• TrueCrypt

    TrueCrypt

    Infos:

    TrueCrypt est un logiciel d'encryptage de données libre et open source. N'étant pas forcément évident à utiliser pour les premières fois, et la doc (bien que super complète) n'étant disponible qu'en anglais, connaissant le niveau d'anglais de la plupart des français ^^. Je vous propose ce petit guide d'installation et d'utilisation en explicant à chaque étape le pourquoi du comment.

    Site officiel: http://www.truecrypt.org/
    FAQ: http://www.truecrypt.org/faq.php
    Forum officiel: http://forums.truecrypt.org/
    Guide officiel (pdf): Users Guide
    Dernière version: 4.2 (17/04/2006) (What's New)
    OS: Windows et Linux (depuis la 4.1 !)

     

    /! Petite mise en garde /!

    Faites toujours des backups de vos fichiers (encryptés ou non), si vous paumez votre mot de passe, ou si l'en-tête de votre volume TrueCrypt est corrompu, vos données seraient foutues. On est jamais assez prudent

    Installation de TrueCrypt

    TrueCrype ne s'installe" pas vraiment. L'executable principal suffit pour utiliser le programme. Il y a bien un Setup pour "installer" le logiciel, mais il ne fait que copier les fichiers. Par contre, veillez à avoir les droits d'administrateur quand vous le faites. Sinon, rien de spécial à signaler. Installez-le, et lancez le progfonctionnement

    Mode de Fonctionnement

    Le but de TrueCrypt est de protéger de façon invisble des données sensibles. Pour comprendre comment le soft fonctionne, il faut bien comprendre que ce ne sont pas les données elles-mêmes qui sont encryptées, mais un "conteneur" qui contient ces fichiers. Un peu comme un dossier (invisble) qui demanderait un mot de passe pour regarder à l'intérieur.

    Ces containers sont ensuite "mountés" (les linuxiens parmi vous reconnaitront le terme :o) et peuvent ensuite être utilisés. Un container se "mounte" (monte) comme s'il était un disque à part, c'est à dire que vous aurez dans votre poste de travail un nouveau disque présent dont le contenu sera le contenu du container. Une fois monté, un container s'utilise comme un disque dur "normal", c'est-à-dire que vous pourrez copier / déplacer / supprimer / créer des fichiers comme vous voulez. Lors de cette d'une copie d'un fichier dans ce nouveau disque, il est encrypté à la volée. Vous n'avez strictement rien à faire, ni à vous soucier de l'encryption. Une fois vos copies terminées, vous pouvez "unmounter" (démonter) un containter, et il disparaitra de votre poste de travail, et personne ne saura qu'il a jamais existé.

    Il existe 2 types de containers: Les fichiers et les partitions:

    - Les fichiers containers peuvent être n'importe quel fichier avec n'importe quelle extension et d'une taille variable définie par l'utilisateur.

    - Les partitions containers sont des partitions entières (souvent un disque entier) qui font office de container. Pratique quand vous avez beacoup de données sensibles, avec un léger désagrément tout de même que j'expliquerai par la suite (mais c'est corrigeable en 3 clics ^^)

    Passons aux screenshots, et à l'explication en images quant à la création d'un container. Pour une installation sous Linux (Ubuntu), suivez ce lien: http://doc.ubuntu-fr.org/applications/truecrypt.



    La création d'un container

    Voici l'interface principale de TrueCrypt:

    La première chose à faire est de créer un container, l'exemple qui suit montre comment créer un fichier container de 10mb:

    Cliquez sur "Create Volume"
    Choisissez "Create a standard TrueCrypt volume" (j'expliquerais les hidden volumes plus tard, c'est un peu plus compliqué)
    Cliquez sur "Select File" (c'est ici que se fait le choix du type de container: File / Device. Pour l'exemple nous choisissons File)
    Choisissez un emplacement ainsi qu'un nom de fichier pour votre container (peu importe ou, et avec ou sans extension :))
    Continuez en cliquant sur "Next"
    Maintenant, il vous faut choisir l'algo d'encryptage et l'algo de Hash. Ici, prenez les memes pour l'exemple.


    Vous devez désormais définir la taille de votre container. Pour l'exemple (et pour la rapidité :D), choisissez 10 Mbytes.
    Etape importante maintenant: Choisissez votre mot de passe. Toute la sécurité de vos données sensibles repose sur la fiabilité de votre mot de passe.
    Notez les quelques recommendations données en dessous des zones de saisie :) Un mot de passe dans les 25 caractères devrait satisfaire même les plus paranos d'entre vous. Evitez evidemment des mots ou phrases existants ou évidents comme le nom de votre chien ou votre date de naissance
    Derniere étape, le formatage de votre container. Vous pouvez choisir entre NTFS ou FAT, il n'y a pas de différences majeures dans ce cas.

