IMB > cellule > Environnement informatique > Le poste de travail

Chiffrement des outils de travail à l’IMB

Introduction :

L’informatique mobile, de plus en plus présente, est soumise à des règlementations en terme de sécurité pour les personnes travaillant au sein d’un laboratoire. Selon un rappel récent du CNRS, tous les ordinateurs portables, tablettes et smartphones utilisés comme outil de travail doivent respecter ces mesures de sécurité.

PC Portables
Appareils Mobiles
Supports USB


Chiffrement des ordinateurs portables

Tout ordinateur portable qui est utilisé dans le cadre de travaux de recherche doit être chiffré et une sauvegarde doit être faite sur des serveurs du laboratoire.

MacOS X
Windows
Linux

MacOS X (à partir de OS X Lion)

Prérequis :

  • Un compte administrateur de la machine

Vérification du chiffrement :

  • Pour vérifier que le disque est chiffré avec Filevault, aller dans Préférences Système, puis Sécurité et Confidentialité et cliquer sur l’onglet FileVault. Il doit y avoir marqué FileVault est activé pour le disque « Macintosh HD »

PNG - 17.7 ko

Procédure de chiffrement :

  1. Aller dans Préférences Système, puis Sécurité et Confidentialité.

  2. Cliquer sur l’onglet FileVault

  3. Cliquer sur le cadenas, puis saisir un nom et un mot de passe d’un compte administrateur

  4. Cliquer ensuite sur Activer FileVault

Si d’autres comptes sont utilisés sur l’ordinateur, leur mot de passe sera demandé à ce moment là.

Note : ne pas stocker la clé de sécurité sur iCloud, même si cela peut être pratique. Il vaut mieux choisir de Créer une clé de secours et de la stocker (l’idéal sur les serveurs de l’IMB) mais surtout pas sur le disque, et de la garder précieusement : en cas de problème, ce sera le dernier recours pour déchiffrer le disque.

PNG - 91.7 ko

Note : vous pouvez également envoyer à la cellule vos clés de chiffrement afin que nous en gardions une copie en sauvegarde au cas où vous perdriez la votre.


Windows

Prérequis :

  • Un compte administrateur

  • Activer le module TPM dans le BIOS ou UEFI (si pas fait par défaut)

Vérification du chiffrement :

  • Aller dans « Ce PC » et vérifier la présence d’un cadenas sur le disque dur C :

JPEG - 63.5 ko

Procédure de chiffrement :

  1. Aller dans « Ce PC » puis faire un clic droit sur le disque à chiffrer et cliquer sur « Activer BitLocker »

PNG - 47.8 ko
  1. Cliquer sur Suivant, Suivant et encore Suivant

PNG - 10.4 ko
  1. Choisir Enregistrer dans un fichier. L’idéal, c’est de stocker la clé dans un endroit sur, par exemple sur sa partition home (pour y accéder, utiliser WinSCP par exemple). Dans la démarche, enregistrer le fichier sur une clé USB, puis déplacer ce fichier sur le home. Puis cliquer sur Suivant.

PNG - 16.5 ko
  1. Laisser la sélection par défaut

PNG - 18.4 ko
  • S’il y a un message d’erreur de ce type, ne pas hésiter à contacter la cellule.

PNG - 12.8 ko

Note : vous pouvez également envoyer à la cellule vos clés de chiffrement afin que nous en gardions une copie en sauvegarde au cas où vous perdriez la votre.


Linux

Prérequis :

  • Un compte administrateur sur l’ordinateur

Vérifications du chiffrement :

  • Vérifier si la partition home est chiffrée : mount | grep NOM_USER . La partition home montée devrait être de type ecryptfs.

  • Vérifier que la partition swap est aussi chiffrée : sudo blkid |grep swap. La sortie devrait être similaire à /dev/mapper/**cryptswap1**: UID=... TYPE='swap'

Procédure de chiffrement du home :

  1. sudo apt install ecryptfs-utils cryptsetup

  2. Le chiffrement de la partition home ne peut se faire que si on n’est pas connecté avec l’utilisateur. Pour cela, il va falloir créer un utilisateur et lui donner des droits administrateurs : sudo adduser user_temp définir un mot de passe puis taper sudo usermod -aG user_temp

  3. Se déconnecter puis se reconnecter avec l’utilisateur user_temp

  4. A partir de cette étape, ne surtout pas redémarrer l’ordinateur !! taper dans un terminal sudo ecryptfs-migrate-home -u VOTRE_USER Indiquer ensuite comme demandé le mot de passe du compte à migrer.

  5. Se reconnecter avec votre utilisateur, une fenêtre va apparaitre, pour enregistrer la passphrase de chiffrement. Cette clé permet de déchiffrer manuellement votre home en cas de problème. Cliquer sur « Effectuer cette action maintenant » puis taper le mot de passe de session. Une clé va apparaitre, la noter et la stocker quelque part, mais pas sur la machine. Vous pouvez aussi retrouver cette passphrase en tapant la commande ecryptfs-unwrap-passphrase

Procédure de chiffrement de la Swap :

  1. taper dans un terminal sudo ecryptfs-setup-swap et valider par O ou Y (selon la langue).

