BitLocker : comment utiliser cet outil de chiffrement de Windows pour protéger vos données

Si vous perdez ou qu’on vole votre PC, le remplacer va vous coûter cher. Pourtant, ce n’est rien à côté de ce que vous pourriez perdre si la personne qui récupère votre appareil accède à toutes vos données. Car même s’il ne parvient pas à se connecter à votre compte Windows, il pourrait tout à fait démarrer à partir d’un périphérique externe et parcourir le contenu du disque système en toute impunité.

Le meilleur moyen d’éviter que ce cauchemar ne puisse devenir réalité est de chiffrer l’ensemble de l’appareil, afin que son contenu ne soit accessible qu’à vous ou à une personne possédant la clé de récupération.

Bonne nouvelle : Windows 10 et Windows 11 disposent tous deux d’outils pour vous y aider. Voici donc comment vous assurer que vos données sont protégées.

BitLocker

Toutes les éditions de Windows 10 et Windows 11 comprennent des options de chiffrement des périphériques XTS-AES 128 bits, suffisamment robustes pour protéger contre les attaques les plus déterminées. A l’aide d’outils de gestion, vous pouvez augmenter la puissance de chiffrement à XTS-AES 256 bits.

Sur les appareils modernes, le code de chiffrement effectue également des contrôles d’intégrité du système avant le démarrage, qui détectent les tentatives de contournement du chargeur de démarrage.

BitLocker est le nom de marque utilisé par Microsoft pour les outils de chiffrement disponibles dans les éditions professionnelles de Windows (bureau et serveur). Un sous-ensemble limité, mais toujours efficace des fonctions de chiffrement des périphériques BitLocker est également disponible dans les éditions Famille de Windows 10 et Windows 11.

1. Quelle configuration matérielle est requise pour utiliser BitLocker ?

La principale caractéristique matérielle requise pour la prise en charge de BitLocker Device Encryption est une puce Trusted Platform Module, ou TPM. Le périphérique doit également prendre en charge la fonction de veille moderne (anciennement appelée InstantGo).

Pratiquement tous les appareils fabriqués à l’origine pour Windows 10 répondent à ces exigences. Tous les appareils compatibles avec Windows 11, sans exception, y répondent.

2. Comment fonctionne BitLocker ?

Sur tous les périphériques qui répondent aux exigences matérielles de BitLocker (voir la section précédente pour plus de détails), le chiffrement du périphérique est automatiquement activé. L’installation de Windows crée automatiquement les partitions nécessaires et initialise le chiffrement sur le lecteur du système d’exploitation avec une clé en clair. Pour terminer le processus de chiffrement, vous devez effectuer l’une des étapes suivantes :

  • Connectez-vous à l’aide d’un compte Microsoft disposant de droits d’administrateur sur l’appareil. Cette action supprime la clé d’effacement, télécharge une clé de récupération sur le compte OneDrive de l’utilisateur et chiffre les données sur le lecteur système. Notez que ce processus se produit automatiquement et fonctionne sur n’importe quelle édition de Windows 10 ou Windows 11.
  • Connectez-vous en utilisant un compte Active Directory sur un domaine Windows ou un compte Azure Active Directory (AAD). L’une ou l’autre de ces configurations nécessite une édition professionnelle de Windows 10 ou Windows 11 (Pro, Entreprise ou Education), et la clé de récupération est enregistrée dans un emplacement accessible à l’administrateur du domaine ou de l’AAD.
  • Si vous vous connectez à l’aide d’un compte local sur un appareil exécutant une édition professionnelle de Windows 10 ou Windows 11, vous devez utiliser les outils de gestion BitLocker pour activer le chiffrement sur les lecteurs disponibles.

Sur les disques durs solides à chiffrement automatique qui prennent en charge le chiffrement matériel, Windows déchargera le travail de chiffrement et de déchiffrement des données vers le matériel. Notez qu’une vulnérabilité dans cette fonctionnalité, divulguée pour la première fois en novembre 2018, pourrait exposer les données dans certaines circonstances. Dans ces cas, vous aurez besoin d’une mise à niveau du firmware pour le SSD ; sur les disques plus anciens où cette mise à niveau n’est pas disponible, vous pouvez passer au chiffrement logiciel en suivant les instructions de cet avis de sécurité de Microsoft.

