Chiffrement disque système et performances

[Great.J]

Bonjour,
J'aimerai sécuriser mon environnement Windows.
Pour cela, je pense me diriger vers le chiffrement du disque système entier, notamment à l'aide du logiciel Veracrypt.
Question: cela peut-il avoir des répercussions sur la puissance du PC lors de l'utilisation de logiciels gourmands ou lors de sessions de jeux (étant donné que les données sont chiffrées/déchiffrées à la volée si je ne me trompe pas).
Autre question : privilégier Veracrypt ou Bitlocker et pour quelles raisons ?
Merci à vous !
-----

[Paraboloide_Hyperbolique]

Bonjour,

En effet, même si Veracrypt peut être très rapide avec l'AES*, je déconseille de crypter la partition disque contenant le système d'exploitation et les programmes. (A quoi bon d'ailleurs, puisqu'il s'agit de données facilement accessible au premier venu**)

Par contre, vous pouvez crypter une partition indépendante contenant les données que vous souhaitez protéger.

*Advanced Encryption Standard.
**Moyennant parfois (souvent?) finances.

[JPL]

Il peut y avoir des informations, ou des informations de paramétrages de logiciels, qu’on souhaite protéger dans la partition système, comme des fichiers temporaires non effacés. C’est fou ce voir que Windows n’efface pas systématiquement tous les fichiers temporaires après utilisation.

Il peut y avoir deux raisons à ce choix :

1. La paranoïa
2. La gestion de données sensibles en entreprise, ou autres situations

[umfred]

Ce sont aux logiciels qui créent ces fichiers temporaires de les supprimer; windows ne sait pas (a priori) à quel moment ils peuvent être supprimer.

[A voir en vidéo sur Futura]

[Great.J]

Hello,

Je ne comprends pas ta réponses vis-à-vis du disque système concernant l'"accessibilité des fichiers au premier venu" :/
JPL, tu souligne mon problème ...
Pas mal de logiciels utilisent désormais des systèmes de compte (la suite Adobe ou office par exemple) que je ne souhaite pas particulièrement tomber entre des mains qui ne sont pas les miennes (je parle donc d'un accès aux données générée avec ces logiciels). Ou de logiciels qui laissent accessibles les fichiers. Ini qui emservent à paramétrer les sessions ...
Windows étant par lui même un gruyère question failles de sécurités.

[pm42]

Windows étant par lui même un gruyère question failles de sécurités.

Pas spécialement si on le configure correctement et qu'on ne fait pas n'importe quoi.
Et le cryptage de ton disque ne te protégera pas contre certaines attaques et c'est surtout là au cas où ton portable est perdu ou volé.

[JPL]

Sans oublier le risque que peut représenter l’accès possible à la base de registres.

[Great.J]

Pas spécialement si on le configure correctement et qu'on ne fait pas n'importe quoi

Je modère mes propos en effet. Je voulais mettre l'accent sur le fait que de par son type, seul les développeurs peuvent trouver et corriger des failles, ce qui est en soi, moins sûr que des distributions ouvertes telles que linux ...

Et le cryptage de ton disque ne te protégera pas contre certaines attaques

C'est à dire, ça m’intéresse ...

[Great.J]

Sans oublier le risque que peut représenter l’accès possible à la base de registres.

Je ne connais pas suffisamment Windows pour savoir ce que contient la base de registres susceptibles d'intéresser des personnes malveillantes.
Quel est son contenu "critique" ?

[pm42]

Je modère mes propos en effet. Je voulais mettre l'accent sur le fait que de par son type, seul les développeurs peuvent trouver et corriger des failles

Pas du tout. On trouve des failles avec des tonnes de moyens différents, pas besoin d'accès au code source.

ce qui est en soi, moins sûr que des distributions ouvertes telles que linux ...

Pas vraiment non plus. Windows est surtout le plus attaqué parce que le plus présent.
Il y a eu des failles trouvées récemment dans le code open-source de Linux qui étaient là depuis des années et pas vraiment rassurantes.

C'est à dire, ça m’intéresse ...

La question est vraiment de savoir pourquoi tu veux crypter tes disques parce que là, je me demande si ce n'est pas pour de mauvaises raisons qui n'augmenteraient pas ta sécurité.

[Great.J]

La question est vraiment de savoir pourquoi tu veux crypter tes disques parce que là, je me demande si ce n'est pas pour de mauvaises raisons qui n'augmenteraient pas ta sécurité.

- les data, parce que ce sont des data ... tout simplement,
- le disque système, juste pour empêcher d'avoir accès, comme je l'ai dis, à mes comptes Office et Adobe (entre autre) étant donné qu'ils sont connectés tout le temps ...

mauvaises raisons qui n'augmenteraient pas ta sécurité

C'est-à-dire, j'ai du mal à te suivre ...

