[TUTO] Clé USB cryptée pour vos EDC/BOB etc... Truecrypt

Très bon tuto! Merci !

Testé et approuvé

Bonjour cela faisait un moment que l 'on ne te voyait plus beaucoup.
Mais là , un tuto aussi bien expliqué , ça fait un joli cadeau.

Est-ce que ça marche sur une Smart Cart ou une carte SD ? Une micro SD serait encore mieux question discrétion.

Tu peut crypter tout les lecteur y compris les amovibles .. tel que les cle usb, cartes mémoire, etc.

Donc la réponse est OUI canis lupus

Attention a un truc car meme : au plus on "sécurise" des données au plus on "grossis" la taille des fichiers

Amicalement

Canis Lupus a écrit:Est-ce que ça marche sur une Smart Cart ou une carte SD ? Une micro SD serait encore mieux question discrétion.

Oui tout a fait cela ne pose aucun problème et la procedure pour le faire et la meme qu'avec un clé USB il te suffit juste d'indiquer le chemin de la carte SD.

un ptit breton a écrit:Bonjour cela faisait un moment que l 'on ne te voyait plus beaucoup.
Mais là , un tuto aussi bien expliqué , ça fait un joli cadeau.

J'étais pas bien loin.... J'avais juste moins de temps....

merci pour le tuto.. il sera bientôt utilisé...

tiens et à ce propos, qui a testé un modèle de clef usb "tout terrain" ? car il en existe des waterproof, mais sans doute existent d'autres versions ?

Cette info serait bien cool pour terminer ce topic

On exagère la faiblesse des clefs usb si tu veux mon avis Monterosso, j'en ai une oublié dans un pantalon qui à vu la machine à laver le linge. Donc immersion total sur une durée de plusieurs minutes (10-20 peut être sur un cycles total), avec les mouvement au lavage et le spin à la fin, histoire de bien la secouer en tout sens. Ensuite, hop un coup au sèche linge, donc haute température et encore un peu de choc.

Je récupère mes vêtements et qu'est-ce que je vois pas au fond de la sécheuse.... Je la comptais comme perdu, mais ca fait bien une bonne année, voir plus et elle marche toujours nickel.

+1

La mienne aussi a fait un tour de machine à laver et après séchage RAS.

hmmm certes, mais à titre de contre exemple, certaines voient leurs contacts s'oxyder bien vite, d'autres ne supportent pas "trop" longtemps de côtoyer un téléphone portable sans se corrompre... d'autres vivent assez mal les hautes températures... et j'ai déjà eu deux clef de 16 go nazes sans raisons apparentes.
Je sais, je pinaille peut-être mais dans mon monde professionnel, j'en vois trop souvent des clefs soudain inutilisables, d'où ma préoccupation. Et si le but est d'avoir un "outil" d'urgence, je préfère mettre le maximum d'atouts de mon côté.
Certes, je pinaille peut-être un peu...
juste un peu...

On dit donc :

clef moulée et non pas assemblée
à capuchon qui ferme bien
à possibilité de mettre une dragonne

Na, mais je dit pas que tu as tord de pinailler, au contraire, mieux vaut assurer ses arrières. Je prends juste, le modèle de clef que tu viens de décrire et en quatre exemplaires.

1- dans ton bob ou edc
1- chez un parent ou un ami fiable
1- dans un coffre a la banque.
1- Chez toi dans un coffre anti-feu

Si avec ça tu arrive pas a récupérer tes donnée c'est que tes vraiment pas veinard.

Je préfère cette solution que d'avoir une clef, qui est supposément résistante à un voyage sur mars, mais que je testerais pas vu le cout d'achat de l'objet. Et si au final tu la perds, tu perd tout. Enfin ça c,est ma solution à moi qui vas bien, elle peut ne pas convenir a quelqu'un d'autre.

