Suport technique et veille technologique

LinuxFr.org : les journaux  -  Remplacer Encfs ? Oui, mais par quoi ?

 -  Décembre 2020 - 

Bonjour Nal'!

J'écris pour la première fois sur LinuxFr, poussé par lautre (@lautre:matrix.org), pour vous parler de mes dernières expériences en matière de dossiers chiffrés, dans l'objectif de synchroniser avec le Cloud. En effet, comme vous le savez tous, le Cloud, ce n'est jamais que l'ordinateur de quelqu'un d'autre. Et comment peut-on faire pour éviter que ce quelqu'un d'autre tripatouille dans nos documents privés ? Voyons ça ensemble!

Ma solution, pendant des années, a été d'utiliser Encfs et de synchroniser tout ça avec mon nextcloud¹. L'utilisation est en effet assez simple. On commencer par créer deux dossiers :

$ mkdir ~/coffre_ouvert
$ mkdir ~/Cloud/coffre_ferme

Le dossier coffre_ouvert contiendra les fichiers en clair alors que le dossier coffre_ferme contiendra les fichiers chiffrés et sera synchronisé en ligne.

Pour initialiser (et plus tard, monter le dossier en clair) :

$ encfs ~/Cloud/coffre_ferme/ ~/coffre_ouvert/

Cette solution a fonctionné pour moi pendant des années. Cependant, à chaque installation d'encfs sur un nouvel ordinateur, je devais ignorer sciemment le message indiquant que cette solution n'est pas sûre². Cette semaine, ce fut la fois de trop. J'ai craqué, je suis parti à la recherche d'une alternative!

Pour synchroniser efficacement avec le Cloud, il faut une programme qui chiffre "par fichier" et non "par bloc"³ ou "par partition"⁴. Voici les programmes libres sur lesquels je suis tombé :

• gocryptfs
• cryfs
• ecryptfs
• Cryptomator

J'ai testé gocryptfs et cryfs. L'installation et l'utilisation sont très similaires à celle d'Encfs.

Cryfs cache la structure des fichiers en découpant tout en petits bouts de tailles presque égales, comme expliqué sur le site. C'est une bonne chose si on veut augmenter le niveau de sécurité mais ça augmente énormément le nombre de fichiers, ce qui ralenti considérablement le client nextcloud.

Avec le même nombre de fichier au départ, la différence est impressionnante :

$ find coffre-cryfs/. -type f | wc -l
58830
$ find coffre-gocryptfs/. -type f | wc -l
2015

Gocryptfs remplit parfaitement la fonction. Il est probable que je migre mes dossiers Encfs vers cette solution. Si vous avez envie que les noms de fichiers restent lisible, il y a l'option -plaintextnames. (Mais on donne potentiellement plus d'informations à un attaquant.)

Cryptomator n'est pas dans les dépôts sur Ubuntu et bien qu'il y ait un ppa et un AppImage, j'ai envie d'une solution bien intégrée à mon système.

eCryptfs semble inutilement complexe (pour mon utilisation), je ne l'ai pas testé.

Voilà, j'ai fait le tour de mon aventure de la soirée. J'espère que vous trouverez ces quelques notes utiles. N'hésitez pas si vous avez des questions ou remarques. ;-)

¹ : Je parle de nextcloud parce que c'est la solution que j'utilise mais ça marche avec d'autres solutions permettant de synchroniser un dossier. Vous pouvez fouillez les alternatives.

² : Encfs n'est plus considéré comme sûr depuis un audit et la dernière release a plus de deux ans.

³ : Quand je parle de programme qui chiffre "par bloc", je pense à des programmes comme VeraCrypt ou Tomb qui chiffre un "bloc de données" d'une taille fixe et définie au départ. Chaque changement dans ce bloc oblige à tout resynchroniser, ce qui n'est pas vraiment pratique à l'usage, dès qu'on dépasse quelques dizaines de Mo.

⁴ : Quand je parle de programme qui chiffre "par partition", je pense à LUKS ou d'autres programmes qui permettent de chiffrer toute une partition. C'est indispensable mais ça ne permet pas de synchroniser avec le Cloud.

Commentaires : voir le flux Atom ouvrir dans le navigateur

par SimonLefort