Ministère de l écologie, du développement durable des transports et du logement Centre de prestation et d'ingénierie informatique (CPII) Département Opérationnel du Sud-Ouest PNE Sécurité Affaire suivie par : Valérie CORDELLIER PNE SECURITE Chiffrement du poste de travail TrueCrypt Installation et paramétrage V 7.1.a 09/03/2012 1/21
S O M M A I R E 1Préambule... 4 1.1Présentation de TrueCrypt... 4 1.2Objectifs de cette solution de chiffrement...4 2Installation de TrueCrypt... 4 3Création d'un volume... 4 3.1L'authentification sur le volume...4 3.1.1Fichier clé sur la carte à puce...4 3.1.1.1Paramétrer True Crypt pour accepter le format de la carte à puce du ministère...4 3.1.1.2Générer le fichier clé avec TrueCrypt...5 3.1.1.3Insérer le fichier clé sur la carte à puce...6 3.1.1.4Créer un volume chiffré avec un fichier clé sur carte à puce...7 3.2Création d'un volume chiffré...7 3.2.1Nouvelle partition chiffrée...7 3.2.2Création d'un container chiffré dans un fichier...9 4Sauvegarde... 11 4.1Sauvegarde de l'en tête :... 11 4.2Centraliser les en-tête... 13 4.3Modification du mot de passe par l'utilisateur...13 4.4Restauration de l'en tête du volume...15 5Paramétrage... 16 5.1Montage automatique de volumes...16 5.1.1Définir le dossier chiffré comme favori...16 5.1.2Monter les volumes favoris à l'ouverture d'une session Windows...16 5.2Déplacer le profil Thunderbird sous la partition cryptée...16 5.2.1Déplacer un profil thunderbird existant...16 5.2.2Créer un nouveau profil à l'endroit souhaité...17 5.3Déplacer "Mes documents" sous la partition cryptée...17 5.4Applications bureautique... 18 5.5Surf et téléchargements... 18 6Utilisation de True Crypt... 19 6.1Monter un volume crypté avec un mot de passe...19 6.2Monter un volume crypté avec un fichier clé sur carte à puce...20 6.3Monter un volume crypté avec un fichier clé sur un autre support...20 6.4Monter un volume crypté avec un fichier clé ET un mot de passe...20 2/21
Préambule Actualisation du document TRUE CRYPT : INSTALLATION, PARAMÉTRAGE, UTILISATION Date Observations Auteur 10/03/11 Publication initiale du document Valérie Cordellier 27/03/11 Finalisation du document Valérie Cordellier 18/07/11 Rejout du paragraphe volume favori Valérie Cordellier 07/02/12 Modification changement mot de passe du volume 09/03/12 Mise à jour pour changement de version de true crypt Valérie Cordellier Valérie Cordellier 03/04/12 Mise à jour Version 7.1.a Edouard Salvané AUTEUR(S) Valérie Cordellier,CPII/ DOSO / ET / PNE SECURITE Mél : assistance-nationale-securite@developpement-durable.gouv.fr AFFAIRE SUIVIE PAR Valérie Cordellier CONVENTIONS D'ÉCRITURE Les remarques et attentions sont précédées d'une icône spécifique. Exemple : Ceci est une remarque Ceci est une attention PUBLIC Ce document s'adresse aux support de premier niveau ayant en charge l'installation et le paramétrage de TrueCrypt OBJET DU DOCUMENT Ce document a pour objet d'aider à l'installation et au paramétrage du logiciel True Crypt par les supports de premier niveau 3/21
1 Préambule 1.1 Présentation de TrueCrypt TrueCrypt est un logiciel libre et gratuit de cryptage de volumes qui permet de créer un disque virtuel chiffré contenu dans un fichier et de le monter comme un disque physique réel. Il peut chiffrer une partition entière ou un périphérique, comme une clé USB, ainsi qu'une partition système avec identification au boot. Il fonctionne aussi bien sous Mac/linux/Windows. Les algorithmes de cryptage proposés sont parmi les plus robustes/courants. 1.2 Objectifs de cette solution de chiffrement L'ensemble des portables nomades du ministère contenant des données confidentielles doivent stocker ces données sur une partition chiffrée. Le choix de chiffrer une partition de données et non pas une partition système est dû au fait que le poste doit pouvoir aller en maintenance. Les données confidentielles seront systématiquement placées sur cette partition ou ce container. 