VeraCrypt : chiffrement de disque, volumes cachés et hardening

VeraCrypt : chiffrement de disque, volumes cachés et hardening

VeraCrypt 1.26.24 est le fork maintenu de TrueCrypt. Il offre du chiffrement AES-256, Serpent, Twofish (ou des combinaisons en cascade), du chiffrement système complet sur Windows, des volumes cachés avec déni plausible, et une CLI complète sur toutes les plateformes.

Ce guide couvre l'installation, la configuration avancée, le chiffrement en ligne de commande, les volumes cachés, le hardening, et l'automatisation.

Prérequis

• VeraCrypt 1.26.24 (mai 2025)
• Windows 10/11 ou Linux (Debian 12+, Ubuntu 22.04+, Fedora 39+)
• Droits administrateur / root
• Sauvegarde complète de toute partition que vous comptez chiffrer
• Un gestionnaire de mots de passe opérationnel (KeePassXC recommandé)

Installation

Windows (MSI silencieux)

Pour un déploiement automatisé ou une installation sans interaction :

## Télécharger depuis veracrypt.io ou SourceForge
## Installation silencieuse MSI avec options de sécurité
msiexec /i VeraCrypt_Setup_x64_1.26.24.msi /qn REBOOT=ReallySuppress MSIRESTARTMANAGERCONTROL=Disable ACCEPTLICENSE=YES

La version 1.26.24 ajoute une protection contre les captures d'écran (activée par défaut). Pour la désactiver à l'installation :

msiexec /i VeraCrypt_Setup_x64_1.26.24.msi DISABLESCREENPROTECTION=1 /qn REBOOT=ReallySuppress ACCEPTLICENSE=YES

Linux (DEB)

## Ubuntu/Debian — télécharger le .deb depuis veracrypt.io
wget https://launchpad.net/veracrypt/trunk/1.26.24/+download/veracrypt-1.26.24-Ubuntu-24.04-amd64.deb

## Installer
sudo dpkg -i veracrypt-1.26.24-Ubuntu-24.04-amd64.deb
sudo apt —fix-broken install

## Vérifier l'installation
veracrypt —version

Linux (RPM avec vérification GPG)

## Importer la clé GPG officielle
sudo rpm —import https://amcrypto.jp/VeraCrypt/VeraCrypt_PGP_public_key.asc

## Vérifier l'empreinte : 5069 A233 D55A 0EEB 174A 5FC3 821A CD02 680D 16DE

## Installer le RPM (la signature est vérifiée automatiquement)
sudo rpm -i veracrypt-1.26.24-Fedora-39-x86_64.rpm

Linux (AppImage — nouveau dans 1.26.24)

chmod +x VeraCrypt-1.26.24-x86_64.AppImage
./VeraCrypt-1.26.24-x86_64.AppImage

Benchmark des algorithmes

Avant de choisir un algorithme, mesurez les performances sur votre machine :

## Linux : benchmark en ligne de commande
veracrypt —benchmark

Sur Windows, ouvrez VeraCrypt → Outils → Test de vitesse des algorithmes.

Résultats typiques sur un CPU récent (Ryzen 7 / Core i7) :

| Algorithme | Chiffrement | Déchiffrement |

|—-|—-|—-|

| AES | ~10 Go/s | ~10 Go/s |

| Serpent | ~800 Mo/s | ~800 Mo/s |

| Twofish | ~900 Mo/s | ~900 Mo/s |

| AES-Twofish | ~900 Mo/s | ~900 Mo/s |

| AES-Twofish-Serpent | ~650 Mo/s | ~650 Mo/s |

AES reste le meilleur choix en performances grâce aux instructions AES-NI du processeur. Pour la paranoïa maximale, AES-Twofish-Serpent offre trois couches de chiffrement indépendantes.

Créer un volume chiffré en CLI

La CLI VeraCrypt permet de scripter la création et le montage de volumes.

