Reprise du message précédent :

D est il aussi chiffré avec VC ou pas chiffré du tout?
Ta baisse de perf sur C correspond à ce que j avais observé avec mon conteneur fichier sur mon 850 EVO 512Go, aussi avec AES cpu. cf page 122 post de fin 2017, et lien vers les bench ici: http://eric.ftp.free.fr/matos_pc/H [...] acrypt.png
Enorme chute de perf sur les petits fichiers et accès //, c est l autre argument qui va contre VC.

le D n'est pas chiffre. le avant/apres etait inutile, c'etait juste pour etre sur.
 
Pour bitlocker j'ai compris que si il on avait pas de TPM, il fallait un mot de passe ?
Du coup avec TPM pas de mot de passe ?

C'est ça.

Donc si on te pique ton PC, on peut quand meme acceder au donnees ?    
Ca protege juste contre le vol de disque dur ?

 
'tain, va falloir que je fasse un topic BL un jour
 
Le principe de l'idée c'est que tu as ta/tes session windows qui sont elles protégées par un mot de passe. Puisque c'est dans les bonnes pratiques de l'utilisation d'un ordinateur
 
Du coup, avoir un mot de passe au boot ne sert à rien de plus à part perdre du temps, donc le TPM sert à stocker la clé de chiffrement pré-boot, ça s'accorde avec le secureboot.
Et ce n'est pas moins sécure pour autant, ça ne se bypasse pas, si tu tentes un CD de boot linux, la partition sera chiffrée et inaccessible. Et si tu démontes le disque pour le mettre dans un autre ordi, il sera inaccessible aussi.
 
Si tu n'as pas de mot de passe sur ta session, alors oui, tout de suite, ça sert à rien. Mais c'est dur de parler sécurité quand on n'applique pas ce principe de base ...
 
Si tu veux vraiment, tu peux dans les GPO Bitlocker demander en plus du mot de passe windows, un mot de passe bitlocker au boot. Mais encore une fois, à part perdre du temps, ça n'a pas grand interet.

OK. Je comprends maintenant.
Perso j'ai pas de mot de passe sur mon login windows, parce que j'ai deja un mot de passe au boot et je suis le seul a utiliser le PC, donc je vois pas trop l'interet de devoir rentrer une 2e mot de passe.

Sous Windows comme sous Linux, oui un mot de passe session se casse facilement en accédant aux fichiers de l'OS/profil avec un CD de boot.

Et c'est là toute la beauté de la chose justement : c'est rendu completement impossible par le chiffrement du disque

Un mot de passe quoi ? bios ?

ça pour le coup ça sert vraiment à rien, à part faire de l'illusion de sécurité. Faut choisir ses combats.

Je suis pas un expert en securite mais quand meme    
Non je parle du mot de passe que VC demande au boot.
Sans ca, tu peux pas faire grand chose du disque.

Si tu utilises bitlocker, tu n'as plus le mot de passe VC a rentrer...
Tu n'en as qu'un seul, pas deux : celui de la session.
Bien plus facile a gerer, changer etc..

Tu racontes un peu n'importe quoi. Le code source de Windows est disponible sous certaines conditions, et aucune backdoor BitLocker n'y a été détectée.

 
t'es sur de ca ?  
sources ? (sans jeu de mots)

 
J'avais déja filé le lien en page précédente : https://www.petri.com/no-back-doors [...] overnments
 
c'est pas public mais ça a été ouvert à des tiers à fin d'audit/contrôle justement.
 
 
En sachant que la réciproque n'est pas vraie non plus, c’est pas parcequ'un truc est ouvert au monde qu'il est plus sécure. Heartbleed a trainé deux ans avant d'être remarqué.

Les gouvernements qui en font la demande. Et certaines boîtes de sécu aussi.

Merci pour vos réponses.
Mais étant donné que j'utilise Windows 10 famille 64 bits, puis-je avoir Bitlocker ou faut-il obligatoirement que je passe par Windows 10 Pro ?

Ah oui non là c'est mort par contre. Il faut win Pro.
 
C'est le gros reproche que je fais à MS d'ailleurs, pour moi BL devrait être de base dans toutes les éditions de nos jours.

nebulios le code source n'est pas public.
Il peut être consultable par certaines organisations, mais d'une part qu'en partie et d'autre part dans un environnement contrôlé par MS.
Impossible de repartir avec ta copie pour l'analyser tranquilou ni d'apporter tes propres outils.
Les plus "extrêmes" pourront même dire que comme c'est dans un environnement contrôlé par MS il peut même y avoir substitution de code entre celui analysé et le vrai compilé puis distribué.
 
