Il y a quelques semaines, j’ai envoyé une clé USB par la poste. Elle n’est jamais arrivée. Son enveloppe a été livrée avec une fine coupure sur un côté, impliquant que quelqu’un l’a ouverte. Cela n’a pu arriver qu’entre le bureau de poste, où j’ai amené moi-même l’enveloppe, et le destinataire. Une requête auprès de la poste n’a rien donné – si ce n’est une idée du caractère confus de la procédure (renvois à divers interlocuteurs, contradictions, « qu’est-ce qu’il y avait dessus? »).
La clé USB ne contenait rien de critique (trois vidéos) et était neuve (il n’y avait donc aucune donnée détruite à exploiter). Pas trop grave, donc. Mais ce cas de figure pose la question de la sécurité des données mobiles : qui ne souhaite pas envoyer des données par internet – pour quelque raison que ce soit – doit avoir moyen de mitiger les conséquences d’une disparition de ces données (vol, perte) ou de leur interception par un tiers (copie, modification, compromission).
Conseils:
- utiliser un disque optique (DVD, CD-R) plutôt qu’un support flash (clé USB, carte SD). C’est moins cher en cas de perte et cela n’a pas de microcode (théoriquement exploitable).
- chiffrer les données. Il est possible de chiffrer des volumes entiers, mais ce n’est ni forcément évident ni rapide.
L’exemple ci-dessous montre comment chiffrer un fichier individuel en vitesse. Prérequis: GNU Privacy Guard (GPG), installé chez l’expéditeur et le destinataire. GPG est disponible gratuitement pour toutes les plates-formes courantes. GPG est le standard pour le chiffrement des e-mails et tout le monde devrait l’avoir installé.
- ouvrir un terminal (sous Windows : une console).
- taper
gpg -c --cipher-algo AES256 chemin/vers/le/fichier/à/chiffrer(Explication:-cpour chiffrer,--cipher-algo AES256pour un meilleur chiffrement queCAST5(le défaut). Pour remplacerCAST5de manière permanente, ajoutercipher-algo AES256(ou un autre) au fichier de configuration de GPG – sous Linux Debian:~/.gnupg/gpg.conf). - un mot de passe sera demandé. Bien le choisir. Il devra être transmis par un autre canal au destinataire.
- confirmer le mot de passe.
Un fichier contenant le nom du fichier à chiffrer et l’extension .gpg apparaît alors au même emplacement. C’est ce fichier qui sera transmis au destinataire. Pour « en faire sortir » le fichier original en clair, ce dernier devra
- ouvrir un terminal / une console.
- taper
gpg chemin/vers/le/fichier/à/déchiffrer - entrer le mot de passe.
Important: ne pas détruire l’original! Ou au moins en faire une sauvegarde. J’ai fait une mauvaise expérience du cas contraire : j’ai voulu transférer une large archive d’e-mails d’un ordinateur à un autre. Une fois l’archive copiée sur une clé USB, j’ai effacé le fichier source. Au moment du déchiffrement : fichier corrompu… Seul une vieille sauvegarde sur un disque externe m’a tiré d’affaire – mais j’ai eu droit à une heure de sueurs froides. Je ne sais pas d’où venait cette corruption (peut-être de CAST5?), je conseillerais donc de n’appliquer cette méthode de chiffrement qu’à des fichiers de petites tailles.
Ce conseil vaut pour tout transport physique de données (par exemple : celles sur la clé USB de votre porte-clé).