Ubuntu-fr

awk

Risques liés au chiffrement de données

Bonjour,

En parcourant les fils suite à des problèmes de configuration de chiffrement de mon disque dur secondaire je suis tombé sur des considérations inquiétantes du genre :

Et à l'avenir, évite de chiffrer toute l'installation de Ubuntu.

https://forum.ubuntu-fr.org/viewtopic.p … #p21516877

J'envisage de chiffrer mes installations d'Ubuntu, est-ce qu'il y a de réels risques de pertes de données qui pourrait être dues au chiffrement ? Merci pour vos avis éclairés et retours d'expériences.

geole

Re : Risques liés au chiffrement de données

Bonjour
Réponse rapide.
Dans ce forum, j'ai  vu deux cas où la récupération de données a été difficile.
Il y a bien longtemps, au passage à la version 20.04 ou 18.04,  lorsque LUKS a remplacé l'ancien système de chiffrement.  Un utilisateur a raté la "transformation". Il a du réinstaller la version ancienne.
Hier où un utilisateur  ZFS a updaté en 23.10, Lui aussi a du récupérer ses données avec la version 22.04.
Mais c'est au faux problème, Il faut toujours avoir un double de ses données. Certains disent un triple stocké physiquement ailleurs. Le risque de disque illisible est plus fréquent.

Cependant, Installer le logiciel chiffré de façon simple oblige à disposer de la totalité d'un disque. Si on n'a pas cette totalité, il faut préventivement fabriquer une partition chiffrée comme on le fait pour nos données.

Pour les ordinateurs sensibles, le chiffrement du logiciel peut être nécessaire.
- Cela permet au swap d'être chiffré  sinon  il peut contenir des morceaux de fichiers personnels lisibles et des noms de fichiers compréhensibles.
- Cela permet au fichier /etc/fstab de contenir des mots de passe en dur. Mais il existe souvent  d'autres techniques pour éviter d'écrire les mots de passes
Cela permet peut-être d'autres protections que je ne connais pas.

Mon avis est que ce n'est  pas justifié d'avoir un logiciel chiffré si c'est pour mettre les données personnelles  chiffrées du  disque dur  dans le CLOUD non chiffré.
Nota. Récemment une discussion a été ouverte  par un utilisateur. Il voulait que ses données dans le cloud soient chiffrées.   Il semble ne pas y avoir de solution simple.

Dernière modification par geole (Le 14/11/2023, à 13:31)

---

Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity

Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

awk

Re : Risques liés au chiffrement de données

Merci pour ton avis, geole. Est-ce qu'il y aurait d'autres avis éclairés sur la question ?

bruno

Re : Risques liés au chiffrement de données

Il ne peut pas y avoir d'avis « éclairés ». Comme toujours en matière de sécurité il s'agit de trouver le bon équilibre. Quel est le plus grand risque : une fuite de données ou leur perte ?
Le chiffrement limite le risque de fuite mais augmente celui de perte, surtout si les indispensables sauvegardes sont également chiffrées.

Pour moi le chiffrement complet de l’installation (système+swap et données) n'a pas de sens en dehors d'usages professionnels. Pour un usage personnel le chiffrement (partiel) des données est suffisant pour éviter de laisser fuiter les photos de famille en cas de perte ou de vol.

awk

Re : Risques liés au chiffrement de données

Comme avis éclairé je pensais surtout "retour d'expérience". Soit des personnes qui travaillent avec le chiffrement de leurs données depuis plusieurs années, soit des personnes habituées des forums de support Ubuntu ou ailleurs, qui auraient (ou pas) vu passé des cas problématiques de pertes de données dues au chiffrement.

J'entends qu'il y a des risques à chiffrer ses données, son système etc. et c'est exactement le but de mon message : essayer de comprendre quels sont ces risques afin de pour jauger ce que je dois faire de mes données.

Le message de malbo, étant arrivé dans une ambiance un peu morose où l'utilisateur avait perdu ses données ( pour on ne sait quelle raison) je me demande s'il n'y a pas eu un excès de vigilance exagéré par le contexte ou si il y a vraiment des risques à chiffrer ses données et quels sont ces risques.

