Reprise du message précédent :
Il ne parle déjà pas français.

C'est clair. Mais n'empêche que ça aurait quand même vaguement plus de sens si on parlait de mémoire virtuelle plutôt que RAM .

Genre :
- Tu montes un conteneur
- Tu éteinds le PC comme un gros bourrin (coupure électrique)
- Tu récupères le pagefile.sys avec un cd/clé usb de boot
- Tu utilises un utilitaire kivabien pour en extraire une hypothétique chaîne en clair contenant le mdp qui serait miraculeusement restée en mémoire virtuelle
Je ne sais pas si ce scénario est vraisemblable selon la façon dont TC manipule le mdp d'un conteneur mais ça me parait assez douteux...

Quand à aller le récupérer directement en RAM en utilisant la persistance résiduelle après un hard reboot ça me parait délirant avec du matériel classique.

Il existe probablement des vulnérabilités de ce genre mais pas du tout exploitables sur un PC avec un pauvre utilitaire de boot...

Le mosieur veux peut-être parler de "cold boot attack" et d'attaques de ce type (et de mémoire il me semble que TC intègre des mécanismes pour limiter le "marquage" des cellules mémoire en bougeant régulièrement les banque mémoire utilisée et en stockant une fois sur deux la clef en bit inversés cela justement pour rendre plus difficile ces attaques).
 
Sauf que comme nous l'avons déjà précisé le but de TC n'est pas de protéger une machine mais de protéger des donnes stockées dans des conteneurs.
Ce n'est pas TC qui va protéger l'accès physique à une machine ou protéger des virus ou d'un live CD.
 
Les clefs SONT FORCEMENT stockée en mémoire pour pouvoir accéder aux donnes en clair.
Que ce soit avec TC ou une autre solution (bitlocker, PGP, steganos...).
Il n'est pas possible de faire autrement, les seules autres solutions sont les chiffrement matériels intégrés au support de stockage.
 
Certes TC aurait pu faire le choix d'utiliser les rares puces TPM.
MAIS d'un ces puces étaient trop rares (le sont-elles encore ?) et de deux cela ne permettait pas un usage "universel" et mobile de TC entre plusieurs OS et ordinateurs. Sans compter que les solutions sur TPM ne sont pas open source et encore moins libres.
 
Pour "sécuriser" un ordinateur, ce n'est pas le sujet ici cherche ailleurs dans le forum ou du coté de malekal.
Ici c'est TC.

au revoir ,je ne suis pas ici pour prendre des cours de français ,
mais pour trouvé plus d'information sur là sécurité ......
hors j'utilise aussi truecrypt  et ma question concerne aussi truecrypt
tout en cherchant a amélioré la sécurité / cryptage de mon matériel ....
 
http://becherel.com/  
 
/HS  
 
http://korben.info/le-cryptage-des [...] table.html
 

J'imagine que vous avez déjà cette vidéo (en anglais) mais pour la faire courte, ça explique que
le cryptage des disques est facile piratable. En effet, des étudiants de Princeton spécialisés en sécurité viennent d'en faire la demonstration.
La clé de cryptage que ce soit pour Vista ou même des softs comme TrueCrypt est stockée en mémoire vive (RAM) pendant que vous l'utilisez.  
En théorie, quand vous éteignez la machine, cette clée disparait de la mémoire...
 
et le post date du jeudi 28 février 2008
 
merci de l'information LimDul ,
je vais cherché ça
 
je ne cherche pas à protégé ma machine ....
j'ai un SSD avec mon system ,et mes "données  sensible".
 
tout ce que je souhaite ,c'est qu'il n'arrive pas à accédés au données du SSD.
 
ajouté un code au bios ,a part leur faire perdre quelque heures cela sera le maximum ...
un peu jaloux des iphones ,si truecrypt pouvai se verrouillé définitivement au bout de x tentative erronée

 
LimDul a (comme toujours) très bien expliqué pourquoi c'est inévitable et que le problème vient pas du chiffrement du SSD, mais de l'accès à ta machine. En gros, TC protège tes données uniquement si de ton coté, tu as tout fait pour qu'un "visiteur" exterieur ne soit pas parvenu à entrer dans ta bécane.

C'est clair. Parce que sinon dans le même esprit toutes les machines du monde reliées au net et utilisant des partitions cryptées sont vulnérables dès la seconde où la partition est montée. Pourtant ce n'est pas la faute de la solution de cryptage.
 
