Pas-à-pas : protéger le contenu d’une clef USB

La redaction |
Nous vous proposons cet article en partenariat avec Nathalie Nicoletis, auteur de Mac OS X Snow Leopard à 200 % de Nathalie Nicoletis (Digit Books, Brest, 2010), dans lequel vous pourrez retrouver 50 autres trucs et astuces pour Mac OS X.

Le problème avec une clef USB, comme avec un disque dur externe, est qu’il est facile de l’égarer ou de l’oublier quelque part. Il peut vous arriver d’y entreposer des données plutôt confidentielles et en cas de perte, les dommages peuvent être plus importants qu’il n’y paraît.

Il existe une solution facile à mettre en œuvre qui, sans aller jusqu’à vous sauver la vie, vous tranquillisera l’esprit.

L’idée consiste à créer, sur la clef USB, une image disque protégée par mot de passe. Votre Mac dispose de l’application nécessaire, il s’agit d’Utilitaire de disque (Applications > Utilitaires  > Utilitaire de disque).

Connectez la clef à votre Mac et ouvrez l’application Utilitaire de disque. Au besoin, formatez la clef au format Mac OS étendu journalisé (la plupart du temps, les clés sont au format FAT 32 ou MS-DOS, permettant ainsi qu'elles soient utilisées sur Mac ou sur Windows).

Donnez-lui un nom, ce sera plus facile de l’identifier par la suite, (ici elle est appelée cle-secure), puis cliquez sur le bouton Effacer.

6-24

Dans le menu Fichier, sélectionnez la commande Nouvelle > image disque vide.

6-25

Nommez cette image disque, infos-secretes par exemple. Dans le menu déroulant Taille, cliquez sur Personnaliser, l’idée étant de lui donner une taille à peine inférieure à celle de la clef.

6-26

Ici, j’ai tapé 14, choisi l’unité Go (giga-octets), puisque la capacité disponible de la clef est de 15,79 Go (ce chiffre s’affiche au bas de la fenêtre de l’application Utilitaire de disque). Cliquez ensuite sur OK pour valider vos choix.

6-27

Laissez au menu déroulant Format, le choix par défaut, qui doit être Mac OS étendu journalisé. Dans le menu déroulant Chiffrement, choisissez le niveau de sécurité. Apple recommande AES 128 bits, mais vous êtes seul juge du niveau de chiffrement que méritent vos données.

6-28

Dans le menu déroulant Partitions, le choix par défaut Partition unique : table de partition Apple est le bon. Enfin, dans le menu Format d’image, sélectionnez l’option image disque en lecture/écriture (le but du jeu étant de pouvoir ajouter des fichiers, si nécessaire). Vérifiez que tous les paramètres choisis correspondent bien à ceux qui sont illustrés ci-dessous avant de cliquer sur le bouton Créer (figure 6.29).

6-29

Dernière chose, saisissez un mot de passe pour cette image disque et par prudence, cochez la case Mémoriser le mot de passe dans le trousseau. Vous remarquerez au passage que Mac OS X vous indique la force de votre mot de passe. Le mien est faible, ne le prenez pas en exemple.

6-30

La création de cette image disque prendra plus ou moins de temps, selon la taille que vous avez définie.

Lorsque vous connecterez cette clef sur un autre Mac que celui sur laquelle a été créée l’image disque sécurisée, il sera nécessaire de fournir le mot de passe (en créant le mot de passe, vous avez coché la case permettant de le conserver dans le Trousseau d’accès, il ne vous sera donc pas demandé. Si, par contre vous n’avez pas coché cette case, le mot de passe sera exigé pour monter l’image disque sécurisée sur le bureau).

N’oubliez pas qu’il faudra éjecter ensuite l’ensemble en deux étapes : d’abord l’image disque, puis la clef USB.

Il est bien entendu également possible de faire cohabiter sur la clé USB des données protégées dans une image disque chiffrée avec des données non sécurisées. Il suffit en fait de définir une taille d’image disque largement inférieure à la capacité de la clef.

Cet article est extrait de Mac OS X Snow Leopard à 200 % de Nathalie Nicoletis (Digit Books, Brest, 2010), dans lequel vous pourrez retrouver 50 autres trucs et astuces pour Mac OS X.
avatar Leyry Hynemonth | 

"et par prudence, cochez la case Mémoriser le mot de passe dans le trousseau"

Grosse erreur :

- C'est imprudent parce que le mot de passe est stocké quelque part. Possibilité d'accès (même si c'est minime)

- Mais le plus important, c'est que si l'on connecte rarement sa clef USB à un autre ordinateur, on aura tôt fait d'oublier le mot de passe de l'image cryptée !
Alors que si le Mac demande le mot de passe à chaque fois, on s'en souviendra.

