Skip to main content

Un auto-entrepreneur passionné à votre service,

Pour votre projet de site internet et vos dépannages informatiques

Protégez votre vie numérique

Article publié le 18 Juin 2019
Dernière modification 3 Janvier 2024

Page 8 sur 8: Chiffrer son SSD/HDD

Chiffrer son SSD/HDD

Pour lutter contre le piratage des données à même son ordinateur, à domicil, au bureau ou plus vraisemblablement en déplacement sur son laptop, n'hésitez pas à activer le chiffrement. Il s'agit de rendre vos documents illisibles quand bien même ils seraient interceptés, c'est une sécurisation particulièrement efficace qui n'est pas sans rappeler les échanges sur le Web via les sites HTTPS. Lire un document chiffré requiert la clé de déchiffrement qui peut prendre la forme d'un mot de passe, d'une clé USB ou encore d'une puce à même votre PC.

Le chiffrement consiste à rendre la compréhension d'un fichier impossible sauf aux personnes en possession de la clé de déchiffrement. Logiquement, le déchiffrement est l'étape inverse, celle qui consiste, en possession de la clé de chiffrement, à rendre compréhensible le contenu d'un document. Si cryptage n'existe pas, le décryptage défini quant à lui l'opération visant à rendre lisible un document chiffré sans être en possession de la clé de déchiffrement. En anglais, on parle de "breaking" (cassage) pour évoquer le décryptage.

Pas besoin d'être un mathématicien expert pour chiffrer vos fichiers, de nombreux logiciels s'en chargent pour vous ! Par exemple, le célèbre logiciel de compression 7-zip (gratuit, 7-zip.org) propose une option de chiffrement AES 256 bits (une des méthodes les plus efficaces) ! Faites un clic droit sur le ou les fichiers sélectionnés que vous désirez chiffrer et, dans le sous­ menu 7-zip, choisissez Ajouter à l'archive. Dans la fenêtre qui apparaît, en bas à droite, entrez un mot de passe et validez. Vous pouvez ainsi envoyer les données chiffrées sans crainte par email à votre contact puis l'appeler ou lui envoyer un SMS contenant la clé de déchiffrement, en l'occurrence le mot de passe. Vous pouvez aussi protéger des documents ou répertoires à même votre ordinateur (c'est­ à-dire en interdire la consultation sans taper un mot de passe) avec un logiciel tel que Veracrypt (gratuit, veracrypt.fr) dont nous vous avons déjà parlé et qui nous sert parfois de benchmark CPU. Ce dernier autorise notamment la création d'un volume chiffré, de la capacité de votre choix, dans lequel n'importe quel fichier que vous stockez est automatiquement chiffré), c'est très simple. Il est amusant de constater que VeraCrypt génère une clé basée sur les mouvements aléatoires que vous faites avec votre souris pendant la génération du volume, autant dire que c'est impossible à reproduire par hasard.

