ChezManu.eu.org

Accueil // À propos




Sommaire

Pourquoi faire ?
Ce qui existe dans le commerce.
DIY, bordel !
Chez les autres.
Chez moi.
Partitionner.
Chiffrer.
Gérer ses passphrases.

Liens :

Bracelets dans le commerce :
Get on hand
(ume) drive
Bracelets DIY :
Laine + carton
Chainette + peinture

Chiffrement sous Ubuntu en mode graphique
 

1 - Pourquoi faire ?

Avoir ses données toujours sur soi permet de résoudre d'un coup deux problèmes :
  • En cas de vol ou destruction de votre matériel, certes vous aurez subi une perte matérielle, mais vos données (ou du moins celles que vous aurez sauvegardées) seront sauves ;
  • Contrairement aux solutions de type Cloud, les données ne fuitent pas à votre insu.
(Rien à cacher ? Pas de panique, mon fournisseur est sécurisé ? Ce qui sera nommé « fappening » ou « celebgate » devrait vous convaincre de l'inverse.)
Une femme et un choux rave
L'intimité de ce choux rave exposée suite à un leak de données.
(Crédit photo : Lila Bli Blu.)

Une première option est de stocker les fichiers importants dans son téléphone. Aujourd'hui n'importe quel téléphone, ou presque, dispose d'un port USB et se comporte comme un périphérique de stockage dès qu'il est branché à un ordinateur.
Écartons immédiatement cette possibilité, un téléphone ça se vole bien et souvent, ça tombe en panne aussi et 99% (et je suis optimiste) du temps, vous ne pouvez avoir aucune confiance dans l'OS qui tourne dessus ; aucun moyen de savoir si par hasard le constructeur ou une autre organisation s'amuse à lister ou rapatrier les données présentes dessus.

L'autre solution c'est d'utiliser une bête clé USB.
Mais, franchement, qui se trimballe avec toujours sa clé USB toujours sur lui ? À peu près personne.


2 - Ce qui existe dans le commerce

Colliers

En tour de cou, c'est plus casse-pieds qu'autre chose au quotidien. Au niveau esthétique vestimentaire c'est parfois assez moche. Les geeks qui ne portent que des tshirts coupe standard survivront ; les humains normalement constitués apprécieront moins.

Donc il faut trouver une façon de garder sur soi la dite clé USB sans sacrifier à l'esthétique. Dans un style féminin, il existe des clés USB à porter en colliers, plutôt seyants ; encore que certaines peuvent préférer se la jouer sans fioritures.
Collier clé USB sur un mannequin Clé USB portée par une femme


Bracelets

Ce qu'il faut éviter :

La solution que j'ai choisie : avoir la clé USB dans un bracelet ; j'ai déjà pu voir ça en objets publicitaires, et c'est vrai que c'est pas con.
Problème : quand j'en avais rien à foutre j'en voyais tout le temps sur les marchés, maintenant que j'en ressens le besoin, pas moyen de trouver un seul étal pour m'en vendre une.
Astuce : ne faites pas comme moi, j'ai commencé par commander un bracelet en silicone ; pas pratique à enfiler (une fixation à trois picots, une plaie), trop grosse, trop lourde et trop lâche, inconcevable de vivre au quotidien avec ça.
Deuxième essai : on va en commander une autre, un peu plus chère, un peu plus classe, avec un bracelet en (simili) cuir. Je reçois quelques jours plus tard une clé USB dans un bracelet avec un fermoir à aimants.
À AIMANTS.
Donc à chaque t-shirt que j'enfile, à chaque mouvement un peu brusque, hop, la clé USB par terre. Bon OK les données dessus seront chiffrées, mais c'est pas une raison pour aller perdre sa clé USB n'importe où et en racheter une tous les mois.

Bref, la loose.

bracelet clé USB en silicone bracelet clé USB en simili-cuir

Si vous voyez ce genre de choses, fuyez.

s

Ce qui peut être sympa :

Dans le genre un peu plus sympathique, deux sites ont retenu mon attention : Get On Hand et (ume) drive.
Finalement rien d'affolant sur la première boutique, Get On Hand, juste un coup de cœur sympathique.
Quant à (ume) drive, j'ai beaucoup apprécié l'effort fait au niveau du design et le fait qu'ils proposent en standard des clés USB waterproofs. N'oubliez pas que si vous portez une clé USB en permanence au poignet, il y aura bien un jour ou vous serez sous la pluie.

bracelets clé USB commercialisés par Get On Hand

Quelques bracelets produits par Get On Hand.


bracelets clé USB commercialisés par (ume)

Quelques bracelets produits par (ume) drive.