Nettoyage :

  • On peut maintenant redémarrer la machine sans crainte, on dispose de la passphrase de chiffrement s’il y a un problème quelconque. On peut désormais passer au nettoyage :

    1. On commence par supprimer l’utilisateur temporaire sudo deluser user_temp && rm -rf /home/user_temp

    2. Suppression du répertoire de backup lié à la migration du profil : sudo rm -rf /home/VOTRE_USER.RANDOM Bien faire attention à ne pas supprimer son profil !!

    3. Ne jamais supprimer le dossier .ecryptfs

    4. Faire les vérifications décrites au début de la partie Linux. En cas de doute ou de problèmes, ne pas hésiter à venir à la cellule (Bureau 225)

Note : vous pouvez également envoyer à la cellule vos clés de chiffrement afin que nous en gardions une copie en sauvegarde au cas où vous perdriez la votre.


Chiffrement des appareils mobiles

Android

Note : Ceci est valable pour les smartphones comme pour les tablettes

Depuis sa version 6, Android chiffre automatiquement le contenu du smartphone. Néanmoins, si votre appareil fonctionne avec une version précédente, voici comment activer le chiffrement :

Procédure de chiffrement :

  1. Activer le verrouillage de l’écran, quelque soit la méthode, code PIN, empreinte digitale, ou schéma, afin de générer une clé de déverrouillage. On trouve ces options dans Paramètre, rubrique Sécurité.

  2. Optionnel - Faire une sauvegarde des données présentes sur le téléphone.

  3. Toujours dans cette section, toucher la commande Chiffrer le Téléphone. Une notification précise que les données seront chiffrées et que l’opération est irréversible. Pour annuler le chiffrement, il faut revenir aux paramètres d’usine donc ça revient à perdre les données non sauvegardées sur le smartphone.


iOS

Note : Ceci est valable pour les iPhones comme pour les iPad

Le chiffrement des appareils d’Apple est activé par défaut, dès lors, comme pour Android, que l’ont défini un code de déverrouillage ou Touch ID (empreinte digitale).


Chiffrement des supports USB

Préambule :

Pour le chiffrement des supports USB, il y a deux possibilités : soit vous utilisez un seul type d’OS (que Linux, que Mac OS X ou que Windows) et dans ce cas, vous pouvez utiliser la solution de chiffrement propre à l’OS, soit dans le cas d’une utilisation multi OS, vous pouvez utiliser la solution VeraCrypt.

Windows avec BitLocker

  • Aller dans « Ce PC » et faire un clique droit sur la clé USB, et selectionner « Activer BitLocker »

    PNG - 50.6 ko
  • Cocher « Utiliser un mot de passe pour déverrouiller le lecteur » et entrer le mot de passe dans la fenêtre. Valider en cliquant sur Suivant.

    PNG - 14.2 ko
  • Choisir « Enregistrer dans un fichier » lors de la sauvegarde de la clé de récupération, puis l’enregistrer dans un emplacement sûr. Cliquer sur Suivant

    PNG - 14.9 ko
  • Laisser l’option par défaut et cliquer sur Suivant, encore Suivant puis sur Démarrer le chiffrement. Quelques minutes plus tard, le chiffrement du support USB est opérationnel.


Linux avec LUKS

Attention, ceci formate la clé USB ou le disque dur externe !

  • Dans un terminal, taper sudo luksformat /dev/sdb(si le nom de votre clé ou disque est sdb, à adapter selon votre configuration)

  • Il y a un avertissement indiquant que cette action ecrasera définitivement les données sur le périphérique. Valider en tapant YES (en majuscule)

  • Il sera demandé de saisir la phrase secrète, puis une seconde fois pour valider et enfin une dernière fois afin de confirmer.

  • Attendre avant de fermer le terminal que le chiffrement se fasse.

  • La prochaine fois que la clé ou le disque sera inséré dans l’ordinateur, un mot de passe sera demandé pour le déchiffrer.


MacOS X avec Filevault

Attention, ceci va formater la clé USB ou le disque dur externe.

  • Ouvrir l’utilitaire de disque puis sélectionner le support USB dans la liste à gauche.

    PNG - 61.8 ko
  • Cliquer sur Effacer et dans la nouvelle fenêtre, choisir un Nom pour le volume, et changer le format par « Mac OS étendu(journalisée, chiffré) » puis cliquer sur Effacer

    PNG - 48.1 ko
  • Saisir un mot de passe et le valider, puis cliquer sur choisir

    PNG - 14.6 ko
  • Valider le formatage du support en cliquant sur OK une fois que l’opération est terminée. La clé ou le disque est maintenant chiffré.

