.: Sommaire :.
Les informations présentes dans cet article sont issues pour une
grande partie de la traduction de la documentation en ligne du logiciel
et aussi de remarques personnelles issues de l'utilisation du logiciel.
Bonne lecture ...
TrueCrypt est un logiciel permettant de créer et d'utiliser un volume
(périphérique de stockage de données) crypté « à la volée ». Un chiffrement
« à la volée » signifie que les données sont automatiquement (dé)chiffrées
avant même d'être chargées ou sauvegardées sans aucune intervention de
l'utilisateur. Aucune des données stockées sur un volume chiffré (appelé conteneur)
ne peut être lue (déchiffré) sans utiliser le mot de passe ou la clé de chiffrement
correct.
L'ensemble du conteneur est chiffré (c'est à dire les noms de fichier
et de dossier, le contenu de chaque fichier, l'espace libre, les méta-données).
Dans le schéma ci-contre, le rectangle en bleu clair représente le volume TrueCrypt (conteneur). C'est cet ensemble (d'une taille finie déterminée à la création du volume) qui est entièrement chiffré et qui devient donc pour l'extérieur avant son montage un fichier « presque » quelconque.
Une fois le volume TrueCrypt monté, les fichiers peuvent être copiés vers/depuis ce genre de volume comme si ils étaient copiés vers/depuis un disque normal (par exemple grâce à un simple glisser-déposer). Les fichiers sont automatiquement déchiffrés « à la volée » (en mémoire/RAM) lorsqu'ils sont lus ou copiés à partir d'un volume TrueCrypt. De même les fichiers qui sont écrits ou copiés dans un volume TrueCrypt sont automatiquement chiffrés « à la volée » dans la RAM (juste avant qu'ils ne soient écris sur le disque). Notez que cela ne signifie pas que l'ensemble des fichiers qui doivent être chiffrés/déchiffrés aient à être stockés en mémoire RAM. L'exécution de TrueCrypt ne nécessite aucune exigence particulière au niveau taille mémoire de l'hôte.
Notez que TrueCrypt ne sauve jamais de données non chiffrées sur un disque –il ne les stocke que temporairement en mémoire (RAM)-. Même lorsque le volume est monté, les données stockées sur le volume sont toujours chiffrées. Lorsque vous redémarrez votre système ou que vous l'éteignez, le volume sera démonté et les fichiers stockés dessus seront inaccessibles (et chiffrés). Et ceci est garanti, même lors d'une coupure d'alimentation (sans un arrêt propre du système). Pour les rendre accessibles à nouveau, vous devez monter le volume (et fournir le mot de passe correct).
L'ensemble du conteneur est chiffré (c'est à dire les noms de fichier
et de dossier, le contenu de chaque fichier, l'espace libre, les méta-données).Dans le schéma ci-contre, le rectangle en bleu clair représente le volume TrueCrypt (conteneur). C'est cet ensemble (d'une taille finie déterminée à la création du volume) qui est entièrement chiffré et qui devient donc pour l'extérieur avant son montage un fichier « presque » quelconque.
Une fois le volume TrueCrypt monté, les fichiers peuvent être copiés vers/depuis ce genre de volume comme si ils étaient copiés vers/depuis un disque normal (par exemple grâce à un simple glisser-déposer). Les fichiers sont automatiquement déchiffrés « à la volée » (en mémoire/RAM) lorsqu'ils sont lus ou copiés à partir d'un volume TrueCrypt. De même les fichiers qui sont écrits ou copiés dans un volume TrueCrypt sont automatiquement chiffrés « à la volée » dans la RAM (juste avant qu'ils ne soient écris sur le disque). Notez que cela ne signifie pas que l'ensemble des fichiers qui doivent être chiffrés/déchiffrés aient à être stockés en mémoire RAM. L'exécution de TrueCrypt ne nécessite aucune exigence particulière au niveau taille mémoire de l'hôte.
Notez que TrueCrypt ne sauve jamais de données non chiffrées sur un disque –il ne les stocke que temporairement en mémoire (RAM)-. Même lorsque le volume est monté, les données stockées sur le volume sont toujours chiffrées. Lorsque vous redémarrez votre système ou que vous l'éteignez, le volume sera démonté et les fichiers stockés dessus seront inaccessibles (et chiffrés). Et ceci est garanti, même lors d'une coupure d'alimentation (sans un arrêt propre du système). Pour les rendre accessibles à nouveau, vous devez monter le volume (et fournir le mot de passe correct).
Afin de vous aider à utiliser TrueCrypt de manière simple (c'est à dire
chiffrer des données), voici trois tutoriels issus de la traduction de
l'aide présente sur le site officiel :
Il existe cependant une manière avancée d'utiliser TrueCrypt. En effet, vous
pouvez par l'intermédiaire de ce logiciel mettre en place des données chiffrées
de manière à être en mesure d'effectuer ce que l'on appel un « déni plausible ».