L'idée, et je demande à ceux qui veulent participer à cette discussion de garder leur opinion pour eux (là n'est pas le but de la discussion), est de limiter le plus possible à ce qui est personnel (autant les data que l'accès à des comptes) de se retrouver aux mains de qqn d'autre si jamais mon pc était volé.

Certes, il y a peu de chance que j'intéresse quelqu'un au point de casser mon chiffrement et avoir accès à mes données, de simples voleurs se contenterons de formater le disque et de le revendre (ou le revendre tout court d’ailleurs).
Certes, les probabilités qu'un évènement de la sorte se produise étant donné que ce qui vaut de l'argent (hormis certaines config de particuliers), c'est plus les data d'entreprises, sont infinitésimales
Certes, il se peu que de la paranoïa me pousse à agir de la sorte, mais cela reste légal de l'être non ?

Je vois plutôt les choses de cette façon :
Ce qui est à moi est à moi et à moi seul (dans la mesure où cela à été obtenu de façon légale et légitime) et de la même façon que l'on pose une serrure à sa porte d'entrée ou une alarme dans sa maison, je souhaite, à mon niveau, sécuriser autant que je puisse faire ce peu, mon PC et les données qu'il contient.
Je n'ai pas de formation en architecture PC et n'ai malheureusement pas le temps de sillonner le web pour comprendre le fonctionnent de certains OS. Et c'est là que les forums s'imposent, pour répondre aux attentes de gens comme moi, et ceci grâce à de généreuses personnes telles que vous, qui ont ces connaissances et qui souhaitent aider leur prochain. Jusque là, je ne suis pas déçu.

[Great.J]

J'ai l'impression de passer pour un taré de paranoïaque, ou pour une personne qui veux cacher des choses aux yeux de tous.

Laissez moi dire ceci :
je suis un photographe amateur. Les photos que je fais, (j'en vends quelques) unes sont ma propriété et sont acquises en toute légalité (droit à l'image bla bla bla ...).
Une photo retouchable en format RAW pèse lourd (je ne vous parle pas des dossiers d'acquisition d'astrophotographie), donc pour les stocker soit on passe par une solution de stockage en ligne, soit on stocke chez soi.
Afin de pouvoir stocker tout ceci, j'ai fait l'acquisition d'un NAS.

Si je suis cambriolé (2 cambriolages dans mon quartier les 2 premiers mois de l'année), je n'ai pas envie que toutes ces données soient accessibles (que ce soit à partir de mes disques de stockage, ou de mon cloud accessible via mon login/mdp que windows stocke sur le pc), d'où le chiffrement des disques les contenant.
L'idée est de réduire le plus possible et dans la mesure du possible/raisonnable ce risque.
Le risque est présent (la marque de mon NAS à été la cible d'une vague de piratage intensif courant l'été dernier).

[JPL]

Personnellement ce sont uniquement mes disques externes de sauvegarde qui sont cryptés, parce que j’en emporte toujours un avec moi quand je voyage. Mon ordinateur portable me sert uniquement dans ces cas-là et ne contiennent aucune donnée, sauf mes mails. Si j’ai besoin alors de travailler sur mes données elles sont sur le disque externe crypté.

Je pense que mon ordinateur tour habituel est peu susceptible d’intéresser un éventuel cambrioleur. Il n’est donc pas crypté.

[pm42]

J'ai l'impression de passer pour un taré de paranoïaque, ou pour une personne qui veux cacher des choses aux yeux de tous.

On t'a posé des questions factuelles pour mieux comprendre ton besoin et te conseiller au plus juste parce que ce que tu écrivais laissait la place au doute.
Personne ne te forçait à le prendre sur ce ton.

Bon courage.

[Great.J]

parce que j’en emporte toujours un avec moi quand je voyage

C'est pas contraignant ?

JPL, tu parles d'un PC portable, cela sous-entends que tu as un pc fixe ... qu'en est-il du coup ?

[Great.J]

On t'a posé des questions factuelles pour mieux comprendre ton besoin et te conseiller au plus juste

Je sais que vous avez l'intention d'aider. Cela-dit, ta réponse elle aussi laissait place sur ta perception de mes motivations.
Ce n'est pas mon intention que d'envoyer chi** les personnes qui m'aident, aussi je te présente mes excuses si j'ai pou t'offenser.
Ce n'est pas la première fois que je pose des questions sur le chiffrement (ici ou ailleurs je précise) et chaque fois, j'ai ce ressenti.

Je le redis, je ne suis pas du métier. J'ai du mal à évaluer les données que je lis sur internet (le risque existe-il réellement, puis-je en être la cible ...).
Je cherche juste à comprendre certains éléments qui me permettrons de prendre des décisions sur mes futures actions.

