Windows 10 : Tout savoir sur BitLocker, la solution de chiffrement de données de Microsoft

Spread the love
Windows 10 : Tout savoir sur BitLocker, la solution de chiffrement de données de Microsoft

Si votre PC était perdu ou volé, vous seriez probablement effrayé par le coût de son remplacement. Mais ce n’est rien comparé à ce que vous risqueriez de perdre si quelqu’un avait un accès illimité aux données de cet appareil. Même s’il ne peut pas se connecter en utilisant votre compte utilisateur Windows, un voleur pourrait en effet le démarrer à partir d’un périphérique amovible et parcourir le contenu du disque système en toute impunité. Le moyen le plus efficace de mettre fin à ce scénario cauchemardesque est de chiffrer l’ensemble de votre périphérique de sorte que son contenu ne soit accessible qu’à vous ou à une personne possédant la clé de récupération.

Toutes les éditions de Windows 10 depuis la version 1511 (sortie en novembre 2015) comprennent des options de chiffrement XTS-AES 128 bits, suffisamment robustes pour protéger contre les attaques les plus déterminées. Grâce à des outils de gestion, vous pouvez augmenter la puissance de chiffrement jusqu’à XTS-AES 256. Sur les périphériques modernes, ce code de chiffrement effectue également des contrôles d’intégrité du système avant le démarrage qui détectent les tentatives de contournement du chargeur d’amorçage.

BitLocker est le nom de marque que Microsoft utilise pour les outils de chiffrement disponibles dans les éditions professionnelles de Windows (bureau et serveur). Un sous-ensemble limité mais toujours efficace de fonctionnalités de chiffrement des périphériques BitLocker est également disponible dans les éditions domestiques de Windows 10. Voici comment vous assurer que vos données sont protégées.

publicité

Comment fonctionne BitLocker sous Windows 10 ?

Sur tous les périphériques conçus pour Windows 10, le chiffrement du périphérique est automatiquement activé. Le programme d’installation de Windows crée automatiquement les partitions nécessaires et initialise le chiffrement sur le lecteur du système d’exploitation avec une clé en clair.

Pour terminer le processus de chiffrement, vous devez effectuer l’une des étapes suivantes :

  • Connectez-vous à l’aide d’un compte Microsoft qui dispose de droits d’administrateur sur le périphérique. Cette action supprime la clé d’effacement, télécharge une clé de récupération sur le compte OneDrive de l’utilisateur et chiffre les données sur le lecteur du système. Notez que ce processus se produit automatiquement et fonctionne sur toute édition de Windows 10.
  • Connectez-vous en utilisant un compte Active Directory sur un domaine Windows ou un compte Azure Active Directory (AAD). Les deux configurations nécessitent une édition professionnelle de Windows 10 (Pro, Enterprise ou Education), et la clé de récupération est enregistrée dans un emplacement accessible à l’administrateur du domaine ou de l’AAD.
  • Si vous vous connectez en utilisant un compte local sur un appareil fonctionnant avec une édition professionnelle de Windows 10, vous devez utiliser les outils de gestion BitLocker pour activer le chiffrement sur les lecteurs disponibles.

Sur les lecteurs à semi-conducteurs auto-chiffrés qui prennent en charge le chiffrement matériel, Windows 10 délestera le travail de chiffrement et de déchiffrement des données vers le matériel. Notez qu’une vulnérabilité dans cette fonctionnalité, révélée pour la première fois en novembre 2018, pourrait exposer les données dans certaines circonstances. Dans ce cas, vous aurez besoin d’une mise à jour du micrologiciel du SSD ; jusqu’à ce que cette mise à jour soit disponible, vous pouvez passer au chiffrement logiciel en suivant les instructions de cet avis de sécurité de Microsoft.

