10 replies to this topic

[Txon]

« News » de présentation du sujet -> Sécurisez votre « disque de voyage » !

Avec la démocratisation des appareils nomades, le cryptage devient une nécessité pour quiconque veut que ses données personnelles et données professionnelles sensibles soient protégées.

TrueCrypt est un logiciel très simple d’utilisation qui permet de créer un (ou des) disque(s) virtuel(s) dont les données sont chiffrées dans un fichier conteneur.

Dans ce document, veuillez considérer que les termes « conteneur », « volume » TrueCrypt et pourquoi pas « partition » peuvent être utilisés pour désigner le même espace dans lequel des informations cryptées seront stockées. De même, les mots « pen USB », « stick », « flash drive », « driver USB » désignent la « clé USB » connectée comme « disque de voyage » à un des ports USB du PC.

A - Présentation générale

TueCrypt (TC) a été choisi pour de nombreuses raisons :
[1] TC est libre et gratuit.
[2] TC fonctionne aussi bien avec Windows que Linux ou Mac OS X.
[3] XTS, le mode opératoire de TC pour le chiffrement est conforme à la norme standard IEEE 1619 pour la protection cryptographique des données dans des volumes structurés en blocs (décembre 2007).
[4] TC dispose de fonctions suffisantes et satisfaisantes :
... Il permet le « deni plausible » par le biais de volume(s) caché(s).
... Il supporte des systèmes de chiffrement 256 bits : AES, Serpent, Twofish et même une combinaison de plusieurs d'entre eux.
... Les volumes cryptés peuvent être au format NTFS ou FAT32 et couvrir tout ou seulement une partie du support sur lequel ils sont installés que celui-ci soit un disque interne ou externe, un « stick » USB ou autre.
[5] TC est « portable ».

Pour comparaison, quelques autres logiciels de chiffrement libres et gratuits :

• AxCrypt, ne permet que le cryptage de fichiers un par un, ses clés AES ne sont de 256 bits que depuis peu et il ne fonctionne que sous Windows et Linux.
• GnuPG, multi-plateformes est souvent inclus dans les distributions Linux mais il paraît plus complexe à un grand nombre.
• FreeOTFE peut être considéré comme l'ancêtre de TruCrypt, ses algorithmes de cryptage ne sont plus assez puissants, il n'est pas traduit en français et ne fonctionne pas sous Mac OS X.

... / ...

[Txon]

... \ ...

TC portable ne s'installe pas vraiment mais il nécessite tout de même un répertoire de fonctionnement et il utilise quelques clés dans le Registre Windows. Notez en particulier ses deux programmes exécutables, TrueCrypt Format.exe et TrueCrypt.exe, et son « driver » truecrypt.sys (truecrypt-x64.sys pour les systèmes 64 bits) dont le fonctionnement devra être autorisé.

Le fichier TrueCrypt User Guide.pdf contient un tutoriel parfait mais en anglais dont une partie est reproduite ci-dessous en français. Ce guide se trouve également sur le site de l'éditeur -> docs/
Le fichier Language.fr.xml correspond à la version française de TrueCrypt. Il peut être téléchargé sur le site de l'éditeur -> localizations où beaucoup d'autres langues sont disponibles.


Dans les exemples ci_après, TrueCrypt v5.1.a fonctionnait sous Windows XP SP2 et la clé USB utilisée était tout à fait banale.

• B - Installation d'un conteneur (partition, volume) TrueCrypt.
  • [1] Définition et « formatage » du volume
  • [2] Premier « montage » (activation) du volume créé
• C – Quelques paramètres et fonctions
  • [1] Les [Préférences] de TC
  • [2] Volumes « favoris »
  • [3] Terminer correctement une session TC : « démonter » le volume
  • [4] Fonctionnement de TC
• D – Usage courant d'un disque de voyage et de TC
  • [1] Lancement (« montage ») simplifié
  • [2] Lancement (« montage ») normal
  • [3] « Démontage » (fermeture)
• E - Volume « caché » (« outer » volume)
  • [1] Définition et « formatage » du volume caché
  • [2] Protection du volume caché
  • [3] Résultat
• F – Sauvegarde des volumes (non système) et du (des) « headers » (en-tête).
  • [1] Sauvegarde des volumes cryptés contenus dans l'unité USB.
  • [2] Sauvegarde du (des) « header(s) » (en-tête).
  • [3] Restauration du (des) « header(s) » (en-tête).
• Annexe
  Sujet séparé valable pour divers logiciels de protection des données.
  • [1] Aspect légal d'un logiciel de chiffrement/cryptologie
  • [2] Introduction à la cryptographie
  • [3] Algorithmes de cryptage
  • [4] Fonctions de hachage
  • [5] Introduction à la cryptographie quantique
  • Mode administrateur
  • Mots de passe suffisants.

