La CNIL vous explique comment chiffrer vos documents et disques durs

La CNIL vous explique comment chiffrer vos documents et disques durs

Cryptez tous les trucs !

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

06/03/2017 3 minutes
31

La CNIL vous explique comment chiffrer vos documents et disques durs

Le gardien des données personnelles, la CNIL, propose un guide pour chiffrer un fichier ou un dossier à envoyer ou stocker dans le cloud, ainsi que le périphérique de stockage de votre machine. Le tout s'appuie sur des logiciels libres, notamment VeraCrypt, auquel nous avons déjà consacré plusieurs articles.

Si chiffrer les communications devient une habitude, grâce notamment à la large intégration du protocole Signal dans les applications dédiées, protéger les documents que l'on stocke l'est bien moins. La CNIL propose donc un guide simple pour chiffrer ces précieux fichiers, que ce soit individuellement ou par HDD/SSD entiers.

De l'intérêt de protéger ses fichiers personnels et pros

Pourquoi protéger particulièrement ces documents ? D'un point de vue personnel, cela permet de conserver en toute tranquillité des informations confidentielles (comme des pièces d'identité numérisées) sur un ordinateur, support amovible ou stockage en ligne (comme Dropbox, Google Drive ou encore OneDrive) avec l'esprit tranquille. « Le plus souvent, lorsque vous stockez des documents dans le cloud, la confidentialité de ces fichiers n’est pas garantie » rappelle ainsi la Commission.

Pour les fichiers professionnels, encore plus sensibles, l'hébergement sur un serveur partagé (accessible par les collègues) ou sur un portable qui peut être perdu ou volé, cela apporte une protection minimale. La CNIL cite le cas d'une liste de clients, qu'il serait hasardeux de ne pas mettre à l'abri.

La Commission s'appuie sur plusieurs outils, la plupart libres. Elle cite le logiciel de compression 7-Zip, qui permet de chiffrer les archives qu'il génère, AxCrypt, PeaZip ou encore Zed! (de Prim'X), ainsi que VeraCrypt. Ce dernier est un fork de TrueCrypt, conçu par Mounir Idrassi, avec lequel nous avons déjà eu l'occasion de discuter longuement. Il a beaucoup évolué ces derniers mois, notamment à la suite d'un audit qui avait révélé plusieurs failles de sécurité, dont certaines héritées de TrueCrypt (voir notre actualité).

7-Zip et VeraCrypt à l'honneur

Pour chiffrer un fichier, la commission recommande ainsi de créer une archive avec 7-Zip, en activant le chiffrement AES. Il suffit ensuite d'envoyer le fichier chiffré, en s'assurant que son correspondant dispose bien du logiciel. Elle rappelle d'ailleurs d'utiliser un mot de passe suffisamment complexe ; nos conseils sont toujours disponibles.

Pour le chiffrement de dossiers ou de partitions, la CNIL passe par VeraCrypt. La procédure étant plus longue, elle propose donc une vidéo expliquant comment mettre en place le chiffrement simple d'un disque dur, via l'assistant dédié. Si vous souhaitez aller plus loin, pour créer une partition cachée, nous avons consacré plusieurs articles à cet outil.

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

De l'intérêt de protéger ses fichiers personnels et pros

7-Zip et VeraCrypt à l'honneur

Commentaires (31)


chiffrer oui, mais avec uniquement des outils incluant la backdoor gouvernementale.


Très bonne initiative.

Cela dit, à mon sens le blocage qu’ont beaucoup de gens vis-à-vis du chiffrement systématique n’est même pas l’aspect technique (processus à suivre pour chiffrer/déchiffrer) mais plutôt la peur d’une mauvaise gestion de mot de passe : un facile qui risque d’être craqué ? Ou un difficile, mais comment s’en souvenir ou le stocker de manière fiable et sécurisée ?



