Reprise du message précédent :

Faut aimer le risque... Alors qu'il existe Bitlocker nativement

Je ne trouve pas bitlocker sur ma distro, tu es sûre que c'est dispo nativement ?

Perso j'utilise Luks (dispo nativement sur les distro que j'utilise) ou veracrypt pour le chiffrement, je n'ai jamais eu de soucis, et au pire des cas j'ai des backups en cold storage pour les données importantes.

Bitlocker c'est Windows.

Hello
 
Est-ce que Veracrypt est toujours la meilleure solution en terme de sécurité en friouère?

Oui je le pense.

C'est surtout un peu la seule en fait. Peu de monde a la foi pour se lancer là dedans en gratuit.

Merci
 
Bon vais me documenter un peu sur le fonctionnement du truc alors.
 

Bonjour,
 
Il n'y a pas un topic pour parler sécurité en général ? (mots de passes, gestionnaires, chiffrage, VPN, failles...)

Il me semble qu'il y en avait un... en cat discussion (et oui), mais niveau qualité ce n'était pas trop ça, j'ai dé-drap assez vite.

Il y a ça mais pas très actif : https://forum.hardware.fr/forum2.ph [...] w=0&nojs=0

Si tu vas par là, faut pas utiliser Windows non plus. Vu que Windows est aussi propriétaire et que c'est le même éditeur que bitlocker.

Faut redescendre sur terre... Bitlocker fonctionne parfaitement bien. Qu'il soit propriétaire, on s'en fou, ça fonctionne. Pour arriver à cracker bitlocker, faut déjà se lever de bonheur.
Et j'ai vu beaucoup plus de problèmes de plantage et de failles avec truecrypt/veracrypt qu'avec bitlocker.
L'open source, c'est bien, mais le code est à la disposition des pirates et certains passent leurs journées à chercher des failles

Il parle de bitlocker, et bitlocker, c'est Windows et uniquement Windows.
Essaye de suivre un peu

On peut parfaitement utiliser Bitlocker sous Linux avec dislocker.

C'est se faire du mal pour rien. Sur la grande majorité des distro linux, LUKS/cryptsetup est implémenté nativement, et veracrypt fonctionne parfaitement aussi.

Après plus de 10ans d'utilisation je n'ai jamais eu de souci avec truecrypt/veracrypt, que ce soit en container ou partition chiffrée.

Même si je n'utilise pas cette option, j'aime particulièrement l'idée de pouvoir cacher un volume chiffré à l'intérieur du volume chiffré standard, ça pourra être utile si un jour je tombe sur une femme jalouse.  

La fameux méchant open source ouvert aux pirates...

Si les codes proprios étaient plus ouverts on aurait précisément moins de failles de sécurité puisque tout un chacun pourrait y contribuer et ainsi les corriger.

L'ouverture n'est en rien un défaut c'est clairement un atout. Votre méconnaissance du modèle open source aboutit à ce genre de préjugés complètement erronés.

Édit: rétrospectivement bitlocker a eu beaucoup plus de failles de sécurité que veracrypt/truecrypt et le jour où Microsoft te dit que bitlocker ba maintenant faut payer, tu feras quoi ? C'est la tout le problème des solutions propriétaires tu es a la merci de leurs choix bons ou mauvais.

Typiquement le type de raisonnement à base de "Et si... ?" qui marche dans les 2 sens...

Ouvert ou fermé, le code a autant de chance de contenir des failles.
La seule chose qui change c'est qui y a accès, et pourquoi.

L'open source favorise la découverte de failles, que ce soit par des gens biens intentionnés ou pas, et favorise (en théorie) un plus grand nombre à contribuer pour les corriger.
Sauf que l'esprit communautaire de l'open source, c'est très aléatoire...

Les solutions propriétaires permettent "moins" la découverte de failles, en tout cas pas via le code source qui n'est pas disponible.
Par contre, on est dépendant de l'éditeur pour corriger celles-ci.

