Chiffrement · 12 min read · Jan 04, 2026

Tutoriel TrueCrypt : Chiffrement de données véritablement portable

Tutoriel TrueCrypt : Chiffrement de données véritablement portable

Une brève présentation des fonctions du programme

TrueCrypt est un logiciel gratuit qui chiffre les données “à la volée”. Actuellement, la dernière version publiée est la version 4.3. Vous pouvez créer un disque dur chiffré, une partition séparée ou un répertoire avec TrueCrypt. Il ne chiffre pas seulement le contenu des fichiers, mais aussi leurs noms et les noms des répertoires dans lesquels ils se trouvent. De plus, il n’y a aucun moyen de vérifier la taille du répertoire/HDD/partition chiffré. TrueCrypt est disponible pour Windows et Linux.

Avantages de TrueCrypt :

  • crée un disque dur chiffré et le monte,
  • chiffre un disque entier, une partition/répertoire sélectionné et même une clé USB,
  • le chiffrement est automatique, à la volée et transparent pour l’utilisateur
  • il n’y a aucun moyen de vérifier la taille de la partition/répertoire chiffré,
  • utilise des algorithmes de chiffrement tels que : AES -256, Serpent, Twofish,
  • permet la création d’un volume caché,
  • en utilisation, vous ne pouvez pas distinguer entre le volume créé et les données communes,
  • il est très simple à utiliser,
  • les disques virtuels créés avec TrueCrypt sont complètement indépendants du système d’exploitation,
  • les clés d’autorisation peuvent être conservées sur une clé USB.
  • et bien plus encore…

Il existe trois façons de sécuriser les données chiffrées :

  • avec un mot de passe,
  • avec une clé spéciale,
  • avec à la fois un mot de passe et une clé.

Quelle est cette clé ? La clé peut être n’importe quel fichier de votre disque dur par exemple : *.avi, *.mpg ou *.txt et même un répertoire entier contenant quelques fichiers. Avertissement ! Faites attention à utiliser un fichier *.txt comme clé car si vous le modifiez, la clé changera et vous ne pourrez pas déchiffrer vos données. Que se passe-t-il lorsque vous perdez votre clé ? Vous ne récupérerez jamais vos données ! C’est pourquoi je suggère d’utiliser à la fois la clé et le mot de passe comme meilleure solution. Dans ce cas, si vous perdez votre clé, vous pouvez la changer en entrant le bon mot de passe, et vice versa. Naturellement, il n’y a pas de solution idéale car vous pouvez oublier votre mot de passe et perdre votre clé en même temps.

Une brève comparaison entre TrueCrypt et DM-Crypt

En fait, il est très difficile de dire lequel de ces programmes est meilleur. Après un examen laborieux des descriptions de leurs options et des délibérations sur les deux, j’ai réalisé que la meilleure solution serait de les combiner. Ils vous permettent tous deux de créer un soi-disant “conteneur” qui est un fichier chiffré qui fonctionne comme un répertoire dans lequel vous pouvez stocker vos fichiers privés (une fonctionnalité très utile lorsque vous ne souhaitez pas chiffrer l’ensemble de la partition). Le grand avantage de ces programmes est qu’ils peuvent chiffrer des données tout en les gravant sur un CD/DVD. Un léger inconvénient de TrueCrypt peut être qu’après le rechargement du noyau, vous devrez peut-être réinstaller le module TrueCrypt. D’autre part — dans TrueCrypt, vous pouvez simultanément utiliser différents algorithmes de chiffrement ! Il fonctionne également sous Windows, donc si vous utilisez les deux systèmes, TrueCrypt sera un meilleur choix.

Comment choisir la meilleure clé ?

Personnellement, je ne recommande pas de choisir un fichier ou un répertoire de votre disque dur comme clé. La meilleure façon sera d’utiliser un générateur de clé spécial intégré à TrueCrypt. RNG - Générateur de Nombres Aléatoires - est la fonctionnalité, il crée des données aléatoires d’une taille maximale de 320 octets et les enregistre dans un fichier préalablement choisi. Comment les données aléatoires sont-elles générées ? Si c’est Linux, RNG utilise /dev/random ou /dev/urandom qui représente tout le bruit généré par les appareils branchés à votre PC, comme la souris et le clavier.

Comment fonctionne TrueCrypt ?