Parce qu’il y a bien un truc que les gens pigent, c’est que si tu as fait un bon chiffrement, et que derrière pour x raison tu n’as plus “accès” au mot de passe, t’es baisé pour un bon moment (au moins plusieurs années XD)… Et vu qu’à priori les données tu les as chiffrées parce qu’elles étaient importantes pour toi, c’est rageant…


ils ont lu NXI et du coup propagent la bonne parole :oui2:


Il manque juste un petit truc aux recommandations de la CNIL, notamment concernant le chiffrement des répertoires et/ou des données sur le cloud: parler des outils de gestion des mots de passe.



Parceque chiffrer pour protéger c’est bien. Mais si c’est pour oublier le mot de passe et au final tout perdre, il faut bien être conscient des enjeux mais aussi des risques…


Existe-t-il une solution de chiffrement libre avec gestion centralisée des informations de récupération ?

Un peu comme bitlocker peut le faire avec AD DS conjointement avec les instructions GPO idoines.



Je me vois mal proposer une solution type veracrypt (ou alors j’ai raté une info quelque part - /mode lecture diagonale) qui ne permette pas l’automatisation (parc conséquent). Actuellement on utilise une solution tierce (centralisée) mais non libre et, de surcroît, ce serait pas un mal de migrer vers du plus actuel.


Cryptomator pour le cloud est pas mal non plus.


Je suppose que c’est parce qu’ils en ont fait il y a juste quelques semaines (avec un tuto Keepass) ;)



https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe

 








Mina_V a écrit :



Je suppose que c’est parce qu’ils en ont fait il y a juste quelques semaines (avec un tuto Keepass) ;)



https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe





Oui mais un petit rappel dans le texte ne fait pas de mal surtout en spécifiant bien que si on perd les mots de passe, on perd tout…



Ils le rappellent juste dans l’encadré que si on le perd c’est foutu, ils auraient du y ajouter le lien là et pas que dans le tuto 7-zip.


+1

Parce que chiffrer un volume veracrypt de 100Go et devoir le ré-uploader totalement dès que dropbox détecte un changement… ça va quoi !








Citan666 a écrit :



Très bonne initiative.



  Cela dit, à mon sens le blocage qu'ont beaucoup de gens vis-à-vis du chiffrement systématique n'est même pas l'aspect technique (processus à suivre pour chiffrer/déchiffrer) mais plutôt la peur d'une mauvaise gestion de mot de passe : un facile qui risque d'être craqué ? Ou un difficile, mais comment s'en souvenir ou le stocker de manière fiable et sécurisée ?        






  Parce qu'il y a bien un truc que les gens pigent, c'est que si tu as fait un bon chiffrement, et que derrière pour x raison tu n'as plus "accès" au mot de passe, t'es baisé pour un bon moment (au moins plusieurs années XD)... Et vu qu'à priori les données tu les as chiffrées parce qu'elles étaient importantes pour toi, c'est rageant...








 j'ai un disque dur et une clé USB cryptés avec Bitlocker avec un mot de passe relativement simple (et c'est le même), tu te sens capable de craquer un mot de passe bitlocker?      

Honnêtement, si je me fais voler mon disque dur, quel risque?? Cracker un mot de passe Bitlocker relativement simple, c'est déjà pas à la portée du premier venu, en supposant que ce soit possible...






Pour mon PC portable, j'ai un logiciel "Antivol" qui me permet de localiser le PC et de supprimer les données de mon choix à distance (dès que le pc sera connecté à internet, et le logiciel en question essaye de se connecter à un réseau wifi public dès que je déclare mon pc volé / perdu.      



https://www.preyproject.com/features



 


Il y a t’il moyen d’envoyer un dossier zippé sur le Cloud et faire une synchro de sauvegarde qu’avec les fichiers qui ont été ajoutés/changés ? 

Cryptomator me parait pas mal, mais toujours le stress de perdre le mdp, donc ce qui m’intéresse cest d’envoyer un zip/rar afin de n’avoir qu’un ficher et optimiser la bande passante, mais tout en évitant de devoir tout renvoyer à chaque sauvegarde…


Sauf que, comme dit dans le papier sur VeraCrypt, Dropbox est l’un des rares à faire de la synchro différentielle, donc n’upload que des morceaux de fichiers, ceux qui changent. 



Au passage, on a déjà parlé de plusieurs solutions qui sont nativement orienté “cloud” (notamment parce que le chiffrement fichier par fichier, comme Cryptomator ou BoxCryptor).


