Le chiffrement des données sur le cloud (pour les nuls)

Une affaire des photos de stars volées sur Icloud a fait quelques bruits récemment. Et comme toujours un déchaînement de commentaires tous plus beaufs les uns que les autres :

• bien fait pour elles, n'avaient qu'à pas faire des photos cochonnes
• bien fait pour elles, n'avaient qu'à pas utiliser icloud
• bien fait pour elles, z'avaient qu'à mieux protéger leur données
• ...

Bon, on ne va pas ici faire des commentaires sur les commentaires !

Par contre on peut sans doute faire un lien avec d'autres affaires qui ne firent pas autant de bruit, si ce n'est dans la communauté libriste :

• Le développeur de Truecrypt admettant que son logiciel comportait des failles et annonçant qu'il jetait l'éponge.
• Dropbox accueillant Condoleezza Rice (1) au sein de son conseil d'administration.

Voila qui, dans un cas comme dans l'autre, apporte de l'eau au moulin des logiciels libres, tels EncFS pour le chiffrement ou Owncloud pour la synchronisation des données en ligne. L'utilisation de ce dernier fera l'objet d'un futur article, mais signalons dès à présent qu'il existe de nombreux hébergeurs offrant ce service. Et revenons au chiffrement.

EncFS est un système de fichiers chiffrés extrêmement simple à installer et à utiliser. Conçu initialement pour Linux, il est également porté sous Windows, sous Mac et sous Android.

Principe de fonctionnement

EncFS chiffre / déchiffre à la volée des données d'un répertoire en clair vers / depuis  un répertoire chiffré dédié à partir duquel il est monté.

Dans la pratique imaginons que vous désiriez protéger des données sensibles sur Dropbox. Avec EncFS vous créerez un (ou plusieurs) répertoire(s) chiffré(s) (par ex: ~/Dropbox/Private) auquel vous accéderez à travers un répertoire en clair monté en local dans l'espace utilisateur (par ex: ~/Secret). Quand celui-ci est démonté il apparaît vide.

Avantages et limitations

Contrairement à Truecrypt EncFS n'utilise pas de conteneur et chiffre directement les fichiers. En matière de sauvegardes incrémentielle et de synchronisation c'est clairement un avantage : il n'est pas nécessaire de transférer tout le conteneur à chaque écriture. Par contre cela a quelques inconvénients :

• Cela ne permet pas le déni plausible (cacher un conteneur dans un autre).
• le dossier de stockage est visible et si le nom des fichiers est caché le nombre de fichiers, leur taille et les droits d'accès ne le sont pas.
• Selon un audit du 5 février 2014

  "EncFS est probablement sans danger tant que l'adversaire n'obtient qu'une copie du texte chiffré et rien de plus. Il est bien moins sûr si l'adversaire a la possibilité de voir deux ou plusieurs instantanés du texte chiffré à des moments différents"

Bref, si votre besoin est ne mettre les données de votre organisation syndicale ou politique à l'abri de la NSA, EncFS sera clairement un outil insuffisant. Par contre si vous souhaitez seulement protéger vos données personnelles de votre employeur, ou les photos de votre petite amie des paparazzi, cela devrait parfaitement convenir.

Installation et mise en œuvre

Les principales distributions comprennent généralement un paquet de EncFS. Les dépendances (essentiellement fuse) seront automatiquement installées si besoin.

Pour Debian et dérivées
$ sudo apt-get install encfs
Il est semble-t-il nécessaire que l'utilisateur appartienne au groupe fuse
sudo addgroup $USER fuse

Pour Archlinux il est dans le dépot community
$ yaourt -Sy encfs (ou $ sudo pacman -Sy encfs)

Il suffit ensuite d'évoquer encfs pour créer le système de fichier proprement dit ainsi que son point de montage en clair. Si les dossiers n'existent pas il vous sera proposé de les créer (ce qui est une bonne idée).
encfs ~/repertoire/chiffré ~/point/de/montage/en/clair
Dans notre exemple :
encfs ~/Dropbox/Private ~/Secret

On acceptera ensuite les valeurs proposées, par défaut, notamment l'option paranoïa (sinon man encfs pour plus d'option). Puis on prendra le plus grand soin à choisir un mot de passe unique, suffisamment long et compliqué.

Une fois les dossiers créés c'est la même commande (encfs ~/repertoire/chiffré ~/point/de/montage/en/clair) qui permettra le montage du répertoire. Pour le démonter on en utilisera une autre, bien connue des utilisateurs de fuse : fusermount -u /point/de/montage/en/clair.

Interface graphique

Une petite application bien sympathique permet de gérer ceci graphiquement, Cryptkeeper. Elle est présente dans Archlinux (AUR), dans les Debian et dérivées et se loge tout simplement dans la zone de notification (systray)

Une fenêtre des préférences (clic droit) permet de régler quelques paramètres.

(1) ex-secrétaire d'État américaine sous George Bush, impliquée dans les écoutes de la NSA et dans les actes de torture pendant la guerre en Irak.