Une clé USB, c’est bien. Une clé USB crypté c’est mieux !

Nous avons tous au fond de notre poche une clé USB. Pour ma part, j’y stocke une copie de secours de mes clés privées ( SSH, GPG ), des certificats et bien d’autres documents… Et si je perdais cette clé :(.

Non, je plaisante mais ça pourrait arrivé… Donc avant que cela ne se produise, nous allons protéger son contenu !

Il n’y a pas trente-six solutions, puisque nous ne pouvons pas nous enchainer définitivement à notre clé (les clés USB n’aime pas la douche) et encore moins ce la faire greffer (Où ?), nous allons la rendre inutilisable en cryptant son contenu.

Comment ?

Pour pouvoir utiliser votre clé de n’importe où, il faut une solution libre évidement mais surtout multiplateforme. Mon choix c’est donc porté sur TrueCrypt. Utilisable sous Linux, Mac OS X et Windows, c’est pour moi la solution idéale.

Dans ce qui va suivre, je ne vais pas me noyer dans les possibilités de TrueCrypt (qui sont nombreuses) mais seulement expliquer comment protéger une clé USB le plus simplement possible sous Linux. A part l’installation, le fonctionnement est à peu près similaire d’une plateforme à l’autre.

Installation

Commençons par récupérer les fichiers nécessaires à cette adresse.

Décompression du tar.gz :

tar xvf truecrypt-6.3a-linux-x64.tar.gz

Ou si vous êtes encore sur plateforme 32bits :

tar xvf truecrypt-6.3a-linux-x86.tar.gz

Lancement de l’installation (adaptez en fonction du fichier obtenu) :

sudo ./truecrypt-6.3a-setup-x64

C’est tout pour l’installation. Dans Applications > Accessoires, vous trouverez TrueCrypt.

Préparation de votre clé

Insérez votre clé USB. Assurez vous qu’elle soit VIDE ou qu’elle ne contienne AUCUNE donnée importante ! Elle va être formater… Lancez TrueCrypt (Applications > Accessoires) et cliquez sur « Create Volume », un assistant apparait.

Choisissez « Create a volume within a partition/drive » et cliquez sur « Next > ».

Choisissez « Standard TrueCrypt volume » et cliquez sur « Next > ».

Cliquez sur « Select drive… » et choisissez judicieusement votre lecteur. Probablement /dev/sdb1 (ou /dev/sdb si votre clé ne contient pas de partition). Sous Mac OS X, ce sera quelque chose comme /dev/rdisk1s1. Vérifiez bien que la taille indiquée correspond à votre clé USB. Dans le doute, débranchez tout autre clé ou disque dur. Cliquez sur « Valider » puis cliquez sur « Next > ».

A ce moment, TrueCrypt a besoin de votre mot de passe d’administration.

Voici maintenant les choix d’encryptages. Faites votre choix ! Et cliquez sur « Next > ». Si vous ne savez pas quoi choisir, laissez « AES ».

Étape TRÈS importante, le choix du mot de passe… Essayez de faire un peu compliqué : Des lettres majuscules, minuscules, des chiffres et un soupçon de ponctuation. Le tout d’une longueur correcte : Pas moins de dix caractères ! Et surtout ne l’oubliez pas, vos données seraient perdues à jamais… Votre choix est fait ? Cliquez sur « Next > ».

Pour le format, laissez « FAT » et cliquez sur « Next > ».

Pour la dernière étape, commencez par déplacer votre souris n’importe comment sur la fenêtre de TrueCrypt pendant quelques secondes. Cette étape un peu curieuse assure un coté aléatoire à la clé utilisée pour le cryptage. Cliquez ensuite sur « Format ». Un boite de dialogue vous demande confirmation avant de formater votre clé. Patience, c’est long…

Un message vous confirme que votre clé est prête. Cliquez sur « Exit ». Vous pouvez la débrancher.

Utilisation

A partir de maintenant, votre clé USB n’est plus directement vue par le système. Lorsque vous la branchez, il n’y a plus d’icône la représentant sur le bureau mais pas de message. Sous Mac OS X, vous avez un message vous proposant d’initialiser, d’éjecter ou d’ignorer la clé. Répondez toujours « Ignorer ».