2 Installation de TrueCrypt Télécharger TrueCrypt sur le site officiel : http://www.truecrypt.org/ Francisation de l'application : Télécharger du pack langue française : http://www.truecrypt.org/download (lien au 03/04/12) Pour mettre TrueCrypt en français mettre à la racine de l'application (C:\Program Files\TrueCrypt) le fichier xml télécharger précédemment. Ensuite, il suffit de lancer TrueCrypt puis choisir la langue française dans Settings Language. 3 Création d'un volume Le but de cette solution de chiffrement de données est de protéger au mieux un ordinateur nomade. Deux possibilités sont offertes : sur un portable neuf : chiffrer une partition existante ET vide sur un portable n'ayant plus de partitions libre : créer un container chiffré 3.1 L'authentification sur le volume Plusieurs façon se s'authentifier : le mot de passe les fichiers clés sur un support tel que clé usb ou carte à puce le mot de passe : Il doit respecter les règles de sécurité du poste de travail. Les fichiers clés Les "Fichiers clés" peuvent augmenter la sécurité du mot de passe ou le remplacer, de façon à n'avoir plus à mémoriser un long mot de passe. Il peut être mis sur une clé usb ou encore une carte à puce. 4/21
3.1.1 FICHIER CLÉ SUR LA CARTE À PUCE 3.1.1.1 Paramétrer True Crypt pour accepter le format de la carte à puce du ministère Pour que TrueCrypt puisse être utilisé avec une carte à puce, il faut déterminer la librairie (dll) qui sera utilisée. Le chemin d'accès à cette librairie des cartes à puce des agents MEEDDM est : C:\program files\gemalto\access Clients\v5\xltCk.dll Ce chemin peut être trouvé par exemple dans mozilla firefox de la manière suivante : Outils => Options => Avancé Cliquer sur le bouton "Périphérique de sécurité", puis sélectionner Axalto Dans TrueCrypt, aller alors dans Paramètres / Sécurity Tokens Cliquer sur le bouton "Select Library" et pas sur "auto detect library", qui ne fonctionne pas dans ce cas 3.1.1.2 Générer le fichier clé avec TrueCrypt 1/- True Crypt peut générer un fichier clé, mais cela peut être n'importe quel fichier 2/- Choisir l'algorythme SHA 512 Puis cliquer sur "Générer et sauvegarder le fichier clé" 5/21
3.1.1.3 Insérer le fichier clé sur la carte à puce 1/- 2/- Après avoir sélectionné "Manage Security Token Keyfiles, saisir le code pin de la carte à puce, puis cliquer sur le bouton : Sélectionner le fichier clé. La fenêtre suivante apparaît alors : 3/- La diode du lecteur de carte à puce clignote alors et la fenêtre ci-contre indique que l'opération est finie 4/- 5/- Dans CMC Admin Tool, le fichier clé apparaît de la manière suivante : 6/21
3.1.1.4 Créer un volume chiffré avec un fichier clé sur carte à puce 1/- Suivre les indications de TrueCrypt comme expliqué au dessus. Au moment où TrueCrypt demande le mot de passe du volume, cocher la case "fichier clé" puis cliquer sur le bouton "fichier clé" La fenêtre "TrueCrypt Fichier clé" s'ouvre, cliquer alors sur 2/- Renseigner alors le code Pin, puis sélectionnez le fichier clé généré précédemment : puis ok, ok TrueCrypt renvoie alors sur l'écran de mot de passe : cliquer sur suivant, puis sur le bouton "formater" Les fichiers clés peuvent être n'importe quel fichier, et true crypt peut en créer. 3.2 Création d'un volume chiffré 3.2.1 NOUVELLE PARTITION CHIFFRÉE 1 Cliquer sur le bouton 2 Choisir "Encrypt a non system partition/drive puis cliquer sur "suivant" 7/21