    Le formatage se lance, et ne devrait pas trop durer, pour 10MB c'est rapide. Un résumé s'affiche une fois le tout fini
    Voila, votre container est crée, cliquer sur "Exit"

    Monter votre Container

    Retournez à présent à l'interface principale de TrueCrypt, nous allons mounter votre volume fraichement crée.
    Choisissez une lettre de lecteur que vous voulez attribuer à votre volume. Sont affichés toutes les lettres encotre libres. Pour l'exemple, nous allons prendre M:

    Une fois M: sélectionné, cliquez sur "Select File"
    Selectionnez votre Container et validez
    Puis cliquez ensuite sur "Mount"
    Votre mot de passe vous est demandé dans un popup.
    Entrez-le et validez
    Votre volume est maintenant mounté au lecteur de lettre M:
    Vous pouvez maintenant éteindre TrueCrypt (il reste en tache de fond), et dans votre poste de travail, un nouveau disque est apparu: M:
    Tout ce que vous copierez sur M: sera encrypté à la volée, et se trouvera dans votre container. Vous pouvez faire avec M: tout ce que vous feriez avec votre propre C: ou D:. Attention tout de même à ne pas virer le fichier container (My Volume), vos données seraient perdues !!
    Ce qui est pratique avec les fichiers containers, c'est que vous pouvez les graver sur un CD, ou sur uneclef USB, ou l'envoyer à qqun ... et personne, hormis vous, ne saura que faire avec ce fichier. Pour paraitre plus "innocent", vous pouvez renommer votre fichier container en .mp3, .iso ou .raw (par ex), ou ne pas lui donner d'extension.

    Demonter votre container

    Quand vous avez fini d'utiliser votre container, ou que vous quittez votre PC (par ex), songez à "Démounter" votre volume pour que les données s'y trouvant soient protégées.
    Retournez dans TrueCrypt, selectionnez votre M: dans la liste, et cliquez tout simplement sur "Dismount" (le même bouton qui vous à servi à "Mounter" votre volume change d'apparence).
    Voila, votre M: à disparu du poste de travail, et vos fichiers sont protégés.

    Utiliser une partition comme container

    Cet exemple montre comment faire un container à l'aide d'un fichier. Pour le cas d'une partition entière (Device), c'est la même chose sauf que le formatage prends beacoup plus longtemps (300 Gb, environ 11 000 secondes en AES :D). Quand vous avez crée un volume à partir d'une partition, il faut savoir que:

    - Pour le Mounter, il faut choisir "Select Device" au lieu de "Select File" (logique :D)
    - Vous allez trouver votre disque en doublon dans le poste de travail, dont un qui sera "Non formatté" pour windows (qui vous proposera gentillement de le faire pour vous, du coup. REFUSEZ SOUS PEINE DE PERDRE VOS DONNEES PRESENTES SUR CE DISQUE). En effet, une fois une partition formatée par TrueCrypt, windows la reconnait en tant que "Non formatté", car il n'y a pas d'infos sur le systeme de fichiers utilisé sur cette partition. Vous verrez alors votre disque (appellons-le D: ) qui sera "non formatté", et si vous le mountez en Z: (par ex) avec TrueCrypt, votre disque figurera 2 fois dans le poste de travail: D: et Z:, et vous ne pourrez utiliser que Z:.
    Ce ne serait pas plus dérangeant que ça s'il n'y avait pas le risque de formatter D: (donc tout le conteneur) par erreur, le message de windows ne demandant pas de confirmation (il me semble). Bref, pour contourner le problème, il suffit de désattribuer la lettre D: au lecteur. Plusieurs softs proposent cette option (comme Partition Magic, par ex), ou, plus simplement, l'administration des volumes des stockage de windows.
    Ayant mon windows XP en allemand, je m'excuse d'avance pour les différences avec le systeme franaçais, m'enfin seuls les noms changent, pas les emplacements. Alors vous accederez à l'administration des volumes des stockage de windows en faisant un clic droit sur votre poste de travail --> administrer (ou via le panneau de configuration), puis il ya qqch surement appellé "Gestion des volumes de stockage", tout en bas.
    Il suffit de choisir votre disque container (D:, chez moi), et de lui virer l'attribution d'une lettre automatique par windows. Ca se fait via un menu en cliquant avec le bouton droit de la souris sur le disque concerné. Confirmez et revenez dans votre poste de travail: Votre disque n'est plus affiché. (ce qui n'est pas nécéssairement une mauvaise chose si vous avez des données sensibles dessus, ça forme une "première barrière" pour ceux qui fouineraient dans votre poste de travail. Le seul moyen de voir que le disque est dans votre Pc, c'est soit en passant par un logiciel de type Sandra ou Everest, ou dans l'administration windows... ou dans TrueCrypt, dans "Select Device".