Dans les 2 cas on est dépendant de tiers, que ce soit pour la conception, le suivi et les patchs éventuels.
A-t-on plus confiance dans un éditeur (plus ou moins solide et fiable) ou dans une communauté (plus ou moins solide et fiable) ... ? Et ce dans la durée ?
Qui peut dire qu'un éditeur ne changera pas d'avis ou de méthode commerciale ?
Qui peut dire qu'un projet open source sera constamment maintenu, et correctement ? Ou qu'il ne deviendra pas payant à son tour (open source ne veut pas dire gratuit) ?

Ce qui est certain, c'est que les concepts d'open source ou de code éditeur n'a absolument AUCUN rapport avec les notions de sécurité.

Faut aussi voir contre qui on veut se protéger.

Ma paperasse est dans un container veracrypt pour éviter qu'elle se retrouve dans la nature si un margoulin vient me cambrioler, mais je ne le considère pas à l'épreuve de la DST pour autant

Et du code fermé mais auditable, ça se situe où dans ton échelle binaire ?

Comme Windows donc
Entre tes remarques douteuses sur le débat open-source/libre, ton article long comme le bras bourré de raccourcis et d'omission, il serait peut-être temps de t'arrêter de troller.

Commence par te poser la question pour Windows.

Voilà, pareil

Quelques exemples de backdoors trouvées dans du code open source : https://security.stackexchange.com/ [...] ce-project
 
Notes :  
Le code peut être open source et disponible à tous, ça ne veut pas dire que quelqu'un l'a audité...
Les éditeurs ont au contraire plus d'intérêt à afficher les audits externes qu'ils font faire pour donner de la légitimité à la sécurité de leurs solutions, sans pour autant ouvrir le code à tous vents.
 
Encore une fois, tous les arguments sont valables dans les 2 sens...

Petit rappel, second principe de Kerckhoffs :

Donc à défaut d'être libre un code source ouvert est à privilégier par principe.
Mais cela ne veut pas dire qu'un code fermé n'est pas sûr.
Toutefois trop souvent quand la sécurité repose sur le secret cela fini par être cassé.
Il suffit de voir les différentes "sécurités" pour la téléphonie mobile ou les protections anti-copie des consoles qui finissent par sauter faute de publication et aussi d'implémentation trop rapide (les recherches cryptographiques sont toujours bien plus longues que les besoins des industriels pour lancer des produits).
 
Bref la vérité est entre les deux.
Mais je me dit constamment que si windows était open source il pourrait y avoir de sacrées améliorations
(encore une fois si libre implique l'ouverture des sources, open source ne veut pas dire libre par exemple un livre est open source par essence et pourtant c'est protégé par le droit d'auteur)

L'offuscation du code n'est pas une méthode de sécurité, ça c'est une certitude.
 
Après, quand on voit la grande disparité des communautés open source ... on ne peut pas franchement dire que c'est un gage certain d'amélioration
...pas plus que les éditeurs à la ramasse...

Plus un code est lu, plus il y a des chances de trouver des failles

Donc pour de l'open source => privilégier les projets populaires avec un grand nombre de développeurs dessus.
Toute fois, un grand nombre de changements / contributions en peu de temps ca augmenter aussi le % de chance d'avoir une faille qui se glisse a un moment.
 
Source code ferme => ca doit passer par des audits

c'est meme plutot l'inverse

Vous pouvez encore en discuter des heures et faire durer le débat.
Parce que en fait, vous avez tous les deux raisons.

+1
 
@Armaniz
L'open-source a effectivement, sur le papier, l'atout que son code peut-être lu par n'importe qui. Mais encore faut-il que la personne puisse comprendre ce que veut faire le code, et corriger la faille si elle est détectée lors des lectures.
Ensuite, dépendant du « business model », une équipe de développeurs va corriger cette faille. Dans les faits, c'est surtout un développeur qui porte le projet à bout de bras. Sa réactivité de facto sera moins rapide, même si il y met toute la volonté du monde...
 
