Les flics peuvent fouiller comme ils veulent dans votre disque. Si vous ne le chiffrez pas, il suffit d'ouvrir le PC, de prendre le disque et de le copier avec leur machine.
N'importe quel inconnu peut aussi démarrer sur un LiveBoot pour regarder votre disque et le copier ou utiliser une machine similaire aux flics.
BitLocker a déjà été cassé très facilement et n'est pas open source, donc je vous déconseille fortement d'utiliser ça pour chiffrer votre disque. Une porte dérobée a aussi été introduite dedans.
Quelques informations sur le chiffrement de disque
Il est illégal de refuser de donner son mot de passe si un flic vous le demande (article 434-15-2 du Code pénal, trois ans d'emprisonnement et 270 000 €). La peine est rarement aussi sévère, réfléchissez à ce qui vous fera prendre le plus. Choisissez au préalable que faire et ne changez pas d'avis une fois dans le bureau de Gilbert, sinon vous donnerez le mot de passe à tous les coups.
Le chiffrement rendra très compliquée la récupération de vos données, mais pas impossible.
Mettez un bon mot de passe, s'il n'est pas solide, ça ne tiendra pas. N'oubliez pas que quand l'ordinateur quantique sera démocratisé, les flics pourront le déchiffrer comme ils le veulent. Une base de donnée unifiée contenant les copies de disque saisi chiffré a déjà été créée en France.
Si vous êtes sur disque dur, ça risque d'être très lent. Sur SSD, même avec un bas de gamme, ça ne change pas grand-chose (en tout cas chez moi).
Si vous perdez votre mot de passe, vous perdez le contenu de votre ordinateur.
Attaques possibles sur un disque chiffré
Une attaque evil maid. Un virus dans votre UEFI/BIOS ou votre bootloader, pour récupérer le mot de passe que vous tapez. Elle est rare et utilisé que dans des affaires graves (terrorisme avéré).
Un enregistreur de frappe de clavier. Si votre clavier est compromis, le mot de passe que vous tapez avec aussi. Faites aussi attention au son du clavier, il est possible de récupérer les touches tapées avec.
Une écoute du son du clavier pour permettre de reconstituer les frappes de claviers.
Une attaque par démarrage à froid pour récupérer votre clé de chiffrement dans la RAM. Cette attaque fonctionne entre 20 à 30 minutes maximum après l'extinction de l'ordinateur.
VeraCrypt (compatible Windows, MacOS, Linux)
Installez VeraCrypt (
https://veracrypt.fr/en/Home.html) et lancez-le. Cliquez sur "Create Volume" puis dans la fenêtre qui s'ouvre, cliquez sur "Encrypt the system partition or entire system drive".
Le mode caché permet de créer deux volumes :
– un volume principal dont vous pourrez dévoiler le mot de passe sous la contrainte, et qui ne contient pas de données sensibles
– un volume caché et chiffré à l'intérieur du volume principal avec un autre mot de passe qui contient vos données sensibles
Vous pouvez nier l'existence de ce dernier auprès de l'attaquant s'il ne dispose que d'une copie de votre disque.
Avantages :
– Déni plausible
– Compatible avec plus de systèmes que LUKS
Inconvénients :
– Plus lent que LUKS
LUKS (compatible Linux uniquement)
À l'installation, vous avez normalement sur tous les installeurs classiques un menu dans la catégorie disque pour chiffrer votre disque. Vous avez juste à écrire votre mot de passe
Pour ceux qui ont déjà Linux installé sans chiffrement de disque, des tutoriels sont trouvables pour chiffrer un Linux déjà installé, mais c'est beaucoup plus compliqué.
Avantages :
- Chiffrement plus simple s'il est effectué lors de l'installation
- Plus rapide que VeraCrypt
Inconvénients :
- Pas de chiffrement à chaud possible
- Pas de déni plausible
N'importe quel inconnu peut aussi démarrer sur un LiveBoot pour regarder votre disque et le copier ou utiliser une machine similaire aux flics.
