Principe de fonctionnement

EncFS chiffre / déchiffre à la volée des données d'un répertoire en clair vers / depuis  un répertoire chiffré dédié à partir duquel il est monté.

Dans la pratique imaginons que vous désiriez protéger des données sensibles sur Dropbox. Avec EncFS vous créerez un (ou plusieurs) répertoire(s) chiffré(s) (par ex: ~/Dropbox/Private) auquel vous accéderez à travers un répertoire en clair monté en local dans l'espace utilisateur (par ex: ~/Secret). Quand celui-ci est démonté il apparaît vide.

Avantages et limitations

Contrairement à Truecrypt EncFS n'utilise pas de conteneur et chiffre directement les fichiers. En matière de sauvegardes incrémentielle et de synchronisation c'est clairement un avantage : il n'est pas nécessaire de transférer tout le conteneur à chaque écriture. Par contre cela a quelques inconvénients :

  • Cela ne permet pas le déni plausible (cacher un conteneur dans un autre).
  • le dossier de stockage est visible et si le nom des fichiers est caché le nombre de fichiers, leur taille et les droits d'accès ne le sont pas.
  • Selon un audit du 5 février 2014

    "EncFS est probablement sans danger tant que l'adversaire n'obtient qu'une copie du texte chiffré et rien de plus. Il est bien moins sûr si l'adversaire a la possibilité de voir deux ou plusieurs instantanés du texte chiffré à des moments différents"

Bref, si votre besoin est ne mettre les données de votre organisation syndicale ou politique à l'abri de la NSA, EncFS sera clairement un outil insuffisant. Par contre si vous souhaitez seulement protéger vos données personnelles de votre employeur, ou les photos de votre petite amie des paparazzi, cela devrait parfaitement convenir.

Installation et mise en œuvre

Les principales distributions comprennent généralement un paquet de EncFS. Les dépendances (essentiellement fuse) seront automatiquement installées si besoin.

Pour Debian et dérivées
$ sudo apt-get install encfs
Il est semble-t-il nécessaire que l'utilisateur appartienne au groupe fuse
sudo addgroup $USER fuse

Pour Archlinux il est dans le dépot community
$ yaourt -Sy encfs (ou $ sudo pacman -Sy encfs)

Il suffit ensuite d'évoquer encfs pour créer le système de fichier proprement dit ainsi que son point de montage en clair. Si les dossiers n'existent pas il vous sera proposé de les créer (ce qui est une bonne idée).
encfs ~/repertoire/chiffré ~/point/de/montage/en/clair
Dans notre exemple :
encfs ~/Dropbox/Private ~/Secret

On acceptera ensuite les valeurs proposées, par défaut, notamment l'option paranoïa (sinon man encfs pour plus d'option). Puis on prendra le plus grand soin à choisir un mot de passe unique, suffisamment long et compliqué.

Une fois les dossiers créés c'est la même commande (encfs ~/repertoire/chiffré ~/point/de/montage/en/clair) qui permettra le montage du répertoire. Pour le démonter on en utilisera une autre, bien connue des utilisateurs de fuse : fusermount -u /point/de/montage/en/clair.

Interface graphique

Une petite application bien sympathique permet de gérer ceci graphiquement, Cryptkeeper. Elle est présente dans Archlinux (AUR), dans les Debian et dérivées et se loge tout simplement dans la zone de notification (systray)

Une fenêtre des préférences (clic droit) permet de régler quelques paramètres.

(1) ex-secrétaire d'État américaine sous George Bush, impliquée dans les écoutes de la NSA et dans les actes de torture pendant la guerre en Irak.