Sécurité hors ligne – Partie 4 : outils

Sommaire

CHAPITRE 1 : installer un système d'exploitation 
chiffré

CHAPITRE 2 : choisir une phrase de passe

CHAPITRE 3 : utiliser un système live

CHAPITRE 4 : chiffrer un périphérique 

CHAPITRE 5 : réaliser des sauvegardes chiffrées

CHAPITRE 6 : nettoyer les métadonnées d'un document

 

Avertissement : sont présentées ici des solutions partielles, sans intérêt si non intégrées à un ensemble de pratiques articulées de manière cohérente

CHAPITRE 1 : installer un système d’exploitation chiffré

Un ordinateur laisse un peu partout des traces des fichiers ouverts, des travaux effectués, des connexions internet, etc. Une façon d’exposer un peu moins les données et traces conservées sur l’ordinateur est de chiffrer le système dans son ensemble.

Pour ce faire, il est possible d’installer un système d’exploitation GNU/Linux comme Debian. Le plus simple est de réaliser l’installation à partir d’une clé USB d’installation.

À chaque démarrage, l’ordinateur va demander une phrase de passe, après quoi il débloque le chiffrement du disque, ce qui donne accès aux données, et permet donc le démarrage du système. Sans cette phrase de passe, toute personne qui voudrait consulter le contenu de ce disque se trouvera face à des données indéchiffrables.

De nombreux avantages à ce système d’exploitation libre facile à installer :

  • Une bonne sécurité du système: Debian et la communauté du logiciel libre sont très réactifs pour s’assurer que les correctifs aux problèmes de sécurité intègrent la distribution rapidement.
  • Les logiciels de sécurité : puisque tout ce qui est envoyé sur le réseau peut être lu par n’importe quelle machine qui se trouve entre l’émetteur et le récepteur, Debian a les logiciels GPG (et PGP) permettant aux utilisateurs de s’envoyer des messages de façon confidentielle.

Guide d’installation ici

CHAPITRE 2 : choisir une phrase de passe

Fonction : protéger des données chiffrées

Utilisation : support de stockage (disque dur, clé USB), emails, documents, clés cryptographiques

Critères :

  1. 10 mots minimum : plus il y en a, mieux c’est.
  2. Mémorisation facile (ne pas la noter !) et difficile à deviner par l’adversaire.
  3. Non issue d’un texte existant.

Méthode :

  1. Trouver une phrase facile à mémoriser.
  2. Trouver ce qui peut être modifié pour le rendre plus difficilement devinable (argot, mots de différentes langues, majuscules où on ne les attend pas, remplacer des caractères par d’autres, modifier l’orthographe, etc.). Exemple : correct cheval pile agrafe = korect sheVall-peEla ! grafF
  3. Après création, utiliser tout de suite une bonne dizaine de fois pour favoriser la mémorisation.
  4. Créer une phrase de passe différente pour chaque support chiffré.

CHAPITRE 3 : utiliser un système live

3.1. Systèmes live

Systèmes GNU/Linux fonctionnant sans être installés sur le disque dur de l’ordinateur, que l’on peut démarrer depuis une clé USB.

Cela ne signifie pas qu’ils ne laissent pas de traces sur le disque dur : nombre de systèmes live utilisent la mémoire virtuelle du disque dur.

3.2. Systèmes live discrets

Systèmes live conçus pour tenter de ne laisser aucune trace sur le disque dur de l’ordinateur, sauf si demande explicite. Tout ce qui sera fait à partir d’un tel système sera uniquement écrit en mémoire vive, qui tend à s’effacer au bout d’un certain temps après mise hors tension de l’ordinateur.

Tails : The Amnesic Incognito Live System

Logiciel libre basé sur Debian GNU/Linux que l’on peut démarrer depuis une clé USB, livré avec de nombreuses applications (navigateur web, client de messagerie instantanée, client email, suite bureautique, etc.) configurées pour augmenter la sécurité. Le but est d’aider à :

  • Utiliser Internet de manière anonyme, toutes les connexions sortantes vers Internet étant obligées de passer par le réseau Tor.
  • Ne pas laisser de traces sur l’ordinateur que utilisé sauf si demande explicite.
  • Utiliser des outils de cryptographie pour chiffrer fichiers, emails et messagerie instantanée.