En même temps faut que trouver un système actif pour récupérer les donner après. Mais ça ses une autre histoire

Bonjour
Il est également possible de stocker ses données sur un serveur externe type divshare, steekr
ou autre serveur de stockage de photos en ligne, après avoir intégré ses fichiers dans des images banales (vos photos de vacances...) grâce à un logiciel de stéganographie comme Steghide.

Les données sont "invisibles" pour le commun des mortels et on peut les exposer à la vue. Bon, pour un agent de la CIA, je pense que ça tiendrait pas longtemps
Juste un "camouflage" informatique, en quelques sorte.

Superbe tuto

j'ai déjà eu deux clef de 16 go nazes sans raisons apparentes.

Idem que Monterosso, j'ai eu plusieurs clefs qui se mettaient dans tous leurs états sans crier gare.
Parfois on perd toute la partition, parfois une portion seulement.
Par moments, la clef peut devenir récalcitrante à tout formatage, on décrète qu'elle est alors fichue. Dans un topic, j'avais décrit comment flasher une clef usb "morte" en formatant le micro-contrôleur. Chipgenius donne toutes (trop ?) d'info sur la moindre clef et oriente vers un site chinois ou russe de logs pour flasher les puces des constructeurs. L'opération prend moins de dix secondes, et on retrouve une clef "neuve".

Sur quasiment toutes les clefs, il y a aussi une zone qui protège contre l'écriture. Sur les clefs de gamme, elle est utilisée avec un interrupteur qui évite les fausses manips; sur les meilleures marché, elle est inutilisée, et il suffit de souder une résistance CMS 0Ω dessus (ou un simple fil) pour protéger définitivement le contenu.

[quote="MonteRosso"]hmmm certes, mais à titre de contre exemple, certaines voient leurs contacts s'oxyder bien vite, d'autres ne supportent pas "trop" longtemps de côtoyer un téléphone portable sans se corrompre... d'autres vivent assez mal les hautes températures...

Perso, la clef USB du BOB est enfermée dans une petite boite métallique étanche de bonbons, avec un sachet de dessicant afin de préserver au mieux de l'humidité

salut,
j'ai refais une clé cryptée derniérement (comme un c*n, j'avais oublié mon mot de passe...)
le truc est qu'il est impossible d'utiliser cette clé sur un PC dont on n'est pas administrateur (j'ai essayé au travail..)
ce qui veut dire que si on va chez des amis : pas de problème pour récupérer les données dessus mais si on va dans une administration (gendarmerie en occurrence pour refaire ses papiers perdus par exemple...)avec sa petite clé usb, alors là, problème, car n'étant pas administrateur mais seulement utilisateur : personne ne pourra ouvrir le fichier et récupérer les données...

voilà, pour l'instant..

Salut à tous !
Je comptais faire un tuto Truecrypt, mais $$$.XV2 a déjà fait du très bon travail. Je me contenterai de renommer le topic afin de le retrouver plus facilement, et d'ajouter quelques infos que l'on ne trouve pas souvent, quatre ans plus tard.

1) MD5

Le projet Truecrypt a été abandonné. Les raisons sont encore mystérieuses. Vraie faille dans le code (douteux) ou pression gouvernementale (piste la plus argumentée), nous ne saurons jamais. Cependant, si casser un chiffrage de volume Truecrypt est plausible de la part d'un organisme qui aurait un budget illimité, il est toujours hors de portée des hacker qui ont leurs GPU tournant en permanence.
Protéger vos données du lambda est donc le premier point de sécurité lorsque vous perdez votre clef USB dans un lieu public, ou que l'on vous a volé votre laptop.
Comme le projet n'est plus soutenu, vous ne pouvez plus le télécharger depuis le site web officiel (qui fournit la V7.2 vérolée), mais pouvez le récupérer ailleurs en faisant confiance à l'hébergeur.

Un moyen d'augmenter la fiabilité du code que vous utilisez est de contrôler les empreintes des fonctions de hachage de l'exécutable avec celles fournies par les développeurs juste avant l'abandon du projet.