Mais qu'est-ce qu'un « déni plausible » me direz vous ? Le déni plausible est la possibilité pour une personne soupçonnée d'utiliser un logiciel de chiffrement de nier de manière tout à fait plausible l'existence d'un fichier chiffré créé par ce logiciel.
Bien que le fichier hébergeant un volume TrueCrypt (conteneur) ne contienne aucune sorte de «signature» (jusqu'au déchiffrement, ils semblent constitué exclusivement de données aléatoires), ils n'existe pas de déni plausible pour ce genre de fichier, car il n'y a pratiquement pas d'explication plausible pour expliquer l'existence d'un fichier contenant des données aléatoires. Toutefois, un déni plausible est envisageable avec un conteneur TrueCrypt en créant un volume caché en son sein. C'est ce que nous allons aborder dans cette partie.
Il existe des méthodes pour trouver des fichiers ou des dispositifs contenant des données aléatoires (tels que les volumes TrueCrypt). Notez, cependant, que ce ne devrait affecter en aucune façon le déni plausible. L'adversaire ne doit pas être en mesure de prouver que la partition ou le périphérique est un volume TrueCrypt ou que le fichier, la partition ou le périphérique, contient un volume TrueCrypt caché (à condition que vous suiviez les exigences de sécurité et les précautions indiquées dans le chapitre des exigences et précautions de sécurité et dans les exigences de sécurité et le chapitre précautions relatives à des volumes cachés).
Mais qu'est-ce qu'un « déni plausible » me direz vous ? Le déni plausible est la possibilité pour une personne soupçonnée d'utiliser un logiciel de chiffrement de nier de manière tout à fait plausible l'existence d'un fichier chiffré créé par ce logiciel.
Bien que le fichier hébergeant un volume TrueCrypt (conteneur) ne contienne aucune sorte de «signature» (jusqu'au déchiffrement, ils semblent constitué exclusivement de données aléatoires), ils n'existe pas de déni plausible pour ce genre de fichier, car il n'y a pratiquement pas d'explication plausible pour expliquer l'existence d'un fichier contenant des données aléatoires. Toutefois, un déni plausible est envisageable avec un conteneur TrueCrypt en créant un volume caché en son sein. C'est ce que nous allons aborder dans cette partie.
Il existe des méthodes pour trouver des fichiers ou des dispositifs contenant des données aléatoires (tels que les volumes TrueCrypt). Notez, cependant, que ce ne devrait affecter en aucune façon le déni plausible. L'adversaire ne doit pas être en mesure de prouver que la partition ou le périphérique est un volume TrueCrypt ou que le fichier, la partition ou le périphérique, contient un volume TrueCrypt caché (à condition que vous suiviez les exigences de sécurité et les précautions indiquées dans le chapitre des exigences et précautions de sécurité et dans les exigences de sécurité et le chapitre précautions relatives à des volumes cachés).
Il peut arriver que vous soyez forcés par quelqu'un de révéler le mot de passe d'un volume chiffré.
Il y a beaucoup de situations où vous ne pouvez pas refuser de révéler le mot de passe (par exemple,
en cas d'extorsion de fonds ou de chantage). Utiliser un volume dits cachés vous permet de résoudre
de telles situations sans révéler le mot de passe de votre volume.
Le principe est que un volume TrueCrypt est créé dans un autre volume TrueCrypt (dans l'espace libre
du conteneur initial). Même lorsque le volume extérieur est monté, il est impossible de prouver l'existence
d'un volume caché en son sein ou non, parce que l'espace libre d'un conteneur est toujours rempli
de données aléatoires lorsque le volume est créé et aucune partie du volume cachés (démonté) ne
peut être distinguées des données aléatoires. Notez que TrueCrypt ne modifie en aucune façon
le système de fichiers (informations sur l'espace libre, etc) du volume externe.
Le mot de passe du volume caché doit être sensiblement différent du mot de passe du volume externe. Il est conseillé de copier dans volume externe (avant la création du volume caché à l'intérieur) certains fichiers d'apparence sensible mais que vous ne souhaitez pas réellement masquer. Ces fichiers seront là pour donner le change à ceux qui vous contraidraient à leur fournir le mot de passe. Vous ne révélerez que le mot de passe du volume externe, pas celui du volume caché. Les fichiers qui sont réellement sensibles seront stockées sur le volume caché.
Un volume caché peut être monté de la même manière qu'un volume TrueCrypt standard : Cliquez sur Sélectionner un fichier ou Sélectionner périphérique pour sélectionner le volume hôte externe (important: assurez-vous que le volume externe n'est pas monté). Puis cliquez sur « Monter », et entrez le mot de passe du volume caché. Le montage du volume externe ou caché est déterminé par le mot de passe saisi (par exemple, lorsque vous entrez le mot de passe du volume externe, alors le volume externe sera monté; lorsque vous entrez le mot de passe du volume caché, le volume caché sera monté). Attention cependant à bien suivre les précautions adéquates décrites dans le chapitre ci-après tutoriels avancés.