Bitlocker

Si vous utilisez une version Professionnel (ou Entreprise) de Windows, vous avez également la possibilité d'utiliser Bitlocker, l'outil de chiffrement de Microsoft qui peut chiffrer tous vos disques durs et SSD. Il propose trois modes différents, les deux premiers requérant une puce TPM (lire plus loin). En mode Transparent, vous n'avez pas à vous authentifier, vous n'intervenez jamais, contrairement au mode User authentification qui réclame que vous tapiez un mot de passe ou que vous branchiez une clé USB spécialement créée pour accéder à vos données. Le troisième mode, USB-Key, fonctionne sans puce TPM, mais réclame du coup la présence d'une clé USB en permanence contenant la clé de déchiffrement (avant le chargement de l'OS donc). A ceux qui se demandent quel peut être l'intérêt de chiffrer un disque dur sans réclamer de mot de passe, ça sert à éviter qu'un pirate qui brancherait votre disque dur dans son PC puisse en lire le contenu, sans vous encombrer d'un login quand vous êtes chez vous, à l'abri. Le chiffrement requiert une certaine puissance et en particulier avec des algorithmes très complexes (Bitlocker est par défaut en AES 128 bits, mais on peut monter en AES 256 bits), ça se ressent à l'usage, le PC est moins réactif. Chiffrer un petit fichier Word ou Excel ne prend pas plus de quelques dixièmes de secondes, mais si vous déplacez des photos ou de gros fichiers, vous remarquerez que la copie est moins rapide que d'habitude. Pour y pallier, rien de tel que le chiffrement matériel. De plus en plus de solutions de stockage proposent un chiffrement matériel natif, en particulier des SSD et des clés USB, mais également quelques disques durs (généralement les gammes entreprise). On parle alors de SED, pour Self Encryption Drive. L'avantage de ces derniers est l'utilisation de matériel spécifique pour chiffrer ce qui évite de solliciter le CPU de votre PC incapable de profiter des pleines performances du lecteur. Selon les marques, les procédures d'activation et les modes proposés changent. Il est souvent possible d'avoir l'équivalent du mode transparent de bitlocker, c'est à dire un chiffrement invisible qui offre comme sécurité l'impossibilité pour quiconque brancherait votre disque dur (par exemple en cas d'envoi en garantie ou après revente) de lire vos données. Mais pour les appareils nomades, vous pouvez toujours opter pour un déverrouillage par mot de passe. Les SSD que nous recommandons actuellement, par exemple les Crucial MX500 et Samsung 860 Evo, permettent le chiffrement, accéléré matériellement. Précisons que certains SSD peuvent gérer seuls le chiffrement matériel, d'autres sont "compatibles" , mais réclament un logiciel tiers, par exemple Bitlocker de Microsoft, qui par défaut exploite l'accélération matérielle quand il y en a une. Certains SED exploitent, comme Bitlocker, la puce TPM si votre PC en possède une. TPM (Trusted Platforme Module) est un standard cryptographique intégrant une puce dédiée au chiffrement stockant la clé apparue il y a un peu plus de 10 ans. Quelques certaines cartes mères et des laptops en sont munis d'origine, mais c'est assez rare et finalement un peu dangereux, car si la carte mère tombe en panne, vous ne pourrez plus récupérer vos données. En revanche, la majorité des cartes mères modernes ont un header TPM sur lequel vous pouvez brancher un module TPM (5 à 20 €) et que vous pourrez transférer sur une prochaine carte mère en cas de panne ou d'upgrade !

Une solution de chiffrement qui se base sur TPM est bénéfique à la fois pour les performances (pas d'impact sur votre CPU) et la sécurité (impossible de déchiffrer les données sur un autre ordinateur alors que c'est encore possible en volant une clé USB contenant la clé). Nous avons d'ailleurs réalisé quelques tests pour la rédaction de ces pages. En l'occurrence, nous avons benché un SSD Intel 760p de 512 Go puis un SSD Samsung 960 EVO sans puis avec le chiffrement activé. Chez Samsung, on peut activer le chiffrement matériel à même l'outil maison, Samsung Magician, mais il ne s'agit que du support de celle-ci, car elle se fait via un logiciel tiers, non fourni. Par exemple via Bitlocke,r que nous avons utilisé avec les deux SSD. Dans le cas d'Intel, l'outil SSD Toolbox n'évoque pas le chiffrement, la fonction est toujours activée dans son firmware. Note : Bitlocker a imposé le formatage pour le Samsung, mais pas pour !'Intel ; mais il vaut mieux sauvegarder ses données malgré tout. Dans les deux cas, le résultat est là, nous n'avons noté aucun ralentissement sur le PC de test, c'est imperceptible. Mais il vaut mieux être prudent et ne pas faire confiance aveuglement au chiffrement matériel des SSD qui n'est pas toujours bien implémenté par les constructeurs. Par exemple, le Crucial MX300 n'a pas de mot de passe maître, ce qui signifie que le chiffrement ne protège rien du tout ! Les mises à jour de firmware servent à ça, encore faut-il qu'elles sortent.

Surfer incognito
Page