Protéger son profile Thunderbird

De Framawiki.

Framatutos

Protéger son profil Thunderbird
avec Encfs

Logiciel et version : Mozilla Thunderbird
Plateforme : Linux
Domaine : Bureautique
Site du logiciel : http://www.mozillamessaging.com/en-US/

Auteur : Florian
Licence du tutoriel : CC-by-sa
Difficulté : tout public
Actualisation : à jour


Modifier

Vous utilisez Thunderbird sous Linux et vous cherchez comment protéger votre profile ? Vous aviez entendu parler de l'extension "ProfilePassword" mais la phrase "It must be clear that for the characteristics of Thunderbird, a protection like this is very tiny and a smart user can bypass it easily" vous a rebuté ? Ne cherchez plus, la solution est là !

Sommaire

But du tutoriel

En plus de vous permettre de protéger votre profile Thunderbird, vous allez apprendre comment utiliser Encfs pour crypter vos documents et comprendre ce qu'est un script et comment il fonctionne.

Qu'est ce que Encfs ?

La description de la documentation francophone d'Ubuntu le présente déjà très bien :

"Vous souhaitez conserver des données sensibles et/ou privées, mais sans chiffrer tout votre disque dur. Idéalement, vous voudriez pouvoir restreindre l'accès à certains répertoires seulement, par mot de passe. Les données stockées dans ce ou ces répertoire(s) seraient chiffrées et accessibles uniquement après authentification.

EncFS permet de réaliser cela très simplement. Pour ce faire, vous allez utiliser deux répertoires :

  1. un premier répertoire dans lequel seront stockées les données chiffrées ("source directory") ;
  2. un second répertoire dans lequel vous pourrez créer des données en clair, après authentification ("mount directory").

L'idée est la suivante : vous donnez temporairement accès au second répertoire en fournissant un mot de passe (initialement choisi par vous), et créez vos données en clair dans ce répertoire. Ensuite, vous refermez l'accès à ce répertoire. EncFS s'occupe de "copier" les données du second répertoire (accès temporaire) vers le premier (stockage permanent), tout en les chiffrant. Après avoir fermé l'accès au second répertoire, ce dernier apparaît vide, tandis que le premier répertoire contient les fichiers chiffrés, donc inaccessibles. Pour pouvoir de nouveau modifier les données conservées dans le répertoire de stockage, il faut redonner accès par mot de passe au second répertoire, qui sert donc de répertoire de travail.

Note technique : EncFS gère donc des couples de fichiers « en clair / chiffré ». Dans le répertoire de stockage, les noms de fichiers sont par ailleurs chiffrés. Les avantages d'EncFS par rapport aux autres programmes de chiffrement de données sont principalement sa simplicité et sa souplesse d'utilisation. Voyez en fin de page les avantages/défauts courants."

Dans notre cas, nous allons adapter Encfs pour que le dossier clair soit celui du profile. Le dossier crypté sera choisi arbitrairement.

Installation des paquets

Si ce n'est pas déjà fait, installer Thunderbird (paquet "thunderbird"). Il faut aussi installer Encfs (paquets "fuse-utils" et "encfs"). Les dépendances nécessaires seront installées automatiquement. Lancer dans un terminal en mode super-utilisateur la commande suivante (précédé de "sudo" si vous êtes sous Ubuntu) :

apt-get install thunderbird fuse-utils encfs

Sauvegarde du profile

Cette partie ne vous concerne uniquement si vous aviez déjà créé un profile avec Thunderbird !

Il va falloir supprimer le dossier du profile afin de créer le couple de dossier.

Méthode graphique

Aller dans votre dossier personnel, et faites apparaitre les fichiers cachés (menu affichage dans Nautilus). Renommez le dossier .thunderbird en thunderbird_save par exemple.

En ligne de commandes

mv ~\.thunderbird ~\.thunderbird_save

Création des répertoires

Le répertoire clair est forcément .thunderbird, puisque c'est le dossier du profile. On nommera le dossier de cryptage .thunderbird_crypted. La commande pour créer les répertoires est :

encfs /home/$USER/.thunderbird_crypted/ /home/$USER/.thunderbird/

Explication : encfs est le nom du programme. Il est suivi du chemin du dossier crypté puis de celui du dossier clair.