Du coup si ton PC où tu utilises TC est en réseau il est vulnérable même si tu encodes en Twofish(Serpent(AES)) 4096 bits

oui ,mais ma question n’était pas du tout orienté "internet" .
 
ma question était tourné est t-il possible de formaté la ram
(tout comme memtest le fait )
 
avant de coupé l'ordinateur , afin de comblé cette faille ....
(la clef dans la mémoire ,pour empêché un dump coldboot )

Un formatage en règle de mémoire consiste (si je ne dis pas de bêtises) à écrire des données aléatoires de façon répétées sur chaque secteur pour "brouiller les pistes" et minimiser l'impact du phénomène de rémanence des données.
Je connais le principe sur les supports magnétiques (disques durs..) mais je ne sais pas à quel point les mémoires "flash" type SSD et RAM sont impactées par ce phénomène, ni s'il nécessite le même nombre de passes.
 
Du coup, outre l'aspect chronophage de la manip', je doute que ce soit très bon pour la durée de vie de ta RAM car tu risques d'arriver plus vite que prévu au maximum de cycles d'écriture de tes cellules de mémoire.
(me corriger si je dis n'importe quoi   )

Pour de la RAM oui navré tu dis n'importe quoi . Le nombre de cycles est virtuellement illimité, d'ailleurs en pratique la RAM est "réécrite" en permanence pour ne pas perdre son contenu.
Mais sinon pour le fait de brouiller le contenu par des passes d'écritures aléatoires multiples oui c'est le principe, tous supports confondus.

Mais en pratique le risque de se retrouver piraté par l'utilisation d'une telle faille est ridiculement faible
Il suffit de regarder un minimum le protocole pour en comprendre la raison...

ouille pour les fautes  désolé

Merci  

Oula...
D'un un formatage de base consiste à la base à préparer un support (HDD, disquette...) pour y inscrire des informations nécessaires au système de fichier.
De deux les formatages "améliorés" dits alors de bas niveau consistent à écrire sur toute la surface soit une suite de 0 soit une suite de 1 (variable en fonction de fabricants) pour vérifier que tous les clusters fonctionnent et ainsi détecter et marquer les défectueux.
Toi tu parles là d'effacement sécurisé (je te laisse chercher des trucs sur wipefile, wipedisk).

Pour la durée de vie de la ram c'est déjà dit au dessus pas de pb (heureusement pour memtest+).
Bien que quelques articles aient parlé de certains "marquage" lorsque que ce sont tout le temps les mêmes données qui sont stockées au même endroit ce qui ralentit la décharge naturelle des cellules et facilite les coldboot atack (CBA).
D'où les mécanismes déjà évoqués (emplacements mémoire multiple et clef en bit inversés) qui sont de mémoire utilisé par TC pour non pas empêcher totalement mais rendre cette attaque plus dure.
Notez bien que je ne suis pas sûr de cela, je crois avoir lu un truc la dessus mais je ne retrouve pas.

Ensuite.
Tu semble chiffrer ton SSD.
C'est là un problème car les SSD n'aiment pas les chiffrements comme TC cela leur pose souvent des problèmes avec le TRIM et donc diminue la durée de vie et les perf (car tout le disque est marqué comme utilisé).
Utilise le chiffrement matériel intégré au SSD dans ce cas s'il en dispose.

Pour ton problème de clef en ram, sauf si tu veux absolument que ton OS soit chiffré, passe sur des conteneurs chiffrés et paramètre TC pour vider le cache au démontage et en quittant (deux cases à cocher).

Enfin, non il n'existe pas de programme de "formatage" ou "nettoyage" de la ram dans cet usage dédié.
Par contre tu peux probablement utiliser des programmes de "récupération" ou "défragmentation" de ram (RamBoost, CleanMem, Wise Memory Optimizer...).
Car en fait comme il vont prendre pendant qq secondes toute la mémoire possible pour en libérer, ils vont ainsi écrire sur les emplacement recherché et les "effacer" (juste une fois, pas d'effacement sécurisé).
MAIS tu aura compris qu'il faut que windows soit lancé pour que ces programmes marchent.
Totalement incompatible avec le chiffrement de ton OS.
[EDIT] A faire impérativement quand TC est fermé car ces programmes provoquent aussi un déplacement de données vers la mémoire cache du disque, ce serait dommage qu'en voulant "effacer" un truc on l'inscrive ailleurs [/EDIT]

Et pour finir.
Sauf si tu fais dans le grand banditisme et que tu crains de voir débarquer des mecs en bleu (mais non pas des Shtroumfs) tu n'a pas à te soucier de ce problème.
Car en cas d'espionnage industriel tu as normalement sécurisé l'accès à tes machines, et en cas de vol le temps entre l'arrêt et le rallumage est suffisant pour la dispersion naturelle des charges et perdre la clef.
Une CBA nécessite une urgence dans les manipulations et est trop spécifique pour s'en soucier dans 99,99% du temps.
Sans compter qu'il faut que la clef soit intacte et que de ce que j'ai pu voir les données récupérées le sont rarement totalement.

