2 commentaires

 Logo VeraCrypt

VeraCrypt est un logiciel qui permet de crypter des fichiers et des partitions et de les placer dans des conteneurs afin de les exploiter comme des partitions classiques.

Cet article montre comment utiliser ce logiciel pour créer des disques virtuels et des clés USB cryptés.

Si vous détenez des données sensibles, si vous devez aller dans certains pays ou zones à risques et voulez les protéger, VeraCrypt est fait pour vous. Il protège vos données en cas de vol de votre ordinateur ou d’un disque dur externe par exemple et augmente la protection contre le piratage.

Plus concrètement, VeraCrypt permet entre autres de :

  • Créer un fichier conteneur permettant d’émuler un lecteur de disque virtuel à partir d’un disque externe, interne, une clé USB …
  • Crypter une partition complète d’un disque dur en tant que conteneur.
  • Crypter une partition système dans un conteneur. Cette option permet de crypter tout le système d’exploitation et les données qui se trouvent dans cette partition système. VeraCrypt demandera au démarrage un mot de passe pour amorcer le système d’exploitation.
  • Créer un conteneur dans un fichier contenant un conteneur caché.
  • Chiffrer et cacher une partition qui peut éventuellement contenir votre système d’exploitation.

Successeur de TrueCrypt, VeraCrypt est un logiciel open source, gratuit et très performant, il existe en version portable. Il peut être installé sur plusieurs systèmes d’exploitation (Windows, Linux, FreeBSD, MacOs, …) et ses fichiers sont interopérables. VeraCrypt exista également en version portable.

VeraCrypt chiffre le fichier conteneur contenant les partitions à exploiter. Celles-ci ne peuvent être exploitées et lisibles qu’avec VeraCrypt. L’accès au conteneur ne peut se faire que par mot de passe et éventuellement via un fichier clé en plus pour augmenter la protection contre le piratage.

VeraCrypt possède de nombreuses possibilités. Nous allons en examiner deux :

  • Utilisation d’un conteneur en tant que disque virtuel.
  • Chiffrement d’une partition système.

 

 

Installation

  • Télécharger VeraCrypt sur ce site ou sur le site de l’éditeur.
  • Choisissez installation Portable ou installation complète.
  • Choisir la langue et cliquez sur OK.
  • Accepter la licence.
  • Choisir installer puis cliquer sur bouton suivant. L’option Extraire n’est à utiliser que si vous souhaitez utiliser VeraCrypt de façon ponctuelle et sans installation.

 

  • Choisissez les option d’installation ou laissez les valeurs par défaut et cliquez sur installer.

 

Une fois l’installation terminée une fenêtre vous informe que tout s’est bien passé. Une seconde fenêtre vous propose de faire un don et une troisième vous recommande de consulter un tutoriel si vous n’avez jamais utilisé VeraCrypt.

Une icône VeraCrypt est créée sur le bureau ainsi qu’un groupe dans le menu démarrer.

Cliquez sur l’icône pour lancer VeraCrypt.

Par défaut l’interface est en anglais. Pour changer la langue allez dans le menu Settings (Paramètres), sélectionnez Langage puis Français et cliquez sur OK.

 

 

 

 

Création d’un volume

Pour commencer nous allons créer un volume chiffré qui contiendra un ensemble de données protégées. Allez dans le menu Volumes -> Créer un Nouveau Volume ou cliquez sur le bouton « Créer un volume ».

Trois possibilités de type de conteneurs sont proposées dans la fenêtre qui s’ouvre.

  • « Créer un fichier conteneur  chiffré», cette option crée un volume associé à un fichier qui contiendra les fichiers chiffrés. 
  • « Chiffrer une partition / un disque non-système », cette option crée un volume complet sur un disque tel qu’une partition, un disque externe, une clé USB, …
  • « Chiffrer la partition ou l’intégralité du disque système », cette option chiffre l’intégralité d’une partition existante

 

Nous allons prendre la première option.

