Partagez cet article
Dans un autre tutoriel, nous décrivons comment déployer le chiffrement intégral du disque sur Ubuntu Desktop 20.04 avec le chiffrement LUKS au moment de son installation. En pratique, il s’agit de la méthode recommandée pour protéger un périphérique Ubuntu, car elle chiffre toutes les partitions du disque, y compris l’espace d’échange (swap space) et les partitions système, ce qui permet d’obtenir un chiffrement complet du disque.
Si Ubuntu est déjà installé sans aucun chiffrement, le chiffrement complet du disque avec LUKS n’est peut-être pas une option ; cependant, vous pouvez toujours chiffrer le répertoire personnel et l’espace d’échange sans avoir à réinstaller complètement le système d’exploitation.
Par défaut, le répertoire personnel est le répertoire où se trouvent la plupart de vos fichiers personnels. Il peut s’agir de documents, de feuilles de calcul, de musique, de vidéos, d’images et de tout autre fichier que vous pouvez télécharger. L’espace d’échange est l’espace sur le disque dur qui est utilisé comme mémoire virtuelle. Lorsqu’un système Linux manque de RAM, les pages inactives sont poussées vers l’espace d’échange ; bien que le temps d’accès soit un peu plus lent que celui de la RAM, l’espace d’échange complète ainsi la RAM du périphérique lorsqu’elle est presque épuisée.
Ubuntu fournit un outil de commande en ligne pour chiffrer à la fois le répertoire personnel et l’espace d’échange. Pourquoi chiffrer également l’espace d’échange ? Comme mentionné précédemment, le système d’exploitation déplace périodiquement certaines pages de mémoire vers l’espace d’échange lorsque la RAM est presque épuisée. Les informations déplacées vers l’espace d’échange peuvent contenir des informations personnelles telles que des noms d’utilisateur et des mots de passe qui pourraient s’avérer précieux pour les pirates. Il est donc essentiel de chiffrer également l’espace d’échange.
Dans ce guide, nous allons explorer le chiffrement post-installation sur Ubuntu 20.04. Nous couvrirons le chiffrement du répertoire personnel et de l’espace d’échange, qui est essentiel pour la protection des données personnelles et professionnelles des utilisateurs.
À NOTER : Le chiffrement est un processus qui peut entraîner une perte de données sur votre machine. Veuillez sauvegarder votre dossier /home avant d’effectuer l’une des étapes ci-dessous. En outre, si vous utilisez JumpCloud pour gérer les utilisateurs sur cette machine, vous risquez de rencontrer une boucle de connexion désagréable si vous redémarrez la machine avant que l’utilisateur ne se connecte avec un nouveau mot de passe.
Étape 1 : Installez les paquets de chiffrement
Pour commencer, nous allons installer les logiciels qui permettent le chiffrement sous Linux : ecrypt-utils et cryptsetup. Tout d’abord, lancez votre terminal et exécutez la commande suivante :
$ sudo apt install ecryptfs-utils cryptsetup
Lorsque vous y êtes invité, appuyez sur « Y » pour procéder à l’installation des paquets et des autres dépendances logicielles.
Étape 2 : Créez un autre utilisateur et attribuez-lui des privilèges Sudo
Le chiffrement de votre répertoire personnel nécessite l’utilisation d’un autre utilisateur privilégié. En effet, certains des fichiers de votre répertoire personnel peuvent devenir inaccessibles si vous effectuez le chiffrement en vous connectant avec votre propre compte.
Pour cette raison, nous allons créer un nouvel utilisateur privilégié pour le chiffrement du répertoire personnel.
Tout d’abord, nous allons créer un utilisateur régulier en utilisant la syntaxe suivante :
$ sudo adduser username
Pour les besoins de la cause, encryption_user est l’utilisateur régulier que nous allons créer.
$ sudo adduser encryption_user
Veillez à remplir tous les détails pertinents et appuyez sur « Y » pour enregistrer les informations.
Ensuite, attribuez les privilèges root à l’utilisateur nouvellement créé en l’ajoutant au groupe sudoers.
$ sudo usermod -aG sudo encryption_user
Ensuite, déconnectez-vous (NE PAS REDÉMARREZ !) et connectez-vous en utilisant le compte utilisateur admin.
Étape 3 : Chiffrez le répertoire personnel
Une fois connecté en tant qu’utilisateur privilégié temporaire, vous pouvez jeter un coup d’œil au contenu du répertoire personnel que vous êtes sur le point de chiffrer. Ici, ~winnie est le répertoire personnel du compte utilisateur appelé winnie que nous allons chiffrer sous peu.
$ sudo ls -l ~winnie
Pour chiffrer le répertoire personnel, nous allons exécuter la commande ci-dessous. Dans ce tutoriel, le répertoire personnel est nommé winnie.
$ sudo ecryptfs-migrate-home -u winnie
Vous obtiendrez un résultat similaire à celui illustré ci-dessous. Lorsque l’on vous demande la phrase de passe, fournissez le mot de passe de connexion du compte utilisateur et appuyez sur « ENTER »
Le chiffrement du répertoire personnel va commencer. Cela prend un certain temps en fonction de la taille et de l’utilisation du disque du répertoire personnel.
Une fois le chiffrement du fichier terminé, des instructions seront imprimées sur le terminal pour vous guider dans les étapes suivantes. Nous allons suivre les étapes ci-dessous pour terminer le processus de manière élégante.