Sommairement, ces fonctions moulinent tous les octets du fichier à analyser pour sortir une valeur numérique. En général, elles sont construites de façon à ce qu'un seul bit différent entre l'original et la copie modifiée génère une empreinte complètement différente. Toute modification du code est donc détectée. Cela empêche de se retrouver avec un programme qui contient un code malicieux (La version pirate de Watchdog mine du Litecoin ou Tor : Un serveur russe utilisé pour diffuser des malwares).

C'est pour cela qu'on les utilise pour contrôler l'intégrité des fichiers téléchargés ou que l'on est en mesure de détecter des fichiers doublons quand bien même le nom est différent.

Certains algorithmes sont cependant capables de générer des empreintes identiques pour des fichiers différents (collision). Il faut donc contrôler plusieurs empreintes car le seul MD5 n'est plus suffisant.

Les Hashs officiels de la 7.1a :

truecrypt_setup_7.1a.exe :
sha1: 7689d038c76bd1df695d295c026961e50e4a62ea
sha256: e95eca399dfe95500c4de569efc4cc77b75e2b66a864d467df37733ec06a0ff2
md5: 7a23ac83a0856c352025a6f7c9cc1526

truecrypt_7.1a_mac_os_x.dmg :
sha1: 16e6d7675d63fba9bb75a9983397e3fb610459a1
sha256: 04db58b737c05bb6b0b83f1cb37a29edec844b59ff223b9e213ee1f4e287f586
md5: 89affdc42966ae5739f673ba5fb4b7c5

truecrypt-7.1a-linux-x86.tar.gz :
sha1: 0e77b220dbbc6f14101f3f913966f2c818b0f588
sha256: 9d292baf87df34598738faef7305cddaa15ea9f174c9923185653fb28f8cfef0
md5: 09355fb2e43cf51697a15421816899be

truecrypt-7.1a-linux-x64.tar.gz :
sha1: 086cf24fad36c2c99a6ac32774833c74091acc4d
sha256: 43f895cfcdbe230907c47b4cd465e5c967bbe741a9b68512c09f809d1a2da1e9
md5: bb355096348383987447151eecd6dc0e

Sous Win, le soft gratuit le plus simple qui réalise tout cela à la fois est Md5Checksum tool :
http://www.novirusthanks.org/products/md5-checksum-tool/
Exe

Résultat pour l'exe sous Win :


Nous pouvons être rassuré quant à l’authenticité de la source. Mes archives avait de toute façon été récupérées à l'époque directement depuis le site web officiel....

2) La Stéganographie.
La sécurité ne vole pas haut, mais c'est toujours un petit plus. Au lieu d'utiliser un volumes Truecrypt qui s'appelle "DonnéesConfidentielles" qui pèse exactement 3000Mo, il peut être intéressant de le renommer avec un nom bidon, et d'une taille plausible.

Si vous parcourez un ancien disque inconnu, il y a de fortes chances pour que ce fichier ne vous interpelle pas plus que cela :


3) Le mot de passe : Comme précité, idéalement un truc complètement aléatoire qui nécessitera une attaque par force brute très longue. Il faut donc éviter les mots entiers et allonger la clef.

4) L'historique.
Certains système sont particulièrement intrusifs concernant vos historiques, j'avais par exemple mentionné dans le topic Enfer Informatique un énorme souci avec les shellbags de windows.

Ce n'est pas un accès direct à vos données, mais représente à peu près tout ce que peut contenir votre volume répertoire par répertoire.
Il ne faut pas hésiter à appliquer un coup de Shellbag Analyzer & Cleaner en plus des traditionnels CCleaner et compagnie

5) La synchronisation
J'ai fusillé deux de mes volumes Truecrypt sans trop d'explication. Je penche pour une écriture sur mon poste Linux pendant un démontage du volume....aucune réparation n'a abouti (volume RAW), ni sauvegarde des headers (trop anciens, détails ici).
Du coup, mes volumes importants sont doublés sur un disque externe et synchronisés via le soft Syncback free.

