Reprise du message précédent :
non, le mdp du conteneur (une phrase) est le seul que je garde que dans ma tête!
Certes pas aussi compliqué qu un mdp généré, mais affiché avec une complexité suffisante!

On m'a dit que pour les mot de passe :
 
Plus c'est long plus c'est bon

Bonsoir,
 
Je viens de faire une copie HDD => SSD et je la trouvais un peu lente (quelques gros fichiers de plusieurs Go).  
Bizarrement le système semblait être fortement ralenti pendant la copie dés que j’accédais au disque dur (même ouvrir un bête programme comme notepad++).
 
J'en ai déduis que le SSD devait ramer en écriture.
Ca ne devrait pas être le cas car le HDD devrait être le bottleneck dont le systeme devrait passer son temps à attendre après ce dernier.
 
J'ai lancé un benchmark et en ecriture séquentielle c'est pas glorieux :
 

 
C'est un Samsung 840 Series (256 GB).
J'ai veracrypt d'installé (avec AES comme encryption). Mon I5 2500 supporte matériellement l'encryption donc ca devrait fonctionner.
 

 
Est ce que le problème pourrait venir de la ?

Faudrait comparer avec un bench des deux lecteur et pas d'un seul.
As-tu un AV qui scan les fichiers en cours d'écriture ?

T'es bien en AES et pas autre chose ?
Teste déjà sur une partition non cryptée du SSD, qu'on voit si ça vient bien de là.

 
Non, pas d'AV activé a ce moment là
 
J'ai fait le test sur le HDD
Je n'ai plus le screenshots mais en gros c'était ca : 58MB/s en ecriture/lecture sequentielle. et en 4k bcp moins (genre 0.8MB/s)
 
Ca explique le taux de transfert de 40MB/s en moyenne.
Mais pas pourquoi le PC était anormalement lent. Comme si le SSD était saturé en operations.
 

 
Voici ce qu'indique veracrypt.
 

 

Bonjour, j'ai un petit soucis, j'ai eu un début de réponse sur le topik AVFFUO :
mes HDD ne démarrent plus dans le même ordre, donc le montage automatique de mes partitions TC ne fonctionne plus.
Pour faire quelque chose de plus fiable, je voudrais monter mes partitions non pas via la commande [...]/harddisk1/[...], mais à l'aide du disk ID. Mais je n'arrive pas à trouver quelle commande utiliser. Quelqu'un aurait la solution svp ?

Chers amis,
J'ai lu les 15 dernières pages du topic pour voir si ma question est couverte, et effectivement vu quelques éléments mais rien de complet. Je vais essayer de structurer ma question de manière à ce que les réponses éventuelles puissent constituer presque un tutoriel qu'on pourrait épingler en début de topic.
 
Note: si vous pensez que le topic est plus large que seulement Truecrypt/Veracrypt, pardonnez moi et déplacez le. Aucun soucis.
 
1 - Contexte :
 
Mon profil : sensible à la sécurité informatique mais expertise 0. A l'aise avec mon ordinateur et tres supporter de l'open source. Mais ne peux renoncer à Windows et à Office.
 
- Utilisateur de Truecrypt depuis plusieurs années, pour des containers, aucuns soucis.
- Jusqu'en 2015/2016 j'ai un PC avec un seul disque de 1 TO avec une partition Windows et une partition data => Chiffrement du système avec Truecrypt. Aucuns soucis. Très content et transparent. Un mot de passe au démarrage et basta.
- En 2016 je change de PC et je découvre que le UEFI me rend impossible de reprendre la solution chiffrage ci-dessus. Je mets donc juste un mot de passe veille et accès au système (Windows) et je garde mes données ultra sensibles dans mes containers.  Je ne suis pas très rassuré, surtout mon pour mes mails stockés sous Thunderbird, mots de passes stockés navigateurs (pas sensibles) et autres choses du style, comme les applications VPN.
 