... / ...

[Txon]

... \ ...

B - Installation d'un volume « normal » TrueCrypt
(partition ou conteneur standard)
sur une clé (ou autre) USB ... « disque de voyage ».

Attention ! Avant toute chose, effectuez une sauvegarde du contenu à préserver de votre « flash drive ».


A certains, la phase préparatoire pourrait paraître longue et complexe. Un peu d'attention et de persévérance ! Le résultat en vaut la peine. En usage courant, les manipulations seront des plus simples.

Deux phases distinctes sont nécessaires à la mise en oeuvre du conteneur TrueCryp :

[1] Définition et « formatage » du volume.
... a ... Lancez le programme TrueCrypt Format.exe pour créer un volume (partition) TrueCrypt standard. Il sera nécessaire pour, éventuellement, créer ultérieurement un volume caché (dans la partition standard).
Si vous ne trouvez pas (plus) ce programme, vous pouvez utiliser TrueCrypt.exe et sélectionner l'onglet [Volumes] puis l'option [Créer un nouveau volume]

Sélectionnez [Créer un fichier conteneur] puis [Volume TrueCrypt standard]

... ... ...

... b ... Indiquez l'emplacement du volume TrueCrypt (dans le cas ci-dessous il s'agit de la clé USB connectée en « F »). Le plus simple est de cliquer sur [Fichier] pour sélectionner plus simplement l'unité et donner un nom à votre convenance au fichier/volume (dans le présent exemple « TrueCrypt_container »). Si vous le souhaitez, vous pouvez indiquer une extension quelconque et sans conséquence. Notez qu'une extension .zip, .ace ou autre des fichiers comprimés ne permettra pour autant pas son ouverture avec 7.zip, IZArc ou autres du même genre.

... ... ...

Attention ! Si vous choisissez un répertoire ou un fichier existant, il ne sera pas crypté à ce moment là mais remplacé par le volume créé et donc son contenu « perdu ». Le cryptage de fichiers se fera ultérieurement.

... c ... Choisissez un algorithme de chiffrement et un algorithme de hachage.
*-* Si vous ne connaissez pas les différentes possibilités, vous pouvez laisser l'algorithme de cryptage AES (clé de 256 bits) proposé en standard, adopté par le NIST (National Institute of Standards and Technology) et par des logiciels de compression de fichiers comme 7.zip ou IZArc. AES (adaptation de Rijndael) est largement suffisant pour pour mettre en échec les attaquants, mais tout peut arriver bien qu'avec TC la clé soit choisie de manière totalement aléatoire.
Si vous être potentiellement sous la menace d'inquisiteurs disposant de gros moyens informatiques, vous pouvez choisir d'enchaîner deux techniques ou les trois : AES et/ou Serpent et/ou Twofish. Surtout sur les vieux PCs, ceci peut peut entraîner des lenteurs de traitement un peu plus sensibles.
*-* Si vous ne connaissez pas les différentes possibilités, vous pouvez laisser l'algorithme de hachage RIPEMD-160 (160 bits) proposé en standard et qui est suffisant. Les plus pointilleux lui préfèreront sans doute « Whirlpool » (512 bits).
*-* Pour plus d'informations sur les algorithmes de chiffrement et de hachage, veuillez consulter l'annexe ci dessous (G).

... d ... Indiquez une taille du volume en Ko ou Mo, inférieure à l'espace libre car il faudra laisser un peu de place au répertoire que TC va installer à la racine de votre unité USB (comptez au moins 4 Mo) et qui contiendra tout les éléments pour son fonctionnement depuis cette unité.

