Chiffrer vos fichiers Nextcloud sur le serveur

Nextcloud inclut une application de chiffrement côté serveur, et lorsqu’elle est activée par votre administrateur Nextcloud, tous vos fichiers Nextcloud sont automatiquement chiffrés sur le serveur. Le chiffrement s’applique à l’ensemble du serveur, de sorte que lorsqu’il est activé vous ne pouvez pas refuser de chiffrer un fichier. Vous n’avez rien à faire de spécial, car il utilise vos identifiants Nextcloud comme mot de passe pour votre clé privée de chiffrement unique. Il vous suffit de vous connecter et de vous déconnecter, ensuite vous gérez et partagez vos fichiers comme vous le faites normalement. Vous pourrez toujours changer votre mot de passe quand vous le souhaiterez.

Son objectif principal est de chiffrer les fichiers sur des stockages externes connectés à votre serveur Nextcloud. Ceci est une manière simple et sans couture de protéger vos fichiers sur les services distants de stockage. Vous pouvez partager les fichiers distants à travers Nextcloud de la manière usuelle, en revanche, vous ne pouvez pas partager vos fichiers chiffrés directement à partir de vos services distants de stockage utilisés, car les clés de chiffrement sont stockées sur le serveur Netxcloud, et ne sont jamais accessibles par les fournisseurs de services.

Si votre serveur Nextcloud n’est pas connecté à un service de stockage externe, alors il est préférable d’utiliser une autre forme de chiffrement, par exemple en chiffrant directement les fichiers ou le disque dur. En effet, les clés étant conservées sur le serveur Netxcloud, quelqu’un ayant les droits d’aministration pourrait subtiliser la clé et accéder à vos fichiers. (Lisez le chiffrement dans Nextcloud pour en savoir plus.)

Questions récurrentes sur le chiffrement

Comment enlever la fonctionnalité de chiffrement ?

La seule manière de désactiver le chiffrement est d’exécuter le script « decrypt all » (tout déchiffrer), qui déchiffre tous les fichiers et désactive le chiffrement.

Est-il possible de désactiver le chiffrement avec la clef de récupération ?

Oui, si chaque utilisateur utilise “la clé de restauration de fichier <https://docs.nextcloud.com/server/latest/admin_manual/configuration_files/encryption_configuration.html#enabling-users-file-recovery-keys>`_, « decrypt all » l’utilisera pour le chiffrement de tous les fichiers.

Est-ce que le chiffrement peut être désactivé sans le mot de passe de l’utilisateur ?

Si vous n’avez pas le mot de passe utilisateur ou le fichier-clé de restauration, alors c’est impossible de déchiffrer tous les fichiers. De plus, le forcer sur la page de connexion est dangereux car vous vous heurterez aux délais d’attente entre les tentatives.

Est-il prévu d’activer le chiffrement à la prochaine connexion de l’utilisateur ou en temps que tâche de fond ?

Si on fait ça, alors on devrait stocker le nom d’utilisateur ou le mot de passe dans la base de donnée ce qui pose un problème de sécurité, donc rien de tel n’est prévu.

Est-ce qu’il est possible de partager la clé de récupération dans un groupe ?

Si cela veut dire ajouter des utilisateurs à un groupe et espérer que ça fonctionne magiquement, non. Ça ne fonctionne qu’avec la clé maitresse.

Utilisation du chiffrement

Le chiffrement dans Nextcloud est plutôt transparent une fois activé et vous n’aurez plus à vous en soucier, mais il y a quelques options que vous pouvez utiliser.

Quand votre administrateur Nextcloud active le chiffrement pour la première fois, vous devez vous déconnecter puis vous reconnecter pour créer les clés de chiffrement et chiffrer vos fichiers. Une fois que le chiffrement a été activé sur votre serveur Nextcloud, vous verrez une bannière jaune sur la page Fichiers vous demandant de vous déconnecter puis vous reconnecter.

../../_images/encryption1.png

Une fois que vous vous reconnectez, il faut attendre quelques minutes, dépendant du nombre de fichiers que vous avez, ensuite, l’écran revient à la page Nextcloud par défaut.

../../_images/encryption2.png

Note

Vous ne devez jamais perdre votre mot de passe Nextcloud, sans celui-ci vous perdrez l’accès à vos fichiers. Il y a cependant une option facultative de récupération que votre administrateur Nextcloud peut activer, voyez la section “mot de passe de clé de récupération” (ci-dessous) pour en savoir plus.

Partage de fichiers chiffrés

Seuls les utilisateurs qui ont des clés privées de chiffrement ont accès aux fichiers et dossiers chiffrés partagés. Les utilisateurs qui n’ont pas encore créé leurs clés n’y auront pas accès, ils verront des dossiers et des noms de fichiers, mais ne pourront pas les ouvrir ni les télécharger. Un bandeau jaune les avertira : « L’application de chiffrement est activée mais vos clefs ne sont pas initialisées. Veuillez vous déconnecter et ensuite vous reconnecter. »

Les utilisateurs ayant partagé leurs fichiers devront peut-être recommencer les partages une fois que le chiffrement a été activé. Les utilisateurs essayant d’accéder aux partages verront un message leur suggérant d’avertir le propriétaire des fichiers de recommencer le partage. Pour les partages directs entre utilisateurs, désactivez puis réactivez le partage. Pour les partages avec des groupes, activez le partage avec n’importe quel utilisateur qui ne peut pas y accéder, cela va mettre à jour le chiffrement, vous pourrez ensuite retirer les partages individuels.

Mot de passe de clé de récupération

Si l’administrateur de votre instance Nextcloud a activé la possiblité d’utiliser des clés de récupération, vous pouvez utiliser cette option depuis les paramètres de votre compte. Si vous activez “récupération de mot de passe”, l’adiministrateur peut accéder à vos données grâce à un mot de passe spécial. Cette option permet à l’administrateur de récupérer vos fichiers dans le cas où vous perdez votre mot de passe Nextcloud. Si la clé de récupération n’est pas activée, alors il n’y a aucun moyen de récupérer vos fichiers si vous perdez votre mot de passe de connexion.

../../_images/encryption3.png

Fichiers qui ne sont pas chiffrés

Seul les données contenues dans les fichiers sont chiffrées, leurs noms ou l’arborescence de dossiers et fichiers ne le sont pas. Ces fichiers ne sont jamais chiffrés :

  • Les vieux fichiers se trouvant dans la corbeille.

  • Les vignettes des images de l’application “Galerie”.

  • Les prévisualisations de l’application “Fichiers”.

  • L’index des fichiers construit par l’application de recherche plein texte.

  • Les données d’applications tierces.

Seulement les fichiers partagés avec des fournisseurs externes de stockage peuvent être chiffrés, le reste des fichiers ne peuvent l’être.

Changer le mot de passe de la clef privée

Cette option n’est disponible que si le mot de passe de chiffrement n’a pas été modifié par l’administrateur, mais seulement le mot de passe de connexion. Ceci peut se produire si votre fournisseur Nextcloud utilise a back-end “par exemple, LDAP) et a changé votre mot de passe en utilisant la configuration du back-end. Dans ce cas, vous pouvez établir votre mot de passe de chiffrement par le nouveau mot de passe en fournissant l’ancien et le nouveau mot de passe. L’application de chiffrement ne fonctionne que si vos mots de passe de connexion et de chiffrement sont identiques.