    Monter et Démonter ses volumes en un clic

    Une fois vos containers crées, vous pouvez vous créer un fichier batch (.bat) qui va le monter pour vous, sans que vous ayez à lancer Truecrypt à la main, choisir la lettre à attribuer, etc ... Dans le guide de l'utilisateur, il est expliqué comment ça marche. Pour faire simple, je vous montre à partir de l'exemple que j'ai chez moi. Config des disques: Un raptor 74 pour l'OS & co, et un Maxtor300GB encrypté en partition complète qui contient toutes mes données. A chaque boot, je mounte le 300GB via ce petit script:

    @echo off
    truecrypt /lz /v DeviceHarddisk1Partition1 /a /q /b

    Lorsqu'il se lance, un prompt vient me demander mon mot de passe pour ce volume, je l'entre, et hop mon volume est monté.
    Explication du script et des options en ligne de commande:

    @echo off --> Pas de feedback sur la console DOS
    truecrypt --> Appelle le programme principal
    /lz --> /l indique quelle lettre sera attribuée à votre volume. Ici, c'est z:. Si vous ne précisez pas, la 1ere lettre libre sera prise
    /v --> /v indique le volume que vous voulez monter. Chez moi, c'est DeviceHarddisk1Partition1 (vous trouverez le votre ds select device)
    /a --> /a = auto, monte le volume automatiquement tous les volumes TC (si vous en avez plusieurs) à partir de la lettre spécifiée en /l
    /q --> /q = quit, ferme la fenetre DOS une fois le volume monté.
    /b --> /b = beep, un "bip" de confirmation sera émis une fois votre volume monté.

    Il ya encore pas mal d'autres options disponibles, plus ou moins utiles, comme par ex
    /e --> /e = explorer, ouvre une fenetre windows explorer affichant le contenu de votre volume monté.

    Les autres options sont un peu plus avancées, et pas forcément utiles ... c'est expliqué dans le Guide pdf, mais je pense que celles que j'utilise sont les plus importantes. Après, c'est pour bidouiller, libre à vous de tester :)
    Pour créer un fichier pareil, il suffit de sauvegarder ce texte sous notepad, puis de renommer le .txt en .bat (au cas où, décochez l'option "masquer l'extension des fichiers dont le type est connu" dans les options des dossiers de windows, à l'onglet "Affichage" ).
    Vous avez désormais votre fichier .bat, faites-en un raccourci sur le bureau, ou même dans votre dossier de demarrage. Personellement, je l'ai mis en icone normale, et je le lance à la main à chaque boot. Pour un curieux qui booterait votre machine en votre absence, si le .bat se lance automatiquement en démarrage, le curieux saura qu'il vous faut un mot de passe pour proteger quelque chose. Alors que sinon, il ne saura pas forcément. En plus, si votre disque est un volume du type "partition" et que vous avez viré l'attribution d'une lettre à ce lecteur, il ne saura pas que vous avez un disque supplémentaire de données dans votre machine (sauf s'il l'ouvre, bien evidemment :D).
    Bref, maintenant vous pouvez aussi vous créer un fichier .bat pour démounter votre volume. C'est encore plus simple, voici le code:

    @echo off
    truecrypt /dz /q /f

    Explications:
    /d --> /d = dismount, suivi de la lettre de votre volume mounté. Ici, toujours mon lecteur z.
    /q --> /q = quit, ferme la fenetre DOS une fois le volume monté.
    /f --> /f = force dismount, le volume sera démounté même si des fichiers sont utilisés sur ce disque.
    J'avoue que je ne me sers pas souvent de ce script, vu que je mounte le volume au boot, et puis il est automatiquement démounté quand j'éteinds le PC. Du coup, ça reste un peu un script pour les paranos qui ont besoin d'un "gros bouton rouge au cas où" pour démounter leur volume en un clic. Chacun fait comme il veut. NDLR: On peut aussi faire mounter un volume automatiquement au boot de windows, voir plus bas dans "Les options du programme". Ceci dit, je garde mon .bat avec lequel je peux mounter mon volume quand j'en ai envie. Il m'arrive de booter sans le mounter