3.3. Utiliser la persistance de Tails

  • Possibilité de créer un volume persistant chiffré sur l’espace libre de la clé Tails : les données sont alors sauvegardées et restent disponibles d’une session à l’autre. On peut stocker des fichiers, clés de chiffrement, configurations ou logiciels qui ne sont pas installés par défaut dans Tails.
  • A chaque démarrage, possibilité d’activer ou non le volume persistant créé. Suppression aisée.

Attention : uiliser un volume persistant n’est pas sans conséquences quant aux traces laissées : lire la page d’avertissement de Tails (sur le bureau de Tails, cliquer sur l’icône Documentation de Tails)

Guide d’installation ici

CHAPITRE 4 : chiffrer un périphérique (avec Debian)

4.1. Généralités

Objectif : chiffrer un support de stockage pour y sauvegarder des données sensibles. Les données placées sur un support chiffré seront illisibles pour qui n’a pas la phrase de passe.

Attention : après avoir entrée la phrase de passe, le système a accès aux données en question, il ne faut donc taper cette phrase de passe que sur les ordinateurs et systèmes de confiance.

Solution : utiliser un système d’exploitation GNU/Linux chiffré (ou un système live amnésique comme Tails).

4.2. Démarche générale : découper le matériel en deux partitions

  1. Créer sur le support de stockage une partition non chiffrée pour les données non confidentielles.
  2. Créer sur le même support de stockage une partition chiffrée pour les données confidentielles, partition qui ne devra être ouverte que sur les ordinateurs de confiance.

4.3. Chiffrement avec LUKS et dm-crypt

LUKS permet de chiffrer l’intégralité d’un support de stockage de telle sorte que celui-ci soit utilisable sur d’autres plates-formes et distributions de Linux (voire d’autres systèmes d’exploitation). Sous Linux, l’implémentation de référence de LUKS est celle de cryptsetup, utilisant dm-crypt pour le chiffrement des volumes.

Pour installer LUKS sur un système Debian chiffré, il faut :

  1. Installer les paquets nécessaires : secure-delete, dosfstools et cryptsetup
  2. Formater le support de stockage et créer une partition

Guide d’installation ici

4.4. Utiliser un matériel chiffré

Avec un système GNU/Linux, la démarche est simple : après avoir branché un support amovible chiffré, une fenêtre apparaît pour demander la phrase de passe.

Si ce n’est pas le cas, elle apparaîtra quand on demandera au système d’ouvrir la partition chiffrée (par exemple à partir de Fichiers). Pour fermer la partition chiffrée : démonter simplement le matériel.

CHAPITRE 5 : réaliser des sauvegardes chiffrées

DejaDup : logiciel de sauvegarde très simple, permettant de réaliser des sauvegardes sécurisées de nos données dans un dossier local ou un support de stockage externe. Il assure le chiffrement complet et la protection par mot de passe des sauvegardes.

Vue d’ensemble : l’interface du logiciel est très simple, avec une fenêtre permettant de sélectionner (i) l’emplacement de la sauvegarde à réaliser, (ii) le fichier à sauvegarder de manière sécurisée, (iii) un onglet “Démarrer la sauvegarde”, (iv) un onglet “Restaurer” pour récupérer le fichier sauvegarder. Une fois la sauvegarde lancée, il faut choisir de chiffrer nos archives. Un mot de passe est demandé pour cela. Ce mot de passe sera exigé pour récupérer (“restaurer”) le fichier sauvegardé.

CHAPITRE 6 : nettoyer les métadonnées d’un document

6.1. Généralités

Objectif : nettoyer les métadonnées d’un document avant sa publication.

Problème : les métadonnées changent selon les formats des documents, certaines sont plus difficiles à nettoyer que d’autres (voire impossibles).

Outil logiciel : Metadata Anonymisation Toolkit (MAT)

Attention : ne permet pas l’anonymisation du contenu du fichier, et n’enlève pas les éventuels marquages inclus dans le contenus lui-même (tatouage numérique, stéganographie).

6.2. Installation et utilisation

Installer MAT : déjà installé sous Tails ; sous Debian, installer le paquet “mat”.

Utilisation en 3 étapes :

  1. Ouvrir MAT et glisser le(s) fichier(s) à nettoyer.
  2. Si le message “Non supporté” s’affiche, il faut convertir le ficher dans un format supporté par MAT (voir Aide → Information).
  3. Cliquer sur Nettoyer ; on peut ensuite fermer MAT, le document peut être publié.