 
 
tigrou0007 et zagobar
Avec une puce TPM et BL.
Tout le disque est chiffré, mais seul une partie est "lisible" par le PC (je ne sais pas quel autre terme plus approprié utiliser) pour pouvoir booter jusqu'au loging de l'utilisateur. Après avoir saisie le mot de passe de session tout le reste est accessible.
(précision : je ne connais pas BL c'est ce que j'en déduit de la part de flash_gordon et que je tente de reformuler)

Et ? Je n'ai jamais dit que le code de Windows était public.
Tu fantasmes sur l'open source panacée de la sécurité, mais dans la vraie vie ce n'est pas le cas. Si personne ne bosse pour analyser ton code tu auras le même niveau de sécu qu'un code propriétaire au final. Parce que les gens qui sont capables financièrement et intellectuellement d'analyser des millions de lignes de codes toute la journée, il n'y en a pas des masses.
 
Et en plus on est dans une utilisation perso là, on parle pas de standard de sécu pour l'armée.
 
Fin du HS pour moi.

 
Heureusement que c’est pas du tout ça
 
Tout le disque est chiffré. Le TPM agit comme un token, voire une smartcard virtuelle, qui sert à déchiffrer le disque au boot. En cas d'une quelconque modif du système depuis le dernier boot (flashage du bios etc), le token sera invalidé et ut devras déchiffrer le disque manuellement avec la recovery key.
ça sert vraiment à avoir tout le disque chiffré, tout en n'ayant pas besoin de taper le mdp au boot, cette partie c'est le tpm qui s'en charge. Et c'est pour ça qu'effectivement le mdp de session est nécéssaire, sinon tu bootes sur un système déchiffré.
 
 

nebulios
Non je ne fantasme pas sur le fait que l'open source (dans le sens logicielement parlant) soit le top.
Mais le second principe de Kerckhoff énonce "Il faut qu’il n’exige pas le secret, et qu’il puisse sans inconvénient tomber entre les mains de l’ennemi". Donc si la première partie "n’exige pas le secret n'implique pas explicitement l'ouverture du code c'est tout comme via la seconde "sans inconvénient tomber entre les mains de l’ennemi"
Attention je dis "open source" mais pas libre, c'est différent. De plus si l'open source répond au second principe il n'y a pas forcément réciprocité. C'est surtout une question d'interprétation de ce principe (bien que oui j'adhère à l'interprétation impliquant l'ouverture du code).

Flash_Gordon
Merci de me corriger, ça me permet de tenter (pas forcément réussir) de mieux comprendre
Un premier jeton "lié" au matériel+bios pour déchiffrer le boot puis un second lié à l'utilisateur pour accéder au reste ?

Salut les copains,
 
Un peu la flemme de lire les 128 pages
 
Je viens d'acheter un pc portable que je vais utiliser pendant mes déplacements pour jouer etc.
Y'aura peut-être quelques trucs "sensibles" (perso quoi, mdp etc) dessus. Je veux surtout le protéger au cas où on me le vol.  
 
Du coup, utile ou pas ce chiffrement de disque dur et SSD ? J'veux juste que si un scélérat ( ) me le vole, il peut plus rien utiliser derrière, même s'il tej le ssd et dd pour le mettre dans un autre pc.
Autant en hardware je roule ma bosse, autant en données cryptées etc j'y connais rien.

.

RussianCrow tu estime a combien de GO de données a chiffré ? j'utilie que des fichier container, mon plus gros est de 2 TO, le plus petit (et le plus important) de 10 go, ca fais plus de 10 ans, aucuns soucis !
 
pour les mots de passe je te conseil le logiciel gratuit keepass, existe en version portable, et existe aussi pour telephone android ou iphone (le fichier pc est compatible) je te raconte pas les archives que j'ai dedans, le moteur de recherche interne est trés efficace

 
Tout dépend de tes sensibilités envers les licences logicielles.
 
Si tu t'en fous pas mal de pas pouvoir lire le code source, bitlocker sera mille fois plus pratique à utiliser en FDE, que truecrypt sur des volumes à part. Sans parler de la fiabilité. Les données perdues sur un volume mal démonté par truecrypt, c'est toutes les deux pages.
 
Avec windows 10 pro c'est deux clics : clic droit sur le disque > activer bitlocker.
 