3 - Do It Yourself, bordel !

Ok, acheter des choses toutes faites dans le commerce c'est sympa, ça fait dépenser du pognon, c'est cool. Mais qu'est-ce qu'on fait quand on ne trouve pas ce qu'on cherche dans le commerce ?

  • [x]On se tranche les veines de désespoir ?
  • [x]On maudit cette société de consommation capitaliste qui d'un coté nous innonde de choses dont on a ni besoin ni envie, mais qui, de l'autre est infoutue de fournir ce dont on a besoin si nos envies ne collent pas avec celles de 99% des gens ?
  • [x]On se fait une raison et on renonce ?
  • [✓]On se le fabrique lui même !

Chez les autres :

J'ai trouvé en particulier deux tutos sur du bracelet-clé USB DIY, l'un avec du carton, du scotch et de la laine et l'autre, un peu plus fashion avec chaînette et une bombe de peinture. Ci dessous les résultats en images, à vous de voir :

bracelet clé USB fabriqué en carton et en laine

De la laine, du carton, une clé USB : un bracelet \o/



bracelet clé USB « fashion »

Une chainette, un coup de bombe de peinture : un autre bracelet \o/


Chez moi :

J'ai opté personnellement pour une troisième solution : un bracelet de montre qui se ferme avec du velcro et coudre une clé USB dans la doublure.
Quiconque est père de famille vous dira comme moi : entre les vomis, les pipis au moment de changer la couche, le bain et le nettoyage des biberons, mieux vaut opter pour une clé USB waterproof. Celle que j'ai choisie, en plus de subir sans broncher un séjour dans un verre d'eau est également de taille réduite :

Clé USB dans un verre d'eau Comparaison en taille entre une clé USB, une carte et un doigt

En 8 étapes :

Fabrication étape 1
On prend un bracelet de montre, qui ferme avec du velcro.

Fabrication étape 2
On met la clé USB dedans.

Fabrication étape 3
On coud l'anse pour commencer à fixer la clé.

Fabrication étape 4

On continue de coudre en saucissonnant autour de la clé.

Fabrication étape 5
On rabat la doublure, on coud les cotés, en laissant libre le connecteur USB.

Fabrication étape 6
Le résultat final.

Fabrication étape 7
Branchée sur un port USB.

Fabrication étape 8
Portée au poignet.

Une fois cette clé USB en harmonie avec votre tenue vestimentaire (et parfaitement à l'épreuve d'un vomi de bébé), ne reste plus qu'à mettre les données intéressantes dessus.

4 - Partitionner

J'ai fait deux partitions sur ma clé :
  • une première petite de 512 Mo, pour des fichiers non-confidentiels à transporter, formatée en FAT32 des fois que ce soit à insérer dans une machine sale sous Windows ;
  • une deuxième qui va prendre l'espace restant, qui sera chiffrée.
Si la clé a déjà contenu des données sensibles, vous voudrez peut-être faire un peu plus que formater (ce qui, on le rappelle, n'efface strictement rien), auquel cas, on va remplir la partition de zéro avec

dd if=/dev/zero of=/dev/sdb1

(si vous êtes paranoïaques, remplacez /dev/zero par /dev/urandom et répétez l'opération plusieurs fois. Ça ne vous servira à rien et ça prendra plus de temps. Mais Gégé-du-bistro-en-face-qui-s-y-connait n'arrête pas de dire que c'est comme ça que les militaires et les services secrets font, il le sait bien, son petit neveu le lui a raconté, il a fait un stage là-bas, à la ville.)


Et on oubliera pas de recréer une table de partitions avec GParted.

Cette étape optionelle faite, créons nos deux partitions. Comme la première sera destinée à être lue à l'occasion par des systèmes d'exploitations sales, autant l'appeler « FAT32_SALE ». Nommons l'autre indifféremment, son label sautera au moment du chiffrement.

GParted étape 1 GParted étape 2
GParted étape 3

Une partition, deux partitions, et l'ensemble de la clé USB.



On referme GParted, et plok, voici deux volumes qui apparaissent dans notre explorateur de fichiers.

Vue des deux partitions de la clé depuis un explorateur de fichier

On progresse, mais rien n'est chiffré pour le moment.