    Les volumes cachés

    Pourquoi un volume caché ? Admettons que vous êtes chez vous, quelqu'un de mal intentionné qui est au courant que vous avez des données encryptées vous pointe un pistolet à la tête en vous menançant de mort si vous ne coopérez pas en entrant votre mot de passe. Bien embêtant, me direz-vous. Bon j'exagère, mais l'idée y est :D C'est à ce moment-la qu'un volume caché peut s'avérer utile.
    Qu'est ce qu'un volume caché ?
    Le principe d'un volume caché est assez simple. Il s'agit d'un volume truecrypt caché dans un autre volume Truecrypt. Suivez le shéma:

    Dans un volume normal, il y a normalement de l'espace vide "rempli" de données aléatoires ne formant aucune information utilisable. Un gros flou, quoi. Quand vous remplissez votre volume, vos données remplacent ce flou. Maintenant, quand on crée un volume caché, celui-ci vient se loger dans ce flou qu'il vous reste dans votre volume "exterieur". Et il est impossible de prouver si oui ou non il y a un quelque chose de caché dans ce flou ! L'astuce qui fait marcher tout ça: Il y a un mot de passe par volume. Un pour le volume exterieur, et un pour le volume caché. En fonction du mot de passe que vous allez entrer, le volume correspondant va être mounté.
    Alors si on vous force, il suffit de monter votre volume exterieur en entrant son mot de passe correspondant. Bien sur, vous aurez pris soin de mettre quelques données bidon dans ce volume pour faire "style" vous avez quelque chose à cacher, mais ce ne sont que des données bidon dont vous vous foutez éperdument de leur protection. Votre aggresseur verra qu'il n'y a rien d'intéressant la-dedans pour lui, il vous relachera et partira bredouille.Une fois en sécurité, vous pouvez démonter le volume exterieur, et mounter la partition cachée avec votre vrai mot de passe, et le tour est joué.
    Quelques restrictions pour les volumes cachés:

    • Il vous faut un volume "normal" avant de pouvoir faire un volume caché.
    • Un volume caché ne peut par définition être plus grand en taille que le volume exterieur l'enveloppant. Logique, me direz-vous.
    • FAT12, 16 ou 32 uniquement pour le volume exterieur, NTFS store des données un peu partout dans le volume, ce qui ne laisse pas de place à un volume caché.

    Pour le dernier point, TC vous l'impose de toutes façons, vous ne pourrez pas vous tromper. Pour la création d'un volume caché, c'est le meme assistant que pour créer un volume normal, sauf qu'au début, selectionnez "Hidden Volume".

    Un point très important concernant les volumes cachés: Quand il ya un volume caché dans un volume exterieur, celui-ci prends de la place dans ce dernier. Quand on mount un volume exterieur de 100 MB disons, et que le volume caché que vous avez crée à l'intérieur en fait 90, vous n'avez que théoriquement que 10 MB réellement utilisables dans votre volume exterieur. Malgré tout, 100 MB de libres sont affichés quand vous l'avez mounté. Il faut savoir que si jamais vous y mettez plus de 10 MB, vous allez empiéter sur la zone sur laquelle s'étend le volume caché, et vous risquez de l'écraser et de la rendre inutilisable par la suite (Il suffit que le header de ce volume soit écrasé ou corrompu pour dire bye bye à vos données dedans)(D'ailleurs c'est valable pour n'importe que type de volume - caché ou pas caché, en fichier ou en partition - quand un header est foutu, TOUT le volume est foutu, vous ne pouvez plus le mounter, vos données sont PERDUES. Je reviendrais sur ce point plus tard) Pour vous protéger de cet empietement sur la zone du header du volume caché, il y a une option à cocher quand vous mountez votre volume exterieur.