Bon cryptage à tous !

tarsonis a écrit:Cependant, si casser un chiffrage de volume Truecrypt est plausible de la part d'un organisme qui aurait un budget illimité

Selon les documents de Snowden, Truecrypt est un des logiciels qui pose des problèmes à la NSA. Voir par exemple ici (gras ajouté):

Martin Untersinger (Le Monde) a écrit:Les outils dont la robustesse résiste à la NSA sont peu nombreux : GnuPG, qui sert à la protection des courriels, Tails, un système d’exploitation « amnésique », OTR, un protocole informatique protégeant la confidentialité des discussions instantanées, les applications développées par le collectif Whispersystems (comme Signal), Truecrypt, un système de chiffrement des documents dont l’interruption mystérieuse a suscité de nombreuses interrogations et Tor, un navigateur permettant notamment une navigation anonyme sur Internet.

Salut à tous !
Un petite astuce pour ceux qui aimeraient faciliter l'utilisation de Truecrypt au quotidien : il est possible de monter automatiquement un volume au démarrage.

Il suffit de monter une fois le volume, faire un clic droit et "ajouter aux favoris" :


Puis cocher -entres autres- "monter au démarrage (Logon)"


Cela vous demandera le mot de passe immédiatement après le chargement de votre session.

J'ai pris pour habitude d'y bazarder tous les répertoires temporaires de travail : fichiers téléchargés, images, softs, etc... de sorte à ce qu'il n'y ait quasiment plus rien sur mon ordinateur si l'on ne connaît pas le mot de passe du volume.

Le fond de l'idée est que je synchronise toujours mes dossiers très importants, mais rarement ce qui est temporaire, du genre le répertoire Downloads, qui contient au final pas mal de choses sensibles....si bien que j'oubliais fréquemment de purger l'ensemble vers un conteneur sécurisé.

Tiens d'ailleurs, tu conseilles toujours TrueCrypt ? Je sais que la version d'avant leur chute fonctionne encore, mais elle n'avait pas fini d'être audité il me semble. Et il y a maintenant d'autres programmes, dont certains compatibles.
Mon problème c'est justement que je ne sais pas vers lequel me tourner et me fier. La nouvelle version suisse ? Veracrypt ?

Salut !
Disons que je cherche à protéger mes données du lambda; je ne suis pas certain que mes volumes soient en mesure de résister à un brute force de la part d'une institution pouvant aligner les moyens. En ce sens, je ne peux qu'être dans la spéculation, et reste sur l'audit quasi-achevé et concluant de Truecrypt

Une petite comparaison : je participe au projet Boinc, qui cumule une puissance de calcul (distribuée à travers le monde) de 5 à 6 petaflops.

L'année dernière le système Bitcoin a dépassé le zettaflop; c'est à dire qu'il est un 170000 fois plus puissant, et plus de 30000 fois plus que le plus puissant des supercalculateurs (Tianhe-2).
Est-ce que les temps moyens estimés en brute force ont pris en compte l'émergence à grande échelle du calcul distribué ?

A noter aussi que le grand espace de stockage pour stocker les tables ar-en-ciel devient généralement accessible pour des petites structures...

https://fr.wikipedia.org/wiki/Rainbow_table
https://fr.wikipedia.org/wiki/Ophcrack

Et merci du partage !

Salut à tous !

L'audit de Truecrypt enfin terminé !

TrueCrypt : L’audit de révèle pas de backdoor

La seconde est dernière phase de l’audit du logiciel de chiffrement de partitions disque TrueCrypt est désormais terminée. Un rapport a été publié, concluant qu’aucune porte dérobée volontaire n’a été décelée, ni aucune vulnérabilité critique.

Alors qu’il a été initié à l’automne 2013, l’audit de TrueCrypt 7.1a est enfin arrivé à son terme. La phase 2 de la cryptanalyse conclu à un rapport complet (PDF) rédigé par les consultants de Cryptography Services (NCC Group). Rappelons que cette version 7.1a sert de base aux nombreux forks open source du logiciel.

