Installation d’Ubuntu 16.04 intégralement chiffrée (UEFI)

Installation d'Ubuntu 16.04 intégralement chiffrée

en mode UEFI

Pages 1 - 2 - 3 - 4

chiffrement

Dans un précédent tutoriel, nous avons vu comment chiffrer le répertoire personnel et le répertoire d'échange sur Ubuntu.

L'objectif de ce guide est de montrer comment chiffrer presque intégralement une installation d'Ubuntu 16.04.

Seront protégées :

  • la partition système (/),
  • la partition des données utilisateur (/home)
  • la partition d'échange (swap).

Seules les partitions de démarrage (/boot) et EFI seront non chiffrées.

Il est possible de chiffrer également le boot mais au prix de manipulations plus complexes.

A quoi sert le chiffrement ?

Un simple mot de passe ne suffit pas à protéger un ordinateur.

Si quelqu'un a accès physiquement à votre ordinateur, ou s'il est volé, une simple clef USB avec un système live permet de lire l'intégralité des données non chiffrées (données personnelles ou système d'exploitation). Un logiciel malveillant peut également être installé.

De la même manière, si vous vous débarrassez de votre disque dur, les données restent accessibles après un simple effaçage ou même un reformatage (il est par contre possible d'effacer plus radicalement les données avec des applications spécialisées).

En chiffrant l'ordinateur, on se protège de ces risques.

 

Pourquoi chiffrer aussi le système d'exploitation ?

Même en dehors du répertoire de l'utilisateur (/home sur un système Linux), il y a des données sensibles dans d'autres répertoires. Dans /var et dans /tmp, on va trouver des variables spécifiques à l'installation (journaux ou logs, courriers système, fichiers temporaires, serveur web ...).

On va pouvoir connaître aussi l'ensemble des logiciels et applications utilisés ainsi que leur configuration. C'est donc une source de vulnérabilité.

Par ailleurs, des tests ont montré que le chiffrement complet est plus performant en terme de rapidité que le chiffrement partiel.

Scénario de chiffrement choisi : LVM dans LUKS

Une solution pour chiffrer complètement une installation est de chiffrer chacune des partitions une à une. L'inconvénient est qu'il faudra donner un mot de passe pour chaque partition avant de démarrer le système d'exploitation.

Nous allons donc utiliser ici une autre alternative : un container chiffré (LUKS) contenant des Volumes logiques pour chacune des partitions. Il ne faudra donc donner qu'un seul mot de passe pour déchiffrer les 3 volumes.

Le logiciel LVM (Logical Volume Manager) permet de gérer ces volumes logiques.

Il y a plusieurs niveaux de volume :

  • le volume physique (PV : physical volume) = il s'agit d'un disque physique ou d'une partition d'un disque physique
  • le groupe de volumes (VG : volume group) = il est constitué d'un ou plusieurs volumes physiques (lvm est capable de rassembler plusieurs partitions ou plusieurs disques dans un seul volume. On peut ainsi avoir un système d'exploitation ou un répertoire du système d'exploitation déployés sur plusieurs disques)
    Même lorsque l'on utilise qu'un seul volume physique, il faut tout de même déclarer un groupe de volumes (qui ne contiendra alors qu'un seul volume physique)
  • les volumes logiques (LV : logical volume) = il s'agit de partitions virtuelles qui seront utilisées par le système d'exploitation.

 

Dans notre installation, un seul volume physique sera utilisé. Le schéma d'utilisation de notre disque dur se présentera de la manière suivante :

schema partitionnement luks lvm

Avant de commencer l'installation

Ce guide permet l'installation complètement chiffrée d'Ubuntu 16.04 LTS qui proposera des mises à jour pendant 5 ans.

On peut également installer la version supérieure (16.10) en sachant que les mises à jour ne seront assurées que pendant 9 mois et qu'il faudra alors passer à la version suivante.

C'est la version Desktop (station de travail) qui est utilisée ici. Elle convient à un ordinateur personnel. On peut aussi prendre la version Server (serveur) mais le processus est différent car ce n'est pas le même installateur qui est proposé.

L'installation se fait sur un ordinateur en mode UEFI sur une partition de type GPT.

Il faudra préparer avant de commencer une clé live-usb d'Ubuntu (voir le tutoriel). Cette clé permettra d'ailleurs d'essayer Ubuntu sans rien installer et vérifier que tout fonctionne avant de sauter le pas.