    C'est celle ci:

    Une fois cochée, vous obtenez ça:

    Truecrypt vous demande les 2 mots de passe, et tous les 2 doivent être bons pour que la protection fonctionne. Le pass du volume exterieur en 1er mot de passe, et le pass du volume caché dans le popup de "Mount Options".
    Votre volume est mounté, et dans la fenetre principale de TrueCrypt, le "type" du volume est indiqué par "outer".
    (A la différence du cas où vous auriez monté votre volume exterieur SANS protection d'écrasement, auquel cas le volume exterieur affichera "Normal"
    En effet, maintenant votre volume caché sera protégé de tout écrasement de données écrites dans le volume exterieur. Toujours avec notre exemple d'en haut, si par mégarde vous essayiez quand même d'écrire un fichier plus gros que 10MB dans votre volume exterieur, Truecrypt bloquera cette operation d'écriture, et bloquera l'accès en écriture à vos DEUX volumes jusqu'a ce qu'ils soient démountés. Vous obtenez ce message d'erreur.
    Dans la fenetre principale de TC, votre volume exterieur sera indiqué comme cela:

    Si jamais vous en arrivez là, le seul moyen de pouvoir re-écrire sur votre volume est de le démounter puis de le remounter. Cela fait partie de la "plausible Deniability", si on vous demande pourquoi l'écriture a foiré, vous pouvez répondre qu'il ya peut-être un probleme hardware, ou un probleme de drivers TC.

    Derniere chose à savoir pour la "plausible deniability": Si on vous demande pourquoi vous avez formaté votre volume exterieur en FAT (au lieu de NTFS), répondez simplement que vous avez laissé les options de Truecrypt par défaut (qui formatte tous ses volumes en FAT par défaut), et qu'il ya des avantages au FAT, comme par exemple le fait qu'un volume formatté en FAT a moins tendance à se fragmenter
    Petit résumé sur les volumes cachés

    • Ils sont montés DANS un volume Truecrypt, et indétectables dans ceux-ci.
    • Il ya un mot de passe par volume, un pour l'exterieur, un pour le caché. Sera monté le volume dont vous le mot de passe sera entré.
    • Il existe un systeme de protection du volume caché quand on écrit dans le volume exterieur.
    Plusieures méthodes pour voir si un volume caché est protégé quand le volume exterieur est mounté:
    • Le type du volume exterieur est "outer" au lieu de "normal"
    • Un popup vous en informe quand vous mountez le volume exterieur avec la mount options "protéger le volume caché" activé
    • Dans les "Volume properties" du volume, il ya un "yes" à la ligne "protected":

    Enfin, il n'y a pas beacoup de moment ou vous allez mounter le volume exterieur en activant la protection du volume caché. En fait, ce n'est que lorsque vous allez le remplir avec des fichiers pseudo-secrets, et que vous avez peur de dépasser la taille maximale. Ou bien, vous utilisez un volume normal pour vos fichiers "un peu secrets", et une partition cachée pour vos fichiers "vraiment secrets". Dans tous les cas, si jamais on vous force à mounter votre volume, vous n'allez pas cocher la case "protéger le volume caché", et donc vous allez monter le volume exterieur en mode "Normal", sans la protection activée. Après tout, votre aggresseur ne veut que voir ce qu'il ya dedans, pas écrire des données dedans.

    Les Keyfiles

    Les Keyfiles (ou "Fichiers Clefs" ) peuvent augmenter la sécurité de votre mot de passe, ou le remplacer de façon à ce que vous n'ayez plus besoin de mémoriser un long mot de passe compliqué. Le principe ? Une combinaison de x fichiers présents sur votre PC (ou ailleurs) joue le rôle de mot de passe (ou le complète, pour les paranos :D).
    Créez votre volume normalement, mais lors du choix du mot de passe, sélectionnez "Use Keyfiles":

    Cet écran vous sera présenté:

    En cliquant sur "Add File...", vous pourrez ajouter des fichiers à votre guise. Vous pouvez choisir autant de keyfiles que vous le souhaitez. Une utilisation de keyfile serait semblable à ce qu'on voit dans des films d'espionnage avec un coffre fort sécurisé: Admettons que vous ayez 4 keyfiles pour votre container et que ces fichiers se trouvent sur une clef USB qui ne quitte pas votre poche. Comme ça, vous porterez toujours votre clef avec vous, et personne ne saura que la combinaison de 4 fichiers précis parmis vos 100 fichiers présents sur votre clef USB permettra de monter votre volume. Vous pouvez également pousser le vice et utiliser 2 clefs USB séparées, et agrémenter le tout d'un mot de passe :D. C'est à la guise de l'imaginaire :D
    L'utilisation de keyfiles a ses avantages:

    • Sécurité accrue: Meme un keylogger ne pourra plus vous trahir
    • Partage conditionné entre 2 personnes, par ex, ds le cas ou chaque personne doit avoir sa keyfile pour mounter le volume
    • Peut remplacer un mot de passe difficile a mémoriser
    • Les fichiers Clefs ne sont pas modifiés, seulement "lus", et cette action est invisible et indétectable