... e ... Indiquez un mot de passe. Celui-ci peut être au choix : n'importe quel fichier de votre disque (option [fichier clé]), depuis la photo de la belle-mère en train de s'épiler jusqu'à un tutoriel long comme un jour sans pain, ou un mot de passe de votre invention que vous ne devrez pas oublier sous peine de ne plus pouvoir « monter » (ouvrir) le volume crypté.
Ne facilitez pas le cassage de mot de passe : les attaques par force brute ou autres. Le mot de passe devra, de préférence, être long d'au moins 20 caractères faute de recevoir un message d'alerte de TC. Lisez attentivement les recommandations de TC.

... ... ...

... f ... Paramétrez le formatage du volume.
*-* Le format proposé en standard est FAT ce qui correspond le plus souvent au format d'origine des « sticks » USB. Il ne devrait donc pas être nécessaire de le changer, sauf si vous tenez absolument à loger des fichiers de 4Go et plus dans le volume TrueCrypt. Le format NTFS serait plutôt à réserver à de grands espaces sur les disques durs sous système d'exploitation Windows. Sous Linux ou OS X, il faut faire attention aux « pilotes » NTFS.
*-* [Dynamique] permet d'avoir un conteneur qui croit en fonction des fichiers qui y seront stockés. Si vous choisissez cette option, un message devrait vous avertir que les volumes dynamiques sont moins sécurisés.

*-* Nombre aléatoire de cryptage ... Là encore lisez attentivement les recommandations de TC et bougez votre souris pendant une trentaine de secondes ou plus avant de cliquer sur [Formater].

Vous devriez recevoir un aimable message vous informant que le volume TrueCrypt (le conteneur) a été correctement crée. Vous pouvez quitter TrueCrypt Format.

... / ...

[Txon]

... \ ...


[2] Premier « montage » (activation) du volume créé
... a ... Lancez le programme TrueCrypt.exe puis, dans la barre de tâches, choisissez [Outils] -> [Paramétrage du disque de voyage TrueCrypt]

... b ... Paramétrez le « disque de voyage ».

*-* Sélectionnez l'unité sur laquelle se trouve votre « stick » (dans l'exemple choisi, « F » comme précédemment indiqué) et cochez la case [Inclure l'assistant de création de volume TrueCrypt] si ce n'est pas déjà fait.
*-* Pour vous simplifier la vie ultérieurement, configurez l'autorun en sélectionnant [Montage automatique d'un volume TrueCrypt] puis, dans les [Paramètres de montage] faites apparaître le nom du volume créé en le cherchant à l'aide de [Parcourir] (dans l'exemple en cours, « TrueCrypt_container » comme précédemment indiqué).
*-* Indiquez la lettre qui sera affectée au volume (partition) TrueCrypt (dans l'exemple en cours « L » parce que c'était libre au moment de cet exemple). Sous toutes réserves : à défaut d'indication ici, TC devrait affecter automatiquement la lettre « Z » au conteneur.

... c ... Quittez TC et retirez la clé USB

... d ... Remettez le « flash drive » en place. L'auto-exécution devrait déjà provoquer l'ouverture d'une fenêtre et proposer (entres autres) [Mount TruCrypt Volume] [Utilise le programme fourni sur le périphérique].

Si ce n'est pas le cas, passez par l'ouverture « manuelle » du volume (voir D.2.b).

... e ... Donnez le mot de passe (celui fourni lors de la définition et du formatage du volume (1 c).

... f ... Paramétrez l'option de « montage ». Sélectionnez [Montez le volume comme un media amovible]

... g ... Résultat.
Un nouveau « périphérique » a fait son apparition. En plus du disque amovible initial (« F » dans l'exemple) un autre disque amovible est accessible (« L » dans l'exemple). Il vous suffit d'y coller les fichiers que vous souhaitez chiffrer (protéger).

... ... ...

Vous noterez en passant que la capacité du nouveau disque est d'environ 1 Mo inférieure à la taille que vous avez indiquée lors de la création du volume. La différence correspond à la place prise par TC pour son « header » (en-tête) où se trouvent cryptés la clé d'en-tête et d'autres élément indispensables.

