Guide à l'installation d'une machine en chiffrant intégralement son disque dur

Le chiffrement à froid, c'est le fait de n'inscrire que des données chiffrées sur un disque (plus précisément une partition de disque). C'est le standard LUKS qui permet ce chiffrement : ce dernier se place entre le support de stockage et le système d'exploitation (OS), et (dé)chiffre tout ce qui est lu ou écrit sur une partition. Cette étape doit donc être réalisée avant d'installer le système d'exploitation, mais après le partitionnement de vos disques.

Une fois le chiffrement mis en place, on utilise le système d'exploitation comme d'habitude (tout a l'air déchiffré à l'usage), parce que LUKS chiffre et déchiffre - de façon transparente - toutes les informations que l'OS lit et écrit sur la mémoire morte (le disque).

L'intérêt, c'est que, si quelqu'un part avec votre disque dur - il ne pourra pas lire son contenu à moins de vous avoir extorqué la clé.

Dans le cas d'un hébergement en centre de données, votre hébergeur a accès à vos disques - c'est donc une bonne première ligne de défense que de chiffrer son disque, afin que l'hébergeur ne puisse pas y lire comme dans un livre ouvert. Néanmoins, ne croyez pas que le chiffrement à froid soit une mesure suffisante pour empêcher votre hébergeur d'accéder à vos données : déterminé, il y arrivera - ça lui prendra seulement plus de travail. La solution, pour garantir qu'on est seul⋅e à avoir accès à ses données, c'est l'auto-hébergement.

Les aspects négatifs, c'est que :

TODO

Chiffrement de la mémoire

Certains processeurs AMD récent disposent d'une fonctionalité de chiffrement à la volée de la mémoire. Cela permet d'éviter - en théorie du moins - les attaques physique per lecture du cotenue de la mémoire. Plus d'informations sont disponible en anglais dans cet article.

Références