Chiffrement des Ordinateurs autonomes

Tout ordinateur portable qui est utilisé dans le cadre de travaux de recherche doit être chiffré et une sauvegarde doit être faite sur des serveurs du laboratoire.

MacOS X
Windows
Linux

MacOS X (à partir de OS X Lion)

#### Prérequis :

* Un compte administrateur de la machine

#### Vérification du chiffrement :

* Pour vérifier que le disque est chiffré avec Filevault, aller dans Préférences Système, puis Sécurité et Confidentialité et cliquer sur l’onglet FileVault. Il doit y avoir marqué *FileVault est activé pour le disque "Macintosh HD"*

#### Procédure de chiffrement :

1. Aller dans Préférences Système, puis Sécurité et Confidentialité.
2. Cliquer sur l’onglet FileVault
3. Cliquer sur le cadenas, puis saisir un nom et un mot de passe d’un compte administrateur
4. Cliquer ensuite sur Activer FileVault

*Si d’autres comptes sont utilisés sur l’ordinateur, leur mot de passe sera demandé à ce moment là.*

Note : ne pas stocker la clé de sécurité sur iCloud, même si cela peut être pratique. Il vaut mieux choisir de Créer une clé de secours et de la stocker (l’idéal sur les serveurs de l’IMB) mais surtout pas sur le disque, et de la garder précieusement : en cas de problème, ce sera le dernier recours pour déchiffrer le disque.

> ***Note : vous pouvez également envoyer à la cellule vos clés de chiffrement afin que nous en gardions une copie en sauvegarde au cas où vous perdriez la votre.***

— -

Windows

#### Prérequis :

* Un compte administrateur
* Activer le module TPM dans le BIOS ou UEFI (si pas fait par défaut)

#### Vérification du chiffrement :

* Aller dans "Ce PC" et vérifier la présence d’un cadenas sur le disque dur C :

#### Procédure de chiffrement :

1. Aller dans "Ce PC" puis faire un clic droit sur le disque à chiffrer et cliquer sur "Activer BitLocker"

2. Cliquer sur Suivant, Suivant et encore Suivant

3. Choisir Enregistrer dans un fichier. L’idéal, c’est de stocker la clé dans un endroit sur, par exemple sur sa partition home (pour y accéder, utiliser WinSCP par exemple). Dans la démarche, enregistrer le fichier sur une clé USB, puis déplacer ce fichier sur le home. Puis cliquer sur Suivant.

4. Laisser la sélection par défaut

* S’il y a un message d’erreur de ce type, ne pas hésiter à contacter la cellule.

> ***Note : vous pouvez également envoyer à la cellule vos clés de chiffrement afin que nous en gardions une copie en sauvegarde au cas où vous perdriez la votre.***

— -

Linux

#### Prérequis :

* Un compte administrateur sur l’ordinateur
* De la place sur le disque
* Avant toute chose, il est impératif de faire un backup de ses données !!!!!! Une mauvaise manip peut entrainer une perte des données !!!

* Vous pouvez également passer à la cellule pour qu’on définisse un mot de passe pour déchiffrer le disque, au cas ou vous perdiez le votre. Ce sera toujours une solution de secours.

## Si le /home n’est pas dans une partition séparée :
Si le Home n’est pas dans une partition dédiée, il va falloir dans un premier temps redimensionner le disque et créer une partition /home

#### Redimensionner une partition :
1. Démarrer depuis un Live CD / USB
2. Sélectionner le disque et la partition à redimensionner. (penser à désactiver le swap si activé => clic droit sur la partition swap -> swapoff)
3. Lancer Gparted et redimensionner la partition voulue.

4. Choisir la nouvelle taille (on peut utiliser le curseur pour ça) et cliquer sur Redimensionner/Déplacer

5. Valider le redimensionnement et la création de la nouvelle partition en cliquant sur l’icone de validation en haut.

#### Créer la partition home :
1. Faire un clic droit sur la partition non allouée et choisir Nouvelle

2. Vérifier les informations et cliquer sur Ajouter

3. Appliquer comme lors du redimensionnement de partition en cliquant sur l’icone en haut.

#### Chiffrer la partition :
Note : Dans ce tutoriel, j’ai travaillé sur la partition /dev/sda2. A vous d’adapter en fonction du nom de votre partition.