2 - Le problème
 
Ce PC vient d'être volé.
Bon, alors, déjà, j'avais un back up complet datant de 1 heure avant le vol, donc ouf ! Je suis parano en terme de sauvegarde et ne regrette pas.
Je ne suis pas inquiet pour les containers Truecrypt

Inquietude 1 :  mais pour la boite mail par exemple, ou d'autres applications comme Open VPN ou autres, je maitrise mal ce qu'elle stockent comme mots de passes.
GNU PG, Kleopatra ou Enigmail.
 
Je ne sais pas si ma clé privée Enigmail ou GNU PG est stockée quelque part et accessible et si je dois changer de clés partout et me tapper une revocation générale.
 
3 - Les actions à faire
 
J'ai acheté un nouvel ordinateur et là j'ai un SSD (OS) et un disque de données où j'ai déplacé tous les répertoires (Mes Documents, Mes images, etc). Le PC est un Asus avec un lecteur d'empreinte digitale, que j'utilise pour l'acces a la veille Windows (Windows Hello), mais je comprend mal comment ca marche.
J'ai aussi un serveur privé et une solution Nextcloud.
 
J'ai pensé à Bit Locker, mais abandonné direct vu que j'ai Windows Famille.
 
Mes questions portent sur comment suggérez vous, en se basant sur Veracrypt, pour reprendre à zéro mon approche chiffrage du système complet.
 
Ce que je voudrais c'est être tranquille en cas d'oubli du PC dans l'avion ou de nouvelle perte ou vol au regard. C'est a dire difficilement accessible au boot (j'aime bien le boot en mode "Missing OS" donnant a celui qui trouve le PC ou le vole l'unique option de formater et puis c'est tout).
Je voudrais aussi etre tranquille si je verouille juste mon ecran ou met en veille (oui, je sais des fois, je verouille juste l'ecran ou ferme le PC et le met dans mon sac). Par contre je ne le laisse JAMAIS ecran ouvert quand je ne suis pas en face.
 
Je voudrais aussi que une fois ma session engagee, je puisse syncroniser avec le cloud Nextcloud, mais je voudrais que ce qui est échangé entre le PC et nextcloud soit chiffré, et la je pense que ca sort de ce topic Veracrypt/Truecrypt.
 
LA question en résumé:
 
En bref, vous l'aurez compris, comment peut on construire une solution viable à base de Veracrypt pour permettre à un utilisateur nomade avec un PC Window 10 Famille (SSD (OS) plus HDD (Data) plus 2 To sur Nextcloud (l'idée étant que le HDD Data se Synchronise avec sa sauvegarde sur Nextcloud quand le PC est ouvert et connecté) d’être tranquille en cas de vol de la machine.
 
En fait je voudrais reproduire en open source le genre de truc que j'ai dans mon entreprise ou le PC est chiffré (solution Wave), donc MdP fort au démarrage et après on est en environnement full windows sans se poser de question. MdP demandé  pour sortir de veille aussi.
 
Je n'ai rien installé sur le PC pour le moment, et il est neuf. Je pars donc de zéro et suis ouvert à toutes les suggestions.
 
Voilà, merci, je m'en remets à vos avis.

Hello,  
Quelques remarques par rapport à des points que tu mentionnes sur tes difficultés passées :  
- Tu peux configurer Firefox et Thunderbird pour que les profils soient stockés à l'emplacement de ton choix, donc potentiellement sur un conteneur crypté. Ainsi tes mails sont à l'abri.
- Je trouve qu'il est CAPITAL d'utiliser un "master password" (cf dans les options) pour ces logiciels pour protéger tes mots de passe stockés, sinon ils sont très facile à récupérer. Et c'est à faire même si le profil TB/FF est sur un disque crypté.
- Les solutions de cryptage sur PC d'entreprise sont parfois des usines à gaz mal optimisées qui ralentissent à fond le système et mettent trois minutes à booter même avec un SSD.
- Je n'utilise pas l'encryption du disque système ni le Full disk encryption donc je ne suis pas certain de ce que je vais dire, mais il me semble que l'UEFI empêche juste le FDE mais pas l'encryption de la partition système, ou un truc comme ça. Qu'est ce qui t'empêche de rester avec ton ancienne approche ?