Hashcat et une ferme de GPU <img data-src=" />








David_L a écrit :



Hashcat et une ferme de GPU <img data-src=" />





Je ne connaissais pas hashcat tiens.&nbsp; (y a un autre outil du même genre dont j’ai zappé le nom)

enfin au regard de la machine de guerre nécessaire et sachant que pour 90% des gens, Bitlocker est du chinois, je dors sur mes 2 oreilles <img data-src=" />



Ce serait éventuellement bien de prendre le temps de lire les coms avant de réagir… <img data-src=" />



 D'une je ne parlais pas de moi en particulier, mais des gens dans mon entourage dont j'ai pu constater les craintes.        






 De deux, c'est PRÉCISÉMENT PARCE QUE C'EST DUR À CRAQUER que ça leur pose problème, parce que ce qu'ils craignent ce n'est pas qu'on leur vole leur données c'est que EUX-MÊMES perdent leur mot de passe et se retrouvent coincés (tu sais, les gens qui ont déjà du mal à ne pas noter un mot de passe relativement simple sur un bout de papier ou un post-it à côté de l'écran).        






 Bref, tu as les yeux à côté des trous ou la tête dans le cul, au choix (en plus d'être de toute évidence complètement ignorant du delta entre ta pratique informatique d'amateur éclairé et celles des gens normaux qui, à tort ou raison, ne veulent pas apprendre). <img data-src="><img data-src=">

Au risque de me répéter, Dropbox supporte la synchronisation différentielle. Seules les parties modifiées d’un fichier sont transférées et non le fichier entier. Je parle par expérience <img data-src=" />


Oui, avec Dropbox (voir mon commentaire ci-dessus ou celui de David) <img data-src=" />








David_L a écrit :



Sauf que, comme dit dans le papier sur VeraCrypt, Dropbox est l’un des rares à faire de la synchro différentielle, donc n’upload que des morceaux de fichiers, ceux qui changent.&nbsp;



Au passage, on a déjà parlé de plusieurs solutions qui sont nativement orienté “cloud” (notamment parce que le chiffrement fichier par fichier, comme Cryptomator ou BoxCryptor).





<img data-src=" />









Citan666 a écrit :



…ou un post-it à côté de l’écran).





Comme mon écran au boulot. Marre des gestion de mot de passe ou il faut le changer tous les 4 matins avec des restrictions sur les caractères. Trop de sécurité tue la sécurité, et mon écran n’est pas le seul dans mon bureau. <img data-src=" />









picatrix a écrit :



chiffrer oui, mais avec uniquement des outils incluant la backdoor gouvernementale.





C’est évident, non? Sinon comment pourraient-ils faire du metrics? Ils proposent une solution sécurisée, ils sont donc responsables à veiller à ce que la solution fonctionne.



Il faudra dire à la CNIL que le problème du cloud se trouve dans la confiance que les utilisateurs accordent aux tiers à qui ils confient leurs fichiers, plus que dans le cryptage de ces derniers. Or, qui peut me dire qu’un service de cloud peut-être digne de confiance ? En théorie, un service de cloud n’a pas à aller fouiller les fichiers de ses utilisateurs… en théorie, parce que, en pratique, il peut le faire, la preuve étant que des fichiers qui ne respectent pas les règles d’utilisation peuvent être supprimés. Pour pouvoir supprimer de tels fichiers, c’est bien que le service de cloud a un total contrôle sur le compte de ses utilisateurs.



Je rappelle aussi que confier ses fichiers à un service de cloud revient à devenir tributaire du bon fonctionnement de ce dernier. Par exemple, celui-ci doit être disponible 24h/24, 7j/7. Ce n’est pas toujours le cas, puisque celui-ci peut notamment effectuer de la maintenance sur ses serveurs. Sauf que lorsque cela tombe au moment où les utilisateurs ont besoin d’un de leurs fichiers, ils n’ont que leurs yeux pour pleurer. Et n’oublions pas qu’il est arrivé que des suppressions inopportunes de fichiers soient effectués : erreurs de manipulation lors d’une maintenance, attaque des serveurs par des personnes malveillantes, ect… Dans de tels cas, les utilisateur peuvent sortir leurs tubes de vaselines.



