J’aurais du être plus explicite des le début désolé,
Il ne suffit pas de chiffrer la clé ( via cryptsetup par exemple ) et de mettre le Grub sur la clé par le biais de la méthode qui était destiné à être utilisé juste qu’ici ?
chiffrer la clé et mettre GRUB dessus ne chiffrera que GRUB, pas ce que contient ton PC…
SI par exemple je veux être malveillant et que j’ai un accès physique à ton PC, qu’est ce qui m’empêche de le démarrer avec ma propre clé USB contenant un installateur quelconque (Debian par exemple), de rentrer dans un shell sans faire quelconque installation que ce soit, monter les partitions de ton PC dans un dossier et les lire…? Rien.
Oui justement c’est simplement ça que je ne sais pas faire, en gros chiffrer le dossier systeme ou même /var où tmp c’est bon j’ai réussit .Mais c’est mettre le GRUB sur la clée que je ne sais pas faire étant donné ce problème avec /target …
Quand j’ai dit sa en faite c’était au cas où il y ai des manipulations à faire qui m’était inconnu ( autre que mettre le GRUB sur la clé. )
Donc en fait si je comprends bien, tu as une installation de Debian sur ton PC qui est chiffrée, et tu veux démarrer cette installation avec une clé USB sur laquelle tu mettras GRUB?
Si ton disque est déjà chiffré tu n’as aucun intérêt à mettre GRUB sur une clé USB.
Par contre dans le cas d’un chiffrement entier du disque PC avec cryptsetup, tu as le choix entre rentrer un mot de passe au démarrage, mettre un fichier de déchiffrement sur support amovible (clé USB, carte SD), ou bien déchiffrer le disque avec un fichier situé sur le disque lui-même (cette dernière méthode est quand même la moins sécurisée apparemment).
Après en matière de chiffrement je ne suis pas un expert, je suis aussi entrain de découvrir.
Bah de ce que j’en et lu ( je ne retrouve pas les sites qui le mentionner je chercherais mieux tout à l’heure ) il y a la possibilité pour un attaquant d’installer un keylogger par le biais du GRUB afin de récupérer ensuite les mots de passes désiré .
J’ai vu cette éventualité sur divers site donc ça m’a pas l’air trop farfelu … Aprés encore une fois c’est simplement par principe et pour apprendre que je souhaite savoir le faire étant donné que je doute que quelqu’un ce donne autant de mal pour s’introduire sur mon pc surtout qui a rien d’intéressant pour un attaquant.
Mais du coup dans un cas comme ça apparemment ça réglerait le soucis, le GRUB étant sur une clé chiffrer aucun moyen pour l’attaquant d’y déposer son programme. En admettant bien sur que le reste du DD soit aussi chiffrer
Oui enfin il faut pas tomber non plus dans la paranoïa, c’est sans doute pas à la portée de tout le monde non plus, mais bon tu dois avoir tes raisons… 
Après je n’en sais pas plus sur le chiffrement, tu as du lire le sujet que j’avais ouvert (celui duquel tu as cité mon commentaire), on peut chiffrer tout le disque de manière à ce que rien ne soit accessible sans mot de passe où clé de déchiffrage, et dans ce cas dès l’allumage du PC le mot de passe ou la clé est demandée, mais je ne sais pas ce qu’il en est du chargeur d’amorçage installé dans le MBR, s’il y a moyen d’y accéder ou pas pour y mettre un keylogger… Ça dépasse mes compétences en la matière.
Et de même si tu installes GRUB sur une clé USB chiffrée, je ne sais pas si et comment le BIOS va la reconnaître comme clé bootable contenant le GRUB au démarrage pour lancer la suite étant donné que ce qu’elle contient est chiffré, si tu comprends ce que je veux dire… Là-dessus aussi mes connaissances sont limitées.
Si quelqu’un de plus expérimenté passe par là il pourra t’aider davantage.
Au contraire : l’intérêt est grand, je rejoins entièrement darkbijuu sur ce point.
La faiblesse du chiffrement, c’est le boot : le chargeur d’amorçage ne peut être chiffré puisqu’il doit être exécuté par le BIOS, et peut être altéré par un attaquant qui a un accès physique au PC. Une parade est le déport du chargeur d’amorçage sur un support amovible comme une clé USB dont on ne se sépare jamais (contrairement au PC). D’autres parades sont l’utilisation d’une puce TPM ou le “secure boot” de l’UEFI pour vérifier que le chargeur n’est pas altéré.
Disons le tout de suite : l’installateur Debian de la version stable actuelle (Jessie) ne permet pas de chiffrer /boot qui contient le noyau, la racine initiale (initramfs) et une partie du chargeur d’amorçage. On doit donc mettre /boot dans une partition sur la clé USB pour qu’il ne soit pas en clair sur le disque. Cela ne pose pas plus de difficulté que de mettre /boot dans une partition du disque. L’inconvénient est que la clé devra être branchée et montée lors de l’installation, suppression ou mise à jour d’un noyau ou de tout autre événement provoquant la regénération du fichier de configuration de GRUB.
