Lorsque l'on utilise des services de stockage en ligne, on veut parfois protéger nos données des yeux indiscrets. Cryptomator est une application pensée avec cet objectif, qui vient de sortir dans une version retravaillée. Un outil intéressant, mais pas sans défauts.
Il y a près de trois ans, nous faisions le point sur différentes solutions permettant de chiffrer des données à stocker sur un NAS ou dans des services en ligne (Dropbox, Google Drive, OneDrive, iCloud, etc.). Dans la liste des solutions que nous avions alors analysées, il y en avait une qui cumulait plusieurs points forts : Cryptomator.
Open source, le logiciel était à la fois simple à prendre en main et multiplateforme. Il souffrait néanmoins de quelques défauts d'intégration, avec des performances parfois limitées. Depuis cette version 1.3, l'outil a évolué. En 2018 sortait la 1.4 ne misant plus principalement sur le protocole WebDAV. Deux ans plus tard, c'est la 1.5 qui voir le jour.
Mais dans la pratique, qu'est-ce que cela donne, et comment fonctionne Cryptomator désormais ?
Nouveau look pour une nouvelle vie
Commençons par la base : il s'agit toujours d'un outil open source. Son code est diffusé sur GitHub, sous licence GPL v3. L'équipe fonctionne toujours grâce aux dons (nous y reviendrons) et ses sponsors. Le seul goodie proposé sur sa boutique est un sticker reprenant le logo de l'application. S'il a été revu, il s'agit toujours du même gros robot tout vert.
L'objectif de Cryptomator est également inchangé : permettre de chiffrer simplement les données stockées dans des services « Cloud ». Ainsi, la protection est assurée directement depuis votre machine, sans dépendre du niveau de sécurité du service utilisé. Si jamais une fuite devait avoir lieu, seules les données chiffrées seraient récupérées.
Le tout repose toujours sur un chiffrement AES-256, propre à chaque vault (coffre en anglais). Les clés sont elles-mêmes protégées en suivant la RFC 3394 et une dérivée Scrypt. Les éléments aléatoires des clés sont générés par SecureRandom, La documentation technique complète est accessible par ici, une FAQ par là.
Pour rappel, l'intérêt principal d'outils tels que Cryptomator par rapport à d'autres comme VeraCrypt, est qu'ils chiffrent chaque fichier individuellement. C'est ce qui fait qu'ils sont adaptés à la protection de données destinées à être stockées en ligne. En effet, dans le cas de VeraCrypt, un fichier chiffré représente un volume entier. Si la moindre données y est modifiée, c'est tout le fichier chiffré qui l'est, et qui doit donc être remis en ligne (sauf si l'upload différentiel est géré).
Cryptomator 1.5 est tout d'abord une refonte de l'interface. Elle a entièrement été repensée et réécrite. Et puisque c'est désormais à la mode : il y a un thème sombre, d'autres pouvant être ajoutés. Attention, pour y accéder, il faut débloquer une « clé de don », un dispositif étrange puisqu'un don devant logiquement être sans contrepartie.
Il s'agit en réalité d'une licence qui ne dit pas son nom, ou plutôt présentée comme un équivalent « pour des personnes géniales utilisant un logiciel libre » à 15 dollars minimum (25 dollars par défaut). L'application est pour rappel disponible sous Linux, macOS et Windows, gratuite. Seules les versions Android et iOS sont proposées de manière payantes. Il faut ainsi payer 4,99 dollars pour une licence liée à votre compte utilisateur, sans renouvellement nécessaire.
Plusieurs nouveautés pour Cryptomator 1.5
Cette nouvelle mouture doit également simplifier la phase d'onboarding. Comprendre la façon dont un premier utilisateur va prendre en main l'outil, alors qu'il n'a aucune idée de comment il fonctionne.
Un point essentiel pour les outils de sécurité en général, et de chiffrement en particulier, toujours considérés comme trop complexes. Cette version 1.5 est le fruit de plusieurs mois de travail, commencé en septembre dernier, devant permettre à l'équipe de rompre avec l'ancienne branche 1.4. Trois bêta et trois Release Candidates ont été nécessaire pour y parvenir.
Dans les autres nouveautés, on trouve l'introduction du format 7 pour les vaults, devant améliorer la compatibilité avec certains services en ligne et les performances. Les noms des fichiers sont ainsi encodés via Base64url. Mais aussi d'une possibilité de restaurer l'accès en cas de mot de passe perdu, avec des clés de récupération générées par l'utilisateur.
Sous Windows 10, l'application pèse 60 Mo environ. Elle comprend ce qu'il faut pour Java (qui assure son aspect multiplateformes), Dokany est installé pour l'accès aux fichiers chiffrés. En effet, il est utilisé pour générer un système de fichiers au niveau utilisateur : on les voit en clair, le système y accède comme des éléments chiffrés.
