Pour répondre à ce genre de préoccupation, les bénévoles de Linux Quimper qui participent à la distribution d’ordinateurs reconditionnés sous Linux au Centre des Abeilles, ont décidé depuis quelques années de systématiquement formater les ordis avec Dban ou Shredos avant de cloner la distribution Ubuntu 22.04 actuellement.
1 « J'aime »
D’après eux il faudrait faire des installations chiffrées.
Chiffrer les disques dès l’installation du système d’exploitation
Il est recommandé de chiffrer l’intégralité des disques, dès l’installation du système
d’exploitation, pour assurer la confidentialité des données
(je trouve qu’ils abusent dans le sens qu’ils abordent plein de cas « possibles mais compliqués » quand juste fournir un système préinstallé comme le fait Linux Quimper en intégrant un mouchard est faisable par n’importe quel étudiant de première année en une soirée - quelque part c’est plus un problème de confiance que de méthodologie du reconditionneur : c’est lui qui a le plus de pouvoir dans l’affaire)
Et ils ont absolument raison. Il me paraît impensable de céder du matériel usagé à un reconditionneur s’il existe un risque que cette entité puisse accéder aux données qui y ont été stockées. Le chiffrement systématique du disque est une solution pragmatique au problème de l’oubli des données.
Ce n’est pas à Linux Quimper que ce guide s’adresse :
Ce guide s’adresse aux différentes entités de l’État concernées par la loi AGEC ainsi qu’aux entités
à la recherche de recommandations de sécurité concernant :
- l’acquisition et l’usage d’ordinateurs de bureau ou portables reconditionnés ;
- la cession d’ordinateurs de bureau ou portables.
Pour le reste, l’ANSSI publie régulièrement des recommandations tout à fait raisonnables. Il ne fait pas de mal de se tenir à jour 
1 « J'aime »
Une installation chiffrée de Ubuntu ou Debian pour ce que j’en ai vu, demande de passer par la ligne de commande pour modifier les phrases de passe ce qui n’est pas simple. Je suppose qu’il doit être possible de trouver un joli script mais ça complique quand même la gestion des mots de passe car il y a ceux du chiffrement et ceux des utilisateurs. De plus il peut y avoir plusieurs phrases de passe pour le chiffrement. Il ne faut donc pas laisser traîner ceux de l’installateur
A priori, non : Change Disk Encryption Passphrase - Nitrokey Documentation
Une piste peut-être : générer des passphrases à base de mots du dictionnaire.
A good way to make your password difficult to crack is by combining three random words to create a password (for example applenemobiro). […] By using a password that’s made up of three random words, you’re creating a password that will be ‘strong enough’ to keep the criminals out, but easy enough for you to remember.
Le premier site que j’ai trouvé en cherchant « générer mots aléatoires » :
- Chiffrer ses données.
- mots de passe complexes.
- ou gestionnaire de mots de passe (complexes).
Bonnes idées, mais en pratique tout ça a un coût en énergie personnelle, que je ne me fatigue pas à utiliser.
Il faut aussi tenir compte qu’il sera bien difficile à faire accepter « ça » à nos clients habituels. Car si nous nous interrogeons sur le sujet, que sera-ce pour eux ?
Le problème c’est l’accés aux données existantes sur le disque dur quand on nous les donne.
Ce genre d’article peut rendre fébrile certains donnateurs et les faire enlever leurs disques durs avant de nous donner les machines. ça compliquerait grandement notre tache.
2 « J'aime »
Merci, je ne connaissais pas
En ligne de commande avec cryptsetup, lorsqu’on crée une phrase de passe on ne supprime pas pour autant les autres phrases de passe qui restent utilisables. Avec Disk je n’ai pas pu voir si c’est aussi le cas ?
maj : j’ai fait l’essai. Disk remplace la phrase de passe initiale. Il reste que pour des personnes pas intéressées par la protection de leurs données personnelles ou ayant des compétences informatiques rudimentaires gérer deux mots de passe devient compliqué…
Il n’y a pas de mots aléatoires en breton 
- Breton : il suffit de choisir des termes bretons et de es charcuter à la française ou à l’anglaise…
- J’aime bien le finnois. Je connais trois mots. Exemple :
Totalement d’accord avec toi. J’avais déjà expliqué ce genre de chose à des gens qui avaient ensuite insisté pour détruire eux-même leur disque dur plutôt que de le donner T_T
Je suis totalement pour la parano, mais comme toujours la sécurité n’a pas grand intérêt sans modèle de menace (de qui / de quoi on se protège et pourquoi on m’attaquerai). - Et à mon sens il vaut mieux statistiquement que les gens sachent qu’ils ne peuvent pas se fier à du logiciel proprio (ce qui est une pratique massive) qu’à l’infime pourcentage de chance que la CIA ait mis une taupe sur leur ordi de recup / qu’un hacker ait dé-rippé leur disque dur pour en extraire un numéro de carte bleu qui n’a jamais été enregistré de toute façon mais qu’en théorie tout est possible - parce qu’on parle d’informatique et qu’y a rien d’impossible ~
Le chiffrage du disque est une bonne idée pour les gens qui en veulent - mais il faut aussi qu’ils entendent qu’ils perdront tout s’ils oublient leur mot de passe - et que ça ne les protège de rien d’autre qu’une saisie du matériel quand l’ordi est éteint (s’il était allumé ça change rien que ce soit chiffre ou non >_>). Quelque part le prix de la parano est un certain inconfort d’utilisation - ou une chimère si on mets des dispositifs qui en pratique n’ont aucun sens parce qu’on ne sait pas de quel scénario ils nous protègent ou pas. Ou on se retrouve à voir des gens sous Tor se logger à leur compte facebook (je crois qu’on peut plus depuis longtemps mais c’est pour illustrer :p).
Je comprends le responsable d’un parc informatique d’une administration ou d’une entreprise qui détruit les disques durs même si c’est une solution de facilité cela reste aussi une solution de sécurité
Pour le chiffrement, c’est une solution bien pratique pour un ordi portable qu’on trimbale partout et que l’on risque d’égarer…
1 « J'aime »
Il reste une solution : utiliser des machines sans disque dur où le système d’exploitation est sur un serveur (PXE). OuinOuin supporte ça ?
Comme chez les Borgs 