Pour ceux qui cherchent une méthode simple et universelle pour chiffrer leur répertoire personnel sous Linux, EcryptFS est une solution idéale. Une fois correctement configuré, cet outil permet aux utilisateurs de chiffrer et de déchiffrer leurs données personnelles de manière transparente et sans complexité excessive.
Avis important : faites défiler vers le bas pour accéder au tutoriel vidéo à la fin de cet article.
Installation d’EcryptFS
Avant de commencer le chiffrement, l’outil doit être installé. Il s’agit d’une solution largement répandue, compatible avec la plupart des distributions Linux, et facile à utiliser. L’installation est possible sur Ubuntu, Debian, Arch Linux, Fedora et OpenSUSE. Si vous utilisez une autre distribution, il est possible de compiler l’outil à partir des sources.
Ubuntu
sudo apt install ecryptfs-utils
Debian
sudo apt-get install ecryptfs-utils
Arch Linux
sudo pacman -S ecryptfs-utils
Fedora
sudo dnf install ecryptfs-utils
OpenSUSE
sudo zypper install ecryptfs-utils
Autres distributions Linux
Si vous ne trouvez pas de paquet installable pour votre système, vous devrez télécharger le code source et installer le logiciel manuellement. Si vous rencontrez des difficultés lors de la compilation, consultez la page de documentation EcryptFS.
Chiffrer le répertoire personnel
Durant ce processus de chiffrement, un utilisateur temporaire sera créé. Il ne sera pas permanent et sera supprimé une fois le tutoriel terminé. La création de cet utilisateur est nécessaire car le chiffrement du répertoire d’un utilisateur ne peut se faire lorsque ce dernier est connecté.
Création d’un nouvel utilisateur
Pour créer un nouvel utilisateur, ouvrez un terminal et connectez-vous en tant que super-utilisateur (root).
su
ou
sudo -s
Maintenant que vous êtes en root, utilisez la commande useradd pour créer le compte temporaire. Utilisez l’option -M pour éviter que le système ne crée un nouveau répertoire personnel pour cet utilisateur.
useradd -M encrypt-admin
useradd crée l’utilisateur, mais sans mot de passe. Utilisez la commande passwd pour définir un mot de passe pour encrypt-admin.
passwd encrypt-admin
L’utilisateur encrypt-admin est prêt, mais n’a pas la permission d’exécuter des commandes root. Pour lui donner cette permission, nous devons l’ajouter au fichier sudoers. Utilisez visudo pour éditer le fichier de configuration de sudo.
EDITOR=nano visudo
Dans l’éditeur Nano, descendez jusqu’à la section « # Spécification des privilèges utilisateur ». Vous devriez y trouver la ligne « root ALL = (ALL:ALL) ALL ». Ajoutez une nouvelle ligne en dessous et entrez :
encrypt-admin ALL=(ALL:ALL) ALL
Enregistrez le fichier (Ctrl + O) puis fermez l’éditeur (Ctrl + X).
Lancement du Chiffrement
Pour démarrer le chiffrement, déconnectez-vous de la session de l’utilisateur dont vous souhaitez chiffrer le répertoire personnel. Sur l’écran de connexion, appuyez sur Alt + Ctrl + F1 (ou F2 à F6 si cette combinaison ne fonctionne pas).
Sur l’invite TTY, entrez encrypt-admin et son mot de passe. Ensuite, utilisez EcryptFS pour démarrer le chiffrement.
Note: Remplacez « votre nom d’utilisateur » par le nom de l’utilisateur dont vous venez de vous déconnecter. Répétez cette commande pour chaque compte à chiffrer.
sudo ecryptfs-migrate-home -u yourusername
Cette commande migre l’utilisateur vers un répertoire personnel chiffré. Vous pouvez maintenant vous déconnecter de l’utilisateur temporaire et retourner à votre utilisateur habituel. Déconnectez-vous de la console TTY avec :
exit
Cette commande devrait vous ramener à l’écran de connexion. Appuyez sur Alt + F2 à F7 pour revenir à l’interface graphique.
Suppression du Compte Utilisateur
EcryptFS est maintenant configuré. Il est temps de supprimer le compte encrypt-admin. Commencez par le supprimer du fichier sudoers. Ouvrez un terminal et éditez visudo.
sudo -s EDITOR=nano visudo
Descendez dans le fichier sudoers et supprimez la ligne que vous aviez ajoutée précédemment :
encrypt-admin ALL=(ALL:ALL) ALL
Enregistrez les modifications (Ctrl + O) et fermez l’éditeur (Ctrl + X).
encrypt-admin n’a plus la possibilité d’accéder au root ou de modifier le système. Il est maintenant inoffensif et peut être laissé sur le système. Toutefois, si vous souhaitez supprimer tous les utilisateurs inutiles, vous pouvez le supprimer avec la commande userdel.
sudo userdel encrypt-admin
Ajouter un Mot de Passe de Chiffrement
EcryptFS est presque prêt à être utilisé. Il ne reste qu’à configurer un mot de passe. Ouvrez un terminal (sans privilèges sudo ou root) et entrez une nouvelle phrase de passe. Le chiffrement est inefficace sans un mot de passe robuste. Utilisez un générateur comme strongpasswordgenerator.com pour créer une phrase de passe solide.
Note: Si vous préférez créer votre mot de passe vous-même, consultez cet article pour apprendre à créer un mot de passe sécurisé.
ecryptfs-add-passphrase
Une fois la commande ecryptfs-add-passphrase terminée, votre répertoire personnel est chiffré. Redémarrez votre ordinateur pour que les changements soient pris en compte. EcryptFS demandera votre phrase de passe lors de la connexion.