Le chiffrement des partitions Linux d’un ordinateur de bureau est-il utile?

Pendant des années, j’ai eu un item sur ma liste de choses à faire: chiffrer (encrypter) le disque dur de données de mon ordinateur de bureau personnel. Parce que… que se passerait-il si je me faisais cambrioler?

computer thief
Ouais. C’est totalement comme ça que ça se passe en réalité.

Bien qu’il soit facile de créer un volume chiffré avec Fedora (avec l’installateur initial ou avec GNOME Disks), le fait que la partition /home de mon ordinateur de bureau soit un disque dur de 2 TB a toujours retardé la chose: ça implique reformater la partition, ce qui veut dire au minimum 6 heures de restauration de données après formatage.

En y repensant récemment, j’ai toutefois décidé de laisser tomber l’idée, et pas seulement pour des raisons de paresse.

"MEH...", par KyuuNatsuki. Cliquez pour voir l'original sur deviantart.
«MEH…», par KyuuNatsuki. Cliquez pour voir l’original sur deviantart.

Depuis l’introduction de la version «stable» de ext4 il y a cinq ans (sept ans si on compte la version instable), j’ai eu, de façon tout à fait aléatoire, au moins une corruption totale de système de fichiers ext4 par année (ou aux six mois? J’aurais dû tenir un journal de ces événements). Quand on pense que ext4 est supposé être le truc hyper stable, mainstream et testé, ça donne froid dans le dos. Je ne fais tout simplement plus confiance aux systèmes de fichiers, du moins pas ext4. Heureusement que je fais régulièrement mes backups: il y a à peine un mois, j’ai subi une telle corruption simplement en redémarrant (proprement) deux fois d’affilée. Il va falloir travailler fort pour me convaincre que Btrfs puisse être plus fiable.

Pour un ordinateur portatif, la question ne se pose pas: chiffrez tout. Si on voyage avec l’ordinateur, il y a toujours un risque qu’il soit volé. Il est improbable que les chapardeurs soient assez sophistiqués pour s’intéresser au contenu d’une partition Linux, mais on ne sait jamais, alors autant utiliser du chiffrement avec une bonne phrase de passe. Spécialement si vous avez des données confidentielles dans le cadre du travail ou autres.

En revanche, pour juger de la pertinence du chiffrement de disque d’un ordinateur de bureau, il faut songer à:

  • Ce qu’on veut vraiment protéger. Dans mon cas, j’ai un peu de mal à trouver des choses qui signifieraient la fin du monde si elles étaient lisibles par un attaquant local:
    • Mes documents personnels (articles, notes, etc.), photos: bof?
    • Mon cache local de client mail. Compte tenu que j’utilise l’approche Inbox Zero, que j’efface les courriels contenant des mots de passe/codes d’identification… Bof?
    • Fichier de mots de passe: il est déjà protégé par mot de passe.
    • GNOME keyring: protégé par mot de passe/login/etc. Je leur fais confiance pour avoir créé un système un peu résistant (sinon quel est le but?)
    • Clés GPG ou clés SSH «importantes»: protégées par mot de passe. À ce que je comprends, même s’ils ont la clé privée sous la main, encore faut-il qu’ils sachent la phrase de passe pour l’utiliser.
    • Documents d’entreprise: en théorie mieux vaut ne simplement pas les avoir sur l’ordinateur de bureau de la maison. En pratique, on pourrait aussi penser: «Bof, si quelqu’un a cambriolé ma maison, la protection des documents qui ne sont même pas les miens est le moindre de mes soucis, on m’a probablement déjà piqué mon passeport et saccagé mes biens».
  • La probabilité d’un cambriolage impliquant un ordinateur de bureau:
    • Bientôt, j’habiterai au sixième étage d’un immeuble de huit étages donnant sur un plan d’eau. À moins d’être les Yamakasi, impossible d’entrer par la façade. Pour ce qui est de l’entrée normale, il faut passer un lobby, ascenseur, puis une porte verrouillée parmi tant d’autres dans un couloir.
    • Le boîtier de mon ordinateur de bureau est déjà cadenassé. En plus, il est raccordé par une douzaine de câbles.
    • Les ordinateurs personnels n’ont pratiquement plus aucune valeur, tant dans le neuf que dans l’usagé. À moins d’être un gamer irrécupérable, il est impensable de payer 2000-3000$ pour un ordinateur de bureau de nos jours.
    • Un cambrioleur se base habituellement sur deux principes:
      • Trouver des objets de valeur faciles à emporter (argent liquide, cartes de crédit, bijoux, téléphones, tablettes et ordinateurs portatifs?)
      • Passer le moins de temps possible dans la demeure. Tout doit être bouclé en l’espace de dix minutes, à moins d’avoir la certitude que le logis sera inoccupé pendant une longue période de temps. Je doute que, de nos jours, un cambrioleur s’amuse à défaire le câblage d’un ordinateur de bureau.
  • La probabilité qu’un voleur ou son complice ait les connaissances pour utiliser les données pertinentes après le cambriolage:
    • Il faut connaître l’usage des partitions Linux
    • Il faut connaître l’emplacement des données intéressantes. Par exemple le dossier de cache du client mail de l’utilisateur (si applicable; d’ailleurs, encore faut-il traduire ces données en quelque chose d’utilisable). Ou encore fouiller 22 000+ éléments dans ~/Documents pour trouver quelque chose de pertinent.

