Les données sensibles sont mieux protégées contre l’accès d’utilisateurs étrangers lorsqu’elles sont cryptées. Avec EFS, Windows XP Professionnel offre certes une option de cryptage des fichiers, mais celle-ci n’est pas la solution optimale pour chaque utilisation. Les utilisateurs de Windows XP Home ne disposent pas d’une telle fonction. Dans l’article suivant, nous présentons des programmes pour différents scénarios et montrons comment les utiliser de manière judicieuse.
Table des matières
Brève excursion en matière de cryptage
Lors du cryptage, le contenu d’un fichier est modifié par un algorithme en combinaison avec une clé (souvent aussi appelée mot de passe) de telle sorte que le contenu réel n’est plus reconnaissable. Lors du décryptage, ce processus est inversé. La science derrière le cryptage et le décryptage est appelée cryptographie.
Variantes de cryptage
Il existe en principe trois types de cryptage.
a.) Chiffrement symétrique
Dans cette variante, la même clé est utilisée pour le cryptage et le décryptage. Seuls une clé suffisamment longue et un algorithme de cryptage sûr permettent de protéger les fichiers cryptés contre les attaques dites de „force brute“, au cours desquelles toutes les clés possibles sont essayées les unes après les autres. Actuellement, l’Advanced Enryption Standard (AES) est considéré comme sûr et impossible à craquer. L’algorithme est librement disponible et peut être utilisé sans frais de licence dans le matériel et les logiciels. Blowfish est également considéré comme sûr à l’heure actuelle et fonctionne encore un peu plus rapidement que AES lors de différents tests comparatifs. En revanche, il ne faut plus utiliser l’ancien DES, car avec sa longueur de clé de 56 bits seulement, il ne résiste pas à une attaque par force brute prolongée. DES a entre-temps été remplacé par AES.
b.) Cryptage asymétrique
Contrairement au cryptage symétrique, le cryptage asymétrique, également appelé procédé à clé publique, utilise 2 clés. Chaque utilisateur possède deux clés : une clé publique et une clé privée.
Les fichiers sont cryptés avec la clé publique et ne peuvent être décryptés qu’avec la clé privée. Si deux utilisateurs utilisent la méthode de la clé publique, l’expéditeur doit uniquement connaître la clé publique du destinataire pour crypter le fichier avec celle-ci. Le destinataire ne peut alors décrypter le fichier qu’avec sa clé privée. Pour tous les autres utilisateurs, le fichier est en revanche sans valeur, car la clé privée manque. Par exemple, le système de fichiers de cryptage (EFS) de Windows XP Professionnel ou de Windows Server 2003 utilise le procédé de cryptage asymétrique.
c.) Combinaison : chiffrement hybride
Le cryptage hybride est une combinaison du cryptage asymétrique et du cryptage symétrique. Cela permet de profiter des avantages des deux méthodes – la vitesse élevée pour le cryptage symétrique des données utiles et le cryptage asymétrique plus sûr pour la petite clé de session. Ce procédé est notamment utilisé dans le protocole réseau IPsec. Les représentants les plus connus du cryptage hybride sont PGP (ou GnuPG) et S/MIME.
Voici comment cela fonctionne : un document est crypté avec une clé symétrique. Cette clé est ensuite cryptée avec la clé publique du destinataire et ne peut être décryptée qu’avec la clé privée de ce dernier. Cela évite de devoir crypter et décrypter de grandes quantités de données avec la méthode asymétrique, pourtant lente. Seule la clé de la procédure symétrique doit être cryptée et décryptée de cette manière.
Ceux qui souhaitent s’intéresser de plus près à la cryptographie devraient jeter un coup d’œil à CrypTool. CrypTool est un programme gratuit qui vous permet d’appliquer et d’analyser des procédures cryptographiques. Vous pouvez ainsi créer de nouveaux documents et ouvrir des documents existants pour les modifier. Un document peut être crypté et décrypté à l’aide de différentes méthodes de cryptage. Il existe des méthodes de cryptographie classiques (par exemple la méthode de cryptage César) et modernes (par exemple les méthodes RSA et DES ainsi que les méthodes basées sur les courbes elliptiques).