GRUB 2 ayant des modules lui permettant gérer le chiffrement, il est possible de ne mettre que /boot/grub en clair sur la clé USB, et de chiffrer /boot qui peut alors rester sur le disque. Mais cette configuration ne peut être mise en place avec l’installateur Debian lors de l’installation du système ; il faut le faire après l’installation, et la configuration de GRUB pour gérer le chiffrement devra être créée manuellement.
Oui je suis d’accord qu’il ne faut pas tomber dans la parano 
après comme je l’ai dit j’aime apprendre et étant en auto didacte je vais chercher l’info où je peux 
maintenant sans parler de paranoïa je trouve intéressant de savoir ( rapport au GRUB ) que de tels situation peuvent arriver !
Oui la curiosité tout simplement après le monde de l’informatique est suffisamment
vaste pour la combler encore heureux
Tu crois que tu pourrais m’aider à mettre sa en place du coup ?
ça m’a l’air extrêmement radical comme méthode ( comme il m’avait de toute façon semblé le comprendre ) c’est sur qu’il faut vraiment en avoir l’utilité, mais quitte à m’être “lancé dans le chiffrage” j’aimerais si possible aller "jusqu’au bout " quitte à tout enlever aprés mais au moins je serait le faire et ça ça n’a pas de prix
Sur quoi as-tu besoin d’aide au juste ?
Pour mettre /boot sur une clé USB, il faut choisir le partitionnement manuel, créer sur la clé une partition d’au moins 100 Mo (pour être tranquille avec un noyau, ajouter 25 Mo par noyau supplémentaire) en ext2 avec l’indicateur d’amorçage, et définir /boot comme point de montage pour celle-ci. Lors de l’installation du chargeur GRUB, il faut sélectionner le MBR de la clé comme emplacement.
Tu n’as pas du voir mon dernier message à ce sujet. En tous cas tu réponds ici à mes doutes sur le chiffrage du chargeur d’amorçage.
On peut chiffrer /boot avec le reste sur le disque (c’est à dire sans le mettre sur une partition dédiée et non-chiffrée), c’est exactement ce que j’ai experimenté dans mon sujet où nous avions discuté, mais ça marche uniquement pour des partitionnements ms-dos (donc pas avec UEFI).
Avec ma mémoire de poisson rouge, j’ai oublié cette discussion. Tu peux remettre le lien stp ?
Sauf erreur, on peut chiffrer /boot mais pas /boot/grub.
Par contre je ne vois pas pourquoi ça ne marcherait pas avec un partitionnement GPT.
PS : Pas de lien entre le mode d’amorçage et le format de table de partition, donc même si la limitation sur le partitionnement est avérée, cela n’empêche pas le boot UEFI.
Il s’agissait de la discussion sur Btrfs/LVM/LUKS :
On peut chiffrer /boot en entier mais uniquement lorsqu’il s’agit d’un partitionnement ms-dos. Dans le cas d’un partitionnement GPT ça ne marche pas étant donné qu’il faut créer une partition séparée pour /boot/EFI afin d’y loger le firmware EFI, donc dans ce cas /boot ne peut pas être chiffré entièrement.
Mais je n’ai jamais dit que ça empêchait un quelconque boot, BIOS ou UEFI.
A la fin de l’installateur il me dit qu’il n’a pas pu être installer dans /target @GOGI je crois qu’il s’agit de la manœuvre qu’on voulait effectuer à la base.
C’est normal l’installateur ne peut pas installer GRUB dans /target mais dans ce qui est monté sur /target, après je ne sais pas ce qu’il y avait de monté dessus.
Mais pour revenir à nos moutons peux-tu nous récapituler ce que tu as fait jusqu’à présent et ce qu’il reste à faire car après tout ce qu’on a dit j’en ai perdu le fil de la discussion (en précisant ce qui a été chiffré, ce qui ne l’est pas, ce que tu souhaites chiffrer, qu’est ce qui est installé et où, ce qui ne l’est pas, car en fait comme Pascal au final je ne saisis plus ce que tu veux faire exactement).
Ainsi on pourra essayer de reproduire ta démarche et l’erreur qui s’ensuit.
C’est bon enfaite, je viens de réussir, merci beaucoup pour votre aides et votre patience !
Tant que je vous tiens sans vouloir abuser de votre gentillesse, une dernière petite question, lors de la demande de passe pour déchiffrer les partitions, je suis en azerty, hors je suis passé il y a quelque mois au bépo, le systéme me le détecte seulement une fois l’accès à l’OS, n’y aurait t-il pas moyen d’être en bépo également avant l’accés à l’OS ? Où suis je irrémédiablement forcé de flasher le BIOS ? ( chose que je ne ferais pas étant donné les risques qu’il y a … )
Il me semble que c’est possible, en passant une option à GRUB dans le fichier /etc/default/grub du genre pour lui dire quelle disposition de clavier il doit utiliser mais je ne connais pas la syntaxe de la ligne à ajouter.
EDIT : tiens essaies avec ce lien clavier BEPO dans GRUB
suis les étapes à partir du paragraphe GRUB2 et tout en bas dans ton cas pour une partition boot séparée, en l’occurence sur ta clé USB.