Protéger ses mots de passe avec Gostcrypt

Pour renforcer la sécurité de ses comptes, il est indispensable d’avoir des mots de passe « forts ». Difficile de tous les retenir. Sauf si vous utilisez Gostcrypt. Un logiciel gratuit qui permet également de sécuriser vos données sensibles et même Windows !

On ne cesse de le répéter à l’envi : un mot de passe différent pour compte et chacun d’entre eux doit être « fort ». Exemple : Hj98*!Ge85kt. Évidemment, les retenir relève du mythe, sauf à être un champion du monde la mémoire. Il existe différentes techniques mnémotechniques et des sites en ligne qui les stockent et les sécurisent. Mais les techniques ont les limites de nos capacités et les secondes ne présentent peut-être pas toutes des niveaux de sécurité élevés.

Clone de Truecrypt, Gostcrypt représente une alternative intéressante et polyvalente. Ce logiciel gratuit permet à la fois de sécuriser tous ses mots de passe (comme Keepass), mais aussi ses documents sensibles, voire même une partition ou tout le disque dur sur lequel est installé Windows. Sans entrer dans le détail (voir à ce sujet le Wiki de ce projet, il est possible de créer en quelques minutes une clé USB chiffrée. Vous créez un mot de passe principal qui sera « fort » et c’est le seul à retenir. Une fois cette clé créée, il suffit d’entrer ce mot de passe pour y insérer (dans un « volume », soit un dossier) un document bureautique contenant vos autres mots de passe « forts » ainsi que vos fichiers sensibles et personnels. Le principe est le même si l’on souhaite chiffrer (on dit trop souvent par erreur « crypter ») une partition ou tout Windows. Cette solution est donc très pratique si l’on doit emmener sur soi des documents critiques ou se rendre à l’étranger avec un PC portable. Le chiffrement renforce la sécurité et la confidentialité des données ; Gostcrypt est donc un outil parfaitement adapté.

Simple à utiliser

 

 

 

Placé sous licence GPLv3, Gostcrypt est un logiciel de chiffrement très complet et compatible avec Windows, MacOS et Linux. Nous l’avons présenté à plusieurs de nos clients qui l’ont adopté en quelques minutes et qui l’utilisent dorénavant quotidiennement. Seul reproche à nos yeux pour un usage encore plus large, il n’est pas en français (tout comme son Wiki), mais les captures d’écran sont suffisamment explicites pour rendre accessible son installation.

Son équipe de développement est tout autant accessible. Il a en effet été conçu par Eric Filiol (directeur du Laboratoire CVO, ESIEA Laval, Sebastian Groot de l’Amsterdam University of Applied Sciences (implémentation), et Baptiste David (sécurité de l’application relativement à l’OS en particulier Windows, implémentation) qui a travaillé dans le même laboratoire à Laval. Aujourd’hui, l’équipe compte une dizaine de personnes et le projet est soutenu par l’Amsterdam University of Applied Sciences, le Laboratoire de Cryptologie et de Virologie Opérationnelles ESIEA et la Bauman Moscow State Technical University.

« Gostcrypt correspond au produit que je voulais déjà pour mon usage personnel. C’est en fait un projet lancé fin décembre 2013 qui me tenait à cœur depuis longtemps. Si Truecrypt est/était pour moi un superbe outil son principal défaut est de ne proposer que des algorithmes UK/USA-compliant, autrement dit des algorithmes proposés pour ne pas dire imposés – par le jeu des standards, du lobbying… – par les USA et dont on peut suspecter à raison (a minima du fait du principe de précaution) qu’ils contiennent des backdoors mathématiques. Je souhaitais donc proposer un fork de TrueCrypt reposant sur un algorithme non UK/USA, dont la sécurité cryptologique réelle est élevée en particulier en conditions opérationnelles. J’ai choisi les algorithmes russes (chiffrement et hachage) GOST comme candidats idéaux, et ce en dépit de quelques publications prétendant le contraire dont la qualité scientifique (et surtout le caractère reproductible) est plus que contestée. Ces articles ont été réfutés (Babenko & Maro, 2014) », explique Eric Filiol.

La quasi-totalité des produits de chiffrement qui sont « reconnus » utilisent des algorithmes UK/USA-compliant. Pour les autres, il n’y a pas eu assez d’études détaillées sur leur force réelle. De plus, derrière GOST il y a la Fédération de Russie qui maintient les recherches sur cet algorithme, assure un soutien étatique pour son propre usage (afin de ne pas dépendre de standards occidentaux, lesquels sont tous d’inspiration UK/USA) et offre une pérennité intéressante. Ainsi fin 2014, la Fédération de Russie a sorti le nouveau standard de chiffrement Gost (512 bits de clef) lequel est intégré directement dans Gostcrypt.

 

Esprit de résistance

 

 

« Nos libertés et nos valeurs n’ont jamais été autant menacées que maintenant et il est fondamental de (re)développer un esprit de résistance. Le chiffrement est un des outils incontournables de cette résistance. Des projets comme TrueCrypt, Gostcrypt, mais aussi Veracrypt, truecrypt.ch… sont vitaux et j’espère qu’il en naîtra beaucoup d’autres. La variété est la garantie contre toute forme de contrôle. Personne ne sait pourquoi TrueCrypt a soudainement disparu. J’ai bien mon idée. Mais peu importe. Si 100 projets similaires voient le jour, il sera difficile pour ne pas dire impossible de les faire fermer tous et 100 nouveaux naîtront », précise Éric Filiol.