Sur le « flash drive » apparaît un répertoire « TrueCrypt » où ce logiciel et son driver ont été placés (vous en aurez surtout besoin si vous promenez votre « stick » sur un ordinateur où ce logiciel n'est pas disponible). Le fichier « autorun.inf » est là pour un lancement facile. Ne le supprimez pas. Sans lui l'auto-exécution à la connexion de la clé USB pour le « montage » automatique du volume TrueCrypt ne se ferait pas.

Si vous constatez que ce répertoire n'est pas présent dans la partie librement accessible de votre flash drive », n'hésitez pas à le constituer manuellement (voir la présentation générale).

Voir en C.3 pour terminer correctement la session de création, puis enlevez la clé USB.

... / ...

[Txon]

... \ ...

C – Quelques paramètres et fonctions

[1] Les [Préférences] de TC.

... a ... Options de montage par défaut.
*-* [Monter les volumes en lecture seule] protège contre les tentatives d'écriture pour des fichiers qui ne doivent pas être modifiés u de nouveau fichiers.
*-* Cochez [Monter les volumes comme des médias amovibles] si vous voulez empêcher Windows de créer un répertoire « Recycle » ou « System Volume Information » dans le volume.

... b ... Tâche TrueCrypt en arrière plan.
Cochez cette option pour que TC fonctionne en arrière plan. Si ce choix est fait la case [Quitter lorsqu'il n'y a aucun volume monté] est automatiquement activée.

... c ... Démontage automatique.
A vous de voir quand vous souhaitez qu'ait lieu une fermeture automatique du (des) volume(s) ouvert(s). Cependant, comme il est tout à fait déconseillé de quitter TC en laissant des volumes montés derrière soi, il vaut mieux cocher au moins [Tout démonter si :] [L'utilisateur se déconnecte] (voir C.3).

... d ... Windows
Là encore c'est à chacun de juger quelles sont les actions automatiques à l'ouverture ou la fermeture d'un volume. Les utilisateurs du médiocre Explorateur de Windows n'ont rien à perdre à cocher les cases [Ouvrir la fenêtre de l'Explorateur des volumes montés avec succès] et [Fermer toutes les fenêtres de l'Explorateur du volume à démonter].

... e ... Mots de passe en cache.
*-* Lorsque [Mots de passe en cache] est coché, les mots de passe des quatre derniers volumes TrueCrypt « montés » sont mis en mémoire cache (pas sur le disque). Ceci évite d'avoir à retaper de manière répétitive les mots de passe lorsqu'on « monte » et « démonte » plusieurs fois ces volumes au cours d'une même session de travail.
*-* [Vider le le cache des mots de passe en quittant] vide la cache à la fermeture de TC.
*-* [Vider le le cache des mots de passe au démontage] vide la cache au démontage du volume.


[2] Volumes « favoris »
Pour accélérer ultérieurement le « montage » du (des) volumes Truecrypt, il est possible de le(s) désigner comme « favori(s) » après les avoir « monté ».

Vous remarquerez qu'un fichier « Favorite Volumes » se trouve maintenant dans le répertoire TrueCrypt créé à la racine de l'unité USB. Il contient l'identification et le chemin d'accès du (des) volumes favoris.


[3] Terminer correctement une session TC : « démonter » le volume.
Attention ! Il est vivement déconseillé d'interrompre brutalement une session de TC sans avoir préalablement fermé (démonté) les(s) volume(s) ouvert(s).

Notez que quand votre volume est chargé, sa clef maître est chargée en RAM.
Décharger correctement un volume permet à la fois d’éviter les pertes de données et d’effacer la dite clef. Pensez également à effacer (ou à désactiver) le fichier de pagination à la fermeture de Windows ainsi qu’à désactiver l’écriture d’information de débogage (Sous Vista : Click droit puis propriété sur le poste de travail puis « paramètres système avancés » puis « paramètres » de « démarrage et récupération » )

Avant d'arrêter TC, utilisez la fonction [Tout démonter] si vous n'avez pas coché l'option [Tout démonter si :] [L'utilisateur se déconnecte] (voir C.1.c)

[4] Fonctionnement de TC.

... a ... Chiffrement complet. TC chiffre l'intégralité du volume, y compris les espaces libres. Ceci a son importance, surtout dans le cadre d'un « volume caché ».