Une prise en main toujours facile
Une fois que tout est en place, l'application prend la forme d'une simple fenêtre n'ayant pas tant changé en trois ans. Mais on y trouve plus d'informations pour l'utilisateur, l'ensemble ayant été réorganisé pour être plus clair. On regrette tout de même le point rouge incitant constamment à acheter une « clé de don », qui énervera sans doute certains.
C'est surtout ensuite que les choses évoluent. On est invité à ouvrir ou créer un coffre, dans le second cas, un assistant prend la suite. Il faut choisir un nom pour le coffre, indiquer s'il se trouve sur OneDrive ou un autre service, choisir un mot de passe et éventuellement créer une clé de récupération.
Cette dernière prend la forme d'un long texte que l'on peut copier ou imprimer. Dommage, le QR Code n'est pas proposé.
Une application que l'on peut encore améliorer
Il faut ensuite déverrouiller le coffre nouvellement créé, l'enregistrement du mot de passe sur la machine étant proposé. Il apparaîtra alors comme un lecteur disque au sein du PC. Celui-ci fait 255 Go, sans possibilité de modifier cette taille apparemment. Les paramètres sont assez légers : lancer l'application en mode caché, utiliser WebDAV plutôt que Dokany, vérifier les mises à jour, etc. Rien de très exceptionnel.
Lorsqu'un coffre est verrouillé, on peut modifier le mot de passe, gérer sa récupération, décider que le montage doit se faire sur une lettre ou un point de montage particulier, en lecture seule, avec certains paramètres, etc. L'interface est parfois simpliste mais plutôt claire et fluide dans son fonctionnement, ce qui est appréciable.
Côté performances nous étions limités lors de nos essais entre 180 et 230 Mo/s environ pour la copie d'un gros fichier au sein du coffre, contre 500/600 Mo/s pour une copie classique sans chiffrement. Un comportement que nous avons pu vérifier sur différentes machines. Bref, ce n'est pas la panacée, mais ce sera suffisant pour beaucoup.
Commentaires (28)
#1
Merci pour cet article, je suis en train de remplacer mon vieux Boxcryptor Classic par Cryptomator, avec en parallèle Syncthing pour le partage de fichier.
Cela reste encore un peu compliqué à utiliser pour le “noob” mais c’est pour moi un très bon compromis.
#2
J’ai associé Cryptomator, Onedrive et freefilesync. Sauvegarde mensuelle du Nas qui récupère les fichiers des PC via syncthing.
Manuel mais top secure.
#3
Alors pour le gros n00b que je suis : est-ce que ça peut servir à chiffrer des données sur mon NAS ? J’imagine que oui, mais dans ce cas, comment j’y accède depuis un système utilisateur classique ? Ou si je veux accéder à ce NAS via NextCloud en WebDav (ou autre) ?
#4
Mais aussi d’une possibilité de restaurer l’accès en cas de mot de passe
perdu, avec des clés de récupération générées par l’utilisateur.
J’ignorais ça, je vais regarder de plus près. Mais je suis en 1.4.15, avec aucune mise à jour proposée vers la 1.5.x…
Sinon, il est dommage que l’actu n’indique pas que désormais, il est possible de se passer du Play Store pour Android. La licence “stand-alone” est à 10 euros, mais pour son lancement il y a un code NOPLAYSTORE qui la passe à 5 euros.
#5
#6
#7
#8
Ah c’est marrant ça, ça fait justement 2 semaines que j’ai commencé à me développer mon propre outil pour ce besoin simple : chiffrer chaque fichier indépendamment plutôt que de créer un conteneur qui lui seul est chiffré. Et justement, je me demandais pourquoi je ne trouvais pas d’équivalent déjà existant.
Dans mon cas, pour savoir si le fichier source a changé lors d’une synchro, je stocke aussi le checksum du fichier en clair à côté du fichier chiffré, comme ça pas besoin de déchiffrer pour comparer l’égalité des 2 fichiers.
Du coup vu que leur source est publique je vais pouvoir examiner ça et confronter mon approche avec la leur !
#9
Il a peut-être expiré alors. Pour moi ça avait fonctionné, il y a une dizaine de jours.
#10
Je ne sais pas si c’est exactement comparable en terme de fonctionnalités, mais pour les besoins en cloud cryptés (souvent en backup mais pas que), il y a beaucoup de redditer (y compris moi même) qui utilisent l’utilitaire Rclone
On peut également faire un mount sous windows ou linux pour monter le répertoire crypté à distance.
https://rclone.org/commands/rclone_mount/
C’est open source et gratuit… mais simple, pas toujours…
#11
https://www.nextinpact.com/news/104998-rclone-browser-accedez-a-vos-services-stockage-en-ligne-et-chiffrez-y-vos-donnees.htm
;)
#12
:drapal:
" />
" />
#13
#14
Merci pour le suivi de ce soft prometteur ! Il m’avait intéressé au premier article, content de voir qu’il évolue!
