C’était l’un des meilleurs outils en matière de chiffrage de données sur poste de travail (fixe ou mobile). Multi plateformes, léger, libre, éprouvé, en constance évolution…
Historiquement, l’un des membres de l’équipe de développement de TrueCrypt avait fait ses preuves déjà dans un produit proches de TrueCrypt : E4M (Encryption For the Masses) . Ce talentueux développeur nommé Paul Le Roux a su s’associer et faire évoluer TrueCrypt vers un outil robuste. Son histoire si elle est vraie, serait digne d’un film.
Son développement actuel est stoppé pour des raisons toujours pas expliquées officiellement… ( http://www.cryptogon.com/?p=48528 , http://clublinuxatomic.org/2014/07/04/resume-de-laffaire-truecrypt/ ,…)
Deux successeurs potentiels:
TCNext (une équipe de développeur connue, basée en Suisse) dont les premières versions devraient sortir cette année : https://truecrypt.ch/
VeraCrypt (projet OpenSource soutenu par Idrix, société Française) dont la dernière version compatible Truecrypt est détaillée dans cet article :
GostCrypt : autre projet opensource, soutenu notamment par l’ESIA et Qwant.
Ici, une doc d’installation et d’utilisation sur clé USB, disque physique, pour chiffrer sa partition système etc….
Le menu :
1 – Intro.
2 – Modes opératoires possibles avec TrueCrypt
3 – Installation.
4 – Configuration.
5 – Montage automatique des volumes
6 – Sauvegarde / Restauration.
7 – Les KeyFiles pour une authentification renforcée
8 – Cryptage du volume contenant le Système d’Exploitation.
9 – Chiffrer ET cacher sa partition (système).
10 – Détecter la présence de volume TrueCrypt
1 – Intro.
Sortie le 7 février 2012, la version 7.1a de TrueCrypt fait son apparition.
Qu’est-ce que TrueCrypt en quelques mots ? Un outils open-source qui fonctionne aussi bien sous Mac/linux/Windows, dont le projet a démarré depuis plus de 5 ans ; cet outil permet de chiffrer n’importe quel forme de donnée, c’est à dire un fichier, répertoire, partition cachée ou pas, volume, disque, mais aussi un OS complet sur un volume crypté, voire caché…. Les algorithmes de cryptage proposés sont parmi les plus robustes/courants.
La version 6.0a a reçu le certificat de sécurité de premier niveau délivré par l’ANSSI http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-qualifies/p_32_TrueCrypt_version_6.0a.html
Depuis avril 2014, le site d’origine de TrueCrypt a « fermé », en recommandant l’usage de BitLocker de MS. Les raisons de ce changement sont encore non communiquées.
En complément des informations et recommandations fournies par l’ANSSI, un audit du code True Crypt est en cours de réalisation par le groupe Open Crypto Audit. La première phase du rapport est disponible ici https://opencryptoaudit.org/reports/iSec_Final_Open_Crypto_Audit_Project_TrueCrypt_Security_Assessment.pdf
Dans tous les cas, le développement de TrueCrypt a été repris par une équipe dont le site web est localisé en Suisse : https://truecrypt.ch/
La prochaine version devrait donc se nommer TCNext.
TrueCrypt effectue le cryptage/décryptage à la volée après lecture du fichier, avant enregistrement du fichier. C’est aussi ce qu’on appelle le cryptage OFT = On The Fly
La version 7.1a apporte :
– Compatibilité 32 et 64 bits sur Mac OS X 10.7
– Correctifs mineurs par rapport à la version 7.1 et 7.0
–
La version 7.0 apporte notamment :
– le support l’accélération matérielle pour le cryptage AES (à condition que votre processeur supporte les instructions AES-NI = essentiellement des processeurs Intel L)
– le montage automatique des volumes TrueCrypt. Si vous posséder un volume TrueCrypt sur un support amovible que vous connectez celui-ci sur votre PC, le volume pourra être monté automatiquement.