... b ... Chiffrement et déchiffrement « à la volée » ... TrueCrypt ne sauvegarde jamais un fichier non crypté dans son volume. Le processus de chiffrement est totalement transparent pour l'utilisateur. Lorsqu'on copie un fichier dans le volume crypté, TC le charge en mémoire RAM (par fragments s'il est trop gros) puis le chiffre et le sauvegarde ainsi crypté à sa destination. Le décryptage se passe de la même manière, en mémoire, avant que le fichier soit exploitable par une application.
Lorsque on quitte le programme, les traces laissées en mémoire sont effacées.

... c ... Fonctionnement restreint en « mode utilisateur » ... Sous Windows, il faut avoir des droits d'administrateur pour installer TC, créer des volumes TrueCrypt et les formater. En mode utilisateur, il est uniquement possible de monter ou démonter des volumes et de manipuler les données qui y entrent ou en sortent.
Si vous n'avez plus accès à votre PC sous Windows en mode administrateur, voici un peu de lecture en anglais : ICI ou LA et encore LA ou ICI (NT, XP, Vista) et ailleurs (Google est votre ami).

... d ... Registre Windows ... Windows stocke automatiquement des informations sur le fonctionnement de TC dans le Registre. Il serait compliqué de les effacer. Il faut cependant noter que rien n'indique l'emplacement, le nom, la taille du volume TrueCrypt ou la lettre utilisée.

Les plus méfiants peuvent se lancer dans le cryptage de la partition système pour que le Registre aussi soit chiffré.

... / ...

[Txon]

... \ ...

D – Usage courant d'un disque de voyage et de TC

[1] Lancement (« montage ») simplifié.
Si vous avez suivi les procédures décrites en B.1.b et B.2.b votre clé USB est prête pour un lancement direct de TC et l'ouverture (montage) du volume TruCrypt qui s'y trouve.

Il suffit de connecter la clé pour que s'ouvre une fenêtre qui propose [Mount TruCrypt Volume] [Utilise le programme fourni sur le périphérique].

Le fichier « autorun.inf » a fait son travail et le logiciel TC situé sur le « stick » peut être lancé (par « start.bat »). Choisissez donc cette option.

Il suffit alors de fournir le (long) mot de passe pour que TC s'ouvre et montre le volume TrueCrypt qui s'y trouve à la lettre indiqué (voir B.2.b). On peut alors commencer à travailler.


[2] Lancement (« montage ») normal
Il faut soi-même lancer le programme TrueCrypt.exe et se préparer à fournir le mot de passe.

... a ... Montage automatique.

Le bouton [Montage automatique] assure le montage d’une partition ou d’un périphérique TrueCrypt sans devoir le sélectionner au préalable : le programme explore les en-têtes des unités et tente de monter chacune d’elles en volume TrueCrypt via le mot de passe fourni ou les mots de passe mis en cache.

... b ... Montage sélectif.
Après le lancement de TC, sélectionnez la lettre qui correspond au volume TrueCrypt puis indiquez le chemin du conteneur en vous aidant de la fonction [Fichier]

... c ... Montage des « favoris ».
Si vous avez déclaré un ou plusieurs volume(s) préalablement ouvert(s) comme « favori(s) » (voir C.2) il suffit d'aller dans l'onglet [Volumes] pour [Monter les favoris].

[3] « Démontage » (fermeture)
N'oubliez pas de fermer tous le(s) volume(s) ouvert(s) avant d'en terminer avec TC.

... / ...

[Txon]

... \ ...

E – Volume caché (« outer » volume)

Un volume « caché » peut être une sage précaution si un inquisiteur ou autre fripouille malintentionnée a pu accéder au conteneur « externe » (volume « normal ») décrit ci-dessus. Le malandrin peut soupçonner mais pas prouver immédiatement l'existence de données camouflées au sein de cette première partition car même les zones disponibles sont remplies par TC d'un cryptage de données aléatoires (comme déjà dit en C.4.a).
Un conteneur « caché », destiné à recevoir les données les plus sensibles, ne sera pas plus reconnaissable « a priori » que ces emplacements disponibles dans la première partition. Cette technique permet, entre autres, le « deni plausible ».
Ainsi,

• ... dans la partie « visible » après « montage » grâce au premier mot de passe, vous pouvez stocker des données dont la confidentialité n'est pas essentielle (éventuellement pour donner le change),
• ... dans la zone de ce volume qui est « cachée » et disposera d'un mot de passe différent, vous pourrez emmagasiner les fichiers vraiment « délicats ».