 

Je vais peut-être ème résoudre à simplement utiliser Bitlocker alors, merci.
De toutes façon y'aura rien de ouf sur le pc portable mais c'est par conscience

@RussianCrow :
Je suis tenté de dire que ça dépend comment tu stocke tes données, que sont tes données.
 
Le FDE n'est peut-être pas le plus approprié si les données que tu veux protéger sont quelques document numérisés et photos stockée sur une partition ou disque dédié.
 
Un fichier conteneur sera peut-être plus approprié.
Sans compter la perte de performance si tu joue.
 
Après oui si tu veux la facilité d'usage un BL est plus approprié mais il faut une version Pro de windows.
Si tu tiens à la licence, au fait que ça a même résisté au fbi et en plus gratuit prends TC/VC.
 
 
 
@bennnji :
Le disque n'était pas chiffré ?
Je dirais que ça dépend du type de formatage, si c'était du NTFS/FAT ya pas mal d'outil pour faire de la récupération de donnée perdues.
Essais déjà de voir du coté de GParted et de TestDisk+PhotoRec
 
 
 
@flash_gordon :
Non je ne trouve pas, ya pas de mal à chercher la solution la plus adaptée.

@limdul  non non je veux pas recuperé les données perdues car je les avaient deja sauvegardées ailleur, c'est surtout pour reparer mon disque qui n'est plus accessible, n'apparait plus comme lecteur, et ne s'ouvre desormais qu'avec vera crypt et le pass du volume de type fichier

Alors utilise GParted.
Tu pourras refaire une table de partition, reformater, convertir etc etc...

Hello
Gparted (telecharger sur gparted.fr) contient un virus: Heur.AdvML.B
bloqué par norton

C'est un peu du bullshit ça. Un système live est par définition bien plus vulnérable qu'un système offline. Ton Windows qu'on ne peut pas bypass est chargé en RAM en clair (une fois booté, après les échanges OK avec le TPM). Si tu peux manipuler la RAM (écriture arbitraire), ça rend caduque la protection du lock screen Windows. Tu peux le bypass sans connaitre le moindre mot de passe et une fois que t'es sur le bureau tu peux dump toutes les données / déchiffrer les données / désactiver bitlocker.  
 
Donc bien sur que si c'est moins secure. C'est pas du tout identique à la protection d'un VeraCrypt.

La protection de la mémoire n'est pas du ressort de TC/VC ni de BL.
C'est le rôle de l'OS du BIOS et des fabriquant de CM

Je te parle de la vrai vie, pas d'un point de vue théorique si tout était parfait dans le meilleur des mondes. Dans la vrai vie BL ça vaut rien. Next.

 
 
Dans la vraie vie, tu la manipules comment la ram ?
 
Si tu as des ennemis capables de ça et de toutes les manips proof of concept genre plonger l'ordi dans l'azote et tout ce genre de trucs, tu peux mettre un mot de passe au boot aussi, comme TC/VC.
 
Je ne le fais pas, parceque je chiffre simplement pour éviter que mes données soient exploitées en cas de vol. Je ne cherche pas à me proteger du FBI comme si j'étais Assange ou Kim Jon-Un.
 
On n'a simplement pas la même définition de "vraie vie" je pense.

Peu importe c'est une attaque possible si tu en as les moyens.
 
Un disque veracrypt tu peux avoir plein de moyens financiers, techniques, de RH, etc., si le mot de passe est fort tu ne pourras rien faire du tout. Contrairement au même mot de passe fort au lockscreen Windows. Ce n'est donc pas le même niveau de sécurité et c'est tout ce que je voulais démontrer.

Tu peux aussi lire completement mon post.
 
BL permet AUSSI de mettre un mdp fort au boot. Si tu as envie. Si tu es aussi parano que ça. Si dans ta vraie vie à toi tu as des ennemis qui ont ce genre de moyens.
 
La gestion du TPM est là par pragmatisme, pour simplifier la gestion du chiffrement tout en gardant un niveau de sécurité qui conviendra à 99,9% des gens normaux de la vraie qui sont pas recherché par la CIA.
 
si tu fais partie du 0,01% restant, tu peux desactiver la gesiton du TPM et  fonctionner comme avec VC, il y a toutes les options pour ça, ne t'en fais pas :
 

 
Il y a 10 ans (et sans doute aujourd'hui encore) cétait possible: https://www.finextra.com/newsarticl [...] rive-codes

Mouais.  
 