La conclusion de l’étude montre qu’aucun backdoor n’a été repéré ni aucune vulnérabilité critique. Seules 4 failles de moindre importance ont pu être découvertes et corrigées, mais toutes très difficilement exploitables. La sécurité de TrueCrypt dans cette version spécifique n’est donc pas menacée.
Le cryptologue Matthew Green, l’un des initiateurs de l’audit se félicite des résultats de cette étude approfondie :

   
   « Sur la base de cet audit, TrueCrypt semble être un logiciel de cryptographie relativement bien conçu. L’audit de NCC n’a révélé aucune porte dérobée délibérée, ou de graves défauts de conception qui exposeraient le logiciel au danger dans la plupart des cas », souligne-t-il dans un billet de blog.

[...]

Le rapport PDF en question : https://opencryptoaudit.org/reports/TrueCrypt_Phase_II_NCC_OCAP_final.pdf

Précisions de Korben sur les failles :
TrueCrypt est-il sûr ? On connait enfin la réponse

Et au total, ce sont donc 4 vulnérabilités qui y ont été détectées. 2 fortes et 2 faibles. Décrites dans le document, ces 4 problèmes ne permettent pas de contourner la sécurité lors d'un usage normal de TrueCrypt, à savoir se créer un conteneur chiffré et l'utiliser.

Par contre, lors de certains scénarios complexes, il est possible de foirer l'appel à une API Windows, ce qui peut provoquer une entropie plus faiblarde. Par exemple, si un utilisateur se crée un volume TrueCrypt et que les Stratégies de Groupes mises en place par l'administrateur bloquent l'accès au CSP (Cryptographic Service Provider), et bien cela peut engendrer des erreurs aléatoires pouvant faciliter les attaques par brute force.

Autre scénario, un attaquant pourrait extraire grâce à une technique dite de cache-timing, les clés AES utilisées pour protéger les volumes chiffrés. Mais pour cela, il devra pouvoir exécuter du code sur la machine de la victime.

Ce sont les 2 plus grosses failles. Le reste est de faible risque.

Salut à tous !
Suite au sujet sur les failles apportées par utilisation d'un fichier d'échange ici : Pagefile.sys
Voici un petit complément spécifique à Truecrypt :

Entretien rare avec Ennead, un des développeurs de TrueCrypt

WolfManz611 : Quelle est la problématique du fichier d'échange de Windows pour ce genre de programme ? Est-ce que le fichier d'échange de Windows entre en jeu seulement pour écrire un fichier dans le volume chiffré ou compromet-il les fichiers même lors de la lecture de ceux-ci depuis un volume chiffré ?

Ennead : Chaque fois que vous ouvrez un fichier stocké sur un volume TrueCrypt dans un programme (par exemple, dans un éditeur de texte), une partie du fichier est déchiffrée dans la RAM et transmise au programme qui les a demandées. TrueCrypt utilise une réserve [NdT : pool] non-paginée pour stocker les mots de passe en cache, les clefs de chiffrement, IVs et autres données sensibles relatives au volume, donc ces données ne peuvent pas être divulguées au fichiers de pagination. Cependant, TrueCrypt ne peux prévenir l'accès au contenu déchiffré des fichiers sensibles ouverts en mémoire. Par conséquent, nous recommandons fortement aux utilisateurs de désactiver le fichier d'échange 1 , au moins pour chaque session durant laquelle ils travaillent avec des données sensibles.

On a un petit complément dans la doc du soft page 87.

Paging File
Note: The issue described below does not affect you if the system partition or system drive is encrypted (for more information, see the chapter System Encryption) and if all paging files are located on one or more of the partitions within the key scope of system, for example, on the partition where Windows is installed (for more information, see the fourth paragraph in this subsection).

Paging files, also called swap files, are used by Windows to hold parts of programs and data files that do not fit in memory. This means that sensitive data, which you believe are only stored in  RAM, can actually be written unencrypted to a hard drive by Windows without you knowing. Note that TrueCrypt cannot prevent the contents of sensitive files that are opened in RAM from being saved unencrypted to a paging file (note that when you open a file stored on a TrueCrypt volume, for example, in a text editor, then the content of the file is stored unencrypted in RAM).