Plus généralement, si je chiffre mon dossier personnel, qui contient pas mal de données confidentielles, je m'inquiéterais de ne pas pouvoir récupérer une copie de ces données, à cause d'un problème de chiffrement.

Pour moi, mes données personnelles, sont tout autant importantes que celle d'une entreprise. La raison pour laquelle je songe à tout chiffrer.

Nuliel

Re : Risques liés au chiffrement de données

Hello,
Pour ma part j'ai chiffré mon disque avec LUKS à l'installation d'ubuntu (et c'est très simple: une case à cocher)
Les risques du chiffrement sont effectivement la perte de données, pour plusieurs raisons:
- perte du mot de passe (en cas de chiffrement, la perte du mot de passe entraine la perte des données)
- disque défectueux (si le header LUKS et sa sauvegarde sont corrompus, c'est foutu, d'où l'intérêt de le sauvegarder)
- comme les systèmes chiffrés sont moins courants que non chiffrés, c'est plus difficile d'avoir de l'aide en cas de problème au démarrage

Pour un débutant, à mon avis c'est pas forcément une bonne chose de chiffrer son disque puisqu'il n'aura probablement pas fait de sauvegarde de ses données, et aura plus de chance de perdre ses données à un moment

Dernière modification par Nuliel (Le 19/11/2023, à 21:47)

---

[ poster un retour de commande ] [ poster une photo ]

Coeur Noir

Re : Risques liés au chiffrement de données

( je sais que je suis un mauvais exemple à ce sujet mais… )

⋅ je vois peu d'intérêt au chiffrement sur une machine sédentaire, surveillée par son ou ses propriétaires humains ;
⋅ et gentiment administrée ( chacun sa session avec mot de passe, pas d'autologin, écran de verrouillage, on ne laisse pas une machine sans surveillance allumée avec des documents/logiciels ouverts, pas de dossiers en 0777, etc )

Par contre je vois bien le risque à oublier une passphrase de chiffrement…
Et une machine allumée - donc aux contenus déchiffrés - laissée sans surveillance ou protection élémentaires est autant à poil qu'une autre.

---

Débuter ⋅ Doc ⋅ Bien rédiger ⋅ Retour commande ⋅ Insérer image | illustrations & captures d'écran < ⋅ >

LukePerp

Re : Risques liés au chiffrement de données

@awk : je pense que chiffrer toutes ses données et le système est exagéré et risqué pour des raisons évidentes. Je recommande de faire une partition indépendante chiffrée, pour stocker que des données sensibles. Et de multiplier cette solution sur le pc de bureau et pc portable. Faire une sauvegarde de l'un vers l'autre. Autrement dit, je recommande de ne pas chiffrer le système installé. C'est impossible de récupérer des données d'une partition chiffrée lorsque le mot de passe est égaré.

---

Gamer inside - Ubuntu Mate dernière LTS - Intel i5, 16 Go - Dual boot Windows - Utilisateur de Dapps sur Ethereum

awk

Re : Risques liés au chiffrement de données

Salut, merci pour vos retours.

J'ai décidé de chiffrer tous mes supports depuis maintenant an et demi, partitions principales (OS) + disques de sauvegardes SATA ou USB.
Je n'ai encore jamais rencontré de problème à ce propos. Le déchiffrement se passe très bien, partout.

J'avais fait pas mal de recherches sur la toile et je n'avais pas vraiment trouvé de retours de problèmes fondés sur le chiffrement en lui-même.

je vois peu d'intérêt au chiffrement sur une machine sédentaire, surveillée par son ou ses propriétaires humains ;

J'ai plusieurs raisons personnelles qui font que le chiffrement est nécessaire. Je ne tiens pas à entrer dans les détails, mais ce ne sont pas les raisons qui manqueraient à tout un chacun : services auto-hébergés, supports utilisés en mobilité, réseau local non fiable, environnement multi-utilisateur, activité professionnelle et j'en passe. On a vite fait de négliger tout un tas de choses (dont certaines qu'on ignore totalement et qu'on utilise tous les jours) dès qu'il s'agit de sécurité informatique.