L’ensemble du processus de chiffrement est transparent pour l’utilisateur. Lors de la copie d’un fichier sur le disque chiffré, ses fragments constitutifs (s’il s’agit d’un gros fichier comme un film) sont copiés dans la RAM, puis chiffrés et enregistrés dans le fichier de destination. Le processus de déchiffrement est le même. D’abord, le fichier, par fragments, est déchiffré dans la RAM et ensuite transmis à un utilisateur. TrueCrypt ne sauvegarde jamais de données non chiffrées sur le disque, les données chiffrées sont toujours stockées dans la RAM. C’est une méthode très sécurisée qui empêche l’accès accidentel à vos fichiers.

Téléchargement de TrueCrypt

La dernière version du programme se trouve toujours sur http://www.truecrypt.org. TrueCrypt a besoin d’un outil appelé dmsetup pour fonctionner correctement. Dmsetup est un outil vous permettant de travailler avec des disques logiques mappés avec le pilote device-mapper. La dernière version de dmsetup est disponible sur http://sources.redhat.com/dm/. La première chose que vous devez faire après avoir téléchargé la source est d’installer dmsetup :

tar -zxvf device-mapper.*your_version_no*  
cd device-mapper.*your_version_no*  
./configure  
make  
make install (en tant que root ou sudo)

Si tout s’est bien passé, essayez d’installer TrueCrypt :

tar -zxvf truecrypt-*your_version_no*  
cd truecrypt-*your_version_no*

Entrez le répertoire linux et installez :

cd linux  
./build.sh
Vérification des exigences de construction...  
Construction du module du noyau... Terminé.  
Construction de truecrypt... Terminé.

D’abord, le script vérifiera si votre système remplit toutes les exigences, il vous informera s’il ne parvient pas à trouver l’emplacement d’un paquet. Avertissement ! Pour installer TrueCrypt correctement, vous devez avoir un noyau 2.6.5 ou plus récent.

Ensuite, vous exécutez :

./install.sh *(en tant que root ou sudo)*

Vérification des exigences d’installation…
Test de truecrypt… Terminé.

Installer les binaires dans [/usr/bin] : appuyez sur [Entrée]
Installer la page de manuel dans [/usr/share/man] : appuyez sur [Entrée]
Installer le guide de l’utilisateur et le module du noyau dans [/usr/share/truecrypt] : [Entrée]
Autoriser les utilisateurs non administrateurs à exécuter TrueCrypt [y/N] : pour permettre aux utilisateurs non-root d’utiliser TrueCrypt, appuyez sur [y], sinon [N]
Installation du module du noyau… Terminé.
Installation de truecrypt dans /usr/bin… Terminé.
Installation de la page de manuel dans /usr/share/man/man1… Terminé.
Installation du guide de l’utilisateur dans /usr/share/truecrypt/doc… Terminé.
installation du module de noyau de sauvegarde dans /usr/share/truecrypt/kernel… Terminé.

Si tout s’est déroulé comme ci-dessus, vous pouvez continuer.

La génération de clé

Pour générer une clé, tapez :

truecrypt --keyfile-create key.txt

Bien sûr, vous pouvez choisir un autre nom de clé, et l’extension.

Votre souris est-elle connectée directement à l’ordinateur sur lequel TrueCrypt fonctionne ? Appuyez sur “Y”, puis vous serez invité à déplacer votre souris.

Si tout était OK, le texte suivant s’affichera : Fichier clé créé.

La création de volume virtuel

Pour créer un nouveau volume, vous devez considérer son nom et son type. Il n’y a que deux types de volume : normal et caché. Quelle est la différence entre eux ? Le caché est juste cela, caché (le placement est différent - plus d’infos sur la page d’accueil de TrueCrypt).

Dans un terminal, tapez :

truecrypt -c home.txt

Vous créez un volume nommé home.txt. L’extension est à la discrétion de l’utilisateur, j’ai choisi *.txt, car il est plus difficile pour un potentiel hacker de découvrir qu’il s’agit d’un volume.

