Si votre organisation utilise le chiffrement côté client (CSE) Google Workspace, vous pouvez vous servir de l'utilitaire de déchiffrement (version bêta) pour déchiffrer les fichiers et les e-mails chiffrés côté client que vous exportez à l'aide de l'outil d'exportation des données ou Google Vault. Vous pouvez exécuter l'utilitaire de déchiffrement à partir d'une ligne de commande.
Lorsque vous exécutez l'utilitaire de déchiffrement, vous utilisez des indicateurs de ligne de commande pour préciser différents éléments : informations d'authentification de votre fournisseur d'identité (IdP), emplacement des fichiers chiffrés, emplacement de sortie des fichiers déchiffrés, ainsi que d'autres options. Vous pouvez également créer un fichier de configuration (config) pour enregistrer les indicateurs de déchiffrement que vous utilisez souvent.
Remarque : Lorsque vous déchiffrez un fichier Google Docs, Sheets ou Slides, le nom du fichier se termine par .gdoc
. L'outil de déchiffrement ne peut pas encore convertir ces fichiers au format DOCX, XLSX ou PPTX.
Configuration requise
Microsoft Windows 7, Vista, 8, 10 ou 11 64 bits
Remarque : L'utilitaire de déchiffrement sera disponible pour Mac et Linux dans une prochaine version.
Télécharger l'utilitaire de déchiffrement
Téléchargez l'utilitaire de déchiffrement côté client sur votre ordinateur.
Créer un fichier de configuration
Comme votre configuration du chiffrement côté client ne change pas souvent, commencez par créer un fichier de configuration afin de pouvoir saisir plus rapidement les indicateurs à utiliser. Pour en savoir plus sur les indicateurs de fichier de configuration, consultez Indicateurs disponibles pour créer une configuration et Indicateurs disponibles pour modifier une configuration ci-dessous.
Exemple : Créer une configuration pour le fournisseur d'identité Google :
> decrypter.exe -action createconfig -config C:\gaia-oauth.conf -email moi@exemple.com -client_id mon-ID-client.apps.googleusercontent.com -issuer https://accounts.google.com
Vous pouvez ensuite modifier la configuration pour ajouter le code secret du client OAuth dans le flux d'attribution du code d'autorisation :
> decrypter.exe -action updateconfig -config C:\gaia-oauth.conf -client_secret mon-code-secret-client
Déchiffrer des fichiers et des e-mails chiffrés côté client
Une fois le fichier de configuration créé, vous pouvez l'utiliser pour déchiffrer des fichiers et des e-mails exportés. Pour ce faire, exécutez l'utilitaire de déchiffrement sur un répertoire de fichiers chiffrés côté client qui ont été décompressés, puis enregistrez les fichiers déchiffrés dans un autre répertoire.
Exemple Drive
> decrypter.exe -config C:\my_organization.conf -input C:\exported_files -output C:\decrypted_files
Exemple Gmail
Pour déchiffrer les e-mails chiffrés côtés client exportés de Gmail, vous devez inclure un identifiant au niveau du domaine :
> decrypter.exe -config C:\my_organization.conf -input C:\exported_files -output C:\decrypted_files -credential serviceaccount.json
Indicateurs de déchiffrement
Un indicateur de déchiffrement peut commencer par un ou deux traits d'union. Par exemple, l'indicateur permettant d'afficher des informations d'aide peut être l'un ou l'autre des suivants :
-help
--help
Remarque : Vous ne pouvez utiliser que des traits d'union pour les indicateurs, pas de barre oblique (/).
Les indicateurs des arguments de chaîne peuvent inclure un signe égal ou un espace pour spécifier l'argument. Par exemple, les indicateurs suivants sont équivalents :
-action=decrypt
-action decrypt
Indicateurs d'aide
Indicateur | Description |
---|---|
-version |
Permet d'afficher la chaîne de caractères indiquant la version. Si vous contactez l'assistance, veillez à fournir la version de l'utilitaire de déchiffrement que vous utilisez. |
-help |
Permet d'afficher une liste de tous les indicateurs à titre de référence. |
-logfile |
Indique le fichier de sortie où les journaux d'exécution seront écrits. Dans le nom du fichier, le texte [TIMESTAMP] sera remplacé par l'heure de début de l'exécution. |
Indicateurs de déchiffrement
Indicateur | Description |
---|---|
-action decrypt |
Facultatif. Indique que l'utilitaire est en mode de déchiffrement des fichiers chiffrés côté client. Il s'agit du mode par défaut. |
-email <adresse_e-mail> |
Facultatif. Adresse e-mail pouvant être préremplie dans l'écran d'authentification IdP qui s'ouvre dans le navigateur. |
-issuer <uri> |
Obligatoire, sauf s'il figure dans le fichier de configuration. URI de découverte de l'émetteur OAuth pour le fournisseur d'identité, par exemple, https://accounts.google.com. Pour en savoir plus, consultez Se connecter au fournisseur d'identité pour le chiffrement côté client. |
-client_id <id_client_oauth> |
Obligatoire, sauf s'il figure dans le fichier de configuration. ID client OAuth provenant du fournisseur d'identité spécifié dans l'indicateur -issuer .Pour en savoir plus, consultez Se connecter au fournisseur d'identité pour le chiffrement côté client. |
-client_secret <code_secret_client_oauth> |