– Les partitions TrueCrypt peuvent désormais supporter des secteurs de taille 1024 à 4096 octets.
– La gestion de Volumes Favoris est plus fine et présente de nombreuses options (montage lecture seule, ordre de montage, etc…)
– Le menu Favoris contient désormais une liste de volumes favoris qui ne sont pas des volumes systèmes.
– Utilisation des API d’hibernation améliorées de Windows 7/2008 lorsque le mode hibernation de l’OS est activé = amélioration de l sécurité mais cela risque de rendre moins compatible la version TrueCrypt 7.0 avec XP ou 2003.
La version 6.3 apporte notamment :
– le support de Windows 7
– la notion de Volume System Favoris (utiles quand il s’agit de monter automatiquement les volume nécessaires au moment du boot de l’OS)
La version 6.2 améliore notamment la performance en lecture, particulièrement sur disques SSD.
La version 6.1 apportait déjà :
– la possibilité de chiffrer une partition contenant des données, sans perdre le contenu (sous Vista/Windows 2008)
– le support des tokens et smart cards
– l’interopérabilité d’un volume crypté sous Windows et utilisable sous Linux/Mac
– …
Le document présente différentes utilisations possibles de TrueCrypt : un usage classique avec création d’un fichier(/volume) crypté et protégé par un mot de passe, la même chose protégé par un fichier clé (keyfile), le cryptage de tout votre PC ou portable y compris la partition système ( !), et le cryptage d’un volume qui sera caché.
2 – Modes opératoires possibles avec TrueCrypt
Il existe plusieurs variantes à l’usage de TrueCrypt : certains ont la première utilité de chiffrer ses fichiers pour se protéger de tout vol alors que d’autres visent à masquer, voire leurrer l’hypothèse que vous puissiez chiffrer vos fichiers. En voici cinq :
– Créer un conteneur TrueCrypt dans un fichier visible. Cette option basique vous permet de vous promener avec votre conteneur (fichier) sur une clé USB, votre disque externe, vos sauvegardes, etc avec un minimum de confidentialité. C’est ce qui est expliqué dans la partie 3
– Dédier une partition (non système) en tant que conteneur TrueCrypt . Option similaire à la précédente avec un conteneur qui fera la taille de votre partition ou de votre disque complet, donc particulièrement confortable pour les disques externes par exemple.
– Mettre sa partition Système dans un conteneur TrueCrypt. Cette fois-ci, votre système d’exploitation et tout l’environnement/paramètres/données qui se trouvent sur la partition système se trouvent cryptés, de manière transparente pour l’OS, hormis le TryeCrypt Boot Loader initial qui vous demandera un mot de passe pour lancer votre OS. Partie 7.
– Déclarer un conteneur dans un fichier qui contiendra lui-même un autre conteneur caché. Imaginez un coffre-fort caché derrière un tableau de maitre, ce coffre-fort une fois découvert s’avère posséder quelques documents peu compromettants mais possède surtout un double fond contenant vos véritables documents confidentiels. A ceci près qu’en fonction du mot de passe du conteneur initial, soit vous ouvrez le conteneur leurre, soit vous ouvrez le conteneur qui vous est cher.
– A l’image de l’option précédente, vous cryptez votre partition système, qui se trouve contenir également une autre partition systèmes chiffrée accessibles l’une comme l’autre selon le mot de passe saisi. Cet usage est détaillé en partie 8
Enfin, une fonctionnalité commune à tous les modes ci-dessus concerne la clé d’accès au conteneur chiffré : dans les cas les plus simples, la clé sera un mot de passe mais peut également être un fichier de votre choix.
3 – Installation
Parce que le parc de postes Windows est encore important, c’est cet OS qui est utilisé pour expliquer un peu plus comment çà s’installe.