Type de volume :

  1. Normal
  2. Caché
    Sélectionnez [1] : sélectionnez 1

Système de fichiers :

  1. FAT
  2. Aucun
    Sélectionnez [1] : sélectionnez 2, car vous allez créer un autre système de fichiers que FAT
    sur votre volume, par défaut c’est FAT

Entrez la taille du volume (octets - taille/tailleK/tailleM/tailleG) : 10M -
maintenant vous indiquez une taille pour votre volume, j’ai choisi 10 Mo

Algorithme de hachage :

  1. RIPEMD-160
  2. SHA-1
  3. Whirlpool
    Sélectionnez [1] : choisissez le hachage, je suggère SHA-1, par défaut c’est RIPEMD-160

Algorithme de chiffrement :
1 ) AES
2 ) Blowfish
3 ) CAST5
4 ) Serpent
5 ) Triple DES
6 ) Twofish
7 ) AES-Twofish
8 ) AES-Twofish-Serpent
9 ) Serpent-AES
10 ) Serpent-Twofish-AES
11 ) Twofish-Serpent Sélectionnez [1] : choisissez l’algorithme, par défaut c’est AES

Entrez le mot de passe pour le nouveau volume ‘home.txt’ : appuyez sur [Entrée] si vous ne voulez pas de mot de passe

Ressaisissez le mot de passe : appuyez sur [Entrée] à nouveau

Entrez le chemin du fichier clé [aucun] : ici entrez un chemin complet vers la clé ou laissez vide si vous n’avez pas de clé

Entrez le chemin du fichier clé [fin] : vous serez invité à entrer à nouveau le chemin. Dans le cas où vous avez plus d’une clé, tapez un autre chemin, et si vous avez entré tous les chemins de clé, laissez vide et appuyez sur [Entrée]

TrueCrypt va maintenant collecter des données aléatoires.

Votre souris est-elle connectée directement à l’ordinateur sur lequel TrueCrypt fonctionne ? Appuyez sur “Y” si votre souris est directement connectée à votre PC, mais essayez d’appuyer sur “n” et voyez ce qui se passe

Veuillez taper au moins 320 caractères choisis au hasard, puis appuyez sur Entrée : si vous entrez moins que requis, le programme vous indiquera combien il en manque

Maintenant, le programme va commencer à créer votre volume. Le temps nécessaire pour cette opération dépend de votre CPU et de la taille du volume. Le script vous informera lorsque cela sera terminé ( Volume créé). Dans le répertoire personnel de root, il devrait y avoir un fichier home.txt. Vous pouvez essayer de l’ouvrir dans un traitement de texte, mes félicitations si vous parvenez à lire quoi que ce soit.

Mapping de volume et création du système de fichiers.

Comme vous vous en souvenez, vous n’avez pas choisi le système de fichiers pour votre volume lors du processus de création. C’est pourquoi vous devez le faire maintenant. Cela est nécessaire car TrueCrypt utilise l’outil Linux mount pour monter un volume qui doit se voir passer un système de fichiers comme option.

Entrez :

truecrypt /root/home.txt -k /root/key

Entrez le mot de passe pour ‘/root/home.txt’ : s’il n’y a pas de mot de passe pour ce volume, appuyez simplement sur [Entrée]

OK. Pour vérifier si le mapping s’est bien déroulé, tapez :

truecrypt -vl

(affiche des informations sur les dispositifs mappés)

S’il n’y a pas d’infos, cela signifie que quelque chose a mal tourné.

Maintenant, vous créez un système de fichiers :

mkfs.ext3 /dev/mapper/truecrypt0

Vous pouvez choisir n’importe quel système de fichiers

Le système de fichiers a été créé.

Montage des volumes créés

Maintenant que vous avez créé un système de fichiers sur votre volume et l’avez mappé, vous pouvez le monter dans n’importe quel répertoire.

Pour ce faire, tapez :

truecrypt -d /dev/mapper/truecrypt0

démontre le volume

mkdir encrypted -

crée un répertoire nommé “encrypted”, c’est le répertoire où vous allez monter le volume

truecrypt /root/home.txt -k /root/key /root/encrypted

monte le volume dans les répertoires chiffrés

Fait ! À partir de maintenant, toutes les données enregistrées dans le répertoire “encrypted” seront chiffrées.

Mais que devez-vous faire pour chiffrer un répertoire déjà existant ? C’est très simple. Il suffit de déplacer les données de ce répertoire, puis de monter le volume dans ce répertoire et de déplacer les données de retour dans ce répertoire. N’oubliez pas de rendre le volume suffisamment grand lors de l’indication de sa taille, car sinon il ne pourra pas accueillir toutes les données. La taille du volume doit être un peu plus grande que la taille du répertoire.

Montage automatique après le redémarrage.

