Vous avez des dossiers sensibles que vous aimeriez chiffrer avant de les balancer sur un cloud ou un disque externe ? \u00c7a tombe bien, je vous ai trouv\u00e9 un petit outil en Rust qui va vous plaire.<\/p>\n
C\u00f4t\u00e9 d\u00e9rivation de cl\u00e9, \u00e7a utilise Argon2id conforme \u00e0 la RFC 9106. Pour les non-initi\u00e9s, Argon2id c’est l’algo qui a gagn\u00e9 le Password Hashing Competition et qui est sp\u00e9cifiquement con\u00e7u pour r\u00e9sister aux attaques par GPU et circuits sp\u00e9cialis\u00e9s (ASIC). L’outil adapte automatiquement les param\u00e8tres \u00e0 votre machine en utilisant 85% de votre RAM disponible (entre 512 Mo minimum et 2 Go maximum) afin de rendre le brute-force astronomiquement co\u00fbteux. Et si vous avez moins de RAM dispo, il compense en augmentant le nombre d’it\u00e9rations.<\/p>\n C’est du code Rust bien propre qui utilise les biblioth\u00e8ques cryptographiques RustCrypto (bien audit\u00e9es par la communaut\u00e9) et le code impl\u00e9mente des bonnes pratiques de s\u00e9curit\u00e9 comme le memory locking (mlock sur Unix, VirtualLock sur Windows) pour \u00e9viter que vos cl\u00e9s se retrouvent dans le swap, et le Vous compilez \u00e7a avec Pour d\u00e9chiffrer :<\/p>\n Le mot de passe doit faire minimum 20 caract\u00e8res (pas de n\u00e9gociation possible, d\u00e9so pas d\u00e9so) et vous devez le confirmer deux fois. Vous pouvez aussi ajouter un fichier de cl\u00e9 en plus du mot de passe pour du 2FA old-school.<\/p>\n L’outil a aussi quelques protections d\u00e9fensives sympas. Par exemple, il refuse les symlinks (vecteur d’attaque classique), limite le nombre de fichiers \u00e0 1 million et la longueur des chemins \u00e0 4096 caract\u00e8res pour \u00e9viter les zip bombs. Sur les syst\u00e8mes Unix, il v\u00e9rifie m\u00eame que votre fichier de cl\u00e9 n’est pas lisible par tout le monde (chmod 600 obligatoire).<\/p>\n Cet outil part du principe qu’un attaquant peut avoir acc\u00e8s \u00e0 votre fichier chiffr\u00e9 et dispose de temps illimit\u00e9 pour tenter de le casser, du coup, tout est con\u00e7u pour rendre l’attaque offline la plus douloureuse possible.<\/p>\n
\nObsidenc<\/a>
\n<\/strong>, c’est son nom, est un utilitaire de chiffrement que son cr\u00e9ateur qualifie de “paranoid-grade”. Et apr\u00e8s avoir jet\u00e9 un \u0153il au code source, je peux vous dire que c’est pas du marketing puisque ce truc archive votre r\u00e9pertoire en TAR et le chiffre avec XChaCha20-Poly1305, un
\nalgorithme AEAD<\/a>
\nmoderne qui assure \u00e0 la fois la confidentialit\u00e9 et l’int\u00e9grit\u00e9 de vos donn\u00e9es.<\/p>\n
\nzeroize<\/a>
\npour effacer la m\u00e9moire sensible apr\u00e8s utilisation.<\/p>\ncargo build --release<\/code>, puis pour chiffrer un dossier :<\/p>\nobsidenc encrypt ~\/mon-dossier ~\/mon-dossier.oen<\/code><\/p>\nobsidenc decrypt ~\/mon-dossier.oen ~\/mon-dossier-dechiffre<\/code><\/p>\n