Mise en garde : Je ne conseille à personne de tout chiffrer aveuglément sans comprendre ce qu’il fait, le risque de perte de données étant bien réel (comme déjà souligné plus haut). Cela dit, je voulais simplement témoigner que le chiffrement fonctionne très bien à condition de savoir ce qu’on fait. La crainte de perdre des données est totalement légitime, il est extrêmement important de bien gérer ses sauvegardes et d’avoir un minimum de maîtrise de son système avant d'étudier cette option.

Nuliel

Re : Risques liés au chiffrement de données

Le chiffrement de disque c'est pas magique:
- services auto-hébergés: ça ne protège que du vol du disque/pc (et encore pour le pc, il faut qu'il soit éteint). Quand le pc est allumé, du point de vue des services auto hébergés c'est comme s'il n'y avait pas de chiffrement.
- supports utilisés en mobilité: oui c'est une bonne idée, le chiffrement de disque est complètement adapté
- réseau local non fiable: je vois pas l'intérêt du chiffrement de disque dans cet exemple
- environnement multi-utilisateur: pas forcément un bon exemple, le chiffrement de home est plus adapté
- activité professionnelle: oui c'est une bonne idée

Sinon oui le chiffrement de disque ça marche bien, il y a juste la sauvegarde du header luks qu'il est bon de faire en cas de disque corrompu

Dernière modification par Nuliel (Hier à 18:43)

---

[ poster un retour de commande ] [ poster une photo ]

awk

Re : Risques liés au chiffrement de données

Le chiffrement de disque c'est pas magique

Bonjour Nuliel, je ne comprends pas très bien ce que tu cherches à dire exactement par "c'est pas magique", ni à quoi ça fait référence par rapport aux réponses précédentes.

Sinon quand je parle d'auto-hébergement, je parle de périphériques sans batteries (vol etc.) et des potentiels problèmes que ça ramène au niveau du réseau local (ce qui justifierait de chiffrer au mieux ses autres supports).
Si un pirate accède à mon PC via mon réseau local il aura accès facilement à mes autres partitions et disques se trouvant sur ce même PC. Si tout est chiffré il n'aura alors pas accès à mes données.

la sauvegarde du header luks qu'il est bon de faire en cas de disque corrompu

Je m'étais intéressé à la question, et j'avoue que j'avais été un peu dépassé par les problèmes rencontrés avec cette partie, les tests que j'avais fait s'étant soldés par des échecs avec cryptsetup. Mes données étant sauvegardées plusieurs fois j'ai pas trop insisté là dessus. Mais tu fais bien de le rappeler.

Cela dit il est important de rappeler encore (pour des lecteurs non avertis) et surtout, que si on a besoin de chiffrer ses partitions pour une raison ou une autre (et même en dehors de toute considération de chiffrement), il est extrêmement important de bien gérer ses sauvegardes et d’avoir un minimum de maîtrise de son système avant d'étudier cette option.

Dernière modification par awk (Hier à 20:05)

Nuliel

Re : Risques liés au chiffrement de données

par "Le chiffrement de disque c'est pas magique", c'est simplement pour dire que c'est une bonne chose à faire, mais que ce n'est pas suffisant (il faut plusieurs couches de sécurité, ce qu'on appelle la défense en profondeur). Le chiffrement de disque protège principalement du vol de disque et de l'accès au disque quand il n'est pas déchiffré, mais c'est globalement tout.

Pour récupérer le header luks, tu as la commande

sudo cryptsetup luksHeaderBackup /dev/sdXY --header-backup-file header_luks.bin

(à adapter bien évidemment)
qui te crée le fichier header_luks.bin.
Le header contient ce qu'il faut pour retrouver la master key qui permet de déchiffrer le disque, retrouvée à partir de ta passphrase. Sans le header, tu n'as plus de moyen de retrouver la clé de chiffrement, donc plus moyen d'accéder aux données. Le fait de le sauvegarder permet en cas de corruption du header luks de pouvoir déchiffrer le disque.

Oui, les sauvegardes c'est très important!

---

[ poster un retour de commande ] [ poster une photo ]