Avant d'installer un volume « caché » sur son périphérique USB, il faut donc avoir créé au préalable un conteneur « normal » comme décrit aux chapitres B et C.

Aucun problème particulièrement bloquant n'est à signaler depuis les versions récentes de TC car, à partir de la v.5.0, le volume caché peut être hébergé même au sein d'un volume au format NTFS. Notez cependant que, dans ce cas, la taille du volume caché ne pourra excéder la moitié de celle du conteneur externe (volume normal).

Dans l'exemple ci-dessous, il a été créé une première partition sur une clé USB connectée comme périphérique en « F ». Elle a été appelée « Txxx.pdf », liée à la lettre « R », chiffrée avec le seul algorithme AES et sa capacité est de presque 2 Go. Il est évident que le volume qui y sera caché aura une capacité inférieure.

Notez en passant que le volume en question a été crée avec une extension apparente « .pdf » attribuée en standard aux fichiers de Adobe Systems. Ce n'est pas pour autant que les utilitaires spécialisés dans l'ouverture de ce type de fichier peuvent l'exploiter d'une manière ou d'une autre.

... / ...

[Txon]

... \ ...


[1] Définition et « formatage » du volume caché .
Connectez votre unité USB mais n'ouvrez pas à cet instant le volume « normal » déjà créé.
... a ... Lancez le programme TrueCryptFormat.exe pour créer un volume TrueCrypt caché (le même résultat peut être obtenu directement avec TrueCrypt.exe et un « click » sur le bouton [Créer un volume]).
Sélectionnez [Créer un fichier conteneur] puis [Volume TrueCrypt caché]

... ... ...

... b ... Sélectionnez le mode de création du volume : [Mode direct]

... c ... Indiquez maintenant l'emplacement du volume antérieurement créé (« Txxx.pdf » dans cet exemple) en vous aidant de [Fichier ...]

... ... ...

... d ... Indiquez le mot de passe du volume « normal » maintenant appelé volume « externe » (celui de « Txxx.pdf » dans l'exemple actuel).

Vous recevez alors un message de directives sur la configuration du volume « caché ».

... e ... Choisissez un algorithme de chiffrement (voir ou revoir B.1c et/ou l'annexe ci-dessous). Dans l'exemple en cours c'est la « cascade » des trois algorithmes AEW, Twofish et Serpent qui a été choisie, mais ce n'est nullement une directive obligatoire.

... f ... Indiquez une taille du volume en Ko ou Mo (obligatoirement inférieure à la taille du volume « extérieur ».

... g ... Indiquez un mot de passe pour le volume caché différent de celui qui a été utilisé pour le conteneur externe. (voir ou revoir B.1.e)

... ... ...

... h ... Paramétrez le formatage du volume (voir ou revoir B.1.f).

Après le formatage, vous devriez recevoir alors un message de confirmation et de mise en garde en ce qui concerne la protection du volume « caché ».

...Attention ! ... ... voir E.2

... i ... Quittez TC et retirez la clé USB

Notez que le volume caché est lié à la même lettre de périphérique que le volume externe (« R » dans l'exemple en cours).

... / ...

[Txon]

... \ ...


[2] Protection du volume caché .
Les deux volumes, externe et caché, n'ont pas encore de frontière stricte. Il suffit que vous déplaciez des fichiers pour un volume dépassant ce qui est censé être attribué au volume externe pour qu'il soit empiété sur le volume caché. Il suffit (entre autres) que le « header » (l'en-tête) soit écrasé ou corrompu pour que tout le volume caché soit définitivement perdu.

Il est possible d'éviter tout dommage :

• une protection du volume caché peut être mise en place à chaque ouverture du volume externe,
• cette protection s'enlève à l'ouverture du volume caché pour qu'il puisse y être écrit.

... a ... Connectez l'unité USB. L'auto-exécution devrait provoquer l'ouverture d'une fenêtre et proposer (entres autres) [Mount TruCrypt Volume] [Utilise le programme fourni sur le périphérique].