Compare ça maintenant à une entreprise ayant une armée d'ingénieurs pour régler la faille, il y a de grande chance qu'elle soit patchée rapidement dans le code propriétaire (mais auditable !), dépendant de la priorité qu'on lui fixe. Propriétaire, car oui, il faut bien sortir quelque part l'argent pour payer le travail de ses personnes...
 
Utiliser un projet open-source, c'est aussi faire confiance au développeur pour assurer un maintient de son produit, qui du jour au lendemain peut jeter l'éponge pour diverses raisons : ras-le-bol, manque de motivation ou de temps...
Et dans notre cas de sécurisation de données sensibles, on sait tous que Truecrypt n'est plus développé, heureusement que quelqu'un a fork pour donner VeraCrypt. Ce n'est pas le cas de tous les projets open-source...
 
Pour terminer sur une note plus positive de l'open-source et non des moindres, il apporte suivi de matériel beaucoup plus long généralement que les solutions propriétaires (PCs, routeurs, smartphone), grâce au support fourni par Linux.

Attention : propriétaire ne veut pas forcément dire payant, tout comme libre ne veut pas forcément dire gratuit (du point de vue de l’utilisateur, s’entend).

En théorie oui. Mais dans les faits, 99% des codes propriétaires sont payants (pécuniaire ou données personnelles).

Oula !
Je ne m'avancerai pas à ce genre de statistique ... soviétique
Il y a un paquet d'applications gratuites non open source (Foobar2000, xnview, avast, avg, virtualbox, les outils gratuits de Microsoft, etc ...) largement utilisées.
Et c'est sans compter les applications payantes, ayant une version gratuite/community.

 
Winrar

WinRAR c'est payant au format shareware, avec une période d'essai de 40 jours.
https://www.win-rar.com/gtb_priv.html?&L=0
Légalement il faut une licence au delà de ces 40 jours.

D'ailleurs, la compression RAR est aussi un format propriétaire sous licence : https://www.rarlab.com/license.htm
Bref, rien avoir avec le sujet.

Si tu comptes le fait que tu es le produit dans les versions gratuites/communautaires, je ne dois pas y être très loin.

Je viens d'apprendre que les disques recents (eg: 970 EVO PLUS) possèdent une encryption AES-256 hardware et que Bitlocker serait capable de l'utiliser.
 
Est ce que ca veux dire que le fait d'activer bitlocker avec ce type de disque fait qu'il y a quasiment zero consequences niveau performances ?
 
Est ce pareil pour veracrypt ? Si ce n'est pas le cas je pense qu'il s'agit encore d'une raison supplementaire d'utiliser bitlocker pour le disque systeme (et veracrypt pour les conteneurs ou partition non systeme).
 

Oui et non.
 
D'une, c'est pas si récent que ça.
 
Bitlocker le supporte, veracrypt non.
 
Mais il y a eu pas mal de démonstrations de failles et hack quand le chiffrement materiel de ces disques est activé, donc même si tu peux le forcer, BL ne le propose plus/prends plus en compte par défaut.

Bonsoir,

Je viens d'activer BitLocker pour la première fois. Déja c'est bien galère par rapport a Veracrypt :
Il faut activer le Secure Boot dans le BIOS + autoriser certains périphériques DMA en rajoutant des clés a la main dans la base de registre. Chaud.

Lors de l'encryption a aucun moment je n'ai du mettre de mot de passe.
Donc la clé est sauvegardée en clair quelque part ?! Ou bien dans le TPM?

Parce que si c'est le cas je vois pas trop l'utiliter de crypter son disque. Si on me vole mon PC suffit d'appuyer sur le bouton power pour accéder a tout.
Est ce qu'il faut gerer ca depuis le BIOS ? (ex: le TPM demande un mot de passe au démarrage du système).