Quelques informations sur le chiffrement de disque
Mettez un bon mot de passe, s'il n'est pas solide, ça ne tiendra pas. N'oubliez pas que quand l'ordinateur quantique sera démocratisé, les flics pourront le déchiffrer comme ils le veulent. Une base de donnée unifiée contenant les copies de disque saisi chiffré a déjà été créée en France.
Attaques possibles sur un disque chiffré
Installez VeraCrypt (
Le mode caché permet de créer deux volumes :
– un volume principal dont vous pourrez dévoiler le mot de passe sous la contrainte, et qui ne contient pas de données sensibles
– un volume caché et chiffré à l'intérieur du volume principal avec un autre mot de passe qui contient vos données sensibles
Vous pouvez nier l'existence de ce dernier auprès de l'attaquant s'il ne dispose que d'une copie de votre disque.
Avantages :
– Déni plausible
– Compatible avec plus de systèmes que LUKS
Inconvénients :
– Plus lent que LUKS
À l'installation, vous avez normalement sur tous les installeurs classiques un menu dans la catégorie disque pour chiffrer votre disque. Vous avez juste à écrire votre mot de passe
Pour ceux qui ont déjà Linux installé sans chiffrement de disque, des tutoriels sont trouvables pour chiffrer un Linux déjà installé, mais c'est beaucoup plus compliqué.
Avantages :
- Chiffrement plus simple s'il est effectué lors de l'installation
- Plus rapide que VeraCrypt
Inconvénients :
- Pas de chiffrement à chaud possible
- Pas de déni plausible
PErso je préfère Cryptomator, bien plus simple d'utilisation
j'avais déjà fait un topic du genre, oué.
Hésite pas a compléter en rappelant que VeraCrypt permet également de simplement faire un dossier chiffrer sur son pc (simple ou double), et que ça peut suffire a pas mal de monde pour simplement mettre au chaud ses données sensibles sans tout réinstaller
Hésite pas a compléter en rappelant que VeraCrypt permet également de simplement faire un dossier chiffrer sur son pc (simple ou double), et que ça peut suffire a pas mal de monde pour simplement mettre au chaud ses données sensibles sans tout réinstaller
Vous devez être au niveau 39 pour voir ce message.
PErso je préfère Cryptomator, bien plus simple d'utilisation
Cryptomator c'est pour chiffré en E2E des fichiers sur le cloud non ?
j'avais déjà fait un topic du genre, oué.
Hésite pas a compléter en rappelant que VeraCrypt permet également de simplement faire un dossier chiffrer sur son pc (simple ou double), et que ça peut suffire a pas mal de monde pour simplement mettre au chaud ses données sensibles sans tout réinstaller
Hésite pas a compléter en rappelant que VeraCrypt permet également de simplement faire un dossier chiffrer sur son pc (simple ou double), et que ça peut suffire a pas mal de monde pour simplement mettre au chaud ses données sensibles sans tout réinstaller
Vous devez être au niveau 39 pour voir ce message.
C'était déjà plutôt long le poste alors je voulais pas rajouter des trucs en plus. Je modifierai quand j'aurai le temps
Cryptomator c'est pour chiffré en E2E des fichiers sur le cloud non ?