Comme vous le découvrirez, après un redémarrage, vous devrez monter à nouveau le volume. Il existe un moyen simple de le faire. En parcourant un forum sur la page d’accueil de TrueCrypt, j’ai relevé deux solutions différentes :

  • ajouter un script à /etc/init.d ou /etc/rc.d,
  • créer dans le répertoire personnel un fichier de configuration nommé .profile et l’éditer correctement.

Je vous suggère d’utiliser la deuxième méthode que je décris ci-dessous. Pourquoi ? Il y a une raison simple. Disons que vous avez sécurisé le volume avec une clé et un mot de passe ou même seulement avec un mot de passe. Dans ce cas, en exécutant des scripts de démarrage placés dans les répertoires init.d ou rc.d, vous devrez initialiser TrueCrypt avec le paramètre -p et le mot de passe serait explicitement écrit là, ce qui n’est pas la solution la plus intelligente. De cette façon, n’importe qui pourrait lire votre mot de passe.

Peut-être qu’il y a déjà un fichier .profile dans votre répertoire personnel, mais si ce n’est pas le cas :

touch .profile - crée un nouveau fichier .profile

Ouvrez .profile dans un éditeur et ajoutez la ligne suivante :

truecrypt /root/home.txt -k /root/key /root/encrypted

Enregistrez les modifications et quittez l’éditeur. Maintenant, chaque fois que vous vous connectez au système, TrueCrypt vous demandera votre mot de passe (que vous n’avez pas car dans cet exemple vous êtes identifié uniquement par la clé, donc appuyez simplement sur [Entrée]) et le volume virtuel sera monté.

Puis-je conserver la clé sur une clé USB ?

Oui, il existe une telle option, et croyez-moi, ce n’est pas si difficile. La première chose que vous devez faire est de monter automatiquement le lecteur USB au démarrage. Pour ce faire, vous devez éditer /etc/fstab. Ensuite, créez un nouveau répertoire pour la clé USB dans /mnt :

mkdir /mnt/pendrive

Au début, vous devez voir où se trouve la clé USB dans le système. Branchez la clé USB dans le port USB et exécutez la commande suivante :

dmesg > output.txt

À la fin du fichier, il devrait y avoir une ligne comme ceci :

usb 1-1: configuration #1 choisie parmi 1 choix  
uba: uba1

Comme vous pouvez le voir sur mon PC, le lecteur USB est à /dev/uba1. Vous pourriez l’avoir à /dev/sda*. Maintenant, vous devez modifier /etc/fstab. Ajoutez cette ligne :

/dev/uba1  /mnt/pendrive  auto  defaults  0  0

Ensuite, tapez :

mount /mnt/pendrive

L’étape suivante consiste à déplacer la clé sur le lecteur USB et à changer la ligne dans votre fichier .profile contenant le chemin vers la clé /mnt/pendrive. Fait !

Maintenant, le système monte automatiquement le volume virtuel après le redémarrage. Quels sont les inconvénients du montage automatique ? Disons que vous avez un frère ou une sœur très curieux et que vous ne voulez pas qu’ils aient accès à certaines parties de votre système (que vous travailliez sous Windows ou Linux). Si vous vous autorisez uniquement avec la clé, et qu’elle est placée quelque part sur le HDD, alors après le démarrage, les données sont déchiffrées. “Mais je garde ma clé sur la clé USB”. Que se passe-t-il si vous oubliez de la retirer du PC après le travail ?

L’avenir

Dans un avenir proche, les développeurs de TrueCrypt prévoient d’étendre ses fonctionnalités :

  • la version MAC OS,
  • ajout d’une autorisation extérieure (il y aura donc la possibilité de déchiffrement sur le réseau/Internet),
  • construction d’une interface graphique officielle pour TrueCrypt,
  • et bien plus encore…

Y a-t-il des couches GUI non officielles pour TrueCrypt ? Bien sûr qu’il y en a. Je vous suggère de jeter un œil à la page suivante : TruecryptGUI sur GoogleCode. Pour plus d’informations, visitez le forum TrueCrypt.

Traduction en anglais : Borys Musielak

Correction : T_ziel

Auteur : Marcin Lipiec aka “lipiec”

Ce texte a été publié pour la première fois sur polishlinux.org

Share: X/Twitter LinkedIn
#Chiffrement

Recevez de nouveaux articles dans votre boîte de réception.

Aucun spam. Désabonnez-vous à tout moment.