CrypTool Cliquez sur l’image pour l’agrandir |
Programmes de cryptage et de décryptage de fichiers et de dossiers
Dans la rubrique Cryptage et mots de passe de WinTotal, nous avons sélectionné une petite série de programmes sur ce thème. Cette sélection n’est pas exhaustive et ne contient que des programmes qui, à notre avis, sont particulièrement recommandables en raison de leurs fonctionnalités, de leur prix et de leurs performances.
Les programmes suivants vous permettent de crypter et de décrypter facilement des fichiers. Vous n’avez besoin que de la clé secrète. Lorsque vous envoyez le fichier, le destinataire doit le décrypter à nouveau avec le même programme, à moins que le programme de cryptage ne puisse créer un fichier exécutable qui demande l’entrée de la clé après un double-clic et décrypte ensuite le contenu de manière autonome.
Sécurité avancée des fichiers
Le simple Advanced File Security crypte les fichiers avec l’algorithme AES et un maximum de 256 bits. Le freeware, qui peut également être utilisé à des fins commerciales, s’intègre après l’installation dans le menu contextuel de l’explorateur et peut crypter et décrypter des fichiers à partir de là.
Sécurité avancée des fichiers |
Le programme proprement dit peut également être lancé sans installation et convient donc même aux supports de données mobiles comme les clés USB. Le fichier source peut être supprimé après le cryptage.
Sécurité avancée des fichiers Cliquez sur l’image pour l’agrandir |
Shareware, allemand, téléchargement via WinTotal (malheureusement plus freeware)
AxCrypt
AxCrypt, basé sur une licence open source, s’intègre également dans le menu contextuel après l’installation.
AxCrypt |
Outre le cryptage et le décryptage avec AES (128 bits), AxCrypt peut également crypter des fichiers sous forme d’EXE. Le fichier ainsi crypté peut être décrypté par le destinataire sans autre logiciel, après saisie de la clé.
AxCrypt |
En outre, le logiciel peut également supprimer en toute sécurité les fichiers existants à l’aide d’un destructeur de données, en les écrasant avec des contenus aléatoires avant de les supprimer.
Open Source, multilingue, téléchargement via WinTotal
Sophos Free Encryption
Sophos Free Encryption est la version sans licence de SafeGuard PrivateCrypto. Sophos Free Encryption offre également un cryptage AES 128 bits et peut enregistrer les fichiers cryptés sous forme de fichiers EXE, qui peuvent être compressés en option. Le logiciel n’est toutefois gratuit que pour un usage privé.
Freeware pour l’usage privé, allemand/anglais, téléchargement via WinTotal
Le premier groupe de programmes présentés ne convient que pour le cryptage de fichiers ou de dossiers individuels. Une autre méthode consiste à crypter des fichiers conteneurs entiers qui peuvent être adressés comme des disques durs. Notre favori est le logiciel gratuit TrueCrypt. Un fichier conteneur est un fichier qui n’est pas visible de l’extérieur, qui cache un système de fichiers crypté avec les données réelles et qui est monté par TrueCrypt de la même manière qu’une image ISO.
TrueCrypt
TrueCrypt, qui est disponible sous licence open source, crée des volumes cryptés qui peuvent être intégrés dans le système comme des disques durs normaux. Un volume peut être un fichier conteneur ou un véritable lecteur (clé USB, partition de disque dur). Sans décryptage, ni la structure des fichiers ni le contenu des volumes ne sont visibles.
TrueCrypt Cliquez sur l’image pour l’agrandir |
Sur la capture d’écran, vous voyez d’une part un fichier conteneur de 199 Mo portant la lettre F : et d’autre part une clé USB de 509 Mo, qui sont tous deux enregistrés sous forme cryptée en tant que volumes. Vous pouvez accéder aux deux volumes comme à des disques durs normaux à l’aide des lettres E et F. Les deux volumes ne sont pas accessibles à partir de l’ordinateur.
TrueCrypt est extrêmement puissant en termes de performances et de fonctionnalités. Les nombreuses options sont toutes décrites dans un fichier PDF détaillé en anglais. Les options permettent par exemple de définir la durée d’accès aux volumes en l’absence d’accès en lecture ou en écriture. Après xx minutes, TrueCrypt verrouille les volumes et demande à nouveau la saisie de la clé. L’icône Systray permet d’accéder aux principales fonctions de TrueCrypt .
