Chiffrement avec Veracrypt

veracrypt128x128Dans le cadre de mes activités, j’ai dû chiffrer ou crypter (oui, on peut aussi utiliser le mot crypter) les machines… Au sujet des machines sous Windows 10, un article leur est dédié. Pour les machines sous windows 7, cela a été un peu plus « compliqué ». En effet, Microsoft n’a pas inclus Bitlocker dans les versions Pro de Windows 7. Ultimate et Enterprise sont les seuls gagnants du Loto du chiffrement.

J’ai donc dû utiliser Veracrypt  Pour pouvoir déchiffrer (ou décrypter) la machine de l’utilisateur (au cas où. Exemple : réquisition, Police, DGSI, Armée, etc). Il me fallait avoir un moyen de déchiffrement stocké dans un séquestre accessible du service tout en offrant à l’utilisateur la possibilité d’avoir son propre mot de passe. Donc un mot de passe propre à l’utilisateur sur chaque machine mais un moyen de déchiffrer les machines disponible pour le service.
Et j’ai procédé ainsi :

Je conseille vivement et fortement de sauvegarder les datas avant de chiffrer.

A titre personnel. Avant de chiffrer. Primo, je fais un chkdsk minutieux du disque. Cela peut prendre des heures. Secundo, je défragmente. Tertio, je clone le disque à chiffre au cas où.

Au début, je déployais Veracrypt avec l’outil de déploiement WAPT . Les développeurs de Veracrypt, en faisant le fichier d’installation, n’ont pas inclus de mode silencieux. Sous linux, ca l’est, sous Windows, c’est impossible. Encore la guéguerre Linux vs Windows et là, c’est le  sysadmin qui en fait les frais. Bref. Puisque Veracrypt ne s’installe pas en mode silencieux, j’ai fait, à l’insu de mon plein gré, du reverse engineering sur le fichier d’installation pour, finalement, faire le mien. Si le déploiement et l’installation se faisait super bien grâce à WAPT, cela ne marchait pas toujours. Le résultat n’était pas du 100 % de réussite. J’avais des erreurs d’élévation de privilège, etc. J’ai donc abandonné, le déploiement par WAPT et je l’ai fait à la mano en jouant du mange disque comme à la bonne vieille époque de Windows 3.X.

Comment chiffrer?

On lance une fenêtre avec l’invite de commande.

Un petit : cd c:\program files\veracrypt
Puis un on lance "veracrypt Format.exe" /force
ou "veracrypt Format-x64.exe" /force

capture001capture002

Cela ouvre une fenêtre où il est proposé plusieurs choix

capture003

On choisit le chiffrement « Normal ». On peut choisir, le mode « caché », mais je fais ça pour le boulot, je ne suis pas en mode « paranoïaque ».

capture004

Les consignes, dans mon cas, est de chiffrer l’intégralité du disque. Pour les SSD, ça va être super… A titre perso, je trouve ça débile, parce que l’outil de chiffrement va swapper sur une petite étendue du disque. C’est pas terrible. D’autant plus que BitLocker, lui ne chiffre pas l’intégralité du disque et ça ne gêne pas plus que ça. Deux poids deux mesures.

capture005

Ensuite, on se retrouve avec un message d’avertissement. Cela est dû au fait que l’on va chiffrer, aussi, des partitions système, constructeur, de récupération.

capture006

Je choisi « Amorcage », sous entendu « Amorcage simple » et pas de multiboot. Dans le cas qui me concerne, le multiboot n’est pas autorisé.

capture007

Le chiffrement AES avec un hachage SHA-256. La documentation de Veracrypt fait état de niveau de chiffrement plus « dur ».

capture008

Ensuite on saisit son mot de passe.

capture009

Il y a un mappage de disposition de clavier. Vous saisit un mot de passe avec votre clavier azerty mais il est saisi format qwerty. Si vous tapez « a« , il sera sauve « q« , si vous tapez « m« , il sera sauvé « ;« . En fait, Veracrypt utilise directement les codes touches non traduits. veracrypt Troubleshooting

capture010

Moi, j’ai fait ma « feignasse », j’ai saisi un mot de passe court et j’ai cet avertissement. Je pense que si quelqu’un cherche à craquer le mot de passe, c’est qu’il n’est plus en la possession de l’utilisateur, donc c’est fichu. Sauf une organisation gouvernementale ou criminelle, le petit voleur opportuniste ne se fatiguera pas à craquer quoique ce soit, il passera (lui ou son pôte « informaticien » sic) par la case Diskpart + formatage à la réinstallation de windows. CQFD.

capture011

On génère les clés. On bouge la souris, mais si on est pressé, on bouge et on clique. Le click compte pour plusieurs mouvement de souris…

capture012

La génération des clés est faite. On peut les afficher si on le souhaite.

capture013

Ensuite on passe à la création de l’image iso de récupération. NOTEZ et c’est important, de cocher « Ne pas vérifier le disque de secours ». Si vous ne le cochez pas. Vous n’aurez pas d’autres choix que de graver l’iso et la testé. Vous ne pourrez pas faire machine arrière et revenir à ce menu pour, finalement, cocher la case. On choisi au le chemin où sauvegarder l’image iso.