Autre point qui me pose problème : Quid de la compatibilité de l'image cryptée avec les autres systèmes ?

Linux peut peut-être arriver à les ouvrir... mais certainement pas le windows de base.

Très mitigé cette astuce....
Mais elle à le mérite de protéger les données sensibles de la dispersion malencontreuse...

avatar iPeP (non vérifié) | 

Je ne crois pas qu'il y ait de solution miracle pour partager une clé cryptée entre un mac et un pc ... sauf à utiliser TrueCrypt et d'avoir, soir les 2 versions sur la clé, soit l'avoir préinstallé sur chaque poste.

avatar legeox | 

Je suis désolé mais cette solution n'est en aucune facon viable dans une utilisation sur des postes hétérogènes...
Une solution à base de truecrypt est clairement plus viable car libre et disponible sur tous les OS ou presque...
1/20 pour avoir donné connaissance à ceux qui ne l'avaient pas de cette fonctionnalité de l'utilitaire de disque...

avatar Atlantique | 

@Leyry Hynemonth

le mot de passe est stocké dans le trousseau du mac et non dans la clé USB donc il n'y a rien d'imprudent

si ton mac est accessible à tous sans mot de passe alors c'est là que tu est imprudent

enfin, si tu as fait en sorte que le trousseau retienne ton mot de passe, tu auras la possibilité de le retrouver en allant dans le trousseau et en rentrant le mot de passe administrateur

tu ne risques donc pas de le perdre

avatar notasa | 

D'accord je ne possède pas de données "confidentiel défense", mais je suis toujours épaté par les diverses craintes et phobies de se faire pirater des des fichiers sensibles.
Mes data sensibles sont sur mon ordi protégé par un mot de passe et les copies et / ou sauvegardes chez moi.
Je ne sais plus trop si nous vivons dans un monde de voyous ou de paranoïaques ?

avatar GillesB | 

J'adore les "lapins crétins" qui viennent étaler leur science, en critiquant.

Le but ici est de transporter des données d'une machine à une autre sans risquer un accès par un tiers en cas de perte de la clé USB.

Le fait de formater en HF+ la clé aurait déja fait l'affaire pour 95% des voleurs, vu que le voleur moyen a peu de chances d'avoir un mac!

Mais l'idée du mot de passe stockée n'est pas un problème majeur non plus car il suffit d'aller regarder dans son trousseau pour le retrouver.

Alors messieurs les super agents de la "CIA" qui avez besoin de protéger les photos ou vous êtes visibles dans de tenues que la morale réprouve, utilisez "trou machin crypt", et peaufinez vos stratégies de protection pendant que les gens normaux utilisent leur outils....

avatar RZE | 

si je protège ma clef USB de cette manière et qu'on me la vole, est ce que le voleur-utilisateur PC pourra accéder au contenu??

avatar nayals | 

C'est bien gentil, mais cela crée une image disque .dmg , autrement dit lisible que sur Mac. Autre chose, admettons que la clé soit chiffré en AES 256 bits, mais le trousseau du Mac, même s'il est SUR le Mac, je crois pas qu'il soit chiffré en AES lui...

avatar pacou | 

Le trousseau est crypte par nature

Cette astuce a ses contraintes mais la sécurité de données professionnelles impose des contraintes de toutes sortes
Nous vivons dans un monde ou la criminalité informatique est omniprésente et l'analyse des comportements et de l'environnement social des individus et entités économiques fait parti des moyens permettant d'attaquer les dits individus et entités économiques (rumeurs, piraterie, pishing et cie). C'est un fait, pas de la paranoïa. Que chacun ajuste ses contraintes a son analyse de son environnement. Plus vous avez de gros concurrents, plus votre vie ou vos idées vous mettent en opposition avec d'autre plus vous avez un risque concernant votre image, plus vous devez être vigilants

avatar kman | 

Pourquoi créer une partition plus petite que la taille de la clé ?

avatar Dark Templar | 

[quote]C'est bien gentil, mais cela crée une image disque .dmg , autrement dit lisible que sur Mac.[/quote]
Voir reponse de iPeP: trueCrypt