Notez que Windows 10 et Windows 11 prennent toujours en charge la fonction beaucoup plus ancienne de système de fichiers chiffrés. Il s’agit d’un système de chiffrement basé sur les fichiers et les dossiers qui a été introduit avec Windows 2000. Pour pratiquement tout le matériel moderne, BitLocker est un choix supérieur.

3. Comment gérer le chiffrement de BitLocker ?

Dans la plupart des cas, BitLocker est une fonctionnalité qui s’installe et s’oublie. Une fois que vous avez activé le chiffrement d’un disque, il ne nécessite aucune maintenance. Vous pouvez toutefois utiliser des outils intégrés au système d’exploitation pour effectuer diverses tâches de gestion.

Les outils les plus simples sont disponibles dans l’interface graphique de Windows, mais uniquement si vous utilisez les éditions Pro ou Entreprise. Ouvrez l’explorateur de fichiers, cliquez avec le bouton droit de la souris sur l’icône d’un lecteur, puis cliquez sur Gérer BitLocker. Vous accédez alors à une page qui vous permet d’activer ou de désactiver BitLocker. Si la fonctionnalité est déjà activée pour le lecteur système, vous pouvez suspendre temporairement le chiffrement ou sauvegarder votre clé de récupération à partir de cette page. Vous pouvez également gérer le chiffrement sur les lecteurs amovibles et sur les lecteurs internes secondaires. Sur un système exécutant l’édition familiale de Windows, vous trouverez un bouton d’activation dans Paramètres. Sous Windows 10, regardez sous Mise à jour et sécurité > Chiffrement de l’appareil. Sous Windows 11, ce paramètre se trouve sous Confidentialité et sécurité > Chiffrement de l’appareil. Un message d’avertissement s’affiche si le chiffrement de l’appareil n’a pas été activé en se connectant à un compte Microsoft.

Pour obtenir un ensemble d’outils beaucoup plus large, ouvrez une invite de commande et utilisez l’un des deux outils d’administration BitLocker intégrés, manage-bde ou repair-bde, avec l’un des commutateurs disponibles. Le plus simple et le plus utile d’entre eux est manage-bde -status, qui affiche l’état de chiffrement de tous les lecteurs disponibles. Notez que cette commande fonctionne sur toutes les éditions, notamment Windows 10 et Windows 11 Famille.

Pour obtenir une liste complète des commutateurs, tapez manage-bde – ? ou repair-bde – ?

Enfin, Windows PowerShell comprend un ensemble complet de cmdlets BitLocker. Utilisez Get-BitLockerVolume, par exemple, pour connaître l’état de tous les lecteurs fixes et amovibles du système actuel. Pour obtenir une liste complète des cmdlets BitLocker disponibles, consultez la page de documentation PowerShell BitLocker.

4. Comment enregistrer et utiliser une clé de récupération BitLocker ?

Dans des circonstances normales, vous déverrouillez votre lecteur automatiquement lorsque vous vous connectez à Windows en utilisant un compte autorisé pour ce périphérique. Si vous essayez d’accéder au système d’une autre manière, par exemple en démarrant à partir d’un lecteur d’installation Windows 10 ou Windows 11 ou d’un lecteur de démarrage USB basé sur Linux, vous serez invité à saisir une clé de récupération pour accéder au lecteur actuel. Vous pouvez également être invité à entrer une clé de récupération si une mise à jour du firmware a modifié le système d’une manière que le TPM ne reconnaît pas.

En tant qu’administrateur système d’une organisation, vous pouvez utiliser une clé de récupération (manuellement ou avec l’aide d’un logiciel de gestion) pour accéder aux données de tout appareil appartenant à votre organisation, même si l’utilisateur ne fait plus partie de l’organisation.