Pour le moment j'ai un compte local sans mot de passe. Je mettrais bien un mot de passe a ce compte mais qu'est ce qui me garanti que ca sera lié a BitLocker (ex : que ce n'est pas un simple mot de passe qu'on peut facilement réinitialiser si on a les bons outils. Je l'ai déja fait pour un ami qui avait oublié son mot de passe).

Si je clique sur le disque système ou que je vais dans les options de bitlocker j'ai ca :

EDIT:
Pour activer le code PIN :

Puis tapper la commande qui va bien :

Après il faut entre un code PIN entre 6 et 20 chiffres.
6 ca parait peu mais le TPM se bloque après un certain nombre de tentatives.

Pas simple tout ca et clairement hors de portée de celui qui ne si connait pas  .
Je trouve que Microsoft aurait pu mettre des options qui vont bien au lieu de devoir passer par gpedit.msc et des lignes de commandes obscures (le genre de chose que fait normalement un admin).
Veracrypt reste quand même plus simple.

L'activation de btilocker, c'est deux clics. Point final.
 
Y'a pas de gpedit, de base de registre à bricoler, de ligne de commande ou quoi que ce soit.
Si tu as dû tripatouiller tout ça, c'est que ton install n'était pas en bonne santé à la base et ne qualifiait pas les exigences de sécurité minimum. (pas de sécure boot, pas de password, et dieu sait encore quoi au vu de tout ce que tu as bidouillé).

 
Si j'avais eu un mot de passe sur le compte local qu'est ce qui ce serait passé ?
Le mot de passe aurait été associé au TPM ? Il me semble (a verifier) que TPM c'est uniquement PIN.
Ou bien peut etre qu'il n'aurai pas utilisé le TPM pour l'encryption mais juste le mot de passe lié au compte (comme pour les ordi sans TPM) ? Quid si plusieurs compte locaux activés avec mot de passe ?
 

 
"Other OS" (donc non secure boot) c'est l'option par défaut dans le BIOS, j'ai pas fait attention    
 

 
Oui d'ailleurs, est ce qu'il y a une alternative plus propre que de rajouter des périphériques utilisant le DMA dans la liste "AllowedBuses" ?  
 
Dans cette liste, j'ai du mettre :
ISA Bridge
PCI-to-PCI Bridge (4 fois)
 
Ca c'est sur une plateforme récente (B550) avec Windows 11 et un BIOS a jour.
 

 
Oui, effectivement d'ailleurs, une fois que tout est OK, un seul clic dans ce panel et ca démarre direct l'encryption (pas de confirmation )

 
C'est d'ailleurs mieux de passer par la panneau de configuration > Bitlocker, car il propose plus d'options.

Y a rien à faire de tout ça.

Comme dit flash, activer bitlocker, c'est 2 clics de souris.
Je ne sais pas d'où tu sors ces modifs de la base de registre. Space.

Ton installation doit être pour le moins bancale.

Suffit de ne pas bidouiller son OS, et de ne pas modifier la configuration par défaut pour tout ce qui touche à la sécurité.

Oula ca trolle sec. Qu'on soit clair :

Le matos que j'utilise est récent : Carte Mère Asus B550 + Zen 3.
Le bios est a jour et tout est par défaut, la seule option activée étant le profil RAM.
Je n'ai aucun périphérique spécial sur la machine : juste un GPU, un SSD stockage externe et un M.2 (Système).
J'ai Windows 11 Professionel, mis a jour, activé avec une clé officielle, non OEM. Installation propre (pas de mise a jour depuis Win10) datant d'Avril 2023 et par défaut (pas de partition custom)
Tout les pilotes sont installés et a jour (merci DriverBooster)

En quoi mon système est bancal et bidouillé ?  

Le problème de BUS est connu :
https://superuser.com/questions/134 [...] s-detected
https://learn.microsoft.com/en-us/w [...] s-detected

Sans avoir réglé ce problème, l'option "activer Bitlocker" n'est pas disponible.