Facultatif, bien que certains fournisseurs d'identité l'exigent. Partie du code secret du client OAuth correspondant à l'ID client spécifié dans l'indicateur -client_id . |
-pkce |
Active ou désactive la clé de vérification pour l'échange de code (PKCE) dans le flux d'attribution du code d'autorisation. Si aucun de ces indicateurs n'est spécifié, l'utilitaire de déchiffrement active cette option par défaut. |
-input <répertoire_ou_fichier> |
Obligatoire. Répertoire d'entrée ou fichier d'exportation. Si vous indiquez un répertoire, l'utilitaire de déchiffrement parcourt toute l'arborescence des répertoires de manière récursive, afin de trouver tous les fichiers chiffrés côté client qui ont été exportés. Cette option permet de déchiffrer par lot tous les fichiers exportés à partir d'une archive d'exportation décompressée. Si vous indiquez un seul fichier chiffré côté client ayant été exporté, le déchiffrement ne portera que sur ce fichier. S'il ne s'agit pas d'un fichier chiffré côté client, l'utilitaire de déchiffrement vous demande de vous authentifier auprès de l'IdP, mais ne déchiffre aucun fichier. |
-output <répertoire> |
Obligatoire. Le répertoire dans lequel les fichiers déchiffrés seront enregistrés. |
-overwrite |
Permet d'activer ou de désactiver l'écrasement des fichiers de sortie déchiffrés en texte clair. Si cette règle est désactivée (valeur par défaut), l'utilitaire de déchiffrement ne traite pas les fichiers de texte chiffré si le fichier en texte clair existe déjà. |
-workers <nombre_entier> |
Facultatif. Nombre de nœuds de calcul de déchiffrement en parallèle. Si vous n'utilisez pas cet indicateur, l'outil de chiffrement utilise par défaut le nombre de cœurs de processeur et d'hyper-threads indiqués par le système d'exploitation. Si votre ordinateur rencontre des problèmes de performances ou que vous recevez une erreur de traitements multiples lors du déchiffrement des fichiers, vous pouvez définir cet indicateur sur "1" pour désactiver les traitements en parallèle. |
-config <fichier> |
Facultatif. Fichier de configuration contenant des valeurs d'indicateurs enregistrées. Utilisez un fichier de configuration pour éviter de coller les mêmes indicateurs de ligne de commande chaque fois que vous déchiffrez des fichiers. Pour en savoir plus, consultez Indicateurs disponibles pour créer une configuration et Indicateurs disponibles pour modifier une configuration ci-dessous. Les valeurs d'indicateurs définies dans la ligne de commande prévalent sur les valeurs de la configuration. Remarque : Si vous spécifiez un fichier dans la configuration et que ce fichier est introuvable, une erreur s'affiche. |
-credential <fichier> |
Facultatif. Indiquez un fichier JSON contenant une clé privée de compte de service au niveau du domaine. Ainsi, le déchiffrement des messages Gmail chiffrés côté client enverra à l'API Gmail une requête concernant les certificats S/MIME et les métadonnées du service de liste de contrôle d'accès aux clés (KACLS) de chaque utilisateur. |
Indicateurs disponibles pour créer une configuration
Indicateur | Description |
---|---|
-action createconfig |
Obligatoire. Ignore le mode d'exécution par défaut et exécute le mode de modification du fichier de configuration. |
-config file |
Obligatoire. Spécifiez le nom du fichier de sortie où vous souhaitez enregistrer la configuration. Si le fichier existe déjà, il sera remplacé sans avertissement. |
-email <adresse_e-mail> |
Facultatif. Toute valeur d'indicateur spécifiée est enregistrée dans le fichier de configuration afin de pouvoir être réutilisée. |
Indicateurs disponibles pour modifier une configuration
Utilisez ces indicateurs pour modifier les valeurs d'un indicateur dans un fichier de configuration.
Indicateur | Description |
---|---|
-action updateconfig |
Obligatoire. Ignore le mode d'exécution par défaut et exécute le mode de modification du fichier de configuration. |
-config file |
Obligatoire. Fichier de configuration que vous souhaitez mettre à jour. Si le fichier n'existe pas, une erreur se produit. |
-email <adresse_e-mail> |
Tous ces indicateurs sont facultatifs. Les valeurs d'indicateurs que vous spécifiez sur la ligne de commande sont ignorées. Toutes les autres valeurs d'indicateurs présentes dans la configuration sont conservées. Pour désactiver un indicateur enregistré, spécifiez une valeur vide. Remarque : Si une modification altère le format JSON, une erreur risquera de se produire lorsque vous utiliserez la configuration dans l'utilitaire de déchiffrement. |
Flags informatifs
Indicateur | Description |
-action info |
(Obligatoire) Remplace le mode d'exécution par défaut par lemode informatif |
-input directory_or_file |
(Obligatoire) Spécifie le répertoire d'entrée ou le fichier d'exportation Si vous spécifiez un répertoire, l'utilitaire analyse de manière récursive l'intégralité de l'arborescence des répertoires à la recherche de tous les fichiers d'exportation chiffrés côté client. Si vous spécifiez un fichier, l'utilitaire fournit les informations correspondant à ce fichier uniquement. Vous pouvez répéter ce flag pour spécifier des répertoires ou des fichiers d'entrée supplémentaires. Exemple :
|