Des fichiers tout court
Et pas en E2E
Et pas en E2E
Des fichiers tout court
Et pas en E2E
Et pas en E2E
Selon leur site c'est pour chiffrer sur le cloud des fichiers facilement
Ou j'ai mal compris
Ou j'ai mal compris
Selon leur site c'est pour chiffrer sur le cloud des fichiers facilement
Ou j'ai mal compris
Ou j'ai mal compris
En gros c'est un coffre-fort, qui une fois déverrouillé, agit comme un disque réseau
Si tu fermes Cryptomator et que tu te rends sur ce dossier, tu verras juste des milliers de petits fichiers illisibles
Si tu fermes Cryptomator et que tu te rends sur ce dossier, tu verras juste des milliers de petits fichiers illisibles
En gros c'est un coffre-fort, qui une fois déverrouillé, agit comme un disque réseau
Si tu fermes Cryptomator et que tu te rends sur ce dossier, tu verras juste des milliers de petits fichiers illisibles
Si tu fermes Cryptomator et que tu te rends sur ce dossier, tu verras juste des milliers de petits fichiers illisibles
Oui ça simule un emplacement réseau
Acheter un Thinkpad X230 et installer Heads
Protéger en écriture la puce flash
Appliquer du vernis à ongles sur les vis et prendre des photos haute résolution pour détecter les signes de falsification
Ne PAS utiliser de HDD ou de SSD
Ils ont un accès DMA, donc un firmware malveillant pourrait faire beaucoup de dégats
L'utilisation de l'USB est préférable car ils n'ont pas de DMA
Enlever complètement le microphone, la carte son, la webcam et la carte WWAN de l'ordinateur portable
Enlever le ventilateur pour prévenir la transmission de données acoustiques binaires et utiliser une source de frais externe
Remplacer la carte wifi par défaut par une carte Atheros compatible
Désactiver le wifi lorsqu'il n'est pas utilisé, de préférence en retirant physiquement la carte
Créer votre propre distribution Linux indépendante à partir de LFS
La plupart des distributions privilégient la commodité à la sécurité et n'auront donc jamais une bonne sécurité. Votre seule option est de créer la votre
Utiliser musl au lieu de glibc, libressl au lieu d'openssl, openrc au lieu de systemd, oksh au lieu de bash, toybox au lieu de gnu coreutils pour réduire la surface d'attaque
Activer le moins de modules de kernel possible
Utiliser un allocateur de mémoire renforcé
Appliquer des politiques SELinux strictes et de sandboxing
Restreindre fortement le compte root pour s'assurer qu'il ne soit jamais compromis
Désactiver JavaScript et CSS dans votre navigateur
Bloquer tous les domaines FAGMAN dans votre fichier hosts
Surveiller toutes les requêtes réseau
Ne pas utiliser de téléphone
Ne jamais parler près de quelqu'un qui possède un téléphone, ils écoutent toujours
Ne jamais utiliser de technologie non corebootée fabriquée d'après 2006
Ne jamais laisser vos appareils sans surveillance
Taper très doucement pour se défendre contre la capture audio des frappes
Utiliser de la RAM ECC pour minimiser les attaques rowhammer et rambleed
Tout chiffrer plusieurs fois avec différentes implémentations
Tout compiler à partir de la source
Utiliser des flags de compilation renforcés
Toujours lire le code source avant d'installer quelque chose si possible
N'utiliser Internet qu'en cas de nécessité absolue
Protéger en écriture la puce flash
Appliquer du vernis à ongles sur les vis et prendre des photos haute résolution pour détecter les signes de falsification
Ne PAS utiliser de HDD ou de SSD
Ils ont un accès DMA, donc un firmware malveillant pourrait faire beaucoup de dégats
L'utilisation de l'USB est préférable car ils n'ont pas de DMA
Enlever complètement le microphone, la carte son, la webcam et la carte WWAN de l'ordinateur portable
Enlever le ventilateur pour prévenir la transmission de données acoustiques binaires et utiliser une source de frais externe
Remplacer la carte wifi par défaut par une carte Atheros compatible
Désactiver le wifi lorsqu'il n'est pas utilisé, de préférence en retirant physiquement la carte
Créer votre propre distribution Linux indépendante à partir de LFS
La plupart des distributions privilégient la commodité à la sécurité et n'auront donc jamais une bonne sécurité. Votre seule option est de créer la votre
Utiliser musl au lieu de glibc, libressl au lieu d'openssl, openrc au lieu de systemd, oksh au lieu de bash, toybox au lieu de gnu coreutils pour réduire la surface d'attaque
Activer le moins de modules de kernel possible
Utiliser un allocateur de mémoire renforcé
Appliquer des politiques SELinux strictes et de sandboxing
Restreindre fortement le compte root pour s'assurer qu'il ne soit jamais compromis
Désactiver JavaScript et CSS dans votre navigateur
Bloquer tous les domaines FAGMAN dans votre fichier hosts
Surveiller toutes les requêtes réseau
Ne pas utiliser de téléphone
Ne jamais parler près de quelqu'un qui possède un téléphone, ils écoutent toujours
Ne jamais utiliser de technologie non corebootée fabriquée d'après 2006
Ne jamais laisser vos appareils sans surveillance
Taper très doucement pour se défendre contre la capture audio des frappes
Utiliser de la RAM ECC pour minimiser les attaques rowhammer et rambleed
Tout chiffrer plusieurs fois avec différentes implémentations
Tout compiler à partir de la source
Utiliser des flags de compilation renforcés
Toujours lire le code source avant d'installer quelque chose si possible
N'utiliser Internet qu'en cas de nécessité absolue
There are 387.44 million miles of printed circuits in wafer thin layers that fill my complex.