La clé de récupération est un numéro à 48 chiffres qui permet de déverrouiller le lecteur chiffré dans ces circonstances. Sans cette clé, les données du disque restent chiffrées. Si votre objectif est de réinstaller Windows en vue du recyclage d’un appareil, vous pouvez éviter de saisir la clé et les anciennes données seront totalement illisibles une fois l’installation terminée.

Votre clé de récupération est stockée automatiquement dans le cloud si vous avez activé le chiffrement de l’appareil avec un compte Microsoft. Pour trouver la clé, allez sur https://onedrive.com/recoverykey et connectez-vous avec le compte Microsoft associé. Bon à savoir : cette option fonctionne sur un téléphone mobile. Développez la liste de n’importe quel appareil pour voir des détails supplémentaires et une option pour supprimer la clé enregistrée.

Si vous avez activé le chiffrement BitLocker en associant votre appareil Windows 10 ou Windows 11 à un compte Azure AD, vous trouverez la clé de récupération dans votre profil Azure AD. Accédez à Paramètres > Comptes > Vos informations et cliquez sur Gérer mon compte. Si vous utilisez un appareil qui n’est pas enregistré dans Azure AD, allez sur https://account.activedirectory.windowsazure.com/profile et connectez-vous avec vos informations d’identification Azure AD.

Trouvez le nom du périphérique sous l’intitulé Périphériques, puis cliquez sur Afficher les clés BitLocker pour afficher la clé de récupération de ce périphérique. Notez que votre organisation doit autoriser cette fonctionnalité pour que vous puissiez accéder à ces informations.

Enfin, sur les éditions professionnelles de Windows 10 ou Windows 11, vous pouvez imprimer ou enregistrer une copie de la clé de récupération et stocker le fichier ou l’impression (ou les deux) dans un endroit sûr. Utilisez les outils de gestion disponibles dans l’explorateur de fichiers pour accéder à ces options. Utilisez cette option si vous avez activé le chiffrement du périphérique avec un compte Microsoft et que vous préférez que la clé de récupération ne soit pas disponible dans OneDrive.

5. Puis-je chiffrer des disques externes avec BitLocker ?

Les périphériques de stockage externes doivent également être chiffrés, notamment les clés USB et les cartes microSD qui peuvent être utilisées dans certains PC. C’est là que BitLocker To Go intervient.

Pour activer le chiffrement BitLocker pour un disque amovible, vous devez utiliser une édition professionnelle de Windows 10 ou Windows 11. Vous pouvez déverrouiller ce périphérique sur un périphérique exécutant n’importe quelle édition.

Dans le cadre du processus de chiffrement, vous devez définir un mot de passe qui sera utilisé pour déverrouiller le lecteur. Vous devez également enregistrer la clé de récupération du lecteur. Elle n’est pas automatiquement enregistrée sur un compte cloud.

Enfin, vous devez choisir un mode de chiffrement. Utilisez l’option Nouveau mode de chiffrement (XTS-AES) si vous prévoyez d’utiliser le périphérique exclusivement sous Windows 10 ou Windows 11. Choisissez le mode Compatible pour un lecteur que vous pourriez vouloir ouvrir sur un appareil exécutant une version antérieure de Windows.

La prochaine fois que vous insérerez ce périphérique dans un PC Windows, vous serez invité à saisir le mot de passe. Cliquez sur Plus d’options et cochez la case pour déverrouiller automatiquement le périphérique si vous souhaitez accéder facilement à ses données sur un périphérique de confiance que vous contrôlez.

Cette option est particulièrement utile si vous utilisez une carte microSD pour augmenter la capacité de stockage d’un appareil comme une Surface Pro. Une fois que vous vous êtes connecté, toutes vos données sont immédiatement disponibles. Si vous perdez le disque amovible ou qu’il est volé, ses données sont inaccessibles au voleur.

Source : ZDNet.com

Cliquez ici pour lire l’article depuis sa source.

Laisser un commentaire