TrueCrypt est un logiciel gratuit, open source mais non libre de chiffrement à la volée, fonctionnant sur Windows, Mac OS X et Linux.
Il permet de créer un disque virtuel chiffré (volume TrueCrypt) contenu dans un fichier et de le monter comme un disque physique réel. TrueCrypt peut aussi chiffrer une partition entière ou un périphérique (disque dur, clé USB …). Le chiffrement est automatique, en temps réel et transparent.
Une fois monté, un volume TrueCrypt se comporte comme un disque dur ou une partition classique. L’accès aux fichiers ainsi que la gestion des droits se fait alors de manière classique. Les informations stockées dans un volume TrueCrypt sont donc réellement protégées uniquement quand le volume n’est pas monté.
Il suffit de se rendre sur le site de
TrueCrypt dans l’onglet
Downloads puis de télécharger la version correspondant à son système. L’installation sous Linux de la version standard se fait avec les droits d’administrateur.
File container vs partition
Vaut-il mieux créer un conteneur de fichier ou une partition entièrement chiffrée ? Ces deux alternatives possèdent des avantages et des inconvénients.
Create a volume within a partition/drive :
-
Permet de ne monter qu’un disque (la partition chiffrée).
-
Permet une authentification au moment du boot (pre-boot authentication) pour crypter une partition système par exemple.
-
Permet un formatage rapide.
-
Le lien utilisé par TrueCrypt n’est pas lié au disque (ex :
/dev/sdd
) ce qui peut poser des problèmes quand les disques ne sont pas montés dans le même ordre (disque externe par exemple) et rend leur association avec des répertoires prédéterminés dans /media
délicat.
Create an encrypted file container :
-
Le fichier est plus facile à manipuler (copie, déplacement …).
-
Le lien utilisé par TrueCrypt pour accéder au fichier reste constant ce qui facilite le montage de la partition correspondant au fichier dans un répertoires prédéterminés dans
/media
par exemple.
-
Oblige à monter deux disques (le disque support puis le fichier chiffré).
-
La taille du fichier généré est constante et correspond à la taille de la partition qu’il contient.
-
Oblige à un formatage complet très lent (plusieurs heures pour un gros fichier).
Monter un fichier ou une partition dans un répertoire prédéterminé
Deux solutions permettent de monter un fichier ou une partition dans un répertoire prédéterminé.
-
Avec l’interface graphique il faut tout d’abord sélectionner le fichier (bouton Select File…) ou la partition (bouton Select Device…). Il faut ensuite sélectionner un slot vide puis effectuer le montage (bouton mount) et appuyer sur le bouton Options > de la boîte de dialogue qui s’ouvre pour pouvoir spécifier le point de montage.
-
En ligne de commande, il suffit de saisir :
truecrypt -t /source /destination
La source /source
peut être du genre /dev/sdd
dans le cas où la source est une partition ou /media/monDisque/monVolumeTruecrypt.tc
dans le cas où la source est un fichier. La destination /destination
peut être du genre /media/monVolumeChiffré
.
Une fois un fichier ou une partition monté, il est possible de le mettre dans ses favoris : clic droit sur la ligne correspondante puis
Add to Favorites…. Cela permet de monter ensuite beaucoup plus facilement les fichiers ou partitions concernés.
Monter automatiquement ses favoris au démarrage de la session
Pour cela, dans les applications au démarrage (saisir
gnome-session-properties dans un terminal pour Gnome) il suffit de d’ajouter la commande :
/usr/bin/truecrypt --auto-mount=favorites
.
Se passer du mot de passe administrateur
Pour monter et démonter un fichier ou un volume chiffré, TrueCrypt a besoin du mot de passe administrateur. C’est embêtant à l’usage, surtout si on veut l’utiliser en ligne de commande ou dans des scripts. Pour éviter cela, il faut éditer le fichier /etc/sudoers
pour ajouter la ligne :
# Pour Truecrypt
monLogin ALL=NOPASSWD: /usr/bin/truecrypt --core-service
TrueCrypt is already running
Si le message TrueCrypt is already running apparaît au démarrage, il suffit d’effacer dans le répertoire home le fichier caché nommé .TrueCrypt-lock-username
(remplacer username par le login).