    PNG - 23.6 ko

Chiffrement VeraCrypt

Prérequis

  • Windows, Mac OS X, Linux avec des droits administrateurs

  • Les outils de montage exFat pour Linux (optionnel => interopérabilité entre Windows, Mac et Linux)

  • Le logiciel VeraCrypt (Download)

Etape 1 : le chiffrement du support

  • Lancer le programme VeraCrypt

    PNG - 20.8 ko
  • Cliquer sur Créer un volume : une nouvelle fenêtre s’ouvre : Choisir l’option « chiffrer une partition / un disque non système » et cliquer sur « Suivant »

    PNG - 59.8 ko
  • Choisir l’option par défaut « Volume VeraCrypt standard » puis « Suivant »

    PNG - 55.6 ko
  • Cliquer sur Périphérique pour choisir le périphérique à chiffrer : ici je sélectionne ma clé USB. On peut voir également toutes les partitions de tous les périphériques. Attention à bien choisir la bonne partition ! Puis valider par Ok

    PNG - 58.3 ko
    PNG - 9 ko
  • On revient sur l’écran précédant, avec un chemin contenant notre partition : pour exemple il s’agit de \Device\Harddisk1\Partition1. On continue en cliquant sur suivant.

  • Dans l’écran suivant, on nous propose 2 choix : soit de créer un volume chiffrer et de formater, soit d’utiliser la partition en place. Le choix se fera en fonction du contenu présent sur la clé ou le disque externe.

    PNG - 61.4 ko
  • Attention pour la deuxième option, cela nécessite une partition formatée en NTFS. Tout autre format n’est pas compatible avec cette option et engendrera un message d’alerte.

    PNG - 25.3 ko

Idéalement, il est préférable de chiffrer un disque ou une clé vierge

  • Dans l’écran suivant, on choisi l’algorithme de chiffrement dans la liste déroulante. L’algo de chiffrement par défaut AES est suffisant. idem pour l’algo de hachage, SHA-512 (par défaut) est suffisant. Valider en cliquant sur « Suivant »

    PNG - 56.4 ko
  • L’écran suivant nous demande de vérifier que la taille de la partition ou lecteur sélectionné est correcte et nous invite à cliquer sur suivant.

    PNG - 57.1 ko
  • Il faut maintenant définir un mot ou une phrase de passe. Des indications sont indiquées pour choisir un mot de passe robuste.

    PNG - 59.3 ko
  • Cliquer ensuite sur Suivant pour valider le mot de passe. Dans la fenêtre suivante , on nous demande si on veut mettre des grands fichiers (> 4Go) : c’est pour choisir le type de volume à créer. Ce choix est à faire en fonction des fichiers qui serons susceptibles d’être stockés sur le volume.

    PNG - 54.3 ko

Il est préférable de choisir Oui pour les disques dur externes qui peuvent contenir des gros fichiers (vidéos etc...)

  • On choisi ici les options de formatage du volume, et surtout, il faut déplacer la souris dans la fenêtre afin de générer la clé de chiffrement. On peut voir la force cryptographique de la clé de chiffrement dans la barre en bas. On peut choisir en haut le type de système de fichier (choisir exFAT si le disque ou la clé doit être utilisée sur Windows, Mac et Linux), laisser Cluster à défaut et choisir si on veut du formatage rapide ou non.

    PNG - 57.5 ko
  • Puis cliquer sur formater pour formatter la clé ou le disque Externe. Une alerte apparait indiquant que tous les fichiers seront effacés : valider par Oui

    PNG - 7.2 ko
  • Un deuxième message demande à nouveau une confirmation de formatage de la clé. Cliquer sur « Effacer tous les fichiers stockés sur la partition en créant un volume VeraCrypt dessus »

    PNG - 10.1 ko

Pour information : le temps de chiffrement d’une clé USB 2.0 de 14Go dure environ 40 minutes. (en formatage normal)

  • Enfin pour finir, cliquer sur Quitter

    PNG - 53.9 ko

Etape 2 : le déchiffrement du support

  • Lancer le logiciel VeraCrypt, selectionner une lettre de montage dans la liste et cliquer sur Montage automatique

    PNG - 18.4 ko
  • Une fenêtre apparait et demande le mot de passe du volume chiffré. Si vous avez utilisé des fichiers clés, pensez à cocher « utiliser fichiers clés » et cliquer sur Fichiers clés pour les sélectionner.

    PNG - 7 ko
  • L’application va se figer un instant, puis au bout de quelques secondes, le système de fichier est monté.

    PNG - 19.9 ko
  • Vous pouvez utiliser désormais le lecteur chiffré sans problème. Une fois les opérations faites sur la clé ou le disque externe, pour le démonter, sélectionnez le volume dans la liste de l’application VeraCrypt puis cliquer sur Démonter. Le volume ne devrait plus apparaitre dans la liste sur le logiciel.