Il vous faudrait donc :
Windows 7.0
TrueCrypt 7.1a (http://www.truecrypt.org/downloads) – le package d’installation fait environ 3.3 Mo
Etre administrateur du poste (uniquement durant la phase d’installation)
Après avoir accepté la licence, un premier choix :
Vous pouvez choisir de poursuivre une installation classique ou d’extraire TrueCrypt : ce choix est utile si vous souhaitez utiliser TrueCrypt ponctuellement sans installer quoique soit sur l’ordinateur (utilisation dans un cadre mobile). Choisissons le cas le plus répandu : install
Rien de particulier dans cet écran sauf à noter la possibilité de forcer un point de restauration Windows.
L’installation finie
Vous aurez cette icône sur votre bureau :
Pour avoir une interface en Français :
Il se peut que vous deviez télécharger le complément en français : http://www.truecrypt.org/localizations.php
Dézippez le fichier XML dans c:\programmes\TrueCrypt
Allez ensuite dans le menu Settings / Langage ; sélectionnez le langage Français…
4 – Configuration
L’étape primordiale est ensuite de créer un volume (unité logique de type e, f, g,…) qui sera cryptée et qui contiendra l’ensemble de vos données protégées.
Allez dans le menu Volumes, Créer un Volume.
Trois choix s’offrent à vous :
1 – « Créer un fichier conteneur », créer un volume qui sera associé à un fichier unique de type confidentiel.tc qui contiendra les fichiers cryptés sur votre volume habituel (par exemple sur C 🙂
2 – « Créer un volume dans une partition non système », créer un volume complet sur un espace disque disponible tel que une clé USB, une partition de disque non-utilisée, un disque externe
3 – « Chiffrer la partition ou l’intégralité du disque système », modifier une partition actuelle pour la rendre cryptée en totalité. Cette partition peut-être la partition système ou le disque système.
Ces 3 choix définissent ce à quoi ressemblera le container crypté qui stockera les fichiers cryptés.
Choisissons la première option .
L’écran suivant vous propose deux options (disponibles également pour les autres choix précédents) :
– Standard TrueCrypt Volume : globalement, vous allez créer un espace (fichier ou partition) qui sera visible en tant qu’élément chiffré. Traditionnel…
– Hidden TrueCrypt Volume (ou mode paranoïa) : le container qui recevra les fichiers cryptés sera ‘invisible’, cet espace sera plus précisément sur un espace de disque non partitionné donc non visible sous Windows. Dans le détail, c’est un schéma de fonctionnement peu plus compliqué mais davantage sécurisé puisqu’une analyse rapide d’un ordinateur ne permettra pas de repérer l’existence d’un volume crypté.
Vous devez ensuite définir de l’emplacement de votre container (ou fichier global) qui contiendra vos éléments à protéger). Cet emplacement peut être vos disque local, externe, USB,… précisez un chemin, voir un nom de fichier. Si celui-ci existe, il ne sera pas réutilisé mais écrasé par TrueCrypt.
L’étape suivante consiste à sélectionner en premier le type de cryptage que vous souhaitez utiliser. AES, Serpent ou TwoFish mais plus amusant encore, vous pouvez choisir d’additionner séquentiellement 1 ou 2 voire 3 de ces algorithmes déjà forts puissants utilisés de manière individuelle. Partons sur AES, un système de cryptage à clé symétrique très répandu dans maintes applications informatiques, système robuste et approuvé par le NIST, le FIPS et la NAS comme algorithme de cryptage fort. Pour l’anecdote qui n’en pas une, l’algorithme a été conçu par deux Belges Vincent Rijmen et Joan Daemen.
Le menu Outils / Banc de Test vous permettra d’évaluer le cryptage le plus rapide.
Sélectionnez aussi le type de hachage retenu. Le hachage étant l’algorithme qui permet de définir une empreinte « unique » pour un fichier donné. Si le contenu du fichier est modifié, le hachage ne sera plus vérifiable et confirmera que le fichier a été modifié.