Acheter un Thinkpad X230 et installer Heads
Protéger en écriture la puce flash
Appliquer du vernis à ongles sur les vis et prendre des photos haute résolution pour détecter les signes de falsification
Ne PAS utiliser de HDD ou de SSD
Ils ont un accès DMA, donc un firmware malveillant pourrait faire beaucoup de dégats
L'utilisation de l'USB est préférable car ils n'ont pas de DMA
Enlever complètement le microphone, la carte son, la webcam et la carte WWAN de l'ordinateur portable
Enlever le ventilateur pour prévenir la transmission de données acoustiques binaires et utiliser une source de frais externe
Remplacer la carte wifi par défaut par une carte Atheros compatible
Désactiver le wifi lorsqu'il n'est pas utilisé, de préférence en retirant physiquement la carte
Créer votre propre distribution Linux indépendante à partir de LFS
La plupart des distributions privilégient la commodité à la sécurité et n'auront donc jamais une bonne sécurité. Votre seule option est de créer la votre
Utiliser musl au lieu de glibc, libressl au lieu d'openssl, openrc au lieu de systemd, oksh au lieu de bash, toybox au lieu de gnu coreutils pour réduire la surface d'attaque
Activer le moins de modules de kernel possible
Utiliser un allocateur de mémoire renforcé
Appliquer des politiques SELinux strictes et de sandboxing
Restreindre fortement le compte root pour s'assurer qu'il ne soit jamais compromis
Désactiver JavaScript et CSS dans votre navigateur
Bloquer tous les domaines FAGMAN dans votre fichier hosts
Surveiller toutes les requêtes réseau
Ne pas utiliser de téléphone
Ne jamais parler près de quelqu'un qui possède un téléphone, ils écoutent toujours
Ne jamais utiliser de technologie non corebootée fabriquée d'après 2006
Ne jamais laisser vos appareils sans surveillance
Taper très doucement pour se défendre contre la capture audio des frappes
Utiliser de la RAM ECC pour minimiser les attaques rowhammer et rambleed
Tout chiffrer plusieurs fois avec différentes implémentations
Tout compiler à partir de la source
Utiliser des flags de compilation renforcés
Toujours lire le code source avant d'installer quelque chose si possible
N'utiliser Internet qu'en cas de nécessité absolue
Protéger en écriture la puce flash
Appliquer du vernis à ongles sur les vis et prendre des photos haute résolution pour détecter les signes de falsification
Ne PAS utiliser de HDD ou de SSD
Ils ont un accès DMA, donc un firmware malveillant pourrait faire beaucoup de dégats
L'utilisation de l'USB est préférable car ils n'ont pas de DMA
Enlever complètement le microphone, la carte son, la webcam et la carte WWAN de l'ordinateur portable
Enlever le ventilateur pour prévenir la transmission de données acoustiques binaires et utiliser une source de frais externe
Remplacer la carte wifi par défaut par une carte Atheros compatible
Désactiver le wifi lorsqu'il n'est pas utilisé, de préférence en retirant physiquement la carte
Créer votre propre distribution Linux indépendante à partir de LFS
La plupart des distributions privilégient la commodité à la sécurité et n'auront donc jamais une bonne sécurité. Votre seule option est de créer la votre
Utiliser musl au lieu de glibc, libressl au lieu d'openssl, openrc au lieu de systemd, oksh au lieu de bash, toybox au lieu de gnu coreutils pour réduire la surface d'attaque
Activer le moins de modules de kernel possible
Utiliser un allocateur de mémoire renforcé
Appliquer des politiques SELinux strictes et de sandboxing
Restreindre fortement le compte root pour s'assurer qu'il ne soit jamais compromis
Désactiver JavaScript et CSS dans votre navigateur
