Dans le cadre de mes activités, j’ai dû chiffrer ou crypter (oui, on peut aussi utiliser le mot crypter) les machines… Au sujet des machines sous Windows 10, un article leur est dédié. Pour les machines sous windows 7, cela a été un peu plus « compliqué ». En effet, Microsoft n’a pas inclus Bitlocker dans les versions Pro de Windows 7. Ultimate et Enterprise sont les seuls gagnants du Loto du chiffrement.
J’ai donc dû utiliser Veracrypt Pour pouvoir déchiffrer (ou décrypter) la machine de l’utilisateur (au cas où. Exemple : réquisition, Police, DGSI, Armée, etc). Il me fallait avoir un moyen de déchiffrement stocké dans un séquestre accessible du service tout en offrant à l’utilisateur la possibilité d’avoir son propre mot de passe. Donc un mot de passe propre à l’utilisateur sur chaque machine mais un moyen de déchiffrer les machines disponible pour le service.
Et j’ai procédé ainsi :
Je conseille vivement et fortement de sauvegarder les datas avant de chiffrer.
A titre personnel. Avant de chiffrer. Primo, je fais un chkdsk minutieux du disque. Cela peut prendre des heures. Secundo, je défragmente. Tertio, je clone le disque à chiffre au cas où.
Au début, je déployais Veracrypt avec l’outil de déploiement WAPT . Les développeurs de Veracrypt, en faisant le fichier d’installation, n’ont pas inclus de mode silencieux. Sous linux, ca l’est, sous Windows, c’est impossible. Encore la guéguerre Linux vs Windows et là, c’est le sysadmin qui en fait les frais. Bref. Puisque Veracrypt ne s’installe pas en mode silencieux, j’ai fait, à l’insu de mon plein gré, du reverse engineering sur le fichier d’installation pour, finalement, faire le mien. Si le déploiement et l’installation se faisait super bien grâce à WAPT, cela ne marchait pas toujours. Le résultat n’était pas du 100 % de réussite. J’avais des erreurs d’élévation de privilège, etc. J’ai donc abandonné, le déploiement par WAPT et je l’ai fait à la mano en jouant du mange disque comme à la bonne vieille époque de Windows 3.X.
Comment chiffrer?
On lance une fenêtre avec l’invite de commande.
Un petit : cd c:\program files\veracrypt
Puis un on lance "veracrypt Format.exe" /force
ou "veracrypt Format-x64.exe" /force
Cela ouvre une fenêtre où il est proposé plusieurs choix
On choisit le chiffrement « Normal ». On peut choisir, le mode « caché », mais je fais ça pour le boulot, je ne suis pas en mode « paranoïaque ».
Les consignes, dans mon cas, est de chiffrer l’intégralité du disque. Pour les SSD, ça va être super… A titre perso, je trouve ça débile, parce que l’outil de chiffrement va swapper sur une petite étendue du disque. C’est pas terrible. D’autant plus que BitLocker, lui ne chiffre pas l’intégralité du disque et ça ne gêne pas plus que ça. Deux poids deux mesures.
Ensuite, on se retrouve avec un message d’avertissement. Cela est dû au fait que l’on va chiffrer, aussi, des partitions système, constructeur, de récupération.
Je choisi « Amorcage », sous entendu « Amorcage simple » et pas de multiboot. Dans le cas qui me concerne, le multiboot n’est pas autorisé.
Le chiffrement AES avec un hachage SHA-256. La documentation de Veracrypt fait état de niveau de chiffrement plus « dur ».
Ensuite on saisit son mot de passe.
Il y a un mappage de disposition de clavier. Vous saisit un mot de passe avec votre clavier azerty mais il est saisi format qwerty. Si vous tapez « a« , il sera sauve « q« , si vous tapez « m« , il sera sauvé « ;« . En fait, Veracrypt utilise directement les codes touches non traduits. veracrypt Troubleshooting
Moi, j’ai fait ma « feignasse », j’ai saisi un mot de passe court et j’ai cet avertissement. Je pense que si quelqu’un cherche à craquer le mot de passe, c’est qu’il n’est plus en la possession de l’utilisateur, donc c’est fichu. Sauf une organisation gouvernementale ou criminelle, le petit voleur opportuniste ne se fatiguera pas à craquer quoique ce soit, il passera (lui ou son pôte « informaticien » sic) par la case Diskpart + formatage à la réinstallation de windows. CQFD.
On génère les clés. On bouge la souris, mais si on est pressé, on bouge et on clique. Le click compte pour plusieurs mouvement de souris…
La génération des clés est faite. On peut les afficher si on le souhaite.