    Seul bémol: Veillez à ne pas perdre vos keyfiles, sous peine de ne plus pouvoir mounter votre volume. C'est comme si vous perdiez votre mot de passe.
    L'ordre des keyfiles est sans importance. Vous pouvez ajouter un répertoire, dans ce cas TOUS les fichiers contenus dans ce répertoire seront la combinaison de keyfiles pour votre volume. Attention, seul le chemin est mémorisé, pas le contenu ! Cela signifie que si vous avez précisé votre collection de mp3 (disons c:mp3) comme keyfile, vos 100 mp3 contenus seront nécéssaires, ET PAS UN FICHIER DE PLUS. Si vous ajoutez un 101ème mp3, TrueCrypt tentera de mounter votre volume avec tous les fichiers de c:mp3, et donc y compris votre dernier mp3 ajouté (qui, lui, ne fait PAS partie de vos 100 keyfiles définies à la base).
    Si vous ne savez pas quel(s) fichier(s) choisir, TrueCrypt propose une option "Generate Random Keyfile" qui génerera un fichier de 64kb avec un contenu aléatoire que vous pouvez utiliser en fichier clef. (et le copier sur votre clef USB, par ex)

    Backup / Restauration du Header

    Si jamais votre container venait à être endommagé (Crash pc, probleme matériel, autre ...) et si l'en-tête du volume est fichu, TOUT le volume le sera car TrueCrypt ne sera plus en mesure de le mounter correctement. Pour assurer la sécurité de votre volume, TrueCrypt propose 2 fonctions de sauvegarde et de restauration de l'en-tête de votre volume. Comment faire ? C'est tout simple. Selectcionnez votre volume avec "Select File" ou "Select device", et puis cliquez sur "Volume tools"

    • Backup Header va vous demander de choisir un nom de fichier pour l'en-tête à sauvegarder. Evidemment, sauvegardez le ailleur que sur votre volume
    • Restore Header fait le contraire, il vous demande un fichier d'en-tête à restaurer. Attention, le mot de passe datant du backup sera l'actuel si vous l'avez changé après avoir fait un backup de header.

    Cette operation prends 2 secondes, le fichier d'en-tête fait 1kb et peut vous sauver la vie, alors ne vous en privez pas. C'est con de perdre ses données d'une façon si bête. Attention, cette manip ne vous dispense PAS de faire des backups réguliers de vos données, sur un autre disque par exemple.

    Le "Traveller Mode"

    Pour pouvoir utiliser sa clef USB (ou disque dur externe, ou n'importe quel périphérique de stockage externe portable) encrypté(e) sur n'importe quel PC public qui ne dispose PAS de truecrypt insallé, vous devez passer en "Traveller Mode" (Mode pour "voyager" :D). Pas de panique, c'est simple comme bonjour:
    Il suffit de copier du répertoire setup files les fichiers:

    TrueCrypt.exe
    TrueCrypt (fichier système)
    TrueCrypt-X64 (fichier système)

    ... sur le périphérique en question. Ensuite lancer TrueCrypt et ... voila !

    Avis et conclusion

    Je pense que TrueCrypt est une bonne solution pour ceux qui ont des données sensibles à protéger. C'est assez rapide à mettre en place, et ne diminue pas tellement les performances sur les disques encryptés. Pour ma part, j'ai par exemple un Raptor 74Gb qui contient le systeme, les jeux, etc ... qui n'est pas du tout encrypté, et puis un Maxtor 300GB en SATA qui lui est encrypté en entier (en partition) qui contient toutes mes données (musiques, films, documents, etc). Quand je boote le PC, et que je ne mounte rien, l'utilisateur non averti ne verra que C: dans le poste de travail, et il pourra utiliser le PC normalement sans avoir accès à mes données. Et il faut ajouter qu'un ecryptage en AES 256 bits (par ex) est laaaaargement plus que suffisant. Pour comparaison, le CNSS (Committee on National Security Systems) certifie que cette encryption suffit pour des dossiers de niveau "Top Secret" pour la NSA & co.

    Si maintenant on prends en compte que les algos d'encryption sont "cascadables", on obtient un systeme quasi inviolable ... du moins pour l'utilisateur particulier. Je doute fortement que la NSA va s'amuser à faire un brute force sur votre disque dur avec leurs Super-Computers (et même s'ils le faisaient, ça ne serait pas violable si vite !)