Choisissez SHA-512, relativement répandu et très fiable (produit un condensat ou Hash de 512 bits, ce qui est assez important).
Définissez le volume que fera votre conteneur (en Ko ou Mo ou Go). L’espace sera alors alloué dans son intégralité sur le disque mais comme une coquille vide.
Petit rappel : un Ko est Kilo Octet = 1000 octets et qu’il ne faut pas confondre avec un Kibi Octet = 1024 octets. Le CEI a normalisé tout ceci (le kibi octet, le mebioctet,…) en 1998.
Sur le choix du mot de passe, inutile de préciser que plus c’est long plus c’est bon … mais si c’est trop long et trop compliqué on est obligé de le noter sur un post-it… Cela n’empêche pas pour autant d’y glisser quelques caractères exotiques, chiffres, majuscules, minuscules,…). Si votre mot de passe fait moins de 20 caractères , vous aurez le droit à ce joli avertissement :
Le mot de passe est limité à 64 caractères. C’est ce mot de passe qui vous sera demander pour accéder au volume crypté.
Si vous cochez « Fichier Clé », vous devrez indiquer un fichier qui servira de « clé » supplémentaire au mot de passe. Ce fichier sera ensuite toujours nécessaire pour pouvoir ouvrir le fichier TrueCrypt. Cela peut-être un fichier mp3, avi, texte… Mais un fichier qui ne soit plus modifié !
En fonction de l’utilisation de votre conteneur (notamment si la taille des fichiers hébergés dans le volume sont > 4 Go), TrueCrypt utilisera le système de fichier adapté (exclusion de FAT).
L’étape suivante est de générer les clés nécessaires au cryptage du volume sur un modèle le plus aléatoire possible sans utiliser la fonction pseudo aléatoire de votre ordinateur. Plus le mouvement de la souris sera long, plus la clé sera difficile à reproduire.
Sélectionnez également le système de fichier retenu (FAT, NTFS)
Vous devez donc bouger la souris puis faire
Le container sera formaté et l’espace chiffré
Vous pouvez ensuite quitter sans quoi l’assistant vous re-proposera de créer un nouveau volume…
Le conteneur créé (sous forme de fichier) sera associé à l’icône suivante :
5 – Montage automatique des volumes
Une icône en bas à droite est apparue :
Faites un double-click pour accéder à l’interface
– Sélectionnez la lettre de lecteur qui sera affectée au volume chiffré,
– Dans Volume, sélectionnez le fichier que vous avez généré.
– Cliquez sur
– Saisissez votre mot de passe
– OK
– Aller ensuite dans le menu Favorites, et sélectionnez « Add mounted volumes to Favorites…»
L’un des nouveautés de la version 7 est de proposer de nombreuses options associables au montage de ce volume favori :
– Mettre un label pour rendre le volume facile à identifier parmi d’autres.
– Monter le volume en lecture seule,
– Préciser que le volume est monté à partir d’un support amovible,
– Ne monter le volume que pendant que la session est ouverte,
– Préciser que le volume est monté à partir d’un lecteur réseau
– Ouvrir l’explorateur Windows dès que le volume est monté,
– Ne pas monter le volume favori quand la hot key est pressée.
– Choisir parmi plusieurs volumes, l’ordre de montage des volumes cryptés.
Validez par OK.
Vous trouverez alors l’unité logique montée comme une partition, tout ce que vous y mettrez sera chiffré et accessible uniquement avec TrueCrypt + votre mot de passe.
Particularités Windows
L’idéal est dans la plupart des cas, d’avoir TrueCrypt exécuté et initialisé à chaque démarrage de Windows.
Dans le menu Paramètres / Préférences des options sont à activer pour permettre cela :
Notamment Exécuter TrueCrypt
Désormais, à chaque lancement de TrueCrypt , le (ou les) volumes sauvegardés dans les favoris seront montés automatiquement.