Pour la refaire apparaître. vous devez passer par TrueCrypt et cliquez sur « Auto-Mount Devices ». Le mot de passe de votre clé vous est demandé. Pas le mot de passe de votre compte mais « le compliqué » que vous avez défini plus haut. Sous Mac OS X, votre mot de passe vous est aussi demandé. Vous pouvez fermer TrueCryp. Il ne se ferme pas réellement puisqu’il reste dans la zone de notification près de l’heure en haut à droite (ou dans le Dock sous Mac OS X). Votre clé apparaît avec un nom du genre « truecrypt1 » (« NO NAME » sous Mac OS X).

Utilisez votre clé normalement et une fois terminée – pour éjecter votre clé – ouvrez de nouveau TrueCrypt et cliquez sur « Dismount All ». Vous pouvez débrancher votre clé.

Conclusion

Voila, vous pouvez maintenant perdre votre clé USB sans crainde de voir vos précieux documents se rependre dans la nature !

Pensez à garder avec vous tout le nécessaire pour installer TrueCrypt sur les trois plateformes (sur une autre clé ?). Vous pouvez aussi ne pas crypter toute votre clé mais un fichier d’une taille bien défini qui fera office de clé dans la clé !

11 réflexions sur « Une clé USB, c’est bien. Une clé USB crypté c’est mieux ! »

  1. Hello, je préfère une partition standard avec les binaires pour les 3 plateformes et un container chiffré sur la clé (oui chiffré, pas crypté sinon je ne pourrai jamais la relire …).

  2. Ping : Quick & Dirty (18) « Journal du Hack

  3. Bonjour,
    Merci pour l’article.
    J’ai juste une petite question :
    Le logiciel TrueCrypt est bien nécessaire sur chaque poste ou l’on veux utiliser la clé?
    Si oui comment faire si l’on veux utiliser la clé sur une machine sur laquelle il nous est pas possible d’installer un logiciel (au boulot par exemple)?

  4. @rangzen
    C’est vrai que c’est une solution plus pratique si on doit utiliser la clé sur une nouvelle machine. Mais la contre partie, c’est que la clé peut éveillé la curiosité s’il y a les outils dessus pour décrypter. Alors qu’avec ma solution, la clé n’est pas reconnu et le premier réflexe est de la formater…

  5. @Seb
    Pour ma part, j’ai installé TrueCrypt sur toutes mes machines… Mais je ne pense pas que TrueCrypt fasse à proprement parlé une vrai installation. Il faudrait donc essayer de récupérer les binaires copiés sur le disque dur pour les exécuter directement sur une autre. A tester. Pour info, TrueCrypt peut s’utiliser en ligne de commande.

  6. J’ai utilisé cette solution un moment… mais depuis j’ai acheté une clé Ironkey avec un cryptochip embarqué, bien plus puissante et surtout gérable (et révocable) à distance. L’un des avantages majeurs étant que si la clé est perdue/volée l’attaquant à 10 tentatives pour casser le pass en brute force avant que le volume soit détruit.

  7. @Seb:
    Moi j’ai créé seulement un fichier crypté sur ma clé (qui se monte comme un nouveau périphérique une fois le mot de passe entré) et sur le reste de la clé (accessible sans mot de passe) j’ai mis la version portable de truecrypt (uniquement pour windows)
    Comme ça en-dehors de mes propres ordi, je peux lire le contenu crypté depuis n’importe quel poste windows à l’aide du soft sur la clé + mon mot de passe, même si je ne suis pas administrateur du PC !

  8. @burningHat
    Pourquoi pas mais bonjour les tarifs… La mienne de 8Go ne m’a couté que 25€ pour une taille de 1cm x 3cm. De plus, si le mot de passe est bien choisi la méthode « brute force » est inutilisable.

  9. @ Stef : non, c’est d’ailleurs le gros problème de Truecrypt. Il faut être admin pour l’utiliser.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *