparaîtra au démarrage. Attention à ne pas utiliser de caractères spéciaux ou accentués.

Si cette option est mise en place, la machine apparaitra comme figée. Mais si l'utilisateur tape le bon mot de passe, le PIM éventuellement associé puis sur la touche Entrée, elle démarrera comme si de rien n'était après quelques secondes.

Cacher entièrement un système d'exploitation

Une seconde possibilité existe pour le chiffrement du système, mais elle ne s'adressera pas à Monsieur Tout le monde. Elle consiste en effet à cacher une partition contenant un OS complet. Ici, on fait face à la procédure la plus complète, mais aussi la plus complexe proposée par VeraCrypt.

Ce n'est donc pas aussi simple que de masquer un conteneur ou une partition secondaire. Ici, il faudra enchaîner quelques manipulations pour arriver au résultat final, ce qui demandera du temps et un peu de patience :

• Créer une partition vide, dont une partie sera cachée
• Y déplacer votre système d'exploitation actuel
• Effacer et nettoyer la partition initiale
• Installer un nouvel OS factice
• Y installer VeraCrypt
• Chiffrer l'OS factice

Tout d'abord, sachez que le comportement de VeraCrypt sera ici identique à celui des autres dispositifs de contenu caché. Ainsi, on disposera d'une partition principale avec un OS « factice » (decoy) et une partition secondaire. Elle contiendra un volume chiffré (outer) dans lequel vous pourrez ajouter des fichiers.

Mais une partie de celui-ci contiendra un volume caché avec le second système d'exploitation, qui sera totalement isolé du reste et ne sera pas détectable à moins d'une analyse poussée :

Ainsi, en donnant de mauvais éléments de sécurité, un Windows fonctionnel mais factice sera lancé, avec des applications et une partition secondaire contenant des fichiers. Avec les bons éléments de sécurité, on aura accès à un Windows caché et isolé dont le contenu (fichiers, applications) sera tout à fait différent.

Les critères de répartition de l'espace de stockage

Pour procéder, il faut tout d'abord créer une partition secondaire. Celle-ci doit être d'une taille au moins 5 % supérieure à votre partition principale contenant le système actuel. Si jamais vous optez pour un formatage en NTFS, cette seconde partition doit être d'une taille d'au moins 110 % supérieure à la première.

Mais attention, le volume contenant le système caché sera de la même taille que celui contenant le système principal. Le choix de la répartition ne devra donc pas être pris à la légère. De plus, cette répartition ne sera pas toujours facile avec un système existant.

Prenons l'exemple de la machine utilisée pour notre essai. Elle dispose d'un disque dur avec 237 Go d'espace total. 59 Go sont occupés par le système actuel. Il reste donc 178 Go d'espace pour la création de la partition secondaire. VeraCrypt exige de son côté qu'elle soit d'une taille minimale de :

• 61,95 Go (+5 %)
• 123,9 Go si NTFS (+110 %)

Nous avons donc décidé d'opter pour la répartition suivante :

• 87 Go pour la partition de l'OS factice
• 150 Go pour la partition secondaire, soit :
• 87 Go pour l'OS caché
• 63 Go pour des données secondaires 

Un équilibre que l'on peut modifier, mais attention à ne pas laisser trop de place aux OS, ce qui réduirait un peu trop l'espace dédié aux données secondaires qui peuvent « donner le change » en cas de contrôle de votre machine.

Attention si vous partez d'un système existant

Pour procéder à ce changement, nous nous rendons dans l'outil Gestion des disques (clic droit sur le menu Démarrer > Gestion du disque). Nous sélectionnons la partition principale C: puis Réduire le volume... Là, il ne nous est malheureusement proposé qu'une taille minimale de 129,7 Go. La raison invoquée ? « Vous ne pouvez pas réduire un volume au-delà du point où tous les fichiers non déplaçables sont situés ».

Bref, le plus simple dans la procédure de création d'un système d'exploitation caché est de partir d'une installation neuve et minimale de Windows. Il sera alors facile de réduire la taille du système comme bon nous semble (ou presque) et passer à la suite.

Chiffrement et déplacement du système d'exploitation caché

Une fois que le système est préparé avec une partition secondaire de taille suffisante, VeraCrypt va commencer par procéder au chiffrement de celle-ci et à la copie du système d'exploitation. Ainsi, c'est bien celui qui est actuellement installé qui y sera déplacé puis caché.

Il faudra ensuite installer exactement la même version de Windows sur la partition principale. Celle-ci servira à assurer le déni plausible, veillez donc à y installer des applications, y placer des fichiers. Vous pouvez même l'utiliser au quotidien pour des effectuer des tâches qui ne sont pas sensibles. Plus elle sera crédible, mieux ce sera.

Attention, tout au long de la procédure, VeraCrypt livrera des conseils et des indications de sécurité (fichiers de pagination, mémoire, hibernation, etc.). Veillez à les lire et à les prendre en compte lors de l'installation et de votre utilisation de la machine. 

