On se munit avant tout d’une simple clé USB (ici « disque amovible (G:) »), comportant quelques fichiers que vous ne craignez pas de perdre. Dans le doute, faites-en une copie avant de commencer la manipulation. Vous pouvez aussi trouver sur internet des générateurs de fichiers aléatoires, très utiles quand on tatônne.

La capacité de la clé utilisée pour le tutoriel est de 1 Gb.

Le fichier texte « _Pédago » nous sert de balise, en marquant que nous sommes à la racine de la clé : c’est l’espace que l’explorateur de fichiers nous permet de voir. J’utiliserai ce système de fichier texte pour bien distinguer les différents volumes de stockage.

Pour les besoin du tutoriel, j’ai enregistré des fichiers aléatoires sur la clé. Celui qui est entouré en rouge « dlN1WUfgf1zc » est celui qui va nous servir de porte d’entrée dans nos conteneurs. On le renommera « VolumeStockageChiffré » par la suite.

La clé étant en place, j’ouvre VeraCrypt, en double cliquant sur l’icône comme tout logiciel. La boîte suivante apparaît.

La longue colonne de gauche vous montre tous les disques sur lesquels vous pourrez « monter » vos conteneurs : ce sont, pour ainsi dire, les endroits dans votre ordinateur où vous pourrez poser vos conteneurs pour les voir apparaître à l’écran.

Mais ce qui nous intéresse pour l’instant, c’est le bouton « Créer un volume ». Cliquons.

L’assistant de création s’ouvre, qui vous propose trois possibilités. Je vous laisse lire les petites lignes : ne cliquez pas au hasard !

Nous nous contentons de la première option : nous allons créer un conteneur (notre conteneur A) qui se trouvera dans un fichier (la porte d’entrée du conteneur).

Cliquons sur « Suivant ».

Il s’agit ensuite de déterminer quel type de volume nous souhaitons créer, c’est-à-dire choisir entre conteneur A et conteneur B (cf. plus haut, première partie théorique du didacticiel).

Le volume caché (un conteneur B) sera l’objet de la seconde partie pratique. Nous créons ici un volume standard (le conteneur A).

Sans surprise, il s’agit de choisir l’emplacement du fichier-conteneur A sur notre clé USB.

Et sans surprise je choisis mon fichier « dlN1WUfgf1zc », renommé pour l’occasion « VolumeStockageChiffré ». La pédagogie avant tout.

Je clique sur « Suivant » et une boîte me préviens que le fichier que je cible existe déjà.

Je confirme : ce fichier sera la porte d’entrée de mon conteneur chiffré.

⚠️ Attention : on ne vous le dit pas encore mais cela signifie que le contenu du fichier sera écrasé. Choisissez soigneusement votre fichier-conteneur (et ne l’appelez pas « VolumeStockageChiffré »).

Je passe les options de chiffrement : si vous ne comprenez pas ce que vous dit cette boîte de dialogue, souriez-lui par politesse et cliquez sur « Suivant ».

Vient ensuite un paramétrage essentiel : la taille du volume de stockage que vous allez créer. Vous ne pourrez pas la réajuster ensuite.
Considérez vos besoins de stockage : plus votre conteneur est volumineux, plus l’espace de stockage « normal » de votre clé USB sera faible. Demandez-vous si vous voulez protéger des fichiers textes (qui sont souvent légers) ou des vidéos (qui sont lourdes). L’assistant vous donne clairement l’espace disponible sur votre clé USB (dans mon cas : 675, 09 Mo).

Je choisis de créer un conteneur de 500 Méga Octets et je passe au paramétrage essentiel suivant : le mot de passe.

L’assistant ne vous encadrera pas aussi joliement les conseils sur le choix du mot de passe mais lisez-les attentivement quand même. Prenez le temps de réfléchir et d’aller voir notre Foire au Questions spéciale sécurité numérique. On vous propose une méthode pour vous créer un bon mot de passe.

Par sécurité, affichez le mot de passe, juste le temps de le relire, pour être sûr.e.

Et « Suivant ».

Les choses se précisent. Lisez les petites lignes et bougez frénétiquement votre souris.

Lorsque la barre de chargement est pleine, soufflez et cliquez sur « Formater ».

La boîte suivante apparaît : VeraCrypt vous signifie en majuscule que le fichier qui nous sert de porte pour entrer dans notre conteneur A sera SUPPRIMÉ. Mais comme on suit un tuto, on est sûr : « Oui ».