J’ai également l’impression que le fait de chiffrer une partition peut augmenter les vecteurs de bugs potentiels: qu’est-ce qui me dit que les métadonnées du système de fichier ou du LVM gouvernant le chiffrement LUKS ne vont pas péter aléatoirement une belle journée? Par exemple, j’ai déjà vu le cas où changer la phrase de passe LUKS a corrompu le système au point où il était plus facile de tout réinstaller. Et ça c’est sans parler de FSCK.

Alors mon disque de backup externe est bel et bien chiffré (puisqu’il est portable), mais le disque interne de mon ordinateur de bureau ne l’est pas; pour un scénario aussi peu probable, ça me semblerait être un excès de paranoïa. Qu’en dites-vous?

Jeff

Branding strategist and business developer, free & open-source software UX designer and experienced community manager. Has unlimited hi-HP potions to keep teammates alive.

You can check out my main website or find me on G+ or Twitter.

21 Replies to “Le chiffrement des partitions Linux d’un ordinateur de bureau est-il utile?”

  1. Je le répète depuis des années, il ne sert à rien de chiffrer un disque si les données contenues n’ont pas d’importance marchande/industrielle.

    Comme vous le précisez très bien, sous linux, les données les plus sensibles n’appartenant pas à ces catégories sont chiffrées de base ou offrent des possibilités simples et intégrées de chiffrement.

    Bref, pour 99% des gens pour un pc perso, même sur portable, le chiffrement ne sert à rien.

  2. Pour ma part, KeePassX pour stocker mes mots de passe “comptes” et une “partition” de 1 Go TrueCrypt pour les fichiers a garder au secret. C’est dupliqué sur un disque externe donc récupérable sur tout ordi en cas de perte.

  3. En effet, sans doute que pour la plupart des gens cela ne “sert à rien”.

    Toutefois, bien que je fasse partie de cette catégorie de gens, je vous assure qu’après m’être fait volé mon PC, j’ai regretté amèrement de ne pas avoir chiffré mon home : on pense à toutes nos photos et vidéos persos, aux fichiers de compta, aux informations que l’on pourrait avoir laissé trainer, etc. Et on prie que tout ça ne se retrouve pas sur Youtube ou ailleurs…

    Pour le faible coût (petite perte de performances I/O et faible risque de corruption ou perte de la clé), et pour peu que l’ont ait une bonne politique de sauvegarde, je pense que ça vaut vraiment la peine de chiffrer les PC portables qui sont amenés à sortir de chez soi.

    Et c’est vraiment simple de mettre en place eCryptfs sur son home, même à postériori :
    http://blog.dustinkirkland.com/2011/02/long-overdue-introduction-ecryptfs.html

  4. Déjà ça me “rassures” ce que tu dis sur EXT4. Ce n’est donc pas moi qui rêvait et pourtant on m’a souvent dit que j’étais un peu timbré lorsque je demandais à un hébergeur de me remettre une machine de production en EXT3…

    Alors rajouter une couche de chiffrement sur un édifice pareil, c’est “mécaniquement” augmenter les risques de corruptions. Et encore plus s’agissant d’une unité mobile. Et comme je trouve bien peu d’étude me prouvant qu’il est possible de réparer des volumes chiffrés, je suis plus que méfiant. C’est un peu le même problème que pour la compression.

    Du coup pour moi la première réticence face au chiffrement est clairement un problème d’intégrité des données. J’aurais préféré qu’il existe des approches plus douces, comme par exemple le chiffrement de l’accès aux fichiers (chiffrement du secteur “directory” d’un FS) qui serait largement suffisant pour une protection contre le vol de matériel. Ou encore des méthodes de chiffrement “par fichier” directement pris en charge par le système de fichier (sans passer par des dossiers/conteneurs). Mais dans un cas comme dans l’autre je n’ai jamais rien trouvé de probant. De telles approches n’apporteraient rien en cas de vol de données, mais serait je pense bien suffisante lorsque l’objectif est avant tout le matos.