Créer un conteneur de 5 Go

## Créer un conteneur de 5 Go en AES + SHA-512
veracrypt —text —create /chemin/vers/mon-coffre \
  —size 5G \
  —encryption AES \
  —hash SHA-512 \
  —filesystem exFAT \
  —volume-type normal \
  —pim 0 \
  —keyfiles "" \
  —random-source /dev/urandom

## VeraCrypt demandera le mot de passe de façon interactive

Monter un volume

## Monter le conteneur sur /mnt/coffre
sudo veracrypt —text /chemin/vers/mon-coffre /mnt/coffre

## Monter avec des options spécifiques
sudo veracrypt —text \
  —pim 0 \
  —keyfiles "" \
  —protect-hidden no \
  /chemin/vers/mon-coffre /mnt/coffre

Démonter

## Démonter un volume spécifique
sudo veracrypt —text —dismount /mnt/coffre

## Démonter tous les volumes
sudo veracrypt —text —dismount

Lister les volumes montés

veracrypt —text —list

PIM : renforcer la dérivation du mot de passe

Le PIM (Personal Iterations Multiplier) contrôle le nombre d'itérations de la fonction de dérivation. Par défaut :

• SHA-512 : 500 000 itérations
• SHA-256 : 200 000 itérations

Augmenter le PIM rend le brute-force plus coûteux, mais ralentit le montage.

## Créer un volume avec PIM personnalisé (ex: 485 = ~1,5x plus lent au montage)
veracrypt —text —create /chemin/coffre-pim \
  —size 2G \
  —encryption AES \
  —hash SHA-512 \
  —filesystem ext4 \
  —volume-type normal \
  —pim 485 \
  —keyfiles ""

Formule : nombre d'itérations = 15000 + (PIM × 1000) pour SHA-512.

Un PIM de 485 donne 500 000 itérations (le défaut). Monter à 1000 donne 1 015 000 itérations.

Regardez ça comme un verrou supplémentaire : le mot de passe protège le contenu, le PIM protège le mot de passe contre les attaques par force brute.

Keyfiles : authentification à deux facteurs

Un keyfile est un fichier qui s'ajoute au mot de passe. Sans les deux, impossible de monter le volume.

## Générer un keyfile aléatoire de 64 octets
dd if=/dev/urandom of=~/cle-veracrypt.key bs=64 count=1
chmod 400 ~/cle-veracrypt.key

## Créer un volume avec mot de passe + keyfile
veracrypt —text —create /chemin/coffre-2fa \
  —size 2G \
  —encryption AES \
  —hash SHA-512 \
  —filesystem ext4 \
  —volume-type normal \
  —pim 0 \
  —keyfiles ~/cle-veracrypt.key

## Monter avec le keyfile
sudo veracrypt —text \
  —keyfiles ~/cle-veracrypt.key \
  /chemin/coffre-2fa /mnt/coffre

Stockez le keyfile sur un support séparé (clé USB dédiée). Ne le gardez pas sur le même disque que le volume chiffré.

Volumes cachés (Hidden Volume)

Le volume caché est le mécanisme de déni plausible de VeraCrypt. Le principe : un volume standard en contient un autre, invisible, accessible avec un mot de passe différent.

Si quelqu'un vous force à révéler votre mot de passe, vous donnez celui du volume externe. Le volume caché reste indétectable.

## Étape 1 : créer le volume externe
veracrypt —text —create /chemin/coffre-cache \
  —size 10G \
  —encryption AES \
  —hash SHA-512 \
  —filesystem exFAT \
  —volume-type normal \
  —pim 0 \
  —keyfiles ""

## Étape 2 : créer le volume caché à l'intérieur
## Utilisez l'interface graphique pour cette étape
## VeraCrypt → Créer un volume → Volume caché → Mode direct
## Sélectionnez le conteneur créé à l'étape 1
## Le volume caché occupera une partie de l'espace du volume externe

Pour le montage, VeraCrypt détermine quel volume ouvrir en fonction du mot de passe fourni :

