Une clé USB chiffrée avec dm-crypt & LUKS

Par les temps qui courent, c’est une bonne idée de chiffrer les données que vous transportez sur une clé USB. C’est le genre d’objet qu’on perd ou qu’on oublie facilement, j’en ai personnellement laissé une dans l’ordi d’un cyber-café une fois. On regrette alors d’avoir laissé des informations importantes à la portée d’un quidam.

Mais quelle solution choisir ? Le wiki ArchLinux propose un tableau des différentes méthodes disponibles sous Linux et le site Phoronix a réaliser des tests pour mesurer l’impact que peux avoir le chiffrement d’une partition sur les performances en comparant dm-crypt + LUKS à eCryptfs. Le site Prism Break recommande d’utiliser dm-crypt + LUKS comme option de chiffrement. L’avantage d’utiliser LUKS (Linux Unified Key Setup) est que c’est un standard multi-plateforme et qu’il est supporté par toutes les distributions GNU/Linux.

  1. On commence par vérifier que le paquet cryptsetup est installé. Vous pouvez le voir ou l’installer depuis votre gestionnaire de paquets, sinon, dans un terminal, lancez la commande : (pour Debian et dérivées Ubuntu, Linux Mint, …)

Si vous compter utiliser la clé USB sur des postes avec Windows, il faut réserver la première partition en la formatant en FAT32. J’utilise une clé de 32 Go pour la démonstration. On va créer deux partitions chiffrée : une de 4 Go formatée FAT32, l’autre de 28 Go formatée EXT4.

Mise en garde : si vous avez déjà utilisé la clé USB, assurez-vous d’avoir sauvegardé son contenu sur un autre disque, les opérations suivantes vont totalement supprimer les donnés présentes sur la clé. Ne faite pas l’erreur de formater un autre disque par inadvertance, après avoir introduit la clé à chiffrer, vérifier le nom de périphérique attribué par le système dans le gestionnaire de disque ou avec la commande :

Les dernières lignes indiquent le nom de périphérique, ici sdf :

2. Démontage : La ou les partitions sont automatiquement montées lors du branchement, il faut les démonter (adaptez /dev/sdxx à votre cas) :

3. On supprime la table de partition et on en créé une nouvelle avec l’utilitaire fdisk. L’option o crée une nouvelle table vide de partitions DOS, w écrit la table sur le disque et quitte.

4. Création des partitions : on relance fdisk pour créer les deux partitions. L’option n ajoute une nouvelle partition. On fait entrée pour choisir les options par défaut sauf à l’étape dernier secteur : la taille de la première partition est 7 628 904 secteurs (4 Go). La taille d’un conteneur FAT32 ne peut dépasser 3 999 Mo. On continue pour la deuxième partition avec les valeurs par défaut, w pour écrire la table et quitter fdisk.

5. Chiffrement des partitions : notez le F majuscule de la commande luksFormat. vous aurez le message « cryptsetup: Action inconnue » si vous mettez un f minuscule. Vous pouvez entrer la même phrase secrète pour les deux partitions. Par sécurité, générez une phrase complexe (ex.: 3c »M6YwmjiRMT*A~v(2! ). J’utilise l’application Revelation pour générer et stocker mes mots de passe dans une base de données chiffrée. KeePassX & KeePass2 ont les mêmes fonctions.

Même chose pour la seconde partition :

6. Formatez les partitions chiffrées : on doit utiliser la commande « cryptsetup luksOpen » pour déchiffrer la partition avant de la formater et lui attribuer un nom unique pour le mappage, ici LUKS01 et LUKS02. On donne le label « fat-chiffre » à cette partition qui apparaîtra dans le gestionnaire de fichier une fois montée.

pour la seconde partition (label ext4-chif) :

Voilà, la méthode en ligne de commande est longue et un peu fastidieuse mais permet de bien comprendre les différentes étapes. Vous pouvez plus simplement utiliser l’application « Disques » si vous préférez l’interface graphique.Clé USB chiffrée

Utilisation avec Windows :

Par défaut, Windows ne sait pas comment traiter la clé chiffrée lorsque vous la placez dans un port USB. Il propose de la formater, ne le laissez pas faire !! Il faut auparavant installer un petit utilitaire (un logiciel libre) disponible sur GitHub, LibreCrypt version 6.2. C’est une version béta mais je l’ai testé sans rencontrer de problème sous Windows 7. Après installation du programme, il est par contre nécessaire de contourner la protection de Micro$oft contre les pilotes non signés par une commande en mode administrateur (image suivante). Les instructions détaillées en anglais sont sur cette page.

Windows-cmd

Il faut rebooter l’ordi après avoir passé la commande avec succès. L’utilisation est ensuite asse simple et intuitive. Les copies d’écran suivantes vous aideront.

Montage LibreCrypt

Cliquez sur l’icone « Open partition », sélectionnez la première partition du second disque (Disque n°1).

LibreCrypt demande phrase de passe

Tapez ou coller la phrase de passe (champ User entered).

LibreCrypt : clé USB montée

File-manager Win

 

 

 

 

 

 

Librement inspiré de cet article.

Flattr this!

Une réflexion au sujet de « Une clé USB chiffrée avec dm-crypt & LUKS »

  1. Ping : sweetux’Autonews #2 | SWEETUX.ORG

Les commentaires sont fermés.