TC et SSD ne sont pas conseillés ensemble à cause de la gestion de l'usure.
 
Mais d'une part les SSD se sont bien améliorés à ce niveau et d'autre part il m'avais semblé voir passer une info comme quoi maintenant VC prenant en compte les SSD.
 
Peut-être que passer à VC en FDE serait la solution.
TOUTEFOIS il faudra dans le l'UEFI désactiver certaines options de "boot sécurisé".
Le problème là est que certain constructeur font des bions uniquement compatibles windows et ne laisse pas l'option accessible aux utilisateur.
C'est certes rare mais plus fréquent sur portable que sur une CM seule.
 
Donc à voir si ton futur portable est un "windows only" ou permet tous les boot possibles.
Sinon change de portable pour un modèle le permétant (s'il est officiellement "compatible linux" il me semble que ça sera bon)
 
Cela règlerait la plupart de tes problèmes et besoin.
 
Par contre VC ne permettra pas de chiffrer entre ton PC et ton nextcloud. Là c'est un vpn qu'il te faut.
 
Enfin regarde aussi du côté de Keepass pour tes mots de passe.

Je ne sais pas, je pensais que quand étaient apparus les BIOS UEFI on ne pouvait tout simplement plus demander à Truecrypt de chiffrer tout le système et que la première action qu'on ait à faire en allumant le PC soit de rentrer un mot de passe. Je croyais simplement que ça ne marchait plus.
 
C'est quoi le FDE, en terme profanes ?
Edit : oui full disk encryption, compris.
 
Mon portable est un PC portable Asus S410UF-EB003T
 
En gros si je peux chiffrer tout le PC et que le PC soit inutile au voleur si l'écran était vérouillé ou l'ordinateur éteint, ca me va. Et du coup ca rend moins critique la gestion mot de passe Thunderbird/Firefox etc.
 
Pour chiffrer entre Nextcloud et le PC faut que je voies comment configurer mon VPN (j'ai un service VPN qui tourne sur mon serveur).
 
Merci, je creuse.

 
Si VC gère le FDE en dépit de l'option a changer sur l'UEFI, ca m'irait totalement. Je préfère avoir un boot "moins sécurisé" que le PC transparent à la délinquance de base. J'ai toujours pensé, même si j'ai des données sensibles, que se protéger des services officiels, la meilleure manière reste de ne pas avoir les data sur un ordi mais dans la tête... Donc ca m'irai.
 
Je vais chercher si il y a des tutoriels sur les options à changer dans le BIOS pour autoriser une FDE.  

L'option peut parfois s'appeler "Désactiver le démarrage sécurisé" c'est pas super intuitif à trouver

J'ai téléchargé Veracrypt. C'est effectivement exactement comme TrueCrypt...
Je suppose que comme j'ai physiquement deux disques, le SSD systeme et le SATA data, je dois les chiffrer séparements, d'une part le SSD sous forme de chiffrement complet system, et le deuxieme sous forme de disque chiffrer a monter à chaque fois ?

oui

Bonjour,
 
Une question pour ceux qui utilisent Veracrypt :  
 
Est ce possible de faire un automount d'un disque externe, qui serait encrypté avec le meme password que le disque systeme ? (lui aussi encrypté)
 
L'idée ca serait d'avoir uniquement a tapper le mot de passe une fois au demarrage et de pouvoir acceder aux disques externes automatiquement (eux aussi encryptés)

Via un script avec le planificateur de tâches ?
Faut trouver le bon évènement déclencheur ou garder le script sur le bureau (oui normalement c'est pas bien de garder un mdp en clair dans un script mais là le script est stocké dans un emplacement chiffré donc je pense que ça va).

 
Sur truecrypt c'est faisable sans souci, c'est dans le menu favorites que ça se passe (me souviens plus en détails), j'imagine que dans VC c'est pareil.