3 Choisir "Volume TrueCrypt Standard" 4 Cliquer sur le bouton "Périphérique 5 Choisir le périphérique désiré puis cliquer sur "ok" Un message d'alerte apparaît alors, cliquer sur "ok" 6 Cliquez alors sur le bouton "suivant" NB : il est facile de repérer la partition désirée via la lettre 7 Le premier choix formate la partition et supprime les données qui y sont stockées. Le second choix crypte la partition et les données sur place. On va choisir ici le premier item (le deuxième ne concerne qu'une partition système) 8 Choisir comme dans la copie d'écran l'algorythme de chiffrement AES, et l'algorythme de hachage SHA-512 8/21
9 Vérifier que la taille de la partition correspond et cliquer sur "Suivant" 10 (a) voir paragraphe 3,3 l'authentification 11 NB : étudiez la taille des fichiers que vous aurez à crypter sur cette partition. Ici, on décide de ne pas stocker de fichiers de plus de 4 Go (Sauf situation exceptionnelle, le choix "grand fichiers" ne doit pas être choisi) 12 Choisir le système NTFS puis cliquer sur "Formater" Le message d'alerte suivant va apparaître, cliquer sur le bouton "oui".le volume est alors créé. 3.2.2 CRÉATION D'UN CONTAINER CHIFFRÉ DANS UN FICHIER L'option de générer un container chiffré sera à choisir lorsque le poste nomade n'a pas de partition libre. Le mode opératoire est sensiblement le même que pour crypter une partition : Cliquer sur le bouton "Créer un Volume" puis choisir l'option "Create an encrypted file container" Choisir le type de volume standard puis cliquer le le bouton "Fichier 9/21
Un explorateur Windows s'ouvre : sélectionnez le répertoire dans lequel votre volume sera contenu, donnez lui un nom dans l'explorateur Windows et cliquez sur ok. Choisir les options de chiffrement de la manière ci-contre : Le répertoire d'accueil Le nom du volume Le type de fichier Déterminez la taille du volume en fonction de vos besoins Choisir ensuite un mot de passe ou un fichier clé, ou un mixte des deux comme expliqué ci dessous en paragraphe : Puis formater le volume Monter le volume nécessite de choisir un emplacement dans la fenêtre TrueCrypt, de cliquer sur le bouton fichier et de sélectionner le fichier volume en s'étant authentifié 10/21
4 Sauvegarde TrueCrypt n'offre pas à proprement parler de possibilité de séquestre et de recouvrement. Aussi, dès la fin de l'installation,il est indispensable de faire une sauvegarde de l'en tête du container, afin de pouvoir le restaurer en cas de problème Le volume monté est constitué de deux parties : En-tête Volume (données) Si le container vient à être endommagé, et que l'en-tête du volume est détruit, tout le volume est perdu car TrueCryp ne sera plus capable de monter correctement le volume. True Crypt propose donc deux fonctions : la sauvegarde et la restauration de l'en-tête du volume. Lors d'une sauvegarde, il convient de donner un nom au fichier, qui sera à sauvegarder ailleurs que sur le volume, et de préférence sur un autre disque. En cas de restauration, le mot de passe ou les fichiers clés seront ceux datant de la sauvegarde de l'entête. Il est donc possible, pour prévenir la perte de fichiers clés ou de mot de passe, de séquestrer les en-têtes des containers de la manière suivante : - générer un container avec un mot de passe ou un fichier clé, - faire une sauvegarde de l'en-tête qui sera donc centralisée, - demander à l'utilisateur modifier son ou ses fichiers clés et son mot de passe. => En cas de perte dudit système d'authentification, il suffira de lui fournir le fichier en-tête avec le mot de passe et / ou les key files. 4.1 Sauvegarde de l'en tête : Clic sur "Outils" choix "Sauvegarder l'en tête du volume". NB : il faut que le volume soit "Démonté" pour pouvoir effectuer une sauvegarde de son en tête. Il faudra saisir le mot de passe du volume, ainsi que le mot de passe du volume caché le cas échéant Indiquer s'il y a ou pas de volume caché donner un nom à la sauvegarde de l'en tête du volume. 11/21