Le trousseau du Mac EST chiffre (AES ou pas j'en sais rien), et tu peux aussi utiliser filevault. Apres, se faire voler sa clef et son ordi en meme temps, c'est pas de bol :p

avatar hirtrey | 

@ notasa :
J'ai une clé USB ou est stocké tous les scans de mes documents officiels ( PC, CI, passeport) et des RIB, comptes.... Je voyage a l'étranger avec cette celle ci.

avatar MachX (non vérifié) | 

FileVault est'il utilisable sur une clef USB ?

avatar Ralph_ | 

Solution que j'utilise depuis un moment pour stocker toutes mes infos confidentielles mais pas sur une clé USB (contraignant sur windows) mais sur le DD de l'ordi

j'ai une image disque qui est sur toutes mes sauvegardes mais qui ne peut être ouverte que par moi

le seul défaut est la compatibilité Windows, mais ça je m'en fous un peu car c'est un dossier perso sur mon ordi

avatar MachX (non vérifié) | 

OUPS

Désolé Dark templar, je n'avais pas vu ton post

je n'ai pas les yeux en face des trous aujourd'hui

avatar Mac Mac | 

@ legeox :
Et on peut te donner - 20 sur 10 question vocabulaire.
Tu regarderas ce que veut dire "viable" dans le dico, avant de jouer les pros de la science informatique.

avatar liocec | 

Sujet bien traité et approche claire.
Cependant pour des soucis de compatibilité (Windows, Linux et Mac) je travaille depuis des années avec Truecrypt.
Le seul problème c'est que pour des non initiés cette solution est nettement plus complexe que celle de votre exemple.
Après un usage quotidien, avec une clé qui lance automatiquement Truecrypt, c'est vraiment une très bonne solution et je n'ai jamais eu un seul problème, toutes versions confondues.

avatar bugman | 

Mouai !
Je suis de l'avis des commentaires précédents.
Pour sécurisé : TrueCrypt (avantage : permet d'avoir deux mots de passe permettant d'ouvrir un deuxième "volume" caché inclus dans le premier, où vous pouvez mettre de fausses données si on essai de vous faire chanter. inconvénients : le volume crypté peut être copié et on peut l'attaquer, pas de destruction après X tentatives). Autre possibilité (celle que j'ai choisi) : IronKey BASIC, j'insiste sur le modèle BASIC, (avantage : Destruction des données et de la clé après 10 tentatives, la clé (de cryptage) et les données cryptées ne quitte jamais la clé (USB), étanche, cryptage militaire (FIPS 140-2 Level 3), compatible OSX, Windows, Linux. inconvénients : Prix, on peut vous faire "chanter", il manque la possibilité de détruire la clé directement par un code ou d'avoir un code permettant d'ouvrir un deuxième volume comme sur TrueCrypt (déni plausible)... dommage).

avatar iPeP (non vérifié) | 

@MachX et Dark Templar
Sous réserve de confirmation, FireVault ne crypte que le répertoire utilisateur. Son utilisation est donc limitée dans le cas présent.

J'aime beaucoup les Trolleurs de service pour qui la protection de données signifie obligatoirement photos compromettantes ou paranoïa aiguë. L'exemple de HireTrey montre bien qu'il ne faut pas relever de la psychiatrie lourde pour, un jour, avoir besoin de ce type d'information ... mis à part ceux qui pensent encore que nous vivons parmi les Bisounours ou qui estiment n'avoir aucun besoin de vie privée ni de confidentialité car ils n'existent qu'au travers du grand tout de la société prolétarienne dirigée par le grand timonier et petit père du peuple ... mais j'emballe.
Allez, bon dimanche.

avatar magic.ludovic | 

Et une compression en .zip ou autre avec mot de passe ... ça le fait ? Et ce sera exploitable dans les échanges PC / Mac ...

avatar bugman | 

@ magicludovic : lol. Non, surtout pas.

avatar Boumy | 

Je devrais écrire des bouquins, j'ai inventé cette astuce il y a bien longtemps.
Deux anecdotes pour calmer le débat :
1- Le système de lien de ma clef emtec m'a trahi et celle-ci s'est détachée de mon porte clef. En mémoire (cryptée): liste d'étudiants avec noms prénoms et points. Je pouvais avoir perdu cette clef à 100 km de l'école ou sur le seuil de celle-ci. En fait la clef était tombée sur le tapis de ma voiture.
2- dans un caniveau, je trouve une clef USB légèrement écrasée. Je me dis qu'elle me servira peut-être puis je me dis qu'elle pourrait manquer cruellement à son propriétaire. En fouillant son contenu à la recherche de contenu nominatif, je tombe sur des photos de famille: un bébé chéri, un labrador que l'on taquine en lui attachant toutes les peluches de la maison, puis à nouveau le bébé afublé dans le même esprit. Il n'est pas à la fête... Puis des documents de tarif de vente de maisons, des photos d'appartements vides, etc. De quoi déclencher l'envie d'écrire une nouvelle. Au final, rien de grave. Et si...