Une fois la partition secondaire chiffrée, la machine va redémarrer pour assurer la copie du système dans un volume caché. Il faudra donc taper les éléments de sécurité afin de lancer la procédure qui peut durer un bon moment. N'hésitez donc pas à le faire lorsque vous avez du temps, ou même avant de vous coucher.

Effacement de la partition initiale et installation du Windows factice

Ensuite, le Windows caché démarrera. L'étape suivante sera d'effacer la partition initiale en choisissant le nombre de passes à effectuer : d'une seule à 256 pour les plus « minutieux ».

Une fois ceci fait, il faudra éteindre la machine, attendre quelques minutes, puis la redémarrer pour installer le Windows factice. Celui-ci devra être mis en place sur la première partition du disque (la plus petite) qui sera préalablement supprimée, tout comme celle réservée au système (voir ci-dessous).

Attention, toute trace de VeraCrypt sera alors effacée, même dans le bootloader. Vous ne serez plus en mesure d'accéder au volume caché tant que tout ne sera pas terminé.

Installation de VeraCrypt et accès au Windows caché

Une fois l'installation arrivée à son terme, téléchargez et installez VeraCrypt. Lancez une procédure de chiffrement de la partition système (et non du disque entier). Optez pour le mode standard, « single boot ». Utilisez les mêmes algorithmes de chiffrement/hash que pour le Windows caché mais avec des éléments de sécurité différents. 

Il faudra alors passer la phase de pré-test qui permet de vérifier que les éléments de sécurité sont bien reconnus. Tapez ceux du système factice pour finaliser la procédure. Si tout s'est bien passé, le chiffrement sera mis en place. Redémarrez alors votre machine et choisissez le système que vous voulez lancer en tapant les éléments de sécurité de l'un ou l'autre.

Bien entendu, il est là aussi possible de personnaliser le message affiché et cacher la présence de VeraCrypt. Il faut se rendre dans les paramètres du chiffrement de VeraCrypt (System > Settings). Une case à cocher prévue à cet effet sera présente, ainsi qu'un champ de texte d'un maximum de 24 caractères. C'est celui-ci qui apparaîtra au démarrage. Attention ici aussi à ne pas utiliser de caractères spéciaux ou accentués.

Si cette option est mise en place, la machine apparaitra comme figée. Mais si l'utilisateur tape le bon mot de passe, le PIM éventuellement associé puis sur la touche Entrée, elle démarrera comme si de rien n'était après quelques secondes.

L'accès aux données du volume secondaire

Notez que dans les deux Windows, un disque secondaire apparaît dans le gestionnaire de fichiers. Il s'agit de la seconde partition qui est vue comme un volume VeraCrypt et que l'ont peut monter avec les éléments de sécurité du système factice. Dans notre cas, cela représente 150 Go, mais attention à ne pas oublier que le système caché occupera une partie de cet espace de stockage (ici, 87 Go).

Le mieux est de rendre inaccessible ce lecteur qui est illisible pour Windows via l'outil Gestion des disques (clic droit sur le menu Démarrer > Gestion du disque). Il suffit d'effectuer un clic droit sur la partition, de sélectionner l'option Modifier la lettre de lecteur et les chemins d'accès..., de supprimer la lettre puis de valider.

Il restera ensuite à monter la partition dans VeraCrypt comme n'importe quel élément chiffré (Sélection d'une lettre de lecteur, Select Device > Mount). Ce montage peut d'ailleurs être automatisé, tout comme VeraCrypt peut être démarré au lancement de Windows. Les fichiers seront accessibles en écriture depuis le système factice, mais pas depuis le système caché. Ce pour des raisons de sécurité et pour éviter que vous ne laissiez des traces à votre insu. 

Vous pouvez maintenant utiliser votre machine comme bon vous semble et découvrir les nombreuses options de VeraCrypt. L'outil est en effet relativement complet, et permet d'aller bien plus loin que nos guides. N'hésitez d'ailleurs pas à partager vos astuces dans nos commentaires ou à poser vos questions au sein de nos forums.

Retrouvez notre dossier Chiffrement, clefs de sécurité et cryptobidules :

• Chiffrement : notre antisèche pour l'expliquer à vos parents
• OpenPGP et GnuPG : 25 ans de chiffrement pour tous, ce qu'il faut savoir avant de s'y mettre

• GPG : création de votre première paire de clefs et chiffrement d'un fichier
• GPG : comment créer une paire de clefs presque parfaite

• Keybase.io : profil certifié, partage de fichiers et maintenant un chat sécurisé
• Keybase.io : comment ça marche ?
• Facebook : comment y diffuser votre clef GPG et recevoir des notifications chiffrées

• KeePass : comment protéger l'accès avec une Yubikey et le plugin KeeChallenge
• KeePass : comment monter automatiquement vos volumes chiffrés par VeraCrypt

• VeraCrypt : comment chiffrer et cacher des fichiers, un disque dur externe ou une clef USB
• VeraCrypt : comment chiffrer et cacher un OS complet

• Clefs GPG : comment les stocker et les utiliser via une clef USB OpenPGP Card ?
• Yubikey et Windows 10 : comment se connecter simplement à travers Windows Hello
• Apple Watch et Yubikey : comment simplifier votre connexion sur macOS Sierra