capture014

Là on choisi l’endroit où l’on peut sauvegarder l’image iso de récupération.
Contrairement à BitLocker qui ne le permet pas, on peut sauvegarder l’image iso de récupération sur le disque. Pour éviter les oublis, tout comme la clé Bitlocker est sauvegardée dans l’AD, l’image de récupération est sauvegardée dans un répertoire partagé aux droits d’accés restreint.

capture015

L’image iso sera donc sauvegarder sur un séquestre, un disque partagé aux accès restreints et la case « Ne pas vérifier le disque de secours » est bien cochée.

capture016

Le résultat que le disque est bien crée.

capture017

Un énième message d’avertissement indiquant que si la machine avait par le passé un disque de secours, celui-ci est caduque. Normal…

capture018

On passe à la phase de pré-test de chiffrement. Veracrypt va vérifier le système après avoir redémarré.

capture019

Encore un énième message d’avertissement. Veracrypt est disponible pour tout un chacun, les développeurs ont donc usé et abusé de « ceinture + bretelle »… Pour les Administrateur Windows, c’est plus que pénible. Au bout du 10 ordinateurs, on en a déjà marre…

capture020

On redémarre.

Au boot, Veracrypt demande le mot de passe. Pas d’inquiètude sur le clavier AZERTY vs QWERTY. Comme indiqué plus haut, Veracrypt a fait le mappage AZERTY => QWERTY.

Ensuite, il fait un test, puis windows démarre.

Vous ouvrez la session. Veracrypt se lance.

capture021

Là on clique sur « Chiffrer », et on a presque fini.

capture022

On doit accepter les CGU.

capture023

Le chiffrement se fait. Sur une machine en Intel Xeon 8go avec un HHD de 1To et une partition système de 70G, ça me prend 8 heures…

capture024

Une fois que le chiffrement est fait, terminé, « Done ».

Génération du mot de passe utilisateur

Je rappelle. L’idée est d’avoir un moyen de déchiffrement et offrir à l’utilisateur d’avoir son propre mot de passe.

On passe au changement de mot de passe pour l’utilisateur.

On lance Veracrypt

capture-0000

On se retrouve avec l’interface Veracrypt. Dans mon cas, c’est « easy », il n’y a qu’un seul disque, je ne peux donc pas me tromper.

capture-0001

Un click droit et on click sur « Change Password »

capture-0002b

L’interface de changement de password s’ouvre.

capture-0003

On saisit le mot de passe du service. L’utilisateur, lui, saisit et confirme son mot de passe.

capture-0004

Veracrypt fait son mappage clavier et quelque soit le mot de passe saisi avec un clavier azerty, il est sauvé comme si il avait été saisi avec un clavier qwerty. Le mot de passe utilisateur saisi est « totoisacunt » (Toto is a cunt). Veracrypt a transformé le « a » en « q »

capture-0005

Si le mot de passe saisi par l’utilisateur est trop court ou « weak », vous avez un « Warning », un popup d’avertissement.

capture-0006

On génère… En fait, je ne sais pas quoi! tout comme précédemment, on bouge la souris, mais si on est pressé, on bouge et on clique. Le click compte pour plusieurs mouvement de souris…

capture-0007

Une fois fait, on a un énième « Warning »

capture-0008

Après avoir validé le « Warning », on a le « Warning » le plus intéressant. Celui qui indique qu’avec le rescue disk et l’ancien password, on peut encore déchiffrer le disque. C’est le but, d’ailleurs.

capture-0009

Voilà. Le service avec le rescue disk et le mot de passe « générique » peut déchiffrer le disque de l’utilisateur, lorsque lui a son propre mot de passe connu de lui seul.

RetEx (Retour d’Expérience)

    Il peut y avoir des problèmes à l’issue du chiffrement avec certaines cartes RAID.
    Le chiffrement peut se faire malgré des secteur ou clusters défectueux mais un plantage est inévitable au démarrage.

Liens :

Il existe des dizaine de sites parlant de Veracrypt et qui repose sous Ubuntu. Je ne mentionnerai pas ces sites. Pourquoi? Parce que il existe des différences entre la version Linux et la version Windows. Et mon propos concerne Windows.

VERACRYPT FOR WINDOWS – SECURE FILE STORAGE

Ressources sur la Sécurité des Systèmes d’Information : Cryptez vos donnees avec veracrypt

openclassrooms.com : Protegez l’ensemble de vos donnees sur votre ordinateur. chiffrez vos donnees personnelles

Cet article, publié dans Active Directory, AD DS, Chiffrement, déploiement, Deploiement, Deployment, links, privacy, Tips, WAPT, Windows 10, Windows 7, est tagué , , , , , , , , , , , , , , , . Ajoutez ce permalien à vos favoris.

Un commentaire pour Chiffrement avec Veracrypt

  1. Ping : Chiffrement BitLocker sans TPM | Administration Système & Windows

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s