    Ce qui amène évidemment à la base de la sécurité : quels risques cherche t’on couvrir ? L’option du chiffrement total peut sembler la plus efficace contre le vol, mais faut-il encore que l’on possède des données susceptibles d’être volées pour ce qu’elles sont. Et comme évoqué plus haut, ce chiffrement se fait au détriment de l’intégrité des données qui représente un sujet fondamental lorsque l’on parle de sécurité.

    Pour prendre mon cas d’indépendant, mes données intéressent peu de monde. Mais mes clients seraient probablement mécontents s’ils apprenaient que ce qu’ils m’ont confié était parti, en clair, dans la nature. Mais me concernant, le risque majeur est l’intégrité des données. Si je perds mes données, je perds mon outil de travail. En somme je me contrefiche que l’on me tire mon matos qui n’a que bien peu de valeur au regard des données qu’il contient. L’important est donc pour moi de pouvoir restaurer rapidement mon outil de travail et de protéger mes données stratégiques (mots de passe, données clients, etc) d’indiscrétion de base. En somme cela peut se résumer par du backup redondant et le chiffrement simple de dossiers.

  5. Ce qui m’a le plus surpris dans ce billet était le nombre de fois où un système de fichiers ext4 a été corrompu sans recours . Une telle chose ne m’est jamais arrivée depuis 15 d’utilisation quotidienne de linux. Avec ext2, je pense pouvoir compter sur les doigts des 2 mains les fois où la vérification au montage a demandé une intervention manuelle consistant à confirmer la suppression de quelques inodes. Avec ext3, je pense que ça ne m’est plus arrivé. Que s’est-il passé avec ext4 ?

  6. Très d’accord avec ce texte.
    PC portable pro complètement crypté.
    Desktop perso sans partition cryptée, tout en ext2, 3 puis 4 (et avec 1 seul plantage depuis 2000).
    Une zone truecrypt me suffit pour sécuriser les quelques docs persos.

  7. si tu as peur pour l’integrité de tes données fait des sauvegardes !!!!
    un disque, ca lache tot ou tard et la pouff plus rien. d’ailleurs dans ton cas je pense que tu as un probleme materiel sur ta carte mere, firmware ou disque car je n’ai jamais au aucun soucis depuis 10ans.

    sur le chiffrement, le cout cpu est assez faible, pourquoi s’en priver? si tu te fait cambrioler un jour tu resteras serein et tu n’auras pas à changer tous tes comptes. sans compter que les données perso c’est ce qu’il ya de plus precieux surtout si tu stockes ta vie en numerique depuis 10ans.

  8. Le nombre de tes corruptions de FS est totalement anormal. Je fais tourner des serveurs, des postes, des portables depuis des années sous Linux, au boulot et à la maison, et la seule fois où j’ai eu des corruptions, c’était lié à une barrette de mémoire défectueuse. Je n’ai jamais entendu de problèmes de cet ampleur nul part ailleurs non plus. S’il y avait effectivement ce genre de bug dans ext4 je pense que ça ferait un peu plus de bruits.

    Attention en utilisant les anciens système de fichier, ils sont moins utilisés, et beaucoup moins maintenus par les développeurs. Ted Ts’o (mainteneur) a d’ailleurs conseillé d’utiliser le driver ext4 pour monter du ext2 ou du ext3.

  9. Pour ce qui est de ext4, je croise parfois des gens sur le net (comme Yoran ci-haut) qui confirment que je ne suis pas fou et qu’il y a un problème (ou une malédiction) affectant certains avec l’ext4 (du moins sur des machines de bureau, je n’ai pas rencontré le problème du temps où je tenais un serveur, où il y a moins de logiciels et donc moins de choses qui se passent sur / ). J’ai des amis qui confirment le phénomène et haussent les épaules “on fait des backups régulièrement”.

    À ceux qui doutent de la présence d’un bug, ça m’est arrivé sur différents ordinateurs de bureau (donc différentes carte mères, mémoire, disques durs) et différents laptops, avec différentes distributions Linux (précédemment Ubuntu, maintenant Fedora). Mon alimentation électrique n’est pas une noname et j’ai fait un memtest sur ma mémoire vive, etc.