Si ce n'est pas le cas, passez par l'ouverture « manuelle » du volume (voir D.2.b).

... b ... Lorsque le mot de passe vous est demandé, fournissez celui du volume externe, mais avant de valider, cliquez sur l'onglet [Options...]

... c ... Dans la fenêtre [Options de montage] qui s'ouvre, cochez la case [Empêcher les dommages causés en écrivant dans la volume externe] et indiquez le mot de passe du volume caché. Les deux mots de passe doivent avoir été correctement saisis.

Vous devriez recevoir alors un message de confirmation que l'opération de protection s'est bien déroulée.

TC ne monte pas le volume caché à ce moment là. Il décrypte son « header » et y recueille les informations sur sa taille.

... d ... Au retour à la demande de mot de passe du volume externe, vous pouvez valider : [O.K]. Toute tentative d'écriture d'informations dans le volume caché sera rejetée jusqu'au démontage du volume extérieur.
Notez que ...
*-* TC ne modifie jamais le « filesystem » du volume externe (clusters alloués, taille du volume etc.).
*-* La protection s'achève dès le démontage du volume externe et lorsqu'il est remonté, il est impossible de déterminer si la protection du volume caché a été utilisée ou non.
*-* La protection du volume caché ne peut être activée que par les utilisateurs qui fournissent le bon mot de passe (et / ou les « keyfiles ») du volume caché chaque fois qu'ils montent le volume extérieur.

... e ... Attention ! ... ... La protection [Empêcher les dommages causés en écrivant dans la volume externe] de [Options de montage] est désactivée à chaque tentative de montage que celle-ci aboutisse ou non.
Par mesure de précaution et avant de fournir le mot de passe du volume extérieur, vérifiez systématiquement que la protection du volume caché est bien active en sélectionnant l'onglet [Options...] et dans le cas contraire, cochez à nouveau cette option (voir E.2.b)

Bien entendu, si un ennemi vous demande de monter le volume externe, ne le faites pas en activant la protection du volume caché. Notez que pendant que le volume externe est monté alors que la protection du volume caché est active, l'ennemi peut déterminer qu'un volume caché existe au sein du volume extérieur et ceci jusqu'à son démontage.

[3] Résultat
... a ... Les deux volumes.
Il existe bien maintenant deux volumes distincts, l'un étant contenu dans l'autre.

... Volume externe -> ... ... ... <- Volume caché ...

... b ... Choix de montage de volume
En usage courant, c'est grâce à la saisie d'un mot de passe plutôt que l'autre, que TC « montera » le volume externe ou le volume caché.

... / ...

[Txon]

... \ ...

F – Sauvegarde des volumes (non système) et du (des) « header(s) » (en-tête)

Les données contenues dans un volume TrueCrypt pourraient être corrompues à cause d'erreurs ou de dysfonctionnements du matériel ou de logiciels. Nous vous recommandons fortement de sauvegarder régulièrement vos fichiers importants (ceci est bien entendu valable non seulement pour les données cryptées mais aussi pour toutes les données importantes).

En plus des fichiers, nous vous recommandons vivement de sauvegarder également les « headers » car ils contiennent les clés maîtresses de cryptage/décryptage.

[1] Sauvegarde des volumes cryptés contenus dans l'unité USB.
Il suffit de créer des volumes équivalents et identiques aux partitions Truecrypt à sauvegarder sur le disque dur ou tout autre unité USB, puis d'ouvrir les volumes qui se correspondent et d'effectuer la copie.
... a ... Pour plus de sécurité, il est recommandé de suivre les étapes suivantes :

• 1 - Créez un nouveau volume TrueCrypt de taille égale ou supérieure en utilisant l'assistant de création. N'activez pas le format rapide (Quick Format) ou l'option [Dynamique] (voir B.1.f).
• 2 - Montez le volume nouvellement créé.
• 3 - Créez et rangez une sauvegarde de l'en-tête du volume d'origine (principal) dans le nouveau volume qui est ouvert puis fermez (démontez) le volume de sauvegarde.
• 4 - De la même manière, montez le volume principal où vous copierez le « header » du volume de sauvegarde.
• 5 - Montez enfin le volume de sauvegarde et copiez y tous les fichiers depuis le volume principal.