Bloquer tous les domaines FAGMAN dans votre fichier hosts
Surveiller toutes les requêtes réseau
Ne pas utiliser de téléphone
Ne jamais parler près de quelqu'un qui possède un téléphone, ils écoutent toujours
Ne jamais utiliser de technologie non corebootée fabriquée d'après 2006
Ne jamais laisser vos appareils sans surveillance
Taper très doucement pour se défendre contre la capture audio des frappes
Utiliser de la RAM ECC pour minimiser les attaques rowhammer et rambleed
Tout chiffrer plusieurs fois avec différentes implémentations
Tout compiler à partir de la source
Utiliser des flags de compilation renforcés
Toujours lire le code source avant d'installer quelque chose si possible
N'utiliser Internet qu'en cas de nécessité absolue
Utiliser un ordinateur 100% hardware open source RISC-V
Aucune technologie américaine propriétaire
Installation de vibreur de fenêtre pour éviter qu'on entende ce que tu dis -> les sons de frappe de clavier -> ce que tu tappes sur ton clavier
Isoler son ordinateur dans une cage de faraday et enlever tout périphérique qui communique avec l'extérieur et qui n'est pas nécessaire
Débrancher le cable Ethernet quand on en a pas besoin
Toujours garder sur soi une clé USB permettant de déployer un anti evil maid et une vérification de l'intégrité du BIOS et du BootLoader à chaque redémarrage
Aucune technologie américaine propriétaire
Installation de vibreur de fenêtre pour éviter qu'on entende ce que tu dis -> les sons de frappe de clavier -> ce que tu tappes sur ton clavier
Isoler son ordinateur dans une cage de faraday et enlever tout périphérique qui communique avec l'extérieur et qui n'est pas nécessaire
Débrancher le cable Ethernet quand on en a pas besoin
Toujours garder sur soi une clé USB permettant de déployer un anti evil maid et une vérification de l'intégrité du BIOS et du BootLoader à chaque redémarrage
Torturer pour sous tirer de l'information puis executer les ingénieurs d'Intel qui ont fait la R&D de l'Intel ME
Je vois qu'on se comprends
There are 387.44 million miles of printed circuits in wafer thin layers that fill my complex.
Je vois qu'on se comprends
Acheter un Thinkpad X230 et installer Heads
Protéger en écriture la puce flash
Appliquer du vernis à ongles sur les vis et prendre des photos haute résolution pour détecter les signes de falsification
Ne PAS utiliser de HDD ou de SSD
Ils ont un accès DMA, donc un firmware malveillant pourrait faire beaucoup de dégats
L'utilisation de l'USB est préférable car ils n'ont pas de DMA
Enlever complètement le microphone, la carte son, la webcam et la carte WWAN de l'ordinateur portable
Enlever le ventilateur pour prévenir la transmission de données acoustiques binaires et utiliser une source de frais externe
Remplacer la carte wifi par défaut par une carte Atheros compatible
Désactiver le wifi lorsqu'il n'est pas utilisé, de préférence en retirant physiquement la carte
Créer votre propre distribution Linux indépendante à partir de LFS
La plupart des distributions privilégient la commodité à la sécurité et n'auront donc jamais une bonne sécurité. Votre seule option est de créer la votre
Utiliser musl au lieu de glibc, libressl au lieu d'openssl, openrc au lieu de systemd, oksh au lieu de bash, toybox au lieu de gnu coreutils pour réduire la surface d'attaque
Activer le moins de modules de kernel possible
Utiliser un allocateur de mémoire renforcé
Appliquer des politiques SELinux strictes et de sandboxing
Restreindre fortement le compte root pour s'assurer qu'il ne soit jamais compromis
Désactiver JavaScript et CSS dans votre navigateur