Notez que Windows 10 prend toujours en charge la fonction beaucoup plus ancienne de système de fichiers chiffrés. Il s’agit d’un système de chiffrement basé sur les fichiers et les dossiers qui a été introduit avec Windows 2000. Pour pratiquement tout les dispositifs matériels modernes, BitLocker s’avère un choix supérieur.

La principale caractéristique matérielle requise pour prendre en charge le chiffrement des dispositifs BitLocker est une puce TPM (Trusted Platform Module). Le dispositif doit également prendre en charge la fonction de veille moderne (anciennement appelée InstantGo). Pratiquement tous les dispositifs qui ont été fabriqués à l’origine pour Windows 10 répondent à ces exigences.

Gestion de BitLocker

Pour l’essentiel, BitLocker est une fonction qui se règle et s’oublie une fois cela fait. Une fois que vous avez activé le chiffrement d’un lecteur, il ne nécessite aucune maintenance par la suite. Vous pouvez cependant utiliser des outils intégrés au système d’exploitation pour effectuer diverses tâches de gestion.

Les outils les plus simples sont disponibles dans l’interface graphique de Windows, mais uniquement si vous utilisez Windows 10 Pro ou Enterprise. Ouvrez l’explorateur de fichiers, cliquez avec le bouton droit de la souris sur l’icône d’un lecteur et cliquez sur “Gérer BitLocker”. Cela vous amène à une page où vous pouvez activer ou désactiver BitLocker ; si BitLocker est déjà activé pour le lecteur système, vous pouvez suspendre temporairement le chiffrement ou sauvegarder votre clé de récupération à partir d’ici. Vous pouvez également gérer le chiffrement sur les lecteurs amovibles et sur les lecteurs internes secondaires. Ces outils de gestion ne sont disponibles que sur les éditions professionnelles de Windows 10.

Sur un système fonctionnant sous Windows 10 Home, vous trouverez un bouton marche/arrêt sous Paramètres > Mise à jour et récupération > Chiffrement des périphériques. Un message d’avertissement apparaîtra si le chiffrement du périphérique n’a pas été activé lors de la connexion au compte Microsoft.

Pour un ensemble d’outils beaucoup plus large, ouvrez une invite de commande et utilisez l’un des deux outils administratifs intégrés à BitLocker, manage-bde ou repair-bde, avec l’un des commutateurs disponibles. Le plus simple et le plus utile de ces outils est manage-bde -status, qui affiche l’état de chiffrement de tous les lecteurs disponibles. Notez que cette commande fonctionne sur toutes les éditions, y compris Windows 10 Home. Pour obtenir une liste complète des commutateurs, tapez manage-bde – ? ou repair-bde – ?.

Enfin, Windows PowerShell inclut un ensemble complet de cmdlets BitLocker. Utilisez Get-BitLockerVolume, par exemple, pour voir l’état de tous les disques fixes et amovibles du système actuel. Une liste complète des cmdlets BitLocker disponibles, voir la page de documentation BitLocker PowerShell.

Sauvegarde et utilisation d’une clé de récupération

Dans des circonstances normales, vous déverrouillez automatiquement votre lecteur lorsque vous vous connectez à Windows 10 en utilisant un compte autorisé pour ce dispositif. Si vous essayez d’accéder au système d’une autre manière, par exemple en démarrant à partir d’un lecteur de configuration de Windows 10 ou d’un lecteur de démarrage USB basé sur Linux, vous serez invité à fournir une clé de récupération pour accéder au lecteur actuel. Il se peut également qu’une clé de récupération vous soit demandée si une mise à jour du firmware a modifié le système d’une manière que le TPM ne reconnaît pas.

En qualité d’administrateur système dans une organisation, vous pouvez utiliser une clé de récupération (manuellement ou avec l’aide d’un logiciel de gestion) pour accéder aux données sur tout périphérique appartenant à votre organisation, même si l’utilisateur ne fait plus partie de l’organisation. La clé de récupération est un numéro à 48 chiffres qui déverrouille le lecteur chiffré dans ces circonstances. Sans cette clé, les données sur le disque restent chiffrées. Si votre objectif est de réinstaller Windows en vue de recycler un périphérique, vous pouvez omettre de saisir la clé et les anciennes données seront totalement illisibles une fois l’installation terminée.