Open Source, allemand/anglais, téléchargement via WinTotal
Domaines d’application possibles de TrueCrypt
Clé USB avec cryptage et NTFS comme système de fichiers
Si, par exemple, la clé USB ne propose pas de chiffrement, vous pouvez facilement la chiffrer ultérieurement avec TrueCrypt. Pour ce faire, cliquez sur Créer un volume.
Créer un volume Cliquez sur l’image pour l’agrandir |
L’assistant suivant vous aide à créer un volume TrueCrypt.
Remarque : Les volumes cachés sont une particularité de TrueCrypt. Dans ce cas, le programme cache un fichier conteneur crypté dans un fichier conteneur crypté. Selon le mot de passe saisi, le fichier externe ou interne est ouvert. Si l’on devait donc être contraint de donner un mot de passe, on pourrait même révéler sans risque le mot de passe supposé correct, sans éveiller les soupçons.
Dans la boîte de dialogue suivante, sélectionnez la destination du volume. Pour une clé USB, cliquez sur Support de données et sélectionnez le support de données correspondant (dans l’exemple U :).
Sélectionner le support de données Cliquez sur l’image pour l’agrandir |
Dans la boîte de dialogue suivante, vous pouvez choisir l’algorithme de cryptage, y compris AES et BlowFish.
Sélectionner l’algorithme de cryptage Cliquez sur l’image pour l’agrandir |
Selon l’algorithme utilisé, la vitesse d’écriture et de lecture sur le volume change également. Avec le bouton „Benchmark-Test“, vous pouvez faire tester la vitesse en fonction de l’algorithme. En règle générale, vous devriez choisir AES ou Blowfish.
Dans la boîte de dialogue pour le formatage du volume, vous pouvez ensuite également définir le système de fichiers du volume. Il est ainsi possible de travailler avec NTFS sur des clés USB qui ne proposent normalement que FAT comme système de fichiers.
Choisir le format Cliquez sur l’image pour l’agrandir |
Une fois le formatage terminé, vous pouvez sélectionner le volume que vous venez de créer dans la fenêtre du programme en cliquant sur le bouton „Support de données“, puis le monter comme lecteur. Vous définissez vous-même la lettre à utiliser.
Monter le volume en tant que lecteur Cliquez sur l’image pour l’agrandir |
Si vous cliquez maintenant sur „Monter“ dans l’exemple, le volume sur la clé USB sera enregistré dans le système en tant que disque NTFS avec la lettre E :.
Volumes virtuels via des fichiers conteneurs
Un autre domaine d’application est l’utilisation de fichiers conteneurs. Ceux-ci peuvent également être créés via l’assistant. Ici, vous choisissez toutefois „Fichier“ comme destination et attribuez un nom propre. Contrairement à l’exemple précédent, vous définissez cette fois vous-même la taille du volume.
Volume en tant que fichier conteneur Cliquez sur l’image pour l’agrandir |
Vous pouvez ensuite monter le volume en tant que fichier conteneur et l’utiliser comme un disque dur.
TrueCrypt avec des volumes montés Cliquez sur l’image pour l’agrandir |
Traveller Disk en action
Une autre spécialité de TrueCrypt est la fonction Traveller Disk. Celle-ci permet de doter un disque d’une fonction de démarrage automatique. L’assistant copie tous les fichiers nécessaires ainsi qu’un autorun.inf sur un disque et peut monter automatiquement un volume.
Créer un disque de voyage |
Dans l’exemple, nous copions les fichiers du Traveller Disk sur une clé USB (lettre U 🙂 et indiquons qu’il doit monter automatiquement le volume virtuel „Container“ dans le chemin c : avec la première lettre de lecteur libre. Si la clé USB est branchée, il suffit d’entrer la clé et on a alors accès au volume „container“.
Vous pourriez également graver les fichiers du disque Traveller avec un volume sur un CD/DVD, mais vous devriez alors travailler avec des chemins relatifs (par ex. homedata) dans le chemin „Mountoption“. Si vous insérez un tel CD/DVD, un volume y sera monté automatiquement dès que vous aurez saisi la clé.