 

 

La fenêtre qui suit propose deux options. Un volume standard et un volume caché. Dans la deuxième option le conteneur sera invisible et à première vue sans investigation plus poussée, il ne pourra pas être décelé.

 

 

 

Nous choisissons le volume standard.

Il faut ensuite définir de l’emplacement du fichier conteneur. Cliquez sur le bouton Fichier, choisissez un dossier (sur votre disque dur, une clé USB, un disque externe, un disque réseau, …) et tapez le nom du fichier (ici ConteneutTest)  qui contiendra vos éléments à protéger. Vous pouvez ajouter  une extension ou pas au fichier (par exemple ConteneurTest, ConteneuTest.xls, ConteneurTest.xyz, …).

 

 

 

 

 

La fenêtre suivante vous invite à choisir les algorithmes de chiffrement du conteneur. Nous allons prendre AES , qui est un système de chiffrement très utilisé et connu pour sa robustesse.

Le bouton Benchmark permet d’estimer les différentes vitesses de chiffrement.

On peut également choisir le type de hachage. Le hachage permet notamment de vérifier  si un contenu du fichier a été modifié ou non et s’il est authentique (protection contre le piratage).

La fenêtre suivante demande de définir la taille du conteneur (en Ko, Mo ou Go) qui correspondra à la taille du volume du disque virtuel. Nous prenons ici 10 Mo (pour aller plus vite) , mais on peut prendre beaucoup plus. Plus le volume sera important, plus la création du conteneur sera longue.

 

 

 

La fenêtre suivante « Mot de passe du volume » demande d’entrer un mot de passe. Choisissez un mot de passe robuste, il  vous sera demandé lors de l’accès au volume chiffré.

En cochant la case « Utiliser fichiers Clés », il faut indiquer un fichier qui devra être utilisé en plus du mot de passe. Ce fichier sera toujours nécessaire, il peut être de n’importe quel type (vidéo, musique, texte, etc. …) mais ne devra plus jamais être modifié.

La fenêtre suivante permet de générer les clés de chiffrement du volume le plus aléatoirement possible. Bougez la souris dans la fenêtre, plus le mouvement de la souris sera long et varié, plus la clé sera difficile à reproduire.

Vous devez également sélectionner le système de fichier retenu (FAT, NTFS, …) si la proposition par défaut ne vous convient pas.

 

 

Si vous avez choisi un conteneur de plusieurs Go, le logiciel vous demandera si vous comptez y stocker des fichiers de plus de 4 Go. Dans l’affirmative il proposera dans la fenêtre suivante un système de fichier capable de gérer les grands fichiers (par exemple exFat). Dans la négative il proposera le plus souvent un système FAT traditionnel.  

En cochant la case « Dynamique », le conteneur aura une taille qui augmentera au fur et à mesure de son « remplissage »  jusqu’à la taille limite que vous avez choisi. Cette option permet de gagner de l’espace (du moins avant que le conteneur soit plein) mais diminue la performance car les calculs sont plus importants.

Cliquez sur  « Formater » pour créer le conteneur. Au bout d’un certain temps une fenêtre vous informe que le volume a été créé.

 

 

Vous pouvez ensuite quitter ou créer un autre volume.

 

 

Monter des volumes

Cette opération consiste à « monter » le volume. Le conteneur va être vu par le système d’exploitation comme un disque de la taille que vous avez défini. Les données sont chiffrées mais VeraCrypt vous les présente décryptées.

  • Dans l’interface de VeraCrypt, cliquez sur le bouton fichier et sélectionnez le conteneur qui vient d’être créé. Sélectionnez une lettre de lecteur libre (ici E :) en cliquant dessus avec la souris. Cliquez ensuite sur le bouton « Monter ».
  • Entrez le mot de passe dans la fenêtre qui vient de s’ouvrir et cliquez sur OK.
  • Un lecteur E : est créé. Vous pouvez l’utiliser comme un disque normal et stocker des fichiers.

