Chiffrer vos fichiers Nextcloud sur le serveur

Nextcloud inclut une application de chiffrement côté serveur, et lorsqu’elle est activée par votre administrateur Nextcloud, tous vos fichiers Nextcloud sont automatiquement chiffrés sur le serveur. Le chiffrement s’applique à l’ensemble du serveur, de sorte que lorsqu’il est activé vous ne pouvez pas refuser de chiffrer un fichier. Vous n’avez rien à faire de spécial, car il utilise vos identifiants Nextcloud comme mot de passe pour votre clé privée de chiffrement unique. Il vous suffit de vous connecter et de vous déconnecter, ensuite vous gérez et partagez vos fichiers comme vous le faites normalement. Vous pourrez toujours changer votre mot de passe quand vous le souhaiterez.

Son objectif principal est d’encrypter les fichiers sur des stockages externes connectés à votre serveur Nextcloud. Ceci est une manière simple et sans couture de protéger vos fichiers sur les services distants de stockage. Vous pouvez partager les fichiers distants à travers Nextcloud de la manière usuelle, en revanche, vous ne pouvez pas partager vos fichiers encryptés directement à partir de vos services distants de stockage utilisés, car les clés de cryptage sont stockées sur le serveur Netxcloud, et ne sont jamais accessibles par les fournisseurs de services.

Si votre serveur Nextcloud n’est pas connecté à un service de stockage externe, alors il est préférable d’utiliser une autre forme de chiffrement, par exemple en chiffrant directement les fichiers ou le disque dur. En effet, les clés étant conservées sur le serveur Netxcloud, quelqu’un ayant les droits d’aministration pourrait subtiliser la clé et accéder à vos fichiers. (Lisez le chiffrement dans Nextcloud pour en savoir plus.)

Questions récurrentes sur le chiffrement

Comment enlever la fonctionnalité de chiffrement ?

The only way to disable encryption is to run the « decrypt all » script, which decrypts all files and disables encryption.

Est-il possible de désactiver le chiffrement avec la clef de récupération ?

Oui, si chaque utilisateur utilise “la clé de resturation de fichier <https://docs.nextcloud.com/server/latest/admin_manual/configuration_files/encryption_configuration.html#enabling-users-file-recovery-keys>`_, « decrypt all » l’utilisera pour le décryptage de tous les fichiers.

Est-ce que le chiffrement peut être désactivé sans le mot de passe de l’utilisateur ?

If you don’t have the users password or file recovery key, then there is no way to decrypt all files. What’s more, running it on login would be dangerous, because you would most likely run into timeouts.

Est-il prévu d’activer le chiffrement à la prochaine connexion de l’utilisateur ou en temps que tâche de fond ?

Si on fait ça, alors on devrait stocker le nom d’utilisateur ou le mot de passe dans la base de donnée ce qui pose un problème de sécurité, donc rien de tel n’est prévu.

Est-ce qu’il est possible de partager la clé de récupération dans un groupe ?

Si cela veut dire ajouter des utilisateurs à un groupe et espérer que ça fonctionne magiquement, non. Ça ne fonctionne qu’avec la clé maitresse.

Utilisation du chiffrement

Le chiffrement dans Nextcloud est plutôt transparent une fois activé et vous n’aurez plus à vous en soucier, mais il y a quelques options que vous pouvez utiliser.

When your Nextcloud admin enables encryption for the first time, you must log out and then log back in to create your encryption keys and encrypt your files. When encryption has been enabled on your Nextcloud server you will see a yellow banner on your Files page warning you to log out and then log back in:

../../_images/encryption1.png

Une fois que vous vous reconnectez, il faut attendre quelques minutes, dépendant du nombre de fichiers que vous avez, ensuite, l’écran revient à la page Nextcloud par défaut.

../../_images/encryption2.png

Note

Vous ne devez jamais perdre votre mot de passe Nextcloud, sans celui-ci vous perdrez l’accès à vos fichiers. Il y a cependant une option facultative de récupération que votre administrateur Nextcloud peut activer, voyez la section “mot de passe de clé de récupération” (ci-dessous) pour en savoir plus.

Partage de fichiers chiffrés

Seuls les utilisateurs qui ont des clés privées de chiffrement ont accès aux fichiers et dossiers chiffrés partagés. Les utilisateurs qui n’ont pas encore créé leurs clés n’y auront pas accès, ils verront des dossiers et des noms de fichiers, mais ne pourront pas les ouvrir ni les télécharger. Un bandeau jaune les avertira : « L’application de chiffrement est activée mais vos clefs ne sont pas initialisées. Veuillez vous déconnecter et ensuite vous reconnecter. »

Les utilisateurs ayant partagé leurs fichiers devront peut-être recommencer les partages une fois que le chiffrement a été activé. Les utilisateurs essayant d’accéder aux partages verront un message leur suggérant d’avertir le propriétaire des fichiers de recommencer le partage. Pour les partages directs entre utilisateurs, désactivez puis réactivez le partage. Pour les partages avec des groupes, activez le partage avec n’importe quel utilisateur qui ne peut pas y accéder, cela va mettre à jour le chiffrement, vous pourrez ensuite retirer les partages individuels.

Mot de passe de clé de récupération

Si l’administrateur de votre instance Nextcloud a activé la possiblité d’utiliser des clés de récupération, vous pouvez utiliser cette option depuis les paramètres de votre compte. Si vous activez “récupération de mot de passe”, l’adiministrateur peut accéder à vos données grâce à un mot de passe spécial. Cette option permet à l’administrateur de récupérer vos fichiers dans le cas où vous perdez votre mot de passe Nextcloud. Si la clé de récupération n’est pas activée, alors il n’y a aucun moyen de récupérer vos fichiers si vous perdez votre mot de passe de connexion.

../../_images/encryption3.png

Fichiers qui ne sont pas chiffrés

Seul les données contenues dans les fichiers sont chiffrées, leurs noms ou l’arborescence de dossiers et fichiers ne le sont pas. Ces fichiers ne sont jamais chiffrés :

  • Les vieux fichiers se trouvant dans la corbeille.

  • Les vignettes des images de l’application “Galerie”.

  • Les prévisualisations de l’application “Fichiers”.

  • L’index des fichiers construit par l’application de recherche intégrale.

  • Les données d’applications tierces.

Seulement les fichiers partagés avec des fournisseurs externes de stockage peuvent être encryptés, le reste des fichiers ne peuvent l’être.

Changer le mot de passe de la clef privée

Cette option n’est disponible que si le mot de passe du cryptage n’a pas été changé par l’administrateur, mais seulement le mot de passe de connexion. Ceci peut se produire si votre fournisseur Nextcloud utilise a back-end “par exemple, LDAP) et a changé votre mot de passe en utilisant la configuration du back-end. Dans ce cas, vous pouvez établir votre mot de passe de cryptage par le nouveau mot de passe en fournissant l’ancien et le nouveau mot de passe. L’application de cryptage ne fonctionne que si vos mots de passe de connexion et de cryptage sont identiques.