EDIT : grilled by depart

Bon, apparament c'est possible sans script.
Il suffit de faire clic droit sur le drive et de choisir Add to System Favorites...

D'apres ce que j'ai compris ca ne fonctionne que si on utilise le meme password pour le volume qui est monté et le disque systeme (logique)

Et ne pas utiliser l'option "purger les mots de passe en mémoire"

Bon je viens d'essayer. Ca marche très bien.

Il faut pas oublier de mettre le clavier en EN/us sous windows quand on tappe le mot de passe du volume (pour matcher avec le mot de passe du système)

Par contre, chez moi, les parametres suivants sont activés (parametres par défaut je pense) :

Et ca marche quand même. Bizarre.
Je pensais que "Cache password in driver memory" était nécessaire.

J'aurais cru aussi.

Re-bonjour à tous,
Bon par rapport aux questions lancées ci dessus, je peux confirmer que le FDE Veracrypt fonctionne impeccable sur un BIOS UEFI en désactivant le secure boot. La partition systeme sur le SSD est chiffrée.
J'ai aussi chiffré le disque non-système où il ya des données.
 
Les questions en suspens :
- je crois que n'est chiffrée que LA partition ou il y a l'OS, mais pas deux partions de 800 Mo et 250 Mo qu'il y a sur le SSD (je crois que ca c'est les récovery Windows et Asus)
- LE plus gros problème est le démontage du HDD de data lors de l'écran de veille ou le vérouillage de session.
D'un côté, j'estime cela nécessaire pour justement avoir ses données protégées au cas où l'ordinateur se fait voler alors qu'il est en veille ou en session vérouillée, mais de l'autre, c'est atroce d'avoir a ressaisir le mot de passe chaque fois qu'on est allé prendre une pause, et surtout avec l'enfer consitué par l'histoire du clavier US et du mot de passe de FDE tappé en clavier US. Changer de langue de clavier ET tapper le mot de passe à chaque veille pour acceder à son disque c'est juste ingérable.
Je me demande si c'est pas possible d'utiliser le lecteur d'empreinte digitale du PC (le même qui déverrouille la session windows) pour lancer automatiquement un processus qui monte le disque ET saisit le mot de passe ou un key file et que ce soit aussi transparent que BitLocker.
 
Qu'en pensez-vous ?
 
EDIT : est-ce que décocher l'option "Wipe cached passwords on auto-dismount" suggérée au dessus serait la solution ?  
Ce que je veux éviter c'est que le disque soit accessible par quelqu'un qui aurait craqué le mot de passe de session windows (en lequel j'ai 0 confiance).

Bonjour,

Je voudrais savoir si il y a une méthode a conseiller pour encrypter un disque non systeme (interne ou externe).
Je vois trois solutions :

1) encrypter le disque completement
2) créer une partition (qui fait tout le disque) et l'encrypter
3) créer une partition (qui fait tout le disque). Créér un conteneur veracrypt  dessus (on aura donc un gros fichier sur le disque)

Les trois sont valables.
J'ai une petite préférence pour la 3iemme pour 2 raisons : éviter la question habituelle de windows "la partition semble endommagée voulez-vous la formater ?" et faire la sauvegarde directement en copiant un fichier (valable pour les petit conteneurs).

 
Est ce que windows propose également de formatter / initialiser si on encrypte tout le disque ?
 
Sinon il existe une autre (4e?) solution :  
 
Créer 2 partitions : une grande (presque tout le disque) + un petite (ex : 8Mo). Ensuite, encrypter uniquement la grande partition.

Je ne sais plus.
 

Le grand avantage de cette solution est de pouvoir stocker une version mobile de TC/VC dans la petite partition pour l'avoir tout le temps disponible même sur un pc sans TC/VC (pour un hdd externe par exemple)

Bon apparament la technique "créer une grande partition encryptée + petite partition non encryptée avec système de fichier (ex: FAT)" ne marche pas
 
Dés que windows voit une partition en raw , il demande pour la formatter.
 