 


  • Faites de même avec d’autres conteneurs le cas échéant.
  • Quand vous avez fini de l’utiliser, cliquez sur démonter pour fermer le lecteur. Vos fichiers sont cryptés dans le fichier conteneur, sans le mot de passe il n’est pas déchiffrable.

Vous pouvez copier votre fichier conteneur sur un autre ordinateur (Windows, Linux, MacOs, FreeBSD, …) et l’ouvrir de la même façon.

Important :Faites des sauvegarde de ce fichier. S’il se corrompt ou s’il est effacé par erreur vous perdrez vos données. N’oubliez pas votre mot de passe et ne perdez pas le fichier clé si vous en utilisez un (faites en une sauvegarde également. Si vous perdez votre mot de passe et /ou votre fichier clé, vous n’aurez plus aucun moyen d’accéder à vos données.

Si vous utilisez souvent ce disque, vous pouvez le déclarer dans les favoris.

  • Allez dans le menu « Favoris », et sélectionnez «Ajouter un volume monté aux favoris… »
  • S’il y a plusieurs disques, vous pouvez choisir les positions respectives à l’aide des boutions Monter et Descendre. Le Bouton Supprimer enlève un Favori mais ne supprime pas le lecteur.
  • Les favoris vous éviteront par la suite de sélectionner manuellement le conteneur à monter et garderont la même lettre de lecteur.

 

 

D’autres options sont proposées dans la fenêtre des volumes favoris (cases à cocher) :

  • Définir un label pour mieux identifier le volume.
  • Monter le volume en lecture seule.
  • Monter le volume comme un support amovible,
  • Monter le volume à l’ouverture de session.
  • Monter le volume quand comme un lecteur réseau. Si c’est le cas, le volume ne se montera que si le réseau est disponible.
  • Ouvrir l’explorateur Windows automatiquement à l’emplacement du volume monté.
  • Ne pas monter le volume sélectionné quand on appuis sur la touche raccourci des volumes favoris.

 

Selon les options sélectionnées, au démarrage du PC, VeraCrypt se lancera à l’ouverture de session, demandera le mot de passe et montera automatiquement le ou les volumes chiffrés.

 Pour lancer automatiquement VeraCrypt à chaque démarrage de Windows il faut dans le menu .

Paramètres -> Préférences cocher les cases correspondantes, notamment dans la section « Actions à effectuer à l’ouverture d’une session Windows ».

 

 

 

Nota : les volumes peuvent être montés directement en ligne de commande , par exemple avec le conteneur appelé « ConteneurTest.xxx » situé dans le répertoire »D:\Tempo » on aura : "C:\Program Files\VeraCrypt\VeraCrypt.exe" /a /v d:\tempo\ConteneurTest.xxx  /l e /p le_mot_de_passe

Avec comme arguments :

  • /a : monte automatiquement le volume suivant
  • /v : d:\tempo\xxx  précise le chemin du conteneur à monter.
  • /l m : indique la lettre de lecteur (ici : E :) à associer au volume chiffré.
  • /p le_mot_de_passe: donne le mot de passe du conteneur chiffré (pour des raisons de sécurité, ne pas mettre le mot de passe dans un script, il sera alors demandé par VeraCrypt dans une fenêtre).

 

 

 

Les fichiers clés

Les fichiers clés permettent de renforcer la sécurité. Si vous n’utilisez qu’un mot de passe, celui-ci peut être éventuellement trouvé par un hacker ( attaque en brute force, utilisation d’un logiciel espion comme un keylogger ou un trojan , …). L’utilisation supplémentaire d’un fichier clé amène une protection supplémentaire. Ce fichier clé peut-être aussi bien un mp4, qu’un avi, qu’un fichier Excel ou Word, … Il doit faire au minimum 64 octets et ne doit pas être modifié.