Bravo 🥳

L’assistant est content de nous, on est content, on clique sur « Ok », on quitte l’assistant d’un air entendu et on va voir l’explorateur de fichier pour savoir ce qu’il pense de tout ça.

Le voici.

Du point de vue de l’interface, rien n’a changé. On est toujours sous (G:), on reconnait la balise « _Pédago », le fichier « VolumeStockageChiffré » est toujours là.

Ce qui a changé, c’est sa taille. Il a grossit, puisqu’on a créé dans ce fichier un conteneur de 500 Mo.

Reste que le fichier paraît corrompu ou cassé quand on essaie de l’ouvrir de manière traditionnelle, en lui cliquant dessus. Il faut utiliser le logiciel VeraCrypt pour ouvrir votre conteneur.

Voyons comment.

Retournons à la fenêtre basique de VeraCrypt.

En termes techniques, nous allons monter un volume sur un lecteur. Comme nous l’avons vu plus haut, la colonne alphabétique à gauche vous propose tous les lecteurs disponibles sur votre ordinateur pour accueillir le conteneur que vous voulez ouvrir. Si vous regardez attentivement, vous voyez sur l’image que, par exemple, les lecteurs C: et D: n’apparaîssent pas. Ce sont des lecteurs que mon ordinateur utilisent pour d’autres disques : je ne peux pas y poser mon conteneur. Vous observerez le même phénomène chez vous.

Je décide de choisir le lecteur A:.

Dans la partie notée « Volume » (deuxième ellipse rouge), je sélectionne le fichier dont je sais qu’il s’agit de la porte vers mon conteneur A. On reconnaît le nom subtil du fichier : « VolumeStockageChiffré », toujours sur ma clé USB qui occupe le lecteur G: (qui, vous l’avez vu, n’est pas dans la liste des lecteurs disponibles. Tout fait sens).

La cible étant acquise, je clique sur le bouton pour « Monter » mon conteneur sur le lecteur A:.

Le logiciel demande bien sûr le mot de passe.

Lorsque le chargement du conteneur est effectué, la fenêtre VeraCrypt montre que le conteneur a bien été monté sur le lecteur A:. Le volume de stockage est de 499 Mo.

Remarquez la mention : « Type : Normal ». Elle signifie qu’il s’agit d’un conteneur standard, chiffré mais pas caché. Si je reprends notre typologie maison, cela montre qu’il s’agit d’un conteneur A et non d’un conteneur B. Un conteneur B serait noté « Type : Caché ».

Pour ouvrir votre conteneur et y enregistré vos fichiers secret-défense, faites un clic droit sur la ligne, puis « Ouvrir ».

Une nouvelle fenêtre apparaît, qui vous montre l’intérieur du conteneur, tel qu’ici :

Comme demandé, le conteneur est bien monté sur le lecteur A:.

Pour la démonstration, j’ai placé un fichier texte, comme sous la racine de la clé USB, qui nous sert de balise pour reconnaître l’espace de stockage de mon conteneur A. Dans la dernière partie du didacticiel, je créerai une balise similaire pour marquer mon volume caché, le conteneur B.

Après avoir enregistré les fichiers souhaités et fermé la fenêtre, je peux laisser mon conteneur monté sur le lecteur A:. Dans ce cas, il reste ouvert et je peux y accéder sans avoir à redonner le mot de passe. Pratique tant que je travaille sur l’ordinateur mais c’est une faille de sécurité absurde si je ne suis pas vissé devant l’écran.

Pour refermer le conteneur, je dois le démonter. Un bouton est prévu à cet effet, joie : les développeurs sont des gens prévoyants.

Cliquez et attendez que VeraCrypt fasse le travail. Lorsque le volume est démonté, son nom disparait de la fenêtre et il faudra de nouveau le monter sur un lecteur pour y accéder de nouveau.

On prend une pause et on respire

Si vous avez suivi toutes les étapes jusqu’ici, vous êtes sans doute parvenu à créer un conteneur chiffré sur votre clé USB et à y placer des documents confidentiels.

Cela étant, ne perdons pas de vue que vos documents, pour protégés qu’ils soient, ne sont pas cachés. Si, d’une manière ou d’une autre, un opposant peut vous forcer à donner votre mot de passe, vos documents sont compromis. Cela peut arriver en garde à vue, suite à une perquisition etc. La pression que vous pouvez subir ne doit pas être minimisée ni négligée.

Pour s’en protéger, on cache un conteneur B, invisible, dans un coin sombre du conteneur A.