avatar bugman | 

@ boumy : J'allais oublier ce point important : Quand l'IronKey est insérée dans une machine, des informations (nom, adresse, téléphone) sur son propriétaire peuvent être automatiquement affichées.Un gros plus en cas de perte.

avatar le_jax | 

Voilà une astuce simple à mettre œuvre et aussitôt il faut que la critique tombe. Maintenant j'attend vos livres, vos astuces à base de TrueCopy etc.
Savez vous seulement le boulot que ça demande de tester, d'écrire de manière simple toutes ces petites astuces que vous méprisez ?
C'est à vous dégouter d'écrire...
Vas-y Nathalie, continue, moi j'aime tes astuces !

avatar Shyrka | 

@bugman: MDR! Pour qui travailles-tu ? De qui as tu peur ?

Certaines de mes données sont confidentielles, mais je me demande si quelqu'un peut en prendre connaissance, que se passera-t-il. Est-ce la fin du monde pour moi ? Non, la vie continue.
Même la divulgation de mon numéro de carte bleue me gênerais que quelques jours, le temps de prévenir la banque.
Par rapport à certains, je n'ai rien d'aussi important ou compromettant :-)
Mais je fais quand même attention en mettant un mot de passe quand il le faut.

avatar kassk8 | 

@ kman : pourquoi créer une partition plus petite que la capacité de la clé ... Parceque une bouteille de 1.5L ne peut contenir que 1.5L.

Toi tu te demande pourquoi ne pas créer une partition de la taille de la clé. Il faut pour stocker une partition, un espace de stockage. Donc ta bouteille dans laquelle tu mets ton liquide + les petits fichiers permetant a ta clé d'apparaître sous le nom "volvic", "évian" ou encore hepar. Plus encore ceux identifiant le formatage de ta clé bref ...

Il te faut pour faire rentré une partition de 126mo un espace d'au moins 128.. Bon je dis 126 ce sera pt'être 120 !

Voilà voilà !! ;-)

avatar USB09 | 

Et on se casse encore la tête avec des clés USB. Je n'utilise plus cela, trop fragile, trop polluant. Je ne dénombre plus les clés passant par la poubelle dans le service. vaudrait mieux utiliser un mail ou un disque , plus sur. Et j'invite a chercher d'autres solutions plus viables et moins polluantes

avatar Ali Baba | 

C'est idiot de ne pas choisir une image de faible densité de même capacité que la clef. Ou alors il y a une astuce que je ne comprends pas. Quel intérêt de choisir une image pleine, de taille fixe ?

avatar Keub | 

Un autre léger avantage de la solution truecrypt par rapport à la solution présentée ici: on peut facilement camoufler le volume truecrypt parmi d'autres fichiers, de sorte qu'une personne fouillant votre clé ne se doutera pas forcément que vous cachez des données . Tandis qu'un dmg protégé par mot de passe, c'est quand même moins discret...

avatar bugman | 

@ le_jax : Salut. Ce n'est pas de la critique gratuite, pour dire de critiquer gratuitement. Cette astuce est une astuce sur la sécurité de données (donc données sensibles). Il est important de donner son avis (suivant son expérience personnelle se doutant que Nathalie n'est certainement pas une experte en sécurité de données (ce que je ne suis pas non plus d'ailleurs, mais ayant besoin de sécuriser mes données je peux dire que je me suis bien informé sur les méthodes pour le faire)... Le codage de mes données sensibles n'est pas pour moi quelque chose à prendre comme une astuce parmi 199 autres (à la légère) mais quelque chose d'extremement important... quand on voit que certains utilisateurs se demandent si un zip protégé par mot de passe est suffisant, il me semble bon de préciser de ne pas se contenter de lire à droite ou à gauche quelques astuces.
Personne n'a dit que cette solution était de la pure merde (mais plutôt que d'autres solutions était peut être plus pertinentes).