En utilisant le disque de voyage sur une clé USB ou une disquette avec un volume dans un fichier conteneur, vous pouvez déposer sans risque des données privées sur l’ordinateur de l’entreprise (si cela est autorisé), tout en les protégeant de l’accès d’autres collaborateurs et administrateurs. Comme vous pouvez choisir librement le nom du fichier conteneur, ces fichiers peuvent être cachés discrètement dans les profondeurs d’un disque dur. Qui soupçonnerait, par exemple, un conteneur contenant des données privées derrière default.tmp ?
Cryptage hybride avec PGP et OpenPGP
PGP
PGP est le logiciel le plus connu pour le cryptage de toutes sortes de données. Le programme utilise le système de cryptage hybride, qui a été expliqué au début. Pour le téléchargement, il faut au moins indiquer une adresse e-mail valable, puis on reçoit par e-mail le lien de téléchargement avec la licence d’essai sous forme de PDF. Il s’agit ici d’une version d’essai qui se réinitialise en version freeware après 30 jours. Les fonctions suivantes restent actives : cryptage et signature de fichiers PGP, PGP Zip ainsi que cryptage, vérification et signature du contenu de la fenêtre active et du presse-papiers. Ces fonctions seront expliquées dans un instant. Lors de l’installation, le nom, l’adresse e-mail et le numéro de licence doivent être saisis.
Freeware, multilingue, téléchargement via WinTotal
Pendant la configuration, il est possible de créer des clés ou d’importer des clés existantes. PGP maîtrise entre autres AES et TripleDES.
Paramètres de clés PGP |
L’interface du programme est simple et claire :
PGP Desktop Cliquez sur l’image pour l’agrandir |
Le programme offre les fonctions suivantes en mode d’essai/version complète :
- PGP Whole Disk : cryptage de supports de données entiers
- PGP Virtual Disk : sécurise les fichiers, les dossiers, les lecteurs USB et les CD à l’aide de conteneurs cryptés.
- PGP Mail : cryptage et signature automatiques de courriels avec pièces jointes
- PGP Secure Messenger : cryptage des messages d’AOL Messenger (donc aussi ICQ)
- PGP Zip : compression et cryptage de messages, de pièces jointes et de fichiers.
- PGP Shred : suppression sécurisée de données
Au niveau de l’utilisation, ce programme est exemplaire. L’intégration dans Windows et les programmes de messagerie est très bonne. Quelques exemples :
Intégration dans le menu contextuel |
Intégration dans les clients de messagerie |
Bureau PGP Cliquez sur l’image pour l’agrandir |
Le cryptage et la signature des messages ne nécessitent aucune configuration dans le programme de messagerie. Dès que PGP détecte un courrier via des ports de messagerie connus, le cryptage et/ou la signature sont appliqués automatiquement en fonction de la configuration.
Le cryptage ne peut pas être plus facile à utiliser. La version familiale de PGP Desktop coûte toutefois 105 euros. Les personnes dont le porte-monnaie ne le supporte pas peuvent se tourner vers l’alternative gratuite : OpenPGP.
OpenPGP
OpenPGP est un protocole de chiffrement et de signature hybride standardisé, lancé en 1998 suite à une série d’événements. OpenPGP est basé sur le code source de PGP 5.x, qui a été exporté sous forme de livre en raison des dispositions d’exportation en vigueur à l’époque aux États-Unis. Ces dispositions prévoyaient que les cryptages >40 bits étaient interdits. En outre, les algorithmes utilisés dans PGP (IDEA et RSA) étaient brevetés. De plus, de fausses rumeurs ont circulé sur l’existence de portes dérobées dans PGP.
Entre-temps, PGP suit presque entièrement la norme OpenPGP développée à l’origine après lui, de sorte qu’il n’y a pratiquement plus de problèmes lors de l’échange de données.