... b ... Si vous suivez ces différentes étapes vous éviterez aux inquisiteurs de trouver :

• Quels secteurs du volume ont changé. Ceci n'est vrai que si vous respectez la procédure depuis l'étape 1 et important si l'endroit où vous stockez l'unité de sauvegarde est accessible à un éventuel inquisiteur.
• Que l'un des volumes est la sauvegarde de l'autre.
• Que vous avez fait des sauvegardes du (des) en-tête(s) et où elle(s) est (sont) conservée(s).

... c ... Si le « header » du volume d'origine (principal) est endommagé, il suffit de monter la sauvegarde et d'utiliser l'en-tête qui y est stockée pour le restaurer dans le volume principal.
... d ... Dans ce cas, en particulier si le volume de sauvegarde de fichiers est hébergé, le volume caché devrait occuper seulement une très petite partie du volume d'accueil. Le volume extérieur devrait être presque complètement rempli de fichiers (autrement, le déni plausible du volume caché pourraient être affecté.


[2] Sauvegarde du (des) « header(s) » (en-tête).

La taille d'une en-tête est seulement de 1024 octets. Si le « header » d'un volume est endommagé, il sera impossible dans la plupart des cas de le monter.
En conséquence et si vous n'avez pas assez de place pour sauvegarder l'intégralité de votre volume TrueCrypt, il est hautement recommandé de sauver au moins l'en-tête qui contient la « clé maître », le mot de passe etc. La taille du fichier de sauvegarde ne sera que de 1024 octets.
... a ... Dans TC, sélectionnez le volume à l'aide de [Fichiers...] ou de [Périphérique...]. Cliquez ensuite sur le bouton [Outils] du menu principal puis sur [Sauvegarder l'en-tête du volume]
Vous devriez recevoir un message demandant confirmation de votre désir d'effectuer cette sauvegarde.

...

... b ... Si vous poursuivez, il vous suffit d'indiquer l'emplacement et le nom du fichier de sauvegarde.

Vous devriez recevoir un message de bonne fin de l'opération.

... c ... La sauvegarde de l'en-tête d'un volume TrueCrypt est une copie exacte du (des) « header(s) » sans aucune autre information et elle ne peut pas être décryptée sans connaissance du mot de passe ou de la (des) clé(s) d'encryptage.
Notez que l'en-tête du volume standard et l'emplacement du « header » du volume caché sont sauvegardés même s'il n'y a pas de volume caché.

... d ... Vous n'aurez besoin de créer à nouveau ce type de sauvegarde que si vous changez le mot de passe et/ou la (des) clé(s) d'encryptage du volume. Autrement le « header » n'est pas modifié et sa sauvegarde reste donc d'actualité.
Il vous est possible d'effectuer une sauvegarde distincte à chaque changement de mot de passe afin de garder l'ancien en cas d'oubli du nouveau.


[3] Restauration du (des) « header(s) » (en-tête).
Il est possible qu'une corruption de l'en-tête soit à l'origine de l'impossibilité d'ouverture d'un volume TrueCrypt. Il faut alors la restaurer en choisissant entre le « header » du volume standard ou celui de l'éventuel volume caché car une seule en-tête peut être restaurée à la fois (il faut deux opérations pour deux en-têtes).
La restauration comporte aussi celle du (des) mots de passe valide(s) au moment de la sauvegarde ainsi que celle de (des) clé(s) d'encryptage.

... a ... Dans TC, sélectionnez le volume à l'aide de [Fichiers...] ou de [Périphérique...]. Cliquez ensuite sur le bouton [Outils] du menu principal puis sur [Restaurer l'en-tête du volume]
Vous devriez recevoir un message demandant confirmation de votre désir d'effectuer cette sauvegarde.

...

... b ... Si vous poursuivez, il vous suffit d'indiquer l'emplacement et le nom du fichier de restauration.

... c ... Sélectionnez le volume dont l'en-tête doit être restaurée (s'il existe un volume caché).

Vous devriez recevoir un message de bonne fin de l'opération.

... / ...

[Txon]

... \ ...

Annexe

Pour nous faire part de vos commentaires (critiques, corrections d'erreurs, demande de renseignements complémentaires ... ) veuillez vous rendre ...
-> ICI <-