Allez, go.

Dans le modèle de menace qui nous occupe ici, lorsque la Police branche ma clé USB sur un ordinateur, elle voit ceci :

Le contenu à la racine de la clé :

Et, bien sûr, les propriétés de la clé :

Au-delà de l’évidence qu’une liste aussi bizarre de fichiers peut être suspecte (je passe sur le nom de mon fichier le plus coupable…), c’est l’espace utilisé par vos fichier sur la clé qui peut trahir la présence d’un conteneur.

Imaginez que mon fichier « VolumeStockageChiffré » s’appelle « Recette tarte aux fraises.txt » : rien de plus suspect qu’un fichier texte aussi anodin qui pèse près de 500 Mo. D’autant que lorsque l’agent de police clique dessus, le fichier est inutilisable.

L’opposant (celui qui veut récupérer les infos sensibles) essaye alors de nous faire craquer. C’est là qu’un conteneur caché est utile. Il vous permet de donner le mot de passe du conteneur A, qui ne doit contenir que des fichiers pseudo-sensibles. Comme on l’a vu dans la partie théorique du didacticiel, une fois révélé le conteneur A, le conteneur B est inaccessible. Et, puisque l’opposant ne peut pas prouver qu’il existe, il ne peut pas vous forcer à en révéler le mot de passe.

Invisible, me direz-vous ? Oui. Vous ne le saviez pas mais les 791 Mo utilisés, qui apparaissent en bleu sur l’image précédente, sont en fait occupés non seulement par notre conteneur A mais aussi par un conteneur B (et oui, je vais plus vite que le tuto). Invisible donc, parce que la porte d’entrée dans le conteneur B est le même fichier que pour le conteneur A : sa présence n’est pas trahit par l’interface.

Reprenons. Créons donc ce conteneur B, à l’intérieur du conteneur A.

Les deux étapes précédentes sont les mêmes que pour un conteneur A (volume standard). C’est à la troisième que l’on bifurque.

Puisque j’ai déjà créé mon conteneur A, je choisis « Volume VeraCrypt caché », puis « Mode direct ».

Si vous n’avez pas déjà créé de conteneur sur votre périphérique de stockage, utilisez le « Mode normal » et suivez les étapes précédentes du didacticiel.

Je cible le fichier-conteneur qui sert de porte d’entrée au conteneur A, puisque c’est à l’intérieur de celui-ci que je vais construire le B.

« Suivant ».

Même remarque que plus haut : dans le doute, ne touchez à aucun de ces paramètres de chiffrement. « Suivant ».

Vous allez pouvoir choisir la taille du volume de stockage de votre conteneur B. Vous remarquez que, sur ma clé de 1 Go, seuls près de 500 Mo sont disponibles. Si vous avez suivis la partie 1️⃣  sur la création du conteneur A, vous avez que c’est la taille que j’ai alloué à ce conteneur A. Le B, qui se trouve dans le A, est nécessairement plus petit que lui.

« Suivant ».

Choisissez un mot de passe puissant : inutile de prendre des risques.

Créez le volume caché, selon la même méthode que le conteneur A.

J’ai dorénavant sur ma clé USB deux conteneurs, tels que décrit dans la partie théorique, tout en haut.

Nous allons voir que c’est bien le même fichier « VolumeStockageChiffré » qui sert à y entrer. J’utilise la même manipulation pour ouvrir le conteneur B que celle utilisée pour ouvrir le conteneur A.

Je cible le fichier, pour le monter sur le lecteur A:.

Remarquez que le mot de passe que je rentre ici est plus long que celui que j’ai créé pour le conteneur A. Il s’agit bien du mot de passe qui me donne accès au conteneur B.

On le voit ici :

Tout paraît identique, sauf que la taille du volume est bien de 299 Mo (pour les 300 demandés) et ce conteneur porte la mention « Type : Caché ». Le conteneur A portait la mention « Type : Normal ».

Je fait un clic droit sur la ligne pour ouvrir le conteneur.

Le même fichier m’a bien amené vers le conteneur B, comme en témoigne le fichier balise que j’y ai posé pour les besoins de la démonstration. C’est le mot de passe entré lors du « montage » du volume sur un lecteur qui détermine quel conteneur je vais ouvrir. Si vous avez créé un volume caché sur votre clé USB, le volume standard (conteneur A) est fait pour être révélé : c’est un leurre qui vous permet de nier l’existence d’un volume caché (conteneur B).

Ça va ?