Étape 4 : Confirmez le chiffrement et enregistrez la phrase de passe
Ensuite, déconnectez-vous du compte utilisateur privilégié et reconnectez-vous (NE PAS REDÉMARREZ !) à votre compte utilisateur normal.
Une fois de retour, une notification s’affichera sur le bureau et vous indiquera (ou indiquera à l’utilisateur sur sa machine, si vous effectuez ce processus à distance) les prochaines étapes à suivre pour enregistrer une phrase de passe qui sera utilisée pour récupérer votre répertoire personnel. Si un utilisateur n’est pas présent, la phrase de passe peut être enregistrée via le terminal (voir ci-dessous).
Étape 4A : Confirmez le processus de chiffrement avant d’enregistrer la phrase de passe.
Avant d’aller plus loin, vous devez confirmer que vous pouvez lire et écrire des fichiers dans votre répertoire personnel. Pour faire un essai, nous allons créer un simple fichier texte hello.txt.
$ cat > hello.txt
Tapez un texte factice et appuyez sur Ctrl + D pour enregistrer les modifications. Pour vérifier que vous avez bien écrit les données, utilisez à nouveau la commande cat comme suit :
$ cat hello.txt
Si vous avez pu écrire et lire des données, le processus de chiffrement s’est déroulé avec succès. Cela signifie également que la phrase de passe a été appliquée pour déchiffrer le répertoire personnel lorsque l’utilisateur s’est reconnecté.
Étape 4B : Enregistrez la phrase de passe
Maintenant que vous avez confirmé les capacités de lecture/écriture, vous devez imprimer ou enregistrer la phrase de passe ; pour ce faire, retournez à la fenêtre pop-up et appuyez sur le bouton « Run this action now » ; ou, si vous exécutez ce tutoriel à distance via un terminal, vous devrez plutôt exécuter la commande ecryptfs-unwrap-passphrase (voir ci-dessous).
Lorsqu’on vous demande la phrase de passe, fournissez votre mot de passe de connexion et appuyez sur « ENTER ».
Ensuite, vous pouvez révéler le mot de passe de récupération en utilisant la commande :
$ sudo ecryptfs-unwrap-passphrase
Notez la phrase de passe de récupération et conservez-la dans un endroit sûr.
Étape 5 : Chiffrez l’espace d’échange
Enfin, nous chiffrerons l’espace d’échange pour éviter toute fuite susceptible de compromettre les données sensibles des utilisateurs. Mais d’abord, vérifiez si l’espace d’échange existe sur votre système comme indiqué ci-dessous.
$ swapon -s
Le résultat confirme que nous avons bien une partition swap marquée comme /dev/sda3. Vous pouvez vérifier l’espace qu’elle occupe en utilisant la commande free. Le résultat montre qu’elle occupe 8G d’espace.
$ free -h
Pour chiffrer l’espace d’échange, il suffit d’exécuter la commande :
$ sudo ecryptfs-setup-swap
Étape 6 : Faites le ménage
À ce stade, le répertoire personnel et l’espace d’échange ont été chiffrés. Vous pouvez maintenant supprimer l’utilisateur privilégié que vous avez utilisé pour chiffrer le répertoire personnel.
$ sudo deluser –remove-home encryption_user
De plus, nous allons également supprimer le répertoire /home/winnie.MTL8xtIX. Il s’agit d’un dossier de sauvegarde qui a été créé lorsque nous avons exécuté la commande de migration initiale. Vous pouvez le trouver en localisant le répertoire dont le nom contient .MTL8
$ sudo rm -Rf /home/winnie.MTL8xtIX
Conclusion
Nous avons démontré le processus de chiffrement du répertoire personnel et de l’espace d’échange tel que fourni par les paquets ecrypt-utils et cryptsetup. Bien que cela procure un degré de protection décent pour vos fichiers et documents personnels, ce n’est pas la même chose que le chiffrement complet du disque qui chiffre toutes les partitions, y compris les partitions système, pendant l’installation. Si le chiffrement est votre seule stratégie de défense, pensez à mettre en place une autre couche de sécurité, comme l’authentification multifactorielle sur Ubuntu.
Grâce à la plateforme d’annuaire JumpCloud, vous pouvez facilement mettre en œuvre le chiffrement des disques dans l’ensemble de votre parc. Grâce à ses capacités de gestion des périphériques à distance, les périphériques Windows et macOS peuvent obtenir un chiffrement complet des disques par le biais de politiques standard prêtes à l’emploi. Les périphériques Linux, quant à eux, peuvent être gérés et contrôlés pour vérifier l’état du chiffrement et, à l’aide de la fonction de commandes, déployer des processus tels que celui présenté dans ce tutoriel sur des périphériques distants, où qu’ils se trouvent.
Pour voir comment cela fonctionne, ainsi qu’un certain nombre d’autres fonctionnalités de sécurité et de gestion des appareils, inscrivez-vous à votre compte gratuit aujourd’hui. L’utilisation de JumpCloud est gratuite pour un maximum de 10 utilisateurs et 10 appareils. Nous fournissons également une assistance 24 heures sur 24 et 7 jours sur 7 accessible dans l’application, et ce pendant les 10 premiers jours d’utilisation.