EDIT :
Et je ne répond pas aux questions sur TC par MP.
Car les réponse peuvent intéresser tout le monde et que d'autres peuvent répondre avant moi aussi.
Alors autant le faire ici.
Merci.

désolé du MP

Ne t'en fais pas, ne te flagelle pas pour ça.

salut ,
 
LimDul ,
 
espérant être un peu plus à la bonne place :
 
http://forum.hardware.fr/hfr/Windo [...] m#t3224855
 
si tu à des conseils ne te gène pas

Bonjour,
ça a déjà parlé d'applis Android pour monter des volumes TrueCrypt. J'ai essayé EDS lite (qui théoriquement ne nécessite pas d'être root), mais il failed à monter un container et même à en créer
Tenté sur clé usb et mémoire interne...
Personne ne connait d'alternative (gratuite ) ?

Une alternative sur tablette? Pas de clavier donc dur d'entrer le mdp sans trimbaler un clavier usb

Sinon c'est pour smartphone

Je crois que pendant un moment certains parlaient de cryptonite comme app android (j'ai jamais testé d'application compatibles TC sous android).
Mais TC étant officiellement stoppé ça va être dur de trouver un programme encore maintenu.

En fait par tablette, je sous entendais windows 10.. ^^

Oui cryptonite semble faire le taf, mais il faut rooter son tel. (chose que je ne veux pas faire tant qu'il est sous garantie)

Ce dont vous parlez c'est pour l'utilisation de container..

Oui, s'agissant de TC ça me parait logique.
Sauf pour le disque système où on parle alors de FDE tout le reste passe par des conteneurs. Qu'ils soient de type fichier ou partition/disque.

Désolé, j'ai mal exprimé ma demande. Je veux en effet mettre en place un FDE & du coup il me faudrait un clavier usb, ce qui est encombrant.. D'où ma recherche d'une alternative.. GRATUITE

Pour une tablette Win, sans clavier USB, je ne vois pas.
Même pour BitLocker ça me parait difficile à cause du manque de clavier, mais à par lui je ne vois pas.

Les tablettes Win embarquent toute un TPM (ok, pour les chinoises je ne sais pas), du coup il n'y a pas besoin de taper un mot de passe au boot si tu utilises bitlocker.
(et une grande majorité est livrée déja chiffré en config d'usine)
Et si tu veux à tout prix taper un mot de passe, sur ma SP3 j'ai bel et bien un clavier tactile à l'écran bitlocker.

Merci pour cette info.

Perso, je ne suis pas fan du "TPM" par son manque d'ouverture philosophique (souvenez-vous de "Longhorn" ).
Et un débloquage automatique ça ne protège que moyennement du vol je trouve, j'ai toujours la crainte d'un contournement du mot de passe de session utilisateur (F8, mode sans echec, mode admin, faille...)

 
Une puce TPM est la seule solution actuellement fiable pour diminuer les risques liés à un accès physique à la machine. Elle est très courante dans le monde de l'entreprise.

Oui c'est très sécurisé comme puce/solution.
 
Mais avec le système de boot sécurisé qu'exige Microsoft pour certifier une machine Win10 tu peux bloquer l'installation des autres OS.
 
D'autant plus que si MS exige une puce TPM et le "secure boot" pour la certification Win10 il n'exige pas la possibilité de désactiver le truc dans le bios.
Tu as donc certain PC où l'option n'est pas disponible et où tu ne peux rien installer à part W10.
Il y a je crois ubuntu qui parviens à faire signer son boot pour pouvoir installer ubuntu sur un PC ainsi verrouillé. Il me semble que c'est les seuls "Linux" qui soient signés.
Mais c'est un peu réducteur je trouve. Pas de BSD, pas de Redhat, pas de Slackware etc etc...

 
MS exige une TPM et le Secure Boot car il n'y a pas 36 solutions pour sécuriser physiquement un machine. Les autres OS peuvent s'installer via l'UEFI et le Secure Boot s'ils respectent les mêmes normes de sécurité (notamment le système de signature). Si leurs éditeurs ne le veulent pas c'est une problématique plus politique que technique.

Tout à fait c'est vraiment un problème "politique".
Il y a deux problèmes :
1°) signer ou faire signer par MS le setup/boot de son OS ce ui pour certaines distribution peu poser un problème de compatibilité avec la licence, pour le moment seul Ubuntu le fait (à ma connaissance).
2°) ne pas pouvoir désactiver le secureboot de son PC pour installer un OS non signé ce qui n'est pas possible dans tout les bios.
 