Validez la création des dossiers. Choisissez ensuite le mode paranoïaque et définissez votre mot de passe.

Vérifiés que les deux dossiers ont bien été créés. Le dossier .thunderbird doit être un volume monté.

Copie du profile

Cette partie ne vous concerne uniquement si vous aviez déjà créé un profile avec Thunderbird !

Déplacez maintenant la sauvegarde que vous aviez faites de votre profile dans le volume .thunderbird (cette sauvegarde doit se trouver dans le dossier thunderbird_save si vous avez exactement suivi les instructions depuis le début).

En ligne de commandes

mv ~/.thunderbird_save/* ~/thunderbird/

Création du script

Commencez par démonter le volume .thunderbird avec la commande :

fusermount -u /home/$USER/.thunderbird/

La commande pour remonter le volume est la même que celle pour le créer, c'est à dire :

encfs /home/$USER/.thunderbird_crypted/ /home/$USER/.thunderbird/

L'objectif va être d'automatisé le montage du volume crypté lorsqu'on ouvre Thunderbird et le démontage à la fermeture. On va donc créer un scipt qui va s'en charger.

On va créer un dossier qui contiendra les programmes/script qui n'ont pas été installés et mais qui sont couramment utilisés, par exemple ~/.local/bin ("~" indique l'emplacement du dossier personnel). Il faut ensuite déclarer le répertoire dans le PATH. Pour ce faire, éditez le fichier ~/.bashrc et ajouter la ligne

export PATH="~/.local/bin:$PATH"

Sauvegardez puis déconnectez-vous de la session et rouvrez la afin que les modifications soient prisent en compte..

Le script exécutera chaque tâche qu'on lui indiquera dès que la précédente sera terminée. On va donc lui en indiquer trois :

  1. monter le profile s'il ne l'est pas déjà
  2. lancer Thunderbird si le mot de passe donner est correct
  3. démonter le profile à la fermeture de Thunderbird

Pour cela, créez le script dans le dossier ~/.local/bin avec votre éditeur de texte préféré. On l'appellera thunderbird_crypted. Collez-y les lignes suivantes :

#!/bin/sh

mount=$(mount | grep "~/.thunderbird")

if [ -n "$mount" ] ; then

  exit 1 # Le répertoire de destination est déjà monté

fi

# on tente de monter le profile

gksudo -p -m "Entrez le mot de passe" | encfs -S /home/$USER/.thunderbird_crypted ~/.thunderbird

if [ "$?" -eq 0 ] ; then

  #si le mot de passe est correct alors on lance Thunderbird

  /usr/bin/thunderbird

  # on démonte le profile

  fusermount -u ~/.thunderbird

fi

Merci à Téthis pour ce script très complet.

Remarque : la commande "gksudo -p -m "Entrez le mot de passe"" va permettre d'afficher une boite de dialogue pour taper le mot de passe, c'est quand même plus esthétique que le terminal ! "Entrez le mot de passe" sera le titre de cette boite de dialogue.

In fine, il faut rendre le script exécutable : si vous utilisez Nautilus, faites un clic droit sur le fichier et allez dans propriétés. Dans l'onglet "Permissions", cochez "autoriser l'exécution du fichier comme un programme".

Création du lanceur

Sous GNOME (Ubuntu)

Clic droit sur le menu 'applications" puis sélectionnez "éditer les menus". Dans l'onglet "Internet" ajouter un lanceur. Dans le champ "commande" mettez "/home/$USER/.local/bin/thunderbird_crypted". Complétez les autres champs et l'icône comme vous le voulez. Vous pouvez éventuellement masquer Thunderbird en le décochant.

Voilà, le lanceur apparait maintenant dans la catégorie "Internet" du menu "Applications". En l'utilisant, il vous est normalement demandé le mot de passe que vous avez choisi précédemment. Vérifier bien que le volume se monte à l'ouverture et se démonte à la fermeture de Thunderbird.

De manière générale

Il faut copier le fichier /usr/share/applications/thunderbird.desktop dans ~/.local/share/applications/ et modifier la clef Exec= du fichier fraîchement copié de manière à ce que ce soit le nom du script qui apparaisse.


Framasoft : http://www.framasoft.net

La route est longue, mais la voie est libre.