Saisir à la demande de TrueCrypt le mot de passe du volume, la copie d'écran ci-contre apparaît alors Cliquer sur oui, puis donner un nom parlant à la sauvegarde de l'en tête (ici : L'écran suivant apparaît alors : Cliquer sur "ok" 12/21
4.2 Centraliser les en-tête Les en têtes sauvegardées devront être conservées sur un support sécurisé, et les mots de passe associés également, dans un endroit différent. A noter : dans le cas où un agent doit faire appel à sa sauvegarde d'en tête, il faudra aussi lui fournir le mot de passe associé 4.3 Modification du mot de passe par l'utilisateur Lorsque vous lancez votre poste de travail, le volume chiffré se "monte" automatiquement afin d'éviter un maximum de manipulations à l'utilisateur. Avant la première utilisation, il est nécessaire de changer le mot de passe. Pour cela, il faut commencer par "démonter" le volume. Pour cela, sélectionner le volume chiffrer puis cliquer sur le bouton "démonter" Une fois le volume "démonté", cliquer sur le bouton "outil pour le volume"" et choisissez "Modifier le mot de passe du volume" Saisissez comme demandé par l'application le mot de passe actuel, puis le nouveau mot de passe et le cas échéant, le fichier clé (voir le paragraphe ad hoc pour cela.) Ensuite, votre mot de passe est changé avec succès. Pour l'authentification, se reporter au paragraphe adéquat. 13/21
4.4 Restauration de l'en tête du volume Aller dans le menu "Outils" choix "Restaurer l'en-tête du volume" Choisir "Restaurer l'en-tête du volume à partir d'un fichier de sauvegarde externe" Un message d'avertissement signale que la restauration de l'en-tête restaure AUSSI le mot de passe. Cliquer sur oui, sélectionner le fichier et saisir le mot de passe, puis ok au message signalant qu'un ancien mot de passe peut avoir été restauré. Fournir le mot de passe à l'utilisateur puis lui rappeler de changer ledit mot de passe. 14/21
5 Paramétrage 5.1 Montage automatique de volumes 5.1.1 DÉFINIR LE DOSSIER CHIFFRÉ COMME FAVORI Dans Favorites, choisir : "Add Mounted Volume to Favorites» 5.1.2 MONTER LES VOLUMES FAVORIS À L'OUVERTURE D'UNE SESSION WINDOWS Ceci a pour but de rendre l'utilisation de TrueCrypt la plus facile et la plus transparente à l'utilisateur. Dans TrueCrypt => Favorites => Organize Favorite Volumes 15/21
Pour le volume choisi, il suffit de cocher : Mount selected volume upon logon Remarque : Une fois le paramètre passé, un message de Kaspersky Anti-Virus va apparaître vous demandant de confirmer l'accès à la base de registre nécessaire à cette option. Cliquer sur autoriser. 16/21
ATTENTION : Une option portant sur le montage des volumes lors de l'ouverture d'une session est disponible via le menu paramètres : NE PAS COCHER Il ne faut pas cocher ce paramètre ; en effet, si celui-ci est coché un message d'erreur apparaîtra lors de la saisie du mot d epasse du volume à monter. 17/21
5.2 Déplacer le profil Thunderbird sous la partition cryptée Le chemin par défaut du profil thunderbird est C:\Documents and Settings\Nom_de_l_utilisateur\Application Data\Thunderbird\Profiles\xxxxxxxx.nom_du_profil Où xxxxxxxx est une suite de 8 caractères alphanumériques aléatoire et nom du profil = à default" si on n'a qu'un profil. NB : afin de voir ce répertoire, il faut autoriser l'affichage des fichiers cachés. 