Il s'agit vraiment du fait que MS exige le secure boot pour certifier les machines et que certains constructeurs son trop fainéant pour permettre de le désactiver dans le bios.
Les deux combinés.
 
 
Une autre solution serait de pouvoir mettre à jour la liste des signatures via un nouveau bios mais il faudrait alors que les fabriquant de matériel et les éditeurs d'OS (autre que MS) travaillent ensemble sur ce problème.
 
Le pire c'est que Win accepte de s'installer sans secureboot mais qu'il puissent empêcher les autres OS de s'installer.
 
 
Mais ne faisons-nous pas du hors sujet là ?

 
j'utilise EDS (la version payante, 5 euros de mémoire, mais plus mis a jour depuis 2014 et ça marche bien sur un smartphone chinois, Xiaomi redmi 3, mais je suis root certe ! si t'ai pas root il peu monter mais tu a un effet steaming comme si tu visionne une vidéo youtube avec un faible débit  !
 
je monte un container de 100 GO sur une carte MicroSD de 128, que mon téléphone sous android 5.1 ne reconnais pas (que du FAT32), car c'est du NTFS comme systeme de fichier, j'utilise donc paragorn NTFS pour la monter (ca marche de façon aléatoire pour je se sais qu'elle raison, mais aprés X tentative ca arrive a monter) et ENSUITE eds monte le fichier container dans le répertoire creer par le montage de la carte microSD, c'est te dire la tolérance du soft ^^
Bidouille les options de montage, fuse, etc, et test, ta 3 options je crois.

Salut à tous,
je reviens sur le sujet du démontage automatique des conteneurs à la fermeture de windows 10.
 
Je viens de paramétrer d'autres PC, et j'ai toujours le même soucis de conteneurs qui ne se démontent pas automatiquement lorsque j'éteins windows. Pire, le démontage est complètement aléatoire. Un coup ça démonte, un coup non, mais sans logique particulière.
Suis-je toujours le seul dans ce cas là ?

+1, quand je remonte mon conteneur de type fichier apres un reboot, il me propose tout le temps de lancer un chkdisk... Ca le fait depuis mon passage a W10

Je n'ai pas le soucis de checkdisk.
J'ai essayé de créer un batch pour démonter le conteneur à l'extinction de windows (gpedit.msc) mais ça ne fonctionne pas.
Le batch est bien lancé (si je rajoute une ligne pour supprimer un fichier, le fichier est bien supprimé) mais le conteneur n'est pas supprimé.
 
 

Dans les options de TC vous avez coché la case "monter les volumes comme des média amovibles" ?
Ca peut aider d'un à démonter plus vite à l'arrêt de Win et de deux a éviter le chkdsk.

J'ai 2 conteneurs : un monté comme disque local, l'autre comme disque amovible. Même résultat après un redémarrage. Soit ils sont tous les deux démontés, soit tous les deux montés. Cela n'a rien changé.

Pour info, je monte mes conteneurs avec un batch et les commandes suivantes :

Depuis que le site officiel de TC à "fermé" la documentation a disparue aussi.
Je ne me rappel plus de l'effet de /a et /q ni de tout ce que /m peut faire.
Le reste me parait correct.
Mais encore une fois lance l'interface graphique pour aller dans les options de TC pour aller y cocher la case (et les options que tu peux trouver intéressantes comme la purge du cache et mot de passe).
Cela va créer un fichier de configuration dans
C:\Users\TOTO\AppData\Roaming\TrueCrypt
L'absence de ce fichier peut parfois poser des problèmes.
C'est pour cela que j'ai dis "dans les options de TC" et non "dans les paramètres de commande"

Veracrypt a repris la doc et décrit les commutateurs : https://veracrypt.codeplex.com/wiki [...] ne%20Usage  
 
Oui je sais : "blabla veracrypt c'est pas truecrypt, blabla veracrypt c'est pas sûr que ça soit safe blabla autre chose", mais pour de la doc je pense qu'on peut toujours regarder

Je dirai plutôt : ""blabla veracrypt c'est pas truecrypt, blala veracrypt reprenant une grande partie du code de TC et aillant corrigé les problèmes relevés lors de l'alayse il part sur de bonnes bases"  

Salut, merci pour ton message. J'avais effectivement déjà ouvert TrueCrypt et coché les cases qui vont bien. J'ai le fichier de config. Par contreva savoir si ce qu'il contient est bon...
La documentation, je devrais pouvoir la retrouver au bureau si ça t'intéresse. Je regarderai pourquoi j'ai mis ces arguments