J'avais lu cette technique ici (qui ne fonctionne donc pas) :

 
https://medium.com/@securitystreak/ [...] f0b61#ea70

oui, c'est énervant.

il suffit de supprimer l affectation d une lettre (via le gestionnaire de disque) pour la dite partition: elle n apparait plus dans l explorateur windows, et plus de question "voulez vous formatter?"

sauf que si c'est un disque externe et que tu le branche sur une autre machine, c'est rebelote.
 
une autre facon et de ne pas encrypter la partition principale mais simplement tout le disque.
 
plus aucun message.

Bonjour,
 

 
Voici le message que j'obtiens lorsque, depuis un autre ordinateur, je tente de monter une partition système chiffrée depuis plusieurs années avec TC 7.1 en allant dans System>Mount without preboot authentification
 
Est-ce que ça vous parle?
Une idée pour résoudre ça?

Non dsl.
A part sauvegarder tes données et recommencer la procédure (formatage réinstallation puis re-chiffrement) je ne voie pas.

Message d'erreur plutôt bien connu, demande à google.  
Il va probablement te falloir un disque boot de récupération Trucrypt.

Existe t'il une procedure dans veracrypt, ou meme en projet, de suppression du volume qu'on tente de monté (si c'est un fichier) si tel mot de passe est donné ? (un mot de passe dédié a la suppression définitive du fichier container ?)
une suppression securisé avec plusieurs passes bien sur, ça serait le top du top cette option, en cas de contrainte de donner son mot de passe.
 
On pourrait meme penser a plusieurs mots de passes dédié a la destruction, si jamais il y a plusieurs copie, donc plusieurs tentative possible.
Qu'en pensez vous ? je leurs soumet l'idée ? des "shredder passwords"

c'est pas con.

mais si ils (ceux qui veulent acceder a tes données) prennent la peine de faire un backup du volume header avant toute tentative, c'est mort.

autre possiblite (puisque veracrypt est open source) : compiler une version spéciale sans le dispositif dont tu parles (très facile)

Comme dit au dessus il n'existe pas de système d'effacement en cas de tentative de forçage ou de mot de passe dédié.
 
L'idée n'est pas super mauvaise et pourrait dans une certaine part se régler avec juste une corruption de l'entête.
Mais une sauvegarde de l'entête, même "brutale" en prenant les x premiers octets contournerait cette sécurité.
 
Et comme dit au dessus c'est open source, et donc rien n’empêcherait un attaquant de compiler une version sans cette "protection".
 
 
 
Sinon ya déjà, et c'est prévu pour, le volume caché.
Tu donne le mot de passe normal et tu stocke tes données dans le caché.

Disons que vu que VC ne gère pas le système de fichier hôte, on est effectivement un peu dans la feature useless contournable de 500 façons différentes.
 
Et il n'y a rien de pire qu'implémenter une fonctionnalité de sécurité qui peut être parée même sans faire exprès.

Clair. Sur un système d'encryption closed source et tu es obligé d'utiliser le soft "tel que voulu par ses concepteurs" dans un système verrouillé, ce genre de mesures peut être efficace.
Par contre avec VC, si ça existait en natif dans le client, un pirate qui veut faire un peu de brute force pour contourner cette sécurité n'aurait qu'à passer par une version du soft qui supprime cette action.

Même en close source, rien n'empeche un pirate de désassembler le code et de retirer / rajouter ce qui l'arrange...
 
Une solution un peu plus sécure serait un système 100% hardware (qui stocke le volume header et décrypte/encrypte des données a la demande).  
 
=> impossible de faire un backup du header, le chip ne permet pas de le lire.
=> après X tentatives de mot de passe erronés ou bien un mot de passe magique, le système se bloque (ou bien devient la validation devient extrêmement lente, ce qui réduit le nombre de tentatives) .
 
On pourrait imaginer une carte ou en périphérique qui posséde un port sata en entrée et un en sortie. Il se placerait entre le disque et la CM.

Mais ce serait très très probablement non open source...