Par contre, le coffre à la taille non paramétrable, j’ai du mal à comprendre…
Perso, j’ai un coffre Veracrypt que je synchro de temps en temps, c’est plus brut mais ça me suffit pour le moment
#15
Personnellement j’ai testé un combo rclone + duplicity pour sauvegarder mon PC pro sur un stockage en ligne.
rclone sert à monter le volume, et duplicity fait la backup incrémentielle en chiffrant en GPG les fichiers.
#16
Si tu chiffres ton NAS, c’est généralement pour le cas où le mec te vole ton NAS.
La plupart du temps tu boots ton NAS, déverrouille les disques et tu y accèdent sur ton réseau local depuis les autres périphérique.
#17
Le client BackBlaze “user-friendly” n’étant pas dispo sous Nunux (et j’essaye de migrer mes vieux car la hackintosh par en sucette
" /> , j’ai trouvé deux outils utilisant duplicity en back :
" />
https://www.duplicati.com/
https://wiki.gnome.org/Apps/DejaDup
Pas encore pu tester, je vais essayer prochainement sans doute vu que j’ai un vieux laptop pour faire tester nunux en réel à mes vieux et les pousser doucement
#18
Intéressant, merci !
#19
Je viens de tester duplicati vers Backblaze B2 (sans chiffrement), ça marche pas mal le bousin.
" /> ).
Note que l’appli se contrôle depuis une interface web (le raccourcie de l’appli lance le navigateur).
Il me semble très puissant et tu peux exporter / importer la config (avec ou sans chiffrement).
J’ai pas testé le second, mais je pense que duplicati va répondre à mes besoins (enfin, celui de mon vieux surtout
J’ai découvert les deux aujourd’hui parce que justement BackBlaze ne dispose pas de client linux user-friendly ….
#20
Excellent produit. Bon compromis entre simplicité / Sécurité / OpenSource / UX
L’application iOS en revanche poussait être un peu plus sécurisée (je ne sais pas pour Android) : on peut modifier TouchID /FaceID en rajoutant un profil ou un doigt et déverrouiller son coffre fort sans devoir re-saisir son mot de passe. L’équipe m’a indiqué qu’ils allaient modifier ce comportement. J’attends le correctif pour déployer cette application.
Wait and see…
#21
J’ai installé et configuré Duplicati sur mon PC Pro, c’est très intuitif et rapide à mettre en place effectivement.
Par contre il n’arrivait pas à se connecter au stockage en ligne mais je soupçonne le fait d’avoir le proxy du client dans mon bashrc qui le bloque.. .Testerai ça plus tard. Au pire je monterai le volume localement avec fuse.
Mais ça semble bien foutu.
#22
Surtout que vu la doc, le bousin gère aussi les “catastrophic failure”. Genre si tu as des sauvegardes corrompu, tu peux lui faire rechercher dans l’ensemble de l’historique des saves pour trouver quand ta sauvegarde est corrompu et corriger le truc.
#23
J’ai tenté Duplicati il y a ~18⁄24 mois. J’étais tombé qur un bug qui bloquait mes sauvegardes, et on m’avait dit qu’il n’était plus développé, je le sais pas s’il a été repris depuis. Et de mémoire il sauvegardait tout, sans faire de delta avec la précédente sauvegarde. Ici on m’a conseillé borg, mais je n’ai pas réussi à faire la config de départ pour le laisser tourner seul ensuite.
" />
Actuellement j’utilise Unison et des scripts avec rsync pour sauvegarder en local, avec Cryptomator pour les données sensibles. Pour du “cloud” je n’ai pas trouvé mieux que Spideroak ONE. Depuis janvier je teste kdrive d’Infomaniak, le client n’est pas top mais le produit est très jeune. L’avantage est qu’il supporte webdav donc on peut se passer du client.
Et je pense tester Icedrive et Tresorit… Quand je trouverai un moment
#24
Je suis à la deuxième sauvegarde, il n’a pas tout sauvegarder à nouveau (j’suis passé de la première sauvegarde total d’une heure vers un autre disque à 15 min. Il reprend aussi les sauvegardes à première vu).
Selon GitHub, il y a eu une modification il y a 9 jours, donc je pense que ça a été repris.
#25
Ok j’y rejetterai un oeil alors
" />
#26
Pour le moment c’est adopté.
" />
Je suis finalement passé par un point de montage fuse car impossible de valider la connexion OAuth malgré l’obtention du token.
Pas grave, ça marche aussi comme ça. Le job a été assez rapide pour sauvegarder les quelques 24Go de mon /home
Il faudra que je teste un job de restauration pour voir.
Merci encore pour le tuyau !
#27
#28
Je crois que tu as dans les paramètres supplémentaires la possibilité de rajouter une tripoté d’option, me semble que tu as une partie spécifique OAuth dedans.
" /> donc actuellement j’ai un backup vers un disque local et un deuxième vers le B2 Cloud de BackBlaze, ça marche niquel pour l’instant. Je vais essayer une restauration à l’occasion.
Perso j’ai réussi à migrer mes vieux du hackintosh vers Pop!_OS, sauf que backblaze n’a pas d’appli pour Linux