Vous pouvez définir à postériori un fichier clé ou en changer pour un conteneur créé avec un simple mot de passe. Vous pouvez aussi modifier un mot de passe. Pour cela :

  • Dans le menu Volumes sélectionnez Modifier le mot de passe du volume
  • Dans la section Actuel :
    • Entrez le mot de passe actuel
    • Cochez fichiers clés puis cliquez sur le bouton Fichiers clés pour ajouter le fichier clé actuel utilisé le cas échéant.
  • Dans la section Nouveau :
    • Saisissez et confirmez un nouveau mot de passe (ou l’ancien si vous ne voulez pas changer)
    • Cochez fichiers clés puis cliquez sur le bouton Fichiers clés pour ajouter le nouveau fichier clé si vous voulez en définir un.
  • Cliquez sur OK

 

Pour monter le volume chiffré, il faudra spécifier le fichier clé et le mot de passe comme auparavant. Sauvegardez le fichier clé, il est  désormais indispensable à l’ouverture du conteneur (n’oubliez pas non plus le mot de passe qui resta aussi indispensable).

 

 

 

Chiffrer la partition contenant Windows

 

Important : Si vous ne savez pas ce que vous faites, n’utilisez pas cette fonction sans avoir fait au préalable un clone de votre disque et/ou sans assistance d’une personne compétente. Une mauvaise manipulation pourrait vous faire perdre l’accès à toutes vos données.

Chiffrer le volume contenant Windows (ou tout autre système d’exploitation reconnu par VeraCrypt) fera démarrer le système  au sein d’un conteneur chiffré.

  • Allez dans le menu Système -> Chiffrer la partition/le disque système…
  • Sélectionnez « Normal » et appuyez sur Suivant.
  • Dans le choix qui suit vous devrez choisir entre chiffer uniquement la partition où se trouve votre système d’exploitation ou chiffrer l’intégralité du disque et toutes les partitions qui auraient pu être créés sur ce disque physique.
  • À chaque démarrage du système, le chargeur VeraCrypt demandera le mot de passe avant d’aller plus loin.

 

Important : Si vous avez choisi l’option « Chiffrer l’intégralité du disque »,  VeraCrypt va chiffrer toutes les partitions du disque physique, y compris les volumes contenant les programmes de boot, les partitions de restauration, les systèmes Raid, etc… Si vous êtes dans ce cas  choisissez Oui pour que ces zones spécifiques soient analysées et exclues.

 

La fenêtre suivante permet de spécifier si le boot de VeraCrypt doit prendre en compte la présence de plusieurs systèmes d’exploitation installés en multiboot sur votre disque.

 

 

 

Dans les étapes suivantes, vous choisirez les options de chiffrement et le mot de passe avant que ne démarre la génération de clé.

Par la suite VeraCrypt vous obligera à créer un fichier ISO comme disque de secours. Ce Fichier à stocker sur un DVD ou autre CD permettra de booter dessus votre ordinateur et de déchiffrer  votre partition en cas de besoin. Sans la création de ce système, VeraCrypt refusera de continuer et de chiffrer vos partitions.

 

Une fois, le CD ou le DVD gravé, il faudra vérifier le disque de secours.

VeraCrypt fera un nettoyage du volume visant à réduire le risque d’une récupération de donnée puis  fera un test de chiffrement au prochain reboot et demandera le mot de passe.

Le système redémarrera et après ce premier reboot, VeraCrypt validera le prétest s’il est correct  et proposera de lancer le chiffrement final des partitions.

Selon la taille de la partition et la puissance de la machine, le chiffrement pourra prendre plusieurs heures.

À la fin  une fenêtre vous informera de la fin des opérations.

 

La vidéo ci-après reprend les principales manipulations décrites dans cet article.

 

 

 

 Note : Cet article est la reprise d'une publication du 28/06/2019 sous le titre "Chiffrer ses données avec VeraCrypt". Une vidéo reprenant les principales manipulations a été rajoutée en fin de page.