Ensuite on passe à la création de l’image iso de récupération. NOTEZ et c’est important, de cocher « Ne pas vérifier le disque de secours ». Si vous ne le cochez pas. Vous n’aurez pas d’autres choix que de graver l’iso et la testé. Vous ne pourrez pas faire machine arrière et revenir à ce menu pour, finalement, cocher la case. On choisi au le chemin où sauvegarder l’image iso.
Là on choisi l’endroit où l’on peut sauvegarder l’image iso de récupération.
Contrairement à BitLocker qui ne le permet pas, on peut sauvegarder l’image iso de récupération sur le disque. Pour éviter les oublis, tout comme la clé Bitlocker est sauvegardée dans l’AD, l’image de récupération est sauvegardée dans un répertoire partagé aux droits d’accés restreint.
L’image iso sera donc sauvegarder sur un séquestre, un disque partagé aux accès restreints et la case « Ne pas vérifier le disque de secours » est bien cochée.
Le résultat que le disque est bien crée.
Un énième message d’avertissement indiquant que si la machine avait par le passé un disque de secours, celui-ci est caduque. Normal…
On passe à la phase de pré-test de chiffrement. Veracrypt va vérifier le système après avoir redémarré.
Encore un énième message d’avertissement. Veracrypt est disponible pour tout un chacun, les développeurs ont donc usé et abusé de « ceinture + bretelle »… Pour les Administrateur Windows, c’est plus que pénible. Au bout du 10 ordinateurs, on en a déjà marre…
On redémarre.
Au boot, Veracrypt demande le mot de passe. Pas d’inquiètude sur le clavier AZERTY vs QWERTY. Comme indiqué plus haut, Veracrypt a fait le mappage AZERTY => QWERTY.
Ensuite, il fait un test, puis windows démarre.
Vous ouvrez la session. Veracrypt se lance.
Là on clique sur « Chiffrer », et on a presque fini.
On doit accepter les CGU.
Le chiffrement se fait. Sur une machine en Intel Xeon 8go avec un HHD de 1To et une partition système de 70G, ça me prend 8 heures…
Une fois que le chiffrement est fait, terminé, « Done ».
Génération du mot de passe utilisateur
Je rappelle. L’idée est d’avoir un moyen de déchiffrement et offrir à l’utilisateur d’avoir son propre mot de passe.
On passe au changement de mot de passe pour l’utilisateur.
On lance Veracrypt
On se retrouve avec l’interface Veracrypt. Dans mon cas, c’est « easy », il n’y a qu’un seul disque, je ne peux donc pas me tromper.
Un click droit et on click sur « Change Password »
L’interface de changement de password s’ouvre.
On saisit le mot de passe du service. L’utilisateur, lui, saisit et confirme son mot de passe.
Veracrypt fait son mappage clavier et quelque soit le mot de passe saisi avec un clavier azerty, il est sauvé comme si il avait été saisi avec un clavier qwerty. Le mot de passe utilisateur saisi est « totoisacunt » (Toto is a cunt). Veracrypt a transformé le « a » en « q »
Si le mot de passe saisi par l’utilisateur est trop court ou « weak », vous avez un « Warning », un popup d’avertissement.
On génère… En fait, je ne sais pas quoi! tout comme précédemment, on bouge la souris, mais si on est pressé, on bouge et on clique. Le click compte pour plusieurs mouvement de souris…
Une fois fait, on a un énième « Warning »
Après avoir validé le « Warning », on a le « Warning » le plus intéressant. Celui qui indique qu’avec le rescue disk et l’ancien password, on peut encore déchiffrer le disque. C’est le but, d’ailleurs.
Voilà. Le service avec le rescue disk et le mot de passe « générique » peut déchiffrer le disque de l’utilisateur, lorsque lui a son propre mot de passe connu de lui seul.
RetEx (Retour d’Expérience)
- Il peut y avoir des problèmes à l’issue du chiffrement avec certaines cartes RAID.
- Le chiffrement peut se faire malgré des secteur ou clusters défectueux mais un plantage est inévitable au démarrage.
Liens :
Il existe des dizaine de sites parlant de Veracrypt et qui repose sous Ubuntu. Je ne mentionnerai pas ces sites. Pourquoi? Parce que il existe des différences entre la version Linux et la version Windows. Et mon propos concerne Windows.
VERACRYPT FOR WINDOWS – SECURE FILE STORAGE
Ressources sur la Sécurité des Systèmes d’Information : Cryptez vos donnees avec veracrypt
Administration Système & Windows 
Ping : Chiffrement BitLocker sans TPM | Administration Système & Windows