6 – Sauvegarde / Restauration
L’essentiel est maintenant d’envisager la situation suivante :
– que faites-vous si votre fichier conteneur est perdu, altéré, effacé ?
Il n’y a pas grand chose à faire dans le cas où le conteneur est un fichier stocké sur un volume windows : sauvegardez le fichier classiquement sur bande, média externe,…Restaurez, réinstallez TrueCrypt et voilà…
7 – Les KeyFiles pour une authentification renforcée
Dans l’étape 3, vous avez associé l’accès au conteneur à un mot de passe. Ce dernier est attaquable par BruteForce, Keylogger,….
Avec TrueCrypt, une utilisation plus sécurisée est possible. L’accès à une donnée confidentielle n’est plus dépendant de ce que je sais, mais aussi de ce que je possède : le keyfile
L’utilisation des keyfiles : c’est associer un fichier ou les fichier d’un répertoire (la clé) qui vous donnera accès au volume crypté à la condition initiale que le mot de passe fourni soit le bon.
Le fichier peut-être aussi bien un mp3, qu’un avi, qu’un fichier word,… Il doit faire au moins 30 octets et ne doit plus être modifié.
Pour basculer d’u simple « mot de passe » au mode « mot de passe + keyfile »
– Ouvrez l’interface TryeCrypt (ne montez pas le volume)
– Cliquez sur Volume Tools ou Outils pour le Volume
– Choisissez Change Volume Password…
– Dans la zone Current, saisissez votre mot de passe actuel
– Dans la zone New, saisissez avec confirmation votre nouveau mot de passe, puis
– Cliquez sur le bouton Fichiers clés
– Sélectionner le fichier (ou le répertoire) qui vous servira de clé
-Validez.
Bougez votre souris de manière aléatoire.
Et c’est tout.
Pour monter le volume crypté, il vous restera à spécifier le fichier clé et le mot de passe comme auparavant.
Pensez à sauvegardez votre fichier clé !
8 – Cryptage du volume contenant le Système d’Exploitation
Plus délicat maintenant mais tellement plus efficace, la mise en place du cryptage au niveau du volume complet où se trouve le système d’exploitation.
Pour commencer, il faut avoir son OS et Truecrypt installé normalement.
1 – aller ensuite dans le menu System / Encrypt System Partition/Drive…
Choisir « Normal »
– Dans le choix suivant, soit vous décidez de chiffrer le volume système seulement, à l’exception de toutes les autres partitions présentes, soit (Encrypt the whole system) vous décidez (et c’est sans doute le meilleur choix) de chiffrer le volume système et TOUTES les partitions présentes sur le disque physique ; dans ce dernier cas, un chargeur TrueCrypt sera installé : à chaque boot du système, le chargeur vous demandera le mot de passe Truecrypt et la séquence de boot système pourra démarrer ensuite.
Attention, si vous avez choisi l’option « Encrypt the Whole drive », je vous rappelle que TrueCrypt va alors chiffrer TOUS les volumes du disque physique, y compris les volumes contenant des utilitaires ou boot spécifiques ou systèmes de restauration etc… Donc si pensez être dans cette situation (vérifier avec les DiskManager de Windows), choisissez Yes. Truecrypt va alors détecter ces volumes spécifiques et les exclure.
Dans le cas d’un volume sur un disque virtuel, sur certains portables également, on pourra choisir No.
Étapes suivantes, choisissez l’algorithme de cryptage :
Spécifiez votre mot de passe suffisamment robuste (vous pouvez le tester ici : http://www.passwordmeter.com/)
L’étape suivant consiste à créer un fichier ISO de secours
Ce fichier est stocker sur un autre CD ou DVD.