5 - Chiffrer

C'est maintenant qu'intervient LUKS :

luksformat /dev/sdb2 -t ext4 -L bracelet

  • /dev/sdb2 correspond donc à la partition que l'on souhaite formater et chiffrer
  • -t ext4 indique que l'on va formater ça avec le système de fichier ext4 (ça sera a priori lu sous Linux, inutile de s'encombrer avec un FS moyen-âgeux comme FAT32)
  • -L bracelet va nommer notre partition, histoire de s'y retrouver dans notre explorateur de fichiers.
Après nous avoir demandé si l'on est sûr de vouloir faire ça (taper « YES » en capitales pour le confirmer) et un mot de passe (long, mélangeant chiffres, lettres et ponctuation bien entendu), nous voilà avec une partition chiffrée :

Formatage et chiffrement en ligne de commande avec LUKS

Vue des deux partitions de la clé depuis un explorateur de fichier

Et tant que le mot de passe n'est pas saisi, le label de la partition n'est pas révélé
Un petit plus agréable en terme de privacy.


Il ne reste plus qu'à cliquer dessus, et plouf, on nous demande le mot de passe, qui, une fois rentré donne accès aux données.

Saisie du mot de passe.
Intérieur de la partition chiffrée
Petit souci : les droits ont été donné à l'utilisateur root, il convient de corriger ceci :

chown -Rf thy:thy /media/thy/bracelet/
chmod -Rf 770 /media/thy/bracelet/



Chown et Chmod, en ligne de commande


Et voilà, maintenant il y a plein accès à ce volume chiffré :

Intérieur de la partition chiffrée

(Ce contenu est bien entendu fictif, n'étant pas un honnête homme politique)




6 - Gérer ses passphrases.

Une bonne pratique est de changer à intervalles plus ou moins réguliers ses phrases de passe, et immédiatement en cas de suspicion de compromission (se rendre compte que la machine n'était pas safe, qu'un⋅e malotru⋅e regarde par dessus l'épaule lors de la saisie, etc…).
Par contre gare au changement quand la passphrase n'est pas saisie régulièrement, on a vite fait d'oublier la nouvelle (le vécu parle…) et il n'y a, évidemment pas de lien « cliquez ici en cas d'oubli de votre mot de passe ».
Ça tombe bien, cryptsetup permet ça de gérer les passphrases, et avec souplesse, pour éviter les déconvenues.

Lorsqu'on explique la cryptographie aux novices, on donne souvent l'exemple simplifié à l'extrème de « contenu en clair + clé de chiffrement = contenu chiffré ».
Dans le cas de cryptsetup c'est un peu plus complexe, mais souple, que cela, et plusieurs passphrases peuvent déverrouiller une partition chiffrée. Chaque passphrase correspond à un « slot » dans la terminologie Cryptsetup.

Pour lister les slots utilisés :

cryptsetup luksDump /dev/sdxx

sudo cryptsetup luksDump /dev/sdb2
On peut constater que seul le slot 0 (sur 7 disponibles) est utilisé.

Pour employer un slot supplémentaire :

cryptsetup luksAddKey /dev/sdxx

sudo cryptsetup luksAddKey /dev/sdb2

Après avoir entré la passphrase d'un slot déjà existant (en l'occurence le slot 0), et une nouvelle passphrase, un nouveau slot est occupé ; le 1.
(la peste soit de ceux qui comptent à partir de 0 !)

Pour révoquer un slot :

sudo cryptsetup luksKillSlot /dev/sdxx #numero_de_slot

sudo cryptsetup luksKillSlot /dev/sdb2 1
Et on constate que le slot 0 est disabled
Nous avons donc successivement :
  • activé le slot 0, lors du chiffrement initial de la clé avec LuksFormat ;
  • activé le slot 1 ;
  • désactivé le slot 0.

Le fonctionnement par slots va vous permettre, si vous avez du mal à mémoriser une passphrase avant de l'avoir rentré plusieurs fois (c'est mon cas) de conserver quelques temps l'ancienne passphrase que vous aviez longuement et parfaitement mémorisée en solution de secours. Utile en cas de trou de trou de mémoire, mais veillez à ne pas abuser de cette fonction, sous peine d'affaiblir votre sécurité.
En effet, s'il est difficile de bruteforcer une passphrase, il est en toute logique deux fois plus facile de bruteforcer votre clé si deux passphrases permettent le déverouillage.



1983 - 2016 // Emmanuel Bourguin