[JPL]

C’est ce que j’ai expliqué précédemment : je ne pense pas qu’en cas de cambriolage cela intéresse un éventuel voleur. Tout au plus il prendrait mes deux écrans. Il est donc sans autre protection qu’un mot de passe (pour ce que ça vaut ).

[JPL]

J’utilise aussi Veracrypt (autrefois c’était le défunt TrueCrypt) et juste pour mon amusement j’utilise un triple chiffrage en cascade. Malgré cela je n’observe aucune baisse de rapidité d’accès aux données des disques cryptés. Certes c’est subjectif mais c’est mon expérience.

[Great.J]

Je vois ...

Sans oublier le risque que peut représenter l’accès possible à la base de registres.

J'ai pu comprendre que les logiciels installés sur le PC alimentaient la ruche HKEY_CURRENT_USER.
On peux donc accéder aux données de personnalisation (login mdp) via le registre c'est bien ça ?

Question : Y a t'il un rapport entre le registre et les fichiers .ini/.config ?

[Great.J]

triple chiffrage en cascade

Mdr le concept me plaît !

Personnellement, j'utilise aussi Veracrypt et je ne trouve pas que les perfs baissent sur des disques "annexes".
Mon soucis repose sur le disque système à cause des logiciels gourmands. Lightroom, si je ne dis pas de bêtises, utilise de la modélisation 3D pour appliquer certains calques et cela est très consommateur de mémoire.
Étant donnée qu'avec Veracrypt, les données sont chiffrées à la volée (dans la RAM donc), j'ai peur de surcharger mon processeur et ma RAM avec cette étape de déchiffrement/chiffrement de fichiers lorsqu'ils sont travaillés.

[JPL]

Mon soucis repose sur le disque système à cause des logiciels gourmands. Lightroom, si je ne dis pas de bêtises, utilise de la modélisation 3D pour appliquer certains calques et cela est très consommateur de mémoire.

Pour ma part j’utilise DXO Photolab, lui aussi très, très gourmand mais je ne l’ai jamais fait travailler sur un disque crypté. Je n’ai donc aucune idée sur le problème que tu soulèves.

[Great.J]

Je n’ai donc aucune idée sur le problème que tu soulèves.

Dommage !

J'avais testé un jour de chiffré le disque système d'un pc portable et ça a pas mal bugé.
Je ne serai malheureusement pas dire si c'est parce qu'un problème est survenu lors du chiffrement, ou si le pc n'a pas les capacités pour chiffrer/déchiffrer à la volé autant de fichiers systèmes en plus de la demande qu'on lui impose...
J'avais régulièrement des plantages de type "fatal error" avec reboot derrière ...

[JPL]

Veracrypte est parti de code source de TrueCrypt, l’a nettoyé et débugué mais est infiniment plus puissant, tant pas la multiplicité des codes des méthodes de hachage, des chiffrement qu’il propose (5, dont l’inévitable AES), la possibilité d’en cumuler 2 ou 3, et de choisir le nombre à peu près sans limite de cycles de redondance appliqués (contre 4 uniquement dans TrueCrypt).

[pm42]

Si je suis cambriolé (2 cambriolages dans mon quartier les 2 premiers mois de l'année), je n'ai pas envie que toutes ces données soient accessibles (que ce soit à partir de mes disques de stockage, ou de mon cloud accessible via mon login/mdp que windows stocke sur le pc), d'où le chiffrement des disques les contenant.
L'idée est de réduire le plus possible et dans la mesure du possible/raisonnable ce risque.
Le risque est présent (la marque de mon NAS à été la cible d'une vague de piratage intensif courant l'été dernier).

Tu as 2 risques dans ton cas :

1) le vol contre lequel le cryptage peut te protéger
2) le piratage à distance, les cryptovirus et autres trucs qui relèvent de la sécurité classique : firewall, antivirus, ne pas installer de soft de sources pas 100% sure...

Pour ton NAS, je ne sais pas ce que tu as prévu. Note que stocker chez soi est pratique mais risqué en cas de vol, incendie, effacement accidentel...
Perso, je stocke sur disque local + backup local + backup en ligne (j'ai quelques téraoctets de RAW aussi).

Pour ce qui est du cryptage du disque de ton ordi, je pense que te contenter du disque de données est adapté dans ton cas. Coder le disque système ne va pas vraiment t'ajouter de la sécurité et si quelqu'un te le vole, il est très peu probable qu'il récupère des informations importantes en allant explorer le registre : cela prend du temps, nécessite une certaine compétence le tout pour un gain incertain.

L'avantage, c'est que ça te simplifie la vie et les perfs.

Pour la question de traiter des photos sur un disque crypté, je ne sais pas. Il faut que tu essaies. Note que même un cryptage "léger" est suffisant pour nous : on ne stocke pas des trucs secret-défense ou pire.