Au jour d’aujourd’hui, j’ai donc toujours plus confiance en mes disques durs pour stocker mes fichiers, même si ceux-ci peuvent me lâcher à tout moment.


Un autre problème avec le cloud et notamment la synchronisation différentielle c’est qu’il existe, certes pas à la portée de tout le monde, des attaques basées sur les changements de bits d’un fichier pour essayer de le déchiffrer (il me semble qu’Idrassi en parle dans certaines de ses recommandations quant à l’utilisation de VeraCrypt). Donc d’un point de vue cryptographique c’est pas l’idéal, du moins d’ici à ce que la chiffrement homomorphique arrive. De toute façon la sécurité et la facilité d’utilisation des outils vont rarement de paire&nbsp;<img data-src=" />


Personne ne s’en émeut mais ça me dérange profondément ce mélange des genres

D’un côté on a l’exécutif, les bien-pensants, les media qui sont contre le chiffrement

Et de l’autre, la CNIL, l’ANSSI et tout ceux qui ont un minimum de connaissances techniques qui le voient indispensable



Il me semble primordial qu’ils se mettent d’accord…

Soit c’est un truc de terronazis, soit c’est bien pour la vie privée








choukky a écrit :



Comme mon écran au boulot. Marre des gestion de mot de passe ou il faut le changer tous les 4 matins avec des restrictions sur les caractères. Trop de sécurité tue la sécurité, et mon écran n’est pas le seul dans mon bureau. <img data-src=" />





Tu parles des MDP sous AD dans un domaine Windoze ? Une plaie effectivement. Chaque année il faut renforcer son MDP, et ne pas répéter un ancien… Sans compter l’AD qui met du temps à se synchroniser avec l’intranet et les produits externes comme Office.

Nawak. J’ai peut-être plus de post-it que toi, sans parler de toutes mes notes papier d’ici ou là.



Qaelle backdoor ? Ton lien parle de propositions, et les outils proposés sont open soarce. Autrement dit, ça n’arrivera pas.


<img data-src=" /> Oui sous windows et ça fait longtemps que je l’ai dégagé chez moi.


pas les 4 matins pour moi au travail mais tous les 90 jours avec une durée de vie minimale d’1 jours pour éviter les petits malins qui changent 5 fois le mots de passe dans la journée pour retourner au 1er (nombre de mdp antérieurs à conserver = 5). source : commande net accounts sous Windows.








Kazer2.0 a écrit :



Cryptomator pour le cloud est pas mal non plus.






 Oui, un peu jeune je trouve et je trouve le fonctionnement avec un serveur webdav curieux.     



&nbsp;



David_L a écrit :



Sauf que, comme dit dans le papier sur VeraCrypt, Dropbox est l’un des rares à faire de la synchro différentielle, donc n’upload que des morceaux de fichiers, ceux qui changent.&nbsp;




 Au passage, on a déjà parlé de plusieurs solutions qui sont nativement orienté "cloud" (notamment parce que le chiffrement fichier par fichier, comme Cryptomator ou BoxCryptor).








Ah mince j'ai pas vu de mentions de chiffrement par fichier, ou ça ?     





Allons bon, j’étais persuadé qu’un conteneur avait une somme de contrôle identique, je viens de vérifier avec VeraCrypt sur 10Mo cela change bien, reste à trouver des services qui font dans le différentiel.



Il y a CryptSync qui se base sur le chiffrement de 7-zip aussi, je l’ai

dégotté en faisant un comparatif





&nbsp;









Salamandar a écrit :



Qaelle backdoor ? Ton lien parle de propositions, et les outils proposés sont open soarce. Autrement dit, ça n’arrivera pas.





Zed! n’est pas Open Source et il est certifié au niveau de qualification standard de l’ANSSI ainsi que EAL3+.

Il suffirait que l’ANSSI demande par exemple à insérer sa backdoor pour délivrer la qualification <img data-src=" />



Cypherpunks powa !