Le chiffrement des partitions Linux d'un ordinateur de bureau est-il utile?

Pendant des années, j’ai eu un item sur ma liste de choses à faire: chiffrer (encrypter) le disque dur de données de mon ordinateur de bureau personnel. Parce que… que se passerait-il si je me faisais cambrioler?

Bien qu’il soit facile de créer un volume chiffré avec Fedora (avec l’installateur initial ou avec GNOME Disks), le fait que la partition /home de mon ordinateur de bureau soit un disque dur de 2 TB a toujours retardé la chose: ça implique reformater la partition, ce qui veut dire au minimum 6 heures de restauration de données après formatage.
En y repensant récemment, j’ai toutefois décidé de laisser tomber l’idée, et pas seulement pour des raisons de paresse.

Depuis l’introduction de la version «stable» de ext4 il y a cinq ans (sept ans si on compte la version instable), j’ai eu, de façon tout à fait aléatoire, au moins une corruption totale de système de fichiers ext4 par année (ou aux six mois? J’aurais dû tenir un journal de ces événements). Quand on pense que ext4 est supposé être le truc hyper stable, mainstream et testé, ça donne froid dans le dos. Je ne fais tout simplement plus confiance aux systèmes de fichiers, du moins pas ext4. Heureusement que je fais régulièrement mes backups: il y a à peine un mois, j’ai subi une telle corruption simplement en redémarrant (proprement) deux fois d’affilée. Il va falloir travailler fort pour me convaincre que Btrfs puisse être plus fiable.
Pour un ordinateur portatif, la question ne se pose pas: chiffrez tout. Si on voyage avec l’ordinateur, il y a toujours un risque qu’il soit volé. Il est improbable que les chapardeurs soient assez sophistiqués pour s’intéresser au contenu d’une partition Linux, mais on ne sait jamais, alors autant utiliser du chiffrement avec une bonne phrase de passe. Spécialement si vous avez des données confidentielles dans le cadre du travail ou autres.
En revanche, pour juger de la pertinence du chiffrement de disque d’un ordinateur de bureau, il faut songer à:

• Ce qu’on veut vraiment protéger. Dans mon cas, j’ai un peu de mal à trouver des choses qui signifieraient la fin du monde si elles étaient lisibles par un attaquant local:
  • Mes documents personnels (articles, notes, etc.), photos: bof?
  • Mon cache local de client mail. Compte tenu que j’utilise l’approche Inbox Zero, que j’efface les courriels contenant des mots de passe/codes d’identification… Bof?
  • Fichier de mots de passe: il est déjà protégé par mot de passe.
  • GNOME keyring: protégé par mot de passe/login/etc. Je leur fais confiance pour avoir créé un système un peu résistant (sinon quel est le but?)
  • Clés GPG ou clés SSH «importantes»: protégées par mot de passe. À ce que je comprends, même s’ils ont la clé privée sous la main, encore faut-il qu’ils sachent la phrase de passe pour l’utiliser.
  • Documents d’entreprise: en théorie mieux vaut ne simplement pas les avoir sur l’ordinateur de bureau de la maison. En pratique, on pourrait aussi penser: «Bof, si quelqu’un a cambriolé ma maison, la protection des documents qui ne sont même pas les miens est le moindre de mes soucis, on m’a probablement déjà piqué mon passeport et saccagé mes biens».
• La probabilité d’un cambriolage impliquant un ordinateur de bureau:
  • Bientôt, j’habiterai au sixième étage d’un immeuble de huit étages donnant sur un plan d’eau. À moins d’être les Yamakasi, impossible d’entrer par la façade. Pour ce qui est de l’entrée normale, il faut passer un lobby, ascenseur, puis une porte verrouillée parmi tant d’autres dans un couloir.
  • Le boîtier de mon ordinateur de bureau est déjà cadenassé. En plus, il est raccordé par une douzaine de câbles.
  • Les ordinateurs personnels n’ont pratiquement plus aucune valeur, tant dans le neuf que dans l’usagé. À moins d’être un gamer irrécupérable, il est impensable de payer 2000-3000$ pour un ordinateur de bureau de nos jours.
  • Un cambrioleur se base habituellement sur deux principes:
    • Trouver des objets de valeur faciles à emporter (argent liquide, cartes de crédit, bijoux, téléphones, tablettes et ordinateurs portatifs?)
    • Passer le moins de temps possible dans la demeure. Tout doit être bouclé en l’espace de dix minutes, à moins d’avoir la certitude que le logis sera inoccupé pendant une longue période de temps. Je doute que, de nos jours, un cambrioleur s’amuse à défaire le câblage d’un ordinateur de bureau.
• La probabilité qu’un voleur ou son complice ait les connaissances pour utiliser les données pertinentes après le cambriolage:
  • Il faut connaître l’usage des partitions Linux
  • Il faut connaître l’emplacement des données intéressantes. Par exemple le dossier de cache du client mail de l’utilisateur (si applicable; d’ailleurs, encore faut-il traduire ces données en quelque chose d’utilisable). Ou encore fouiller 22 000+ éléments dans ~/Documents pour trouver quelque chose de pertinent.

J’ai également l’impression que le fait de chiffrer une partition peut augmenter les vecteurs de bugs potentiels: qu’est-ce qui me dit que les métadonnées du système de fichier ou du LVM gouvernant le chiffrement LUKS ne vont pas péter aléatoirement une belle journée? Par exemple, j’ai déjà vu le cas où changer la phrase de passe LUKS a corrompu le système au point où il était plus facile de tout réinstaller. Et ça c’est sans parler de FSCK.
Alors mon disque de backup externe est bel et bien chiffré (puisqu’il est portable), mais le disque interne de mon ordinateur de bureau ne l’est pas; pour un scénario aussi peu probable, ça me semblerait être un excès de paranoïa. Qu’en dites-vous?