TrueCrypt tente d'abord de déchiffrer l'entête du volume standard en utilisant le mot de passe saisi. Si il échoue, il charge la zone où l'en-tête de volume caché peut être stockée (soit les octets de 65536 à 131071, qui contiennent des données aléatoires quand il n'y a pas de volume caché à l'intérieur du volume) dans la RAM et tente de le déchiffrer en utilisant le mot de passe saisi. Notez que l'en-tête de volume caché ne peut être identifiée, car elle semble entièrement composée de données aléatoires. Si l'en-tête est correctement déchiffrée (pour plus d'informations sur la façon dont TrueCrypt détermine s'il a déchiffré avec succès, voir le schéma du chapitre cryptage), l'information sur la taille du volume caché est récupéré de l'en-tête déchiffrée (qui est toujours stockée dans la RAM), et le volume caché est monté (sa taille détermine aussi son offset).
Un volume caché peut être créé au sein de tout type de volume TrueCrypt, soit dans un volume hébergé dans un fichier, soit dans un volume hébergé sur une une partition ou un périphérique (nécessite des privilèges d'administrateur).
Le principe est que un volume TrueCrypt est créé dans un autre volume TrueCrypt (dans l'espace libre
du conteneur initial). Même lorsque le volume extérieur est monté, il est impossible de prouver l'existence
d'un volume caché en son sein ou non, parce que l'espace libre d'un conteneur est toujours rempli
de données aléatoires lorsque le volume est créé et aucune partie du volume cachés (démonté) ne
peut être distinguées des données aléatoires. Notez que TrueCrypt ne modifie en aucune façon
le système de fichiers (informations sur l'espace libre, etc) du volume externe.Le mot de passe du volume caché doit être sensiblement différent du mot de passe du volume externe. Il est conseillé de copier dans volume externe (avant la création du volume caché à l'intérieur) certains fichiers d'apparence sensible mais que vous ne souhaitez pas réellement masquer. Ces fichiers seront là pour donner le change à ceux qui vous contraidraient à leur fournir le mot de passe. Vous ne révélerez que le mot de passe du volume externe, pas celui du volume caché. Les fichiers qui sont réellement sensibles seront stockées sur le volume caché.
Un volume caché peut être monté de la même manière qu'un volume TrueCrypt standard : Cliquez sur Sélectionner un fichier ou Sélectionner périphérique pour sélectionner le volume hôte externe (important: assurez-vous que le volume externe n'est pas monté). Puis cliquez sur « Monter », et entrez le mot de passe du volume caché. Le montage du volume externe ou caché est déterminé par le mot de passe saisi (par exemple, lorsque vous entrez le mot de passe du volume externe, alors le volume externe sera monté; lorsque vous entrez le mot de passe du volume caché, le volume caché sera monté). Attention cependant à bien suivre les précautions adéquates décrites dans le chapitre ci-après tutoriels avancés.
TrueCrypt tente d'abord de déchiffrer l'entête du volume standard en utilisant le mot de passe saisi. Si il échoue, il charge la zone où l'en-tête de volume caché peut être stockée (soit les octets de 65536 à 131071, qui contiennent des données aléatoires quand il n'y a pas de volume caché à l'intérieur du volume) dans la RAM et tente de le déchiffrer en utilisant le mot de passe saisi. Notez que l'en-tête de volume caché ne peut être identifiée, car elle semble entièrement composée de données aléatoires. Si l'en-tête est correctement déchiffrée (pour plus d'informations sur la façon dont TrueCrypt détermine s'il a déchiffré avec succès, voir le schéma du chapitre cryptage), l'information sur la taille du volume caché est récupéré de l'en-tête déchiffrée (qui est toujours stockée dans la RAM), et le volume caché est monté (sa taille détermine aussi son offset).
Un volume caché peut être créé au sein de tout type de volume TrueCrypt, soit dans un volume hébergé dans un fichier, soit dans un volume hébergé sur une une partition ou un périphérique (nécessite des privilèges d'administrateur).
Si vous montez un volume TrueCrypt dans lequel il y a un volume caché, vous pouvez lire les données stockées
sur le volume externe sans aucun risque.
Cependant, si vous (ou le système d'exploitation) ont besoin d'enregistrer des données sur le volume externe, il y a un risque que le volume caché soit endommagé (écrasées).
Pour éviter cela, vous devez protéger le volume caché d'une manière décrite dans cet article.
Afin de vous aider à utiliser TrueCrypt de manière avancée en mettant en place
et en utilisant les volumes cachés, voici deux tutoriels issus de la traduction de
l'aide présente sur le site officiel :