5.2.1 DÉPLACER UN PROFIL THUNDERBIRD EXISTANT Monter le volume true crypt Fermer complètement thunderbird et vérifier que le processus n'est pas en arrière plan. Déplacer le profil de son emplacement actuel à l'emplacement souhaité : lancer le gestionnaire de profiles dans Démarrer => Exécuter, taper la ligne de commandes : "C:\Program Files\Courrielleur Mélanie2\thunderbird.exe" -p Dans le gestionnaire de profiles, créer un nouveau profil. Durant la création, il faut "Choisir un dossier" et ainsi sélectionner le dossier qui contient le profil qui aura été déplacé Supprimer le profil inutile, sélectionnez le profil ainsi créé ET démarrer le courrielleur 5.2.2 CRÉER UN NOUVEAU PROFIL À L'ENDROIT SOUHAITÉ Créer dans le volume crypté un répertoire qui recevra le profile Dans le gestionnaire de profiles Cliquer sur "Créer un profil" Cliquer sur suivant Cliquer sur 'Choisir un dossier" Choisir le dossier précédemment créé et cliquer sur "créer un nouveau dossier" Ainsi, le dossier de profile ne sera pas directement sous l'arborescence. Si vous souhaitez qu'il soit directement sous l'arborescence, placez vous à la racine de votre volume crypté avant de cliquer sur "choisir un dossier" Si vous tentez de lancer le courrielleur AVANT d'avoir monté le volume TrueCrypt, le message d'erreur suivant apparaîtra : (Ce message peut aussi apparaître lorsque lors de la création du profil sur le lecteur crypté, le nouveau profil n'a pas été sélectionné en fin de création.) 18/21
5.3 Déplacer "Mes documents" sous la partition cryptée Sur le bureau, cliquer du bouton droit sur l'icône "mes documents", choisir l'item "Propriétés" puis l'onglet "cible" Cliquer sur le bouton "Déplacer", et sélectionner le répertoire adéquat sous la partition cryptée 5.4 Applications bureautique Les chemins d'enregistrement d'open Office se définissent dans Outil => Option => Open Office.org => choix "chemins". Par défaut, les chemins d'enregistrements prédéterminés se trouvent dans C:/Documents and Settings. Si le dossier Documents and Settings n'est pas déplacé sous la partition crypté, il peut être utile de déplacer sous cette partition cryptée les items : Fichier temporaires Mes documents Modèles Sauvegarde. Sachant qu'il est toujours possible au fil de la création des documents de les enregistrer à l'endroit désiré. Nb : il est aussi possible de déplacer facilement le dossier "Mes documents" par un clic du bouton droit, propriétés puis choix cible, bouton déplacer 5.5 Surf et téléchargements Dans le menu Outil, choisir Options puis général. Dans la rubrique "Téléchargement", cocher "toujours demander où enregistrer les fichiers si vous voulez garder le choix de la cible, ou cocher "enregistrer les fichiers dans le dossier téléchargement, que vous aurez au préalable créé sous la partition cryptée, et que vous choisirez. 19/21
6 Utilisation de True Crypt 6.1 Monter un volume crypté avec un mot de passe Cliquer sur le bouton "Périphérique" Sélectionnez la partition précédemment cryptée (ici, il s'agit du disque F) Cliquez sur Ok Puis sur le bouton "Monter" Une fenêtre de saisie de mot de passe apparaît La partition cryptée est alors accessible depuis l'explorateur, sous la lettre choisie dans TrueCrypt : Ici, il s'agira de G, la partition F qui a été cryptée n'est plus accessible. 20/21
6.2 Monter un volume crypté avec un fichier clé sur carte à puce Sélectionner le volume, cliquer sur le bouton "monter" Cocher "Fichiers clé" et cliquer sur le bouton "fichier clé" La fenêtre "TrueCrypt fichier clé" s'ouvre alors, cliquer sur le bouton Saisir le code PIN de la carte à puce et sélectionner le fichier clé cliquer sur les 3 boutons "ok" successifs, et le volume est monté. 6.3 Monter un volume crypté avec un fichier clé sur un autre support Sélectionner le volume, cliquer sur le bouton "monter" Cocher "Fichiers clé" et cliquer sur le bouton "fichier clé" La fenêtre "TrueCrypt fichier clé" s'ouvre alors, cliquer sur le bouton "Add Files" et sélectionner le fichier clé 6.4 Monter un volume crypté avec un fichier clé ET un mot de passe Procéder comme dans les paragraphes ci-dessus et en renseignant le mot de passe 21/21