Moi je réagissais à ton post initial :

 
Tu laisses pas trop de doute là. Mdp au BOOT = ça sert à rien. BL = VC = haute sécurité. Pas vrai si tu ne mets pas de pass au boot justement. CQFD.

Et je suis prêt à maintenir ce que j'ai dit.
 
Encore une fois tu parles de théorie vs vraie vie, mais justement, les interceptions de ram et autres cryogénisation de l'ordi, c’est justement ce que moi je range dans théorie (les proof of concept etc), vs la vraie vie ou personne n'est équipé pour ça ajouté à la quantité de conditions absurdes à réunir pour réussir le truc.
 
Je rappelle que le dernier (et seul connu) hack de BL dont tout le monde avait parlé, au final nécessitait (entre autres) d'avoir accès au SSD avant le vol afin de modifier le firmware voire souder un chip dessus selon le modèle. Vlà la chauve souris de bigard quoi. On est vachement loin de l'attaque tres théorique que tu décris.

Et même la question de la cryogénisation de la ram.
Déjà dans une descente de police (en France) tu as la maitrise du suspect et des autres personnes, puis une fouille pour voir si d'autres personnes ou dangers sont cachés.
Seulement après les expert judiciaires peuvent entrer.
Et ils ne sont pas tous rompu au gel de la mémoire en plus d'avoir vu le temps passer (décharge de la mémoire). Où que non, c'est même plutôt pas le cas en dehors des labo et des groupes étudiant cela comme le CCC.
A part dans le contre espionnage de très haut niveau ça reste de l’hypothétique.
Pendant un temps je lisait justement le blog d'un expert judiciaire en informatique. Le plus souvent on lui donne les machines déjà éteinte voir juste les HDD.
C'est très rare qu'il intervienne lors d'interpellation.
Et de toute façon a ce moment soit la machine est déverrouillée et il en fait une copie soit elle ne l'est pas et là c'est des tentatives pour y accéder ou une copie du hdd avec un bloqueur d'écriture

Et de toute façon il est tellement plus simple de pirater à distance la machine.
Et la police dispose aussi déjà de tellement d'autres preuves le plus souvent que le contenu du hdd n'est là que pour compléter et n'est pas décisif.

Bref TC/VC ou BL ne sont pas là pour "sécuriser" un environement. Mais seulement pour empêcher l'accès à un contenu (fermé).

 
Et même, on est dans des techniques peu reproductibles en conditions réelles. ça reste principalement des tests de labo en condition maitrisées.
 
Comme tu dis, peut-être que ça se fait réellement dans le contre-espionnage de haut niveau, mais c'est tout sauf de la procédure courante/facilement reproductible. C'est limite plus de l'art qu'autre chose.

Mais c'est pas de la théorie c'est ça que tu ne comprends pas. Le système est LIVE quand il est sur le lock screen Windows. Par exemple ça veut dire que tous les périphériques fonctionnent "normalement" (USB devices, Bluetooth, Wifi, LAN, GPU, etc.). Ca veut dire que s'il y a la moindre faille dans un driver gérant un de ces périphériques, tu peux exécuter du code avec les privilèges du kernel. Autant dire qu'à ce stade ton lockscreen se fait bypass en 1 sec chrono, et tes données sont en clair pour l'attaquant. T'es pas non plus à l'abri d'une faille dans le lockscreen lui même ...
 
Il suffit que ton système ne soit pas à jour, ou que le pirate possède un 0day de ce type. J'en dirais pas plus, mais tu vois que ça ne se limite pas à une attaque théorique ultra sophistiqué dans un laboratoire top secret avec des outils / techniques de dingue concernant la RAM uniquement. La surface d'attaque (tant HARDWARE que SOFTWARE) est bien plus grande que tu ne le crois.  
 
Alors ouais si tu te fais cambrioler par un random qui te pique ton matos que pour le revendre ($$$) ça va pas changer grand chose. Mais ça changera rien non plus si tu ne chiffres pas tes données : la première chose qui sera réalisé (soit par le vendeur, soit par l'acheteur) sera de formater ton disque dur qu'il soit chiffré ou pas.

 
Ben si, tout ça, ça s’appelle de la théorie. Tu peux le retourner dans tous les sens comme ça te fait plaisir, c'est de la théorie. Pas de la pratique, pas de la vraie vie.
 
 
On va faire simple et concret. Tu viens chez moi, je te prete ma surface, et si tu passes à travers le lockscreen  je te fille mille balles, là comme ça. Vous pouvez quoter. Parceque là ce sera de la vraie vie, de la pratique.
Sans ça, c'est de la théorie.