1. Retirer le live CD et relancer l’ordinateur puis installer cryptsetup :
`sudo apt install cryptsetup`

2. On va chiffrer la nouvelle partition créée :
`sudo cryptsetup -h sha256 -c aes-xts-plain64 -s 512 luksFormat /dev/sda2`

Valider par YES et entrer une phrase secrète.
3. La partition est maintenant chiffrée. On va devoir la formater et créer les points de montage.
- On commence par déchiffrer la partition :
`sudo cryptsetup luksOpen /dev/sda2 home`
– On la formate :
`sudo mkfs.ext4 -m 0 /dev/mapper/home`
4. On ajoute une ligne dans le fichier /etc/crypttab
– `home /dev/sda5 none luks,timeout=30`
5. Enfin on indique que la partition sera le /home dans le fichier /etc/fstab
– Ajouter cette ligne à la fin du fichier :
`/dev/mapper/home /home ext4 nodev,nosuid,noatime 0 2`

####Copie des données :
1. Monter la partition dans /mnt/home
– `sudo mkdir /mnt/home`
– Si la partition est chiffrée, la déchiffrer avec `sudo cryptsetup luksOpen /dev/sda2 home`
– Monter cette partition dans /mnt/home : `sudo mount /dev/mapper/home /mnt/home`
2. Copier les données du /home existant vers la partition protégée montée dans /mnt/home
– `sudo cp -Rp /home/* /mnt/home`
– renommer le home existant :
`sudo mv /home/ home_old`
3. Redémarrer la machine et entrer la passphrase au démarrage :

## Si le /home est dans une partition séparée :

#### Backup des données et création d’un home temporaire :
1. créer le home temporaire :
– `sudo mkdir /home_temp`
2. Copier les données du /home vers le temporaire :
– `sudo cp -Rp /home/* /home_temp`

#### Chiffrer et formater la partition /home :
Dans cet exemple, je travaille sur la partition /dev/sda2
1. Démonter la partition à chiffrer :
– Modifier le fichier /etc/fstab et commenter la ligne (avec #) où le /home est monté :
`#UUID= AAA-BBB-CCC-DDDD-EEEEEEEE /home ext4 defaults 0 2`
2. Redémarrer la machine et passer en console (ctrl + alt +F4 par exemple) puis s’authentifier avec ses identifiants habituels. Un message préviendra qu’il n’y a pas de répertoire HOME pour l’utilisateur, c’est normal. Un petit `df -h` permet de contrôler que la partition cible n’est pas montée.
3. chiffrement :
– `sudo cryptsetup -h sha256 -c aes-xts-plain64 -s 512 luksFormat /dev/sda2`
– Valider avec YES
4. Saisir sa passphrase.
3. La partition est maintenant chiffrée. On va devoir la formater et créer les points de montage.
- On commence par déchiffrer la partition :
`sudo cryptsetup luksOpen /dev/sda2 home`
– On la formate :
`sudo mkfs.ext4 -m 0 /dev/mapper/home`
4. On ajoute une ligne dans le fichier /etc/crypttab
– `home /dev/sda5 none luks,timeout=30`
5. Enfin on indique que la partition sera le /home dans le fichier /etc/fstab
– Ajouter cette ligne à la fin du fichier :
`/dev/mapper/home /home ext4 nodev,nosuid,noatime 0 2` et supprimer la ligne commentée à l’étape 1 : `#UUID= AAA-BBB-CCC-DDDD-EEEEEEEE /home ext4 defaults 0 2`

####Copie des données :
1. Monter la partition dans /mnt/home
– `sudo mkdir /mnt/home`
– Si la partition est chiffrée, la déchiffrer avec
`sudo cryptsetup luksOpen /dev/sda2 home`
– Monter cette partition dans /mnt/home :
`sudo mount /dev/mapper/home /mnt/home`
2. Copier les données du /home existant vers la partition protégée montée dans /mnt/home
– `sudo cp -Rp /home_temp/* /mnt/home`
3. Redémarrer la machine et entrer la passphrase au démarrage :

4. Vérifier que les données sont toutes là, puis supprimer le /home_temp :
– `sudo rm -rf /home_temp`

## Chiffre tout le disque (réinstaller son système) :
1. Faire toutes les sauvegardes necessaires, de son /home mais aussi des données pouvant être dans /var ou des conf particulières dans /etc... idéalement, une sauvegarde complète du disque est préférable.

2. Démarrer l’ordinateur sur un liveCD / USB ubuntu.
3. Choisir d’installer Ubuntu sur la machine
– Choisir la langue
– choisir la disposition du clavier (penser à bien tester son clavier, surtout les caractères spéciaux, dans le champ prévu à cet effet)
– Laisser l’option Installation normale activée, puis cochez les deux cases dans Autres options (Télécharger les mises à jour pendant l’installation de Ubuntu & Installer un logiciel tiers pour le matériel graphique et Wi-Fi et des formats de média supplémentaires)
– Choisir le Type d’installation et bien penser à cocher "Chiffrer la nouvelle installation de Ubunutu pour la sécurité" :

- Choisir une clé de sécurité

– Valider les changements sur le disque en cliquant sur continuer.

– Régler les fuseaux horaires et créer le compte, en remplissant les champs et en laissant bien "Demander mon mot de passe pour ouvrir une session" coché.

– Redémarrer l’ordinateur quand cela le demande, puis retirer la clé USB ou le disque du lecteur.
– Ubuntu est installé. Il demandera une passphrase à chaque démarrage de la machine