@ Shyrka : Je travaille pour une société ayant des clients et des données n'ayant pas à être connu par la concurrence par exemple. Pour être bien clair, je ne suis pas une menace pour quelconque gouvernement, je n'ai pas non plus les codes de quelconques missiles. Je protège juste mes données de la meilleur façon possible par respect pour mes client/ma société. J'y ai quelques données importantes pour moi (bien que non vitale) comme mes serials par exemple. Apres, si le gouvernement veut avoir accès à ces données, mon patron et moi même les donnerons sans broncher mais le petit voleur du coin peut toujours aller se gratter. Voilou.
Concernant ta CB, si il te faut quelques jours pour prévenir ta banque, je suppose qu'il ne faut que quelques heures à certains pour vider ton compte. Si il y a une sécurité sur les CB, ce n'est pas pour rien.

Et puis, c'est con, mais je trouve ça passionnant (la cryptographie et les systèmes de sécurité en general) et je me dis que même si mes données aujourd'hui ne sont pas classifiées "confidentielles" au sens stricte du terme, qu'elles ne le seront pas demain... Je suis bien paré pour protéger et partager d'éventuelles données (outils et méthodes)... jusqu'à contrer ou ralentir un gouvernement si il le faut. (Merci de ne pas interpréter à la va vite cette dernière phrase, ne dites pas ce que je n'ai pas dis).

avatar lan_project | 

Perso j'utilise Knox qui me facilite la vie et encrypte toute ma clé et mes autres disques externe. Plus une petite partition 1 gb formaté fat32 non encrypté si je dois vraiment donner un fichier a des windowsiens! Ça vaut le détour mais c'est pas gratuit au contraire de truecrypt

avatar bugman | 

Et quid du fait de rebooter sur un DVD d'OSX pour changer le mot de passe et accéder ensuite au trousseau ?
J'ai la fleme de tester, mais je suis curieux (c'est un minimum).

avatar cherbourg | 

@ GillesB :
Merci pour ce fou rire alors que j'ai 39 de fièvre !
Traiter les autres de "lapin crétin" pour asséner quelques phrases plus loin que "le voleur moyen a peu de chances d'avoir un Mac", ouah !!! Sors de ce corps Eric Zemmour !
Bon, j'arrête de rire sinon c'est 40 de fièvre dans les 5 minutes.

avatar Cekter | 

Bon en gros de la pub inutile pour un bouquin inutile qui ne fait que compiler tous les "trucs et astuces" (la plupart du temps inutiles aussi) sur osX qu'on peut trouver n'importe où sur le web...
Encore une belle leçon de journalisme les gars ;-)

avatar tibet | 

Bugman, le fait de boiter du DVD pour reseter le mot de passe ne te donnera pas accès aux donnees du trousseau pour autant. Il faudra toujours le bon mot de passe d'origine mais tu pourras voir le dossier utilisateur ce qui n'est pas rien. Et pour la force d'encryption du trousseau je crois avoir lu dans les specifs qu'il s'agit de 512 ! Amusez vous a casser ça !

avatar Teenage | 

2 questions :
- est-il possible d'utiliser un tel disque comme cible de TimeMachine ?
- Existe-il des clé USB (ou disque externe) avec un cryptage hardware et multi-os ?

avatar bugman | 

Merci pour l'info, tibet.

@teenage : Ironkey, Eclypt, MXI Security, iStorage... (mais je ne sais pas si toutes ces solutions sont multiOS, sauf pour l'Ironkey qui l'est en partie).

avatar PA5CAL | 

Alors, on arrive après la bataille ?? Le sujet de cet article a déjà été traité il y a longtemps sur les forums de Mac Génération (notamment par votre serviteur) et les solutions et explications qui y ont été données sont toujours d'actualité.

@Atlantique : Leyry Hynemonth a parfaitement raison. Enregistrer le mot de passe dans le Trousseau n'est pas bien malin.

En effet, dans ce cas, quiconque peut accéder physiquement au Mac contenant le Trousseau est aussi en mesure de lire et de modifier le contenu de l'image cryptée, y compris lorsque la session est protégée par mot de passe ou lorsque la protection EFI est activée (si l'on dispose de temps, on peut même y parvenir sans éveiller les soupçons).

Par ailleurs, le meilleur moyen de perdre un mot de passe est de finir par l'oublier à force de ne pas s'en servir. S'il est enregistré dans le Trousseau et qu'on ne s'en souvient plus, les données protégées peuvent être définitivement perdues si le système est endommagé, ou le Mac perdu ou volé.

CONNEXION UTILISATEUR