Il vous permettre de booter votre système, de déchiffrer votre partition et contient une sauvegarde des premiers secteurs de boot. Truecrypt vous invitera d’ailleurs à le graver sur un CD ou DVD immédiatement : condition nécessaire pour pouvoir lancer le cryptage de la ou des partitions.
Une fois, le CD gravé, vous devrez vérifier la bonne issue de l’opération.
Un dernier click : le reboot de votre système
Au boot du système, TrueCrypt vous demandera votre mot de passe :
Il suffit de le saisir, et Windows démarrera (pour faire un premier test de boot). Après ce premier reboot, Truecrypt vous proposera de lancer le cryptage final des partitions.
Appuyez juste sur « Encrypt » et c’est parti pour le cryptage des partitions.
A la fin :
Vos partitions sont chiffrées !
PS : si la partition est chiffrée, une fois l’OS démarré, les données sont bien entendues en clair accessible depuis l’explorateur, donc également à travers le réseau du PC…
9 – Chiffrer ET cacher sa partition (système)
Cela peut s’avérer utile lorsque vous voyagez dans certains pays où on peut légalement vous demander votre portable à la douane : chiffrer un volume de données, ET le rendre non visible afin de ne pas susciter d’attention particulière.
Nous considérons que TrueCrypt est déjà installé, normalement.
Cette méthode est sensiblement plus complexe que l’étape précédente.
Globalement cela consiste à mettre en œuvre un premier OS sur une partition cryptée dans lequel nous insérerons un second volume contenant l’OS final (et donc les données) crypté et caché. Le premier OS sera ensuite formaté et vous devrez réinstaller un OS sur cette première partition !
Voici ce à quoi va ressembler votre partitionnement final :
La partition 1 est celle qui reçoit l’OS crypté qui servira de leurre.
La partition 2, juste après la partition 1 est celle qui reçoit l’OS crypté et caché : sa taille doit être de 5% > à la partition 1.
1 – dans le menu System, choisissez « Create Hidden Operating System… »
On vous prévient que vous DEVREZ réinstaller vos OS situé sur la première partition. Votre OS1 et le contenu entier de la partition 1 sera recopié sur la partition 2
Attention, nombreux avertissements de sécurité qui visent à faire en sortie que l’usage d’un système crypté/caché reste « indétectable » : raison pour laquelle toute écriture en dehors de la partition 2 (typiquement sur la partition 1) ne sera pas possible.
Dans la question suivante, TrueCrypt détecte que le fichier d’échange est sur votre partition system ce qui peut représenter le risque de dévoiler la présenter de votre partition système cachée. Si vous répondez Yes, Trye crypt fera la modification nécessaire.
Page suivante : on retrouve l’installation du BootLoader qui sera adapté en fonction votre choix « avez-vous un seul OS officiel ou bien avez-vous plusieurs OS distincts ? »
Info importante : sous Windows, assurez-vous d’avoir activé votre système auprès de Microsoft avant de lancer la copie vers la Partition 2. Toujours pour éviter de faciliter la détection de l’existence de cet OS2…
Le « OuterSIze » sera par défaut, la totalité de votre partition 1 (officielle) et partition 2 (cachée).
Spécifiez un mot de mot de passe spécifique pour l’accès à ce volume.
On lance le formattage de la partition.
Attention : l’algorithme de cryptage de la partition 2 devra être le même que celui de la partition 1.
Spécifiez un mot de passe (un3ème) disctinct des 2 autres.
Formattage de la partition 2.
Reboot du système.
Saisissez le dernier mot de passe saisi (celui fourni pour la mise en œuvre du système caché)
L’opération de recopie du premier système vers le second système en version cachée commence. (clonage de la partition 1 vers Partition 2.)
Quand la copie est terminée, ressaisissez à nouveau votre mot de passe (le dernier créé, celui de votre partition cachée).
Votre système caché démarre.
Une fois démarré, TrueCrypt va vous proposer d’effacer le plus efficacement possible le contenu de la partition 1.