La première implémentation d’OpenPGP était GnuPG, qui est encore utilisé aujourd’hui dans de nombreux programmes. Il existait par exemple une suite appelée GnuPT, qui réunissait la gestion des clés, le cryptage des e-mails et le cryptage des fichiers. Le développement a toutefois été abandonné au profit d’un autre projet open source appelé gpg4win, qui n’était toutefois pas aussi léger que GnuPT. Les deux programmes ont un point commun : il n’existe malheureusement pas d’interface uniforme. Dans ce qui suit, gpg4win est présenté dans sa version actuelle 1.00 (avril 2006). Ensuite, il sera question d’une extension pour le programme de messagerie Thunderbird, nommée EnigMail, qui propose un cryptage et une signature des messages faciles à utiliser.
gpg4win
Comme nous l’avons déjà mentionné, gpg4win est constitué de composants individuels qui peuvent être sélectionnés dans l’installateur :
Installateur de gpg4win |
Les outils en détail sont
- GnuPG – outil en ligne de commande, assure le cryptage proprement dit
- GPGol – un plug-in Outlook 2003 pour le cryptage et la signature des e-mails.
- GPA – gestion des clés
- WinPT – gestion alternative des clés – à vous de choisir celle qui vous convient le mieux.
- GPGee – extension de menu contextuel pour l’explorateur Windows pour le cryptage et la signature
- Sylpheed – programme de messagerie POP3 et lecteur de nouvelles avec support intégré de GnuPG
Comme pour PGP, on crée d’abord une clé personnelle dans la gestion des clés. Cette clé a une partie publique et une partie secrète. La clé peut être utilisée pour la certification, la signature et le cryptage. L’intégration dans Outlook 2003 offre dans l’interface principale d’Outlook 2003 un bouton pour l’accès à la gestion des clés et 2 boutons (crypter + signer) lors de la création d’un mail.
Intégration dans Outlook Cliquez sur l’image pour l’agrandir |
Pour cela, il existe un onglet dans les options d’Outlook avec les paramètres importants du plug-in.
Paramètres du plug-in |
On dispose maintenant de tous les moyens techniques nécessaires. Il ne vous reste plus qu’à obtenir la clé publique de la personne à qui vous souhaitez envoyer un message crypté. Cette personne peut exporter cette clé sous forme de fichier ASC dans la gestion des clés. Il existe également ce que l’on appelle des serveurs de clés, qui conservent les clés publiques de nombreuses personnes. Il est également possible d’importer des clés de ces serveurs dans sa propre gestion de clés.
EnigMail
EnigMail est un plug-in pour le client de messagerie Thunderbird et propose le cryptage et la signature OpenPGP. Le programme nécessite un GnuPG installé, gpg4win peut donc également être utilisé ici. Le téléchargement se présente sous la forme d’un fichier XPI qui peut être installé via Outils – Extensions dans Thunderbird.
Open Source, multilingue, téléchargement via WinTotal
Après l’installation, il faut d’abord définir le chemin d’accès à GnuPG (gpg.exe).
EnigMail – Paramètres |
Ensuite, EnigMail est prêt à être utilisé.
EnigMail prêt à l’emploi Cliquez sur l’image pour l’agrandir |
Après avoir cliqué sur „Envoyer“, les messages sont cryptés et/ou signés conformément aux paramètres, puis envoyés.
Autres clients de messagerie
Pour presque chaque client de messagerie, il existe également une possibilité d’utiliser OpenPGP ou son implémentation GnuPG. Vous trouverez de nombreuses informations à ce sujet sur cette page. Cette page est également recommandée pour les implémentations de programmes de messagerie. Vous y trouverez par exemple des programmes comme GPGRelay – un proxy de messagerie qui assure le cryptage et le décryptage pour POP3 et SMTP. Le support IMAP est certes techniquement disponible, mais ne fonctionne pas correctement et n’est pas non plus développé actuellement. Pour Outlook Express 5.0/5.5/6.0, il existe un plug-in du développeur du gestionnaire de clés WinPT, qui utilise simplement les boutons de chiffrement et de signature existants du support S/MIME implémenté dans Outlook Express.
Conclusion
Selon le domaine d’application et l’utilisation, il existe différentes solutions et méthodes de travail pour le cryptage, souvent même gratuitement. À l’avenir, les données sensibles ne devront plus être stockées ou envoyées sur Internet sans être sécurisées. C’est à l’utilisateur de veiller à la sécurité des données. Les possibilités sont au moins disponibles et utilisables par tout un chacun.
Si des problèmes devaient survenir avec votre logiciel de cryptage, le site web du fabricant est toujours un bon point de départ.