Ubuntu 17.04 complètement chiffré, boot compris (UEFI)

Ubuntu 17.04 (ou 16.04) complètement chiffré, boot compris

en mode UEFI

Pages 1 - 2 - 3 - 4

zesty

À l'occasion de la sortie du dernier Ubuntu (17.04 Zesty Zapus), voici un nouveau tutoriel pour installer la distribution en mode chiffré.

 

Après un guide sur le chiffrement de la partition des données personnelles, celui de l'ensemble du système sauf le secteur de démarrage (/boot), cette fois-ci nous chiffrerons tout pour un peu de sécurité supplémentaire.

 

Deux sites m'ont aidé à faire ce guide :

Variante pour Ubuntu 16.04 (LTS)

 

Ubuntu 17.04 ne sera supporté que pendant 9 mois contrairement à Ubuntu 16.04 qui sera soutenu jusqu'en avril 2021.

 

Ce guide proposera une variante pour Ubuntu 16.04 afin d'obtenir une installation également complètement chiffrée, boot compris.

La différence réside dans le fait qu'il sera nécessaire pour cette version de prévoir une partition de swap (espace d'échange). Ceci est inutile pour Ubuntu 17.04 qui utilise un fichier d'échange et non plus une partition dédiée.

Pourquoi chiffrer aussi le démarrage (boot) ?

On comprend facilement l'utilité de chiffrer la partition des données personnelles (/home sous Linux).

Quant au système lui-même, le chiffrement permet de protéger des éléments sensibles (fichiers temporaires, rapports de logs...) ainsi que d'empêcher la corruption des logiciels installés par quiconque aurait accès physiquement à l'ordinateur.

L'application de démarrage (Grub ici) est aussi un élément vulnérable. Il peut en effet être l'objet d'une "evil maid attack", c'est à dire d'une modification malicieuse dont le but est d'installer un "key-logger" (enregistrement des touches) afin de connaître le mot de passe de chiffrement.

Cette attaque est facile à réaliser à condition d'avoir accès à l'ordinateur, même s'il est éteint (voir cet article).

La méthode utilisée

Comme dans les autres guides de ce site, nous utiliserons une partition chiffrée luks (grâce à l'application Cryptsetup) dans laquelle nous installerons les volumes logiques du système (root) et des données personnelles (home). Pour Ubuntu 16.04, nous y ajouterons un volume d'échange (swap).

Le répertoire de démarrage (boot) sera intégré au système et non pas sur une partition séparée.

Nous utiliserons également la faculté de l'application de démarrage Grub de pouvoir déchiffrer la partition chiffrée grâce à un fichier clé. De cette manière, nous n'aurons qu'un mot de passe à taper lors du démarrage et Grub se servira du fichier clé pour ensuite déchiffrer le reste de l'installation.

Avant de commencer

  • Télécharger l'image d'Ubuntu que vous désirez (16.04 ou 17.04) ici. La version supporté à long terme (16.04) est proposée par défaut. Pour obtenir la version 17.04, cliquez sur Plus d'options... et décochez Version LTS.

 

  • Graver l'image téléchargée sur une clé USB. Depuis Windows, vous pouvez vous référer à un article de ce site. Depuis MacOS ou Linux, suivez les indications du site Ubuntu.fr

 

  • Booter la clé USB en mode UEFI. Pour cela, au démarrage de l'ordinateur, il faudra pouvoir accéder au menu de boot juste avant le lancement du système d'exploitation (selon les machines, touches F1 à F12, ou touche Echap, ou touche Suppr/Del...).