To prevent the issues described above, encrypt the system partition/drive (for information on how to do so, see the chapter System Encryption) and make sure that all paging files are located on one or more of the partitions within the key scope of system encryption (for example, on the partition where Windows is installed). Note that the last condition is typically met on Windows XP by default.

However, Windows Vista and later versions of Windows are configured by default to create paging files on any suitable volume. Therefore, before, you start using TrueCrypt, you must follow these steps: Right-click the ‘Computer’ (or ‘My Computer’) icon on the desktop or in the Start Menu, and then select Properties -> (on Windows Vista or later: -> Advanced System Settings ->) Advanced tab -> section Performance -> Settings -> Advanced tab -> section Virtual memory -> Change. On Windows Vista or later, disable ‘Automatically manage paging file size for all drives’.

Then make sure that the list of volumes available for paging file creation contains only volumes within the intended key scope of system encryption (for example, the volume where Windows is installed). To disable paging file creation on a particular volume, select it, then select ‘No paging file’ and click Set. When done, click OK and restart the computer.

Note: You may also want to consider creating a hidden operating system (for more information, see the section Hidden Operating System).

En creusant un peu plus, ce Rapport de certification DCSSI émanant du Secrétariat général de la défense nationale est très riche de conseils concernant les points sensibles (version 6.0a) : longueur minimale du keyfile, taille du mot de passe dans le BIOS, rémanence RAM, mode hibernation, etc... et d'autres recommandations du type :

Création d’un nouveau volume
Lors de la création d’un volume chiffré avec l’outil « TrueCrypt Format », le mot de passe du dernier volume chiffré créé n’est pas effacé de la mémoire de ce processus. Le processus « TrueCrypt Format » doit être au moins immédiatement fermé après la création d’un volume chiffré. Il est conseillé de redémarrer directement le système d’exploitation.

Sauvegarde des en-têtes de volume
Une fois l’en-tête d’un volume sauvegardé et conservé en lieu sûr, il est recommandé de fermer puis relancer TrueCrypt, voire de relancer le système d’exploitation, afin d’éviter que la clé de chiffrement secondaire du volume ne reste présente en mémoire.

Conclusion
Ce certificat atteste que le produit « TrueCrypt version 6.0a » soumis à l’évaluation répond
aux caractéristiques de sécurité spécifiées dans sa cible de sécurité [ST].

Rapport de certification DCSSI-CSPN-2008/03 TrueCrypt version 6.0a

Bonne mise à jour !

Salut à tous !

Comme j'ai fait ma première installation TC sous Mac, voici une petite astuce qui permettra aux intéressés de finaliser l'install de l'archive originelle de Truecrypt (version 7.1a)

En effet, sur les OS récents, il est impossible d'exécuter l'archive car la vérification de la version d'OS échoue, en supposant que vous tournez en dessous 10.4, quand bien même vous êtes en 10.10 !

La manip est courte, et très bien expliquée ici :
https://lazymind.me/2014/10/install-truecrypt-on-mac-osx-yosemite-10-10/

- Ouvrir le fichier d'install .dmg, vous trouverez le fichier .mpkg
- Clic droit dessus > Afficher le contenu du paquet
- Éditer le fichier "distribution.dist" (avec TextEdit par exemple).

Supprimer les cinq lignes de condition de la fonction pm_install_check() pour qu'elle passe de ceci :

Code:

function pm_install_check() {

  if(!(system.version.ProductVersion >= '10.4.0')) {
    my.result.title = 'Error';
    my.result.message = 'TrueCrypt requires Mac OS X 10.4 or later.';
    my.result.type = 'Fatal';
    return false;

  }
  return true;
}

à ceci :

Code:

function pm_install_check() {
  return true;
}


Quitter et relancer l'install.