Bloquer tous les domaines FAGMAN dans votre fichier hosts
Surveiller toutes les requêtes réseau
Ne pas utiliser de téléphone
Ne jamais parler près de quelqu'un qui possède un téléphone, ils écoutent toujours
Ne jamais utiliser de technologie non corebootée fabriquée d'après 2006
Ne jamais laisser vos appareils sans surveillance
Taper très doucement pour se défendre contre la capture audio des frappes
Utiliser de la RAM ECC pour minimiser les attaques rowhammer et rambleed
Tout chiffrer plusieurs fois avec différentes implémentations
Tout compiler à partir de la source
Utiliser des flags de compilation renforcés
Toujours lire le code source avant d'installer quelque chose si possible
N'utiliser Internet qu'en cas de nécessité absolue
Protéger en écriture la puce flash
Appliquer du vernis à ongles sur les vis et prendre des photos haute résolution pour détecter les signes de falsification
Ne PAS utiliser de HDD ou de SSD
Ils ont un accès DMA, donc un firmware malveillant pourrait faire beaucoup de dégats
L'utilisation de l'USB est préférable car ils n'ont pas de DMA
Enlever complètement le microphone, la carte son, la webcam et la carte WWAN de l'ordinateur portable
Enlever le ventilateur pour prévenir la transmission de données acoustiques binaires et utiliser une source de frais externe
Remplacer la carte wifi par défaut par une carte Atheros compatible
Désactiver le wifi lorsqu'il n'est pas utilisé, de préférence en retirant physiquement la carte
Créer votre propre distribution Linux indépendante à partir de LFS
La plupart des distributions privilégient la commodité à la sécurité et n'auront donc jamais une bonne sécurité. Votre seule option est de créer la votre
Utiliser musl au lieu de glibc, libressl au lieu d'openssl, openrc au lieu de systemd, oksh au lieu de bash, toybox au lieu de gnu coreutils pour réduire la surface d'attaque
Activer le moins de modules de kernel possible
Utiliser un allocateur de mémoire renforcé
Appliquer des politiques SELinux strictes et de sandboxing
Restreindre fortement le compte root pour s'assurer qu'il ne soit jamais compromis
Désactiver JavaScript et CSS dans votre navigateur
Bloquer tous les domaines FAGMAN dans votre fichier hosts
Surveiller toutes les requêtes réseau
Ne pas utiliser de téléphone
Ne jamais parler près de quelqu'un qui possède un téléphone, ils écoutent toujours
Ne jamais utiliser de technologie non corebootée fabriquée d'après 2006
Ne jamais laisser vos appareils sans surveillance
Taper très doucement pour se défendre contre la capture audio des frappes
Utiliser de la RAM ECC pour minimiser les attaques rowhammer et rambleed
Tout chiffrer plusieurs fois avec différentes implémentations
Tout compiler à partir de la source
Utiliser des flags de compilation renforcés
Toujours lire le code source avant d'installer quelque chose si possible
N'utiliser Internet qu'en cas de nécessité absolue
Fin du Kali-Yuga
Parce que vous pensez qu'un chiffrement disponible pour le grand public arrêtera Gilbert s'il veut trouver quelque chose ?
On a des carasbistouilles à cacher ?
On a des carasbistouilles à cacher ?
Ca sert à rien de tout chiffrer sinon ça ralentit le PC, je suis resté avec un bon vieux 7z + password ...
Mon propos est imaginaire et fictif, il n'implique donc aucun fait ou élément réel et toute ressemblance serait fortuite
Parce que vous pensez qu'un chiffrement disponible pour le grand public arrêtera Gilbert s'il veut trouver quelque chose ?
On a des carasbistouilles à cacher ?
On a des carasbistouilles à cacher ?
oui oui ça arrête gilbert, en dépit de ton seum