• Mot de passe A → volume externe (leurre)
• Mot de passe B → volume caché (données sensibles)

Protection du volume caché lors de l'écriture dans le volume externe :

## Monter le volume externe avec protection du volume caché
sudo veracrypt —text \
  —protect-hidden yes \
  /chemin/coffre-cache /mnt/coffre
## VeraCrypt demandera les DEUX mots de passe
## Le volume externe est monté, mais les écritures qui écraseraient le volume caché sont bloquées

Chiffrement système complet (Windows uniquement)

VeraCrypt peut chiffrer la partition Windows entière. Le PC démarre sur un écran VeraCrypt qui demande le mot de passe avant de charger Windows.

1. Ouvrez VeraCrypt → Système → Chiffrer la partition/le lecteur système
2. Choisissez « Normal » (ou « Caché » pour le déni plausible)
3. Sélectionnez « Chiffrer la partition système Windows »
4. Algorithme : AES + SHA-256 (SHA-512 non disponible pour le chiffrement système)
5. Définissez votre mot de passe
6. Créez le disque de secours — obligatoire. Gravez-le sur USB.
7. Mode d'effacement : « Aucun » (le plus rapide)
8. Lancez le test de pré-amorçage : le PC redémarre et vous devez taper votre mot de passe
9. Si le test réussit, lancez le chiffrement

Le chiffrement prend entre 30 minutes et plusieurs heures selon la taille du disque. Le PC reste utilisable pendant l'opération.

Le disque de secours est vital. Si le bootloader VeraCrypt est corrompu, c'est le seul moyen de récupérer vos données.

Automatisation du montage

Script bash (Linux)

#!/bin/bash
## mount-coffre.sh — Monte le volume chiffré au login
## Placer dans ~/.local/bin/ et ajouter aux applications au démarrage

CONTAINER="/home/$USER/Documents/coffre.vc"
MOUNTPOINT="/mnt/coffre"
KEYFILE="/media/$USER/cle-usb/veracrypt.key"

## Vérifier que le keyfile est accessible
if [ ! -f "$KEYFILE" ]; then
    notify-send "VeraCrypt" "Clé USB non détectée. Volume non monté."
    exit 1
fi

## Créer le point de montage si nécessaire
sudo mkdir -p "$MOUNTPOINT"

## Monter le volume (le mot de passe sera demandé par zenity)
PASSWORD=$(zenity —password —title="VeraCrypt - Mot de passe")

if [ -z "$PASSWORD" ]; then
    exit 1
fi

echo "$PASSWORD" | sudo veracrypt —text —stdin \
    —keyfiles "$KEYFILE" \
    —pim 0 \
    —protect-hidden no \
    "$CONTAINER" "$MOUNTPOINT"

if [ $? -eq 0 ]; then
    notify-send "VeraCrypt" "Volume monté sur $MOUNTPOINT"
else
    notify-send "VeraCrypt" "Erreur de montage. Vérifiez le mot de passe."
fi

Script PowerShell (Windows)

## Mount-Coffre.ps1 — Monte un volume VeraCrypt
## Ajouter au planificateur de tâches pour montage au login

$VeraCryptPath = "C:\Program Files\VeraCrypt\VeraCrypt.exe"
$Container = "D:\coffre.vc"
$DriveLetter = "V"
$KeyFile = "E:\veracrypt.key"  # E: = clé USB

## Vérifier que le keyfile est accessible
if (-not (Test-Path $KeyFile)) {
    Write-Host "Clé USB non détectée. Abandon."
    exit 1
}

## Monter le volume (le mot de passe sera demandé par VeraCrypt)
& $VeraCryptPath /q /v $Container /l $DriveLetter /k $KeyFile /a

Démontage automatique à la fermeture de session (Linux)

## Ajouter dans /etc/systemd/system/veracrypt-dismount.service
[Unit]
Description=Démonte les volumes VeraCrypt à l'arrêt
DefaultDependencies=no
Before=shutdown.target reboot.target halt.target