Attention, toutes les données de la partition 1 seront effacées (sachant que c’est une copie de cette première partition qui actuellement sur la partition 2).
Quand c’est terminé :
Vous devez éteindre vos ordinateur (histoire de vider autant que possible toute rémanence de mémoire).
Redémarrez votre ordinateur et installez votre OS : ne bootez pas sur le disque contenant le système caché.
…
…
…
Installation de votre OS
…
…
…
Une fois votre OS installé, bien sûr vous ne pouvez plus booter sur votre système caché.
Installez TrueCrypt sur le système fraichement réinstallé et lancez la fonction de cryptage de votre partition système (comme au chapitre 7 précédent), c’est-à-dire :
– Encrypt System Partition Drive,
– Choisissez « Normal » et non « Hidden »
– Choisissez « Encrypt the Windows system partition »
– Si votre PC n’a qu’un seul système (hors celui est caché), choisissez Single Boot,
– Dans l’étape Ecnryption : choissisez impérativement le même cryptage que celui utilisé pour votre système crypté ET caché.
– Spécifiez un mot de passe (différent de celui qui vous permet de booter sur votre OS cyrpté et caché)
– Laissez TrueCrypt vous graver un CD de récupération d’urgence (si vous en avez déjà, mettez le CD pour que Truce Crypt en fasse la vérification)
– Lancez le WipeMode,
– A la fin de l’installation TrueCrypt vous demandera de rebooter après un premier test.
– Au reboot, saissez votre password créé dernièrement.
– Lancement de votre OS crypté (non caché), TrueCrypt vous propose , après le test de lancer le cryptage de votre partition.
– Quand c’est terminé, rebooter votre OS.
Maintenant, le process est terminé :
– Au boot de votre PC, le loader TrueCrypt vous demande un mot de passe
Si vous mettez le password de votre partition système cryptée ET cachée, vous booterez sur cet OS,
Si vous mettez le password de votre partition système crytpée (la partition leurre), vous booterez sur l’OS normal de leurre.
Le troisième password vous permet d’accès à la partition Outage.
10 – Détecter la présence de Conteneurs TrueCrypt
Utiliser TrueCrypt est sans doute indispensable lorsqu’on manipule des données confidentielles mais lorsqu’il s’agit à l’inverse de détecter si une personne abuse utilise TrueCrypt. Il existe à minima quelques pistes, outils et traces laissées par TrueCrypt.
TCHunt (TC pour TrueCrypt et Hunt pour…) : cet outil permet de détecter les fichiers TrueCrypt sur un ordinateur, pas seulement si ils ont l’extension .TC => http://16s.us/TCHunt A cette heure, TCHunt ne détectait pas encore les partitions. La dernière version était la 1.6, voici son usage :
TCHUNT –d C:\temp –v
-d pour Detect
C:\temp ou autre répertoire
-v pour mode verbeux.
Si vous lancez cette commande (surtout à la racine d’une partition), tous les fichiers seront analysés à la chaine, avec un résultat difficile à exploiter.
Préférez alors : tchunt –d c:\ 2>nul
TChunt vous renverra alors les éventuels fichiers ayant 1 conteneur TrueCrypt.
Attention : TChunt permet de suspecter la présence d’un fichier TrueCrypt. Le taux de faux négatifs et faux positifs peut être déroutant.
Traces locales :
Dans le cadre de conteneurs cachés (de second niveau), il reste deux arguments systématiques pour détecter la présence de ces conteneurs : 1 – le conteneur premier ne pourra jamais contenir ou stocker la totalité de l’espace qui lui est alloué, 2 – les fichiers leurres du premier conteneur sont rarement mis à jour et donc souvent obsolètes.
Le système d’exploitation laisse apparaitre également la présence de fichiers tels que truecrypt (-x64).sys dans system32\drivers
Le registre laisse entrevoir quelques associations de fichiers : .TC par défaut
Etc …