    Évidemment, je fais des sauvegardes avec rsync toutes les semaines, ext4 ou pas.

    1. Il y a des bugs, incontestablement, sans quoi il n’y aurait jamais de corrections; et rien qu’en lisant les annonces de sortie des nouveaux kernels, on voit passer régulièrement des corrections sur ext*.

      Mais lorsqu’il y a un bug qui entraine des corruptions de données, ça fait autrement du bruit. La dernière fois qu’un tel bug a été détecté et corrigé (il y a un peu plus d’une année https://lwn.net/Articles/521803/ ) les journaux informatiques en ont fait des articles alors que le cas ne concernait finalement pas grand monde.

      A ta place, je chercherais l’origine de ces corruptions à répétitions parce qu’il est impensable de nos jours d’avoir un système de fichier détruit tous les 6 mois; on ne ferait pas tourner tant de systèmes avec sans que ça ne se remarque et que ça remonte aux développeurs.

  10. I still don’t quite get why the fact that you’re hitting a bug in ext4 would prevent you from encrypting your hard drive. Whether your block device is encrypted or not shouldn’t really make a difference.

    Two arguments in favor of encryption that I haven’t seen in the comments:

    • If everybody encrypted everything, people who used encryption might not automatically be viewed as “having something to hide”.
    • How are you going to trust your OpenSSH to not send your unencrypted SSH key to all your contacts after you enter your password? From version control to releases and distribution packages, free software developers try to make sure that you can trust the software that you get by using cryptography (after all, that’s one of the main advantages of free software). By leaving the binary vulnerable to modification, you have to give up that trust to some degree.

    I use LUKS and I’ve never had an issue with it.

  11. Jamais eu de problème avec ext4 par contre je déconseille btrfs. Deux corruptions et à chaque fois, impossible à corriger. My 2 cents.

  12. Une surcouche encfs pour ma part afin de chiffrer les documents que je juge sensibles. Plus pratique pour les sauvegardes incrémentielles qu’un conteneur truecrypt puisque les fichiers sont chiffrés un par un.

    1. Comment se passe la sauvegarde des dossiers chiffrés par encfs? Directement sur les données chiffrées?

      J’ai essayé de sauvegarder le dossier monté (contenant les données déchiffrées) avec duplicity et j’obtiens l’erreur “Error accessing possibly locked file”.

      1. Le dossier monté (déchiffré) est réservé à l’utilisateur qui le monte. C’est normal que ta sauvegarde ne se fasse pas. Il est mieux de sauvegardé le dossier chiffré. En plus, ton support de sauvegarde sera chiffré aussi, du coup.
        Il faut bien veiller à sauvegarder le fichier xml caché à la racine du dossier chiffré. Sans lui, impossible de déchiffrer.

  13. Tu dis que le système de fichier n’est pas fiable et crypter les partitions augmentent les risques de problème. Qu’attends-tu pour changer d’OS ?

  14. Deux commentaires :
    Premièrement, le chiffrement s’il est fait avec LUKS s’effectue entre le périphrique bloc et le système de fichier, une fois la clé de déchiffrement correcte entrée, tout est lisible corruption du système de fichier ou pas, en cas de plantage ext4, les outils de récupération classiques fonctionneront exactement comme sur un disque classique.
    Ensuite, tu dois vraiment avoir un problème matériel, ou tu joue avec des options particulières du noyaux, avec ton taux de panne ext4, et le nombre de machines que je gère, j’en perdrais une par semaine minimum, et pourtant, je te promet que mes fs bossent : redimentionnements à chaud LVM, sauvegardes avec rsnapshot et backuppc (des dixaines de hardlinks dans tous les sens), stockage de cache disque squid, serveurs de bases de données mysql, postgres et j’en passe. J’ai eu un cas, de plantages récurents avec un SSD moisi (à la troisième corruption, plus aucun OS n’était capable de le formater, et j’ai du mettre à jour le firmware de mon disque hybride avant de l’utiliser parce que les premières versions de celui-ci étaient connues pour corrompre régulièrement les ext* (il faut d’ailleurs régulièrement vérifier les mises à jour disponibles pour les firmwares de DD, de cartes RAID et de BIOS, il y a parfois de bugs disons rigolos…)

  15. Comme cela a déjà été dit plus haut … un combo TrueCrypt + KeePass2 suffit amplement pour une utilisation de données non critiques industriellement ou autres.
    Sinon, pas de problème particulier à déclarer sous EXT4, ça fait beaucoup 1 à 2 corruptions par an quand même … une bidouille qui serait mal passée ?

Comments are closed.