[Service]
Type=oneshot
ExecStart=/usr/bin/veracrypt —text —dismount
RemainAfterExit=yes

[Install]
WantedBy=halt.target reboot.target shutdown.target

Activation :

sudo systemctl enable veracrypt-dismount.service

Hardening sécurité

Protection mémoire (Windows)

VeraCrypt 1.26.24 inclut une protection mémoire qui empêche d'autres processus de lire les clés de chiffrement en RAM. Activée par défaut. Vérifiez dans Paramètres → Performance/Configuration du pilote → « Activer la protection de la mémoire ». Ne désactivez cette option que si vous rencontrez des incompatibilités logicielles.

Protection anti-capture d'écran (Windows — nouveau 1.26.24)

La fenêtre VeraCrypt est protégée contre les captures d'écran et l'enregistrement d'écran. Activée par défaut. Configurable via le même menu.

Recommandations système

## Linux : verrouiller les fichiers swap (qui pourraient contenir des données déchiffrées)
## Vérifier si le swap est chiffré
swapon —show
cat /etc/crypttab | grep swap

## Si le swap n'est pas chiffré, désactivez-le ou chiffrez-le
## Option 1 : désactiver le swap
sudo swapoff -a
## Commenter la ligne swap dans /etc/fstab pour rendre permanent

## Option 2 : swap chiffré avec clé aléatoire (recréé à chaque boot)
## Dans /etc/crypttab :
## cryptswap /dev/sdXN /dev/urandom swap,cipher=aes-xts-plain64,size=256

Paramètres recommandés

| Paramètre | Valeur recommandée | Raison |

|—-|—-|—-|

| Algorithme | AES ou AES-Twofish-Serpent | AES-NI rapide / triple couche |

| Hash | SHA-512 | Plus robuste que SHA-256 |

| PIM | ≥ 485 (défaut) | 500k+ itérations PBKDF2 |

| Taille mot de passe | ≥ 20 caractères | Résistance brute-force |

| Keyfile | Oui, sur support séparé | Double facteur |

| Swap chiffré | Oui | Empêche les fuites RAM → disque |

Dépannage

« Incorrect password or not a VeraCrypt volume »

• Vérifiez la casse du mot de passe (Caps Lock ?)
• Si vous utilisez un PIM personnalisé, renseignez-le dans le champ PIM
• Si vous utilisez un keyfile, sélectionnez le bon fichier
• Essayez en mode « TrueCrypt » si le volume a été créé avec TrueCrypt

« Failed to obtain administrator privileges »

## Linux : vérifier que votre utilisateur est dans le groupe sudo
groups $USER

## Lancer explicitement avec sudo
sudo veracrypt —text /chemin/volume /mnt/point

Le montage est très lent

Un PIM élevé ralentit le montage. Avec PIM 485 (défaut), comptez 3-10 secondes selon le CPU. PIM 1000 peut prendre 20-30 secondes. Vérifiez que AES-NI est activé :

## Linux : vérifier le support AES-NI
grep -o aes /proc/cpuinfo | head -1

## Si rien ne s'affiche, AES-NI n'est pas disponible
## Les performances AES seront 10x plus lentes

Conflit avec BitLocker (Windows)

VeraCrypt et BitLocker ne peuvent pas chiffrer la même partition. Si BitLocker est actif, désactivez-le d'abord :

## Vérifier l'état BitLocker
manage-bde -status

## Désactiver BitLocker sur C:
manage-bde -off C:

Le volume ne monte pas après une mise à jour kernel (Linux)

Le module FUSE peut avoir été recompilé. Réinstallez VeraCrypt :

sudo apt install —reinstall veracrypt

Ressources

• Documentation officielle : veracrypt.io/en/Documentation.html
• Code source : github.com/veracrypt/VeraCrypt
• Audit de sécurité OSTIF/QuarksLab (2016) : pas de backdoor détectée, failles corrigées dans les versions ultérieures
• Page de téléchargement : veracrypt.io/en/Downloads.html