Votre clé de récupération est automatiquement stockée dans le cloud si vous avez activé le chiffrement du périphérique avec un compte Microsoft. Pour trouver la clé, rendez-vous sur https://onedrive.com/recoverykey et connectez-vous avec le compte Microsoft associé. Notez que cette option fonctionne également sur un téléphone portable. Développez la liste pour n’importe quel appareil pour voir des détails supplémentaires et afficher une option pour supprimer la clé enregistrée.

Si vous avez activé le chiffrement BitLocker en associant votre appareil Windows 10 à un compte Azure AD, vous trouverez la clé de récupération dans la liste de votre profil Azure AD. Allez dans Paramètres > Comptes > Vos informations et cliquez sur “Gérer mon compte”. Si vous utilisez un appareil qui n’est pas enregistré auprès d’Azure AD, rendez-vous sur https://account.activedirectory.windowsazure.com/profile et connectez-vous avec vos identifiants Azure AD. Trouvez le nom de l’appareil sous la rubrique “Appareils et activités” et cliquez sur “Obtenir des clés BitLocker” pour afficher la clé de récupération de cet appareil. Notez que votre organisation doit autoriser cette fonctionnalité pour que les informations soient disponibles.

Enfin, sur les éditions professionnelles de Windows 10, vous pouvez imprimer ou enregistrer une copie de la clé de récupération et stocker le fichier ou l’impression (ou les deux) dans un endroit sûr. Utilisez les outils de gestion disponibles dans l’explorateur de fichiers pour accéder à ces options. Utilisez cette option si vous avez activé le chiffrement de l’appareil avec un compte Microsoft et que vous préférez ne pas avoir la clé de récupération disponible dans OneDrive.

BitLocker à emporter

Les dispositifs de stockage amovibles ont également besoin de chiffrement. Cela inclut les clés USB ainsi que les cartes MicroSD qui peuvent être utilisées dans certains PC. C’est là que BitLocker To Go fonctionne. Pour activer le chiffrement BitLocker pour un disque amovible, vous devez utiliser une édition professionnelle de Windows 10. Vous pouvez déverrouiller ce périphérique sur un appareil fonctionnant avec n’importe quelle édition, y compris Windows 10 Home.

Dans le cadre du processus de chiffrement, vous devez définir un mot de passe qui sera utilisé pour déverrouiller le lecteur. Vous devez également enregistrer la clé de récupération du lecteur, celle-ci n’étant pas automatiquement enregistrée sur un compte cloud.

Enfin, vous devez choisir un mode de chiffrement. Utilisez l’option “Nouveau mode de chiffrement (XTS-AES)” si vous prévoyez d’utiliser l’appareil exclusivement sous Windows 10. Choisissez le mode “compatible” pour un lecteur que vous pourriez vouloir ouvrir sur un appareil fonctionnant sous une version antérieure de Windows. La prochaine fois que vous insérerez ce dispositif dans un PC Windows, le mot de passe vous sera demandé. Cliquez sur “Plus d’options” et cochez la case pour déverrouiller automatiquement l’appareil si vous souhaitez accéder facilement à ses données sur un appareil de confiance que vous contrôlez.

Utilisez l’option de déverrouillage automatique pour ignorer le mot de passe lorsque vous utilisez un disque amovible sur un appareil de confiance. Cette option est particulièrement utile si vous utilisez une carte MicroSD pour augmenter la capacité de stockage d’un appareil comme la Surface Pro. Une fois que vous vous êtes connecté, toutes vos données sont immédiatement disponibles. Si vous perdez le disque amovible ou s’il est volé, ses données seront inaccessibles au voleur. A vous de jouer !

Source : ZDNet.com

Leave a Reply