Le chiffrement des données contre le vol d’informations.

Tous les utilisateurs, professionnels et particuliers, ont pris l’habitude de stocker de plus en plus d’informations sur leurs ordinateurs.
Qu’il s’agisse de simples:

  • courriers électroniques.
  • des photographies.
  • des relevés bancaires.

toutes ces informations se retrouvent à la portée de tout attaquant en quête de données sensibles. Que ce soit via un accès distant ou via un accès physique (l’attaquant est présent près de l’ordinateur), il est relativement aisé pour quelqu’un d’expérimenté de s’introduire sur un ordinateur et d’y dérober les précieuses informations.

Il ne s’agit pas forcément d’une vulnérabilité de Windows, mais bien souvent d’une erreur de configuration de la part de l’utilisateur.

L’une des solutions les plus efficaces contre le vol d’informations
demeure le chiffrement des données. Il s’agit-là de rendre illisibles les données pour toute personne qui n’aurait pas la clé du « coffre virtuel » les contenant.

Dans ce coffre, le chiffrement se propose de modifier les données à l’aide d’un algorithme qui, tant que la bonne clé de décryptage n’est pas utilisée, restera étanche à toute tentative d’accès à la donnée d’origine.
Windows 7 prend en compte ce problème de sécurité et propose trois fonctionnalités permettant d’améliorer de manière significative la protection des données confidentielles. Ce sont ces trois fonctionnalités que nous allons maintenant voir de plus près, afin de découvrir laquelle utiliser selon chaque cas de figure.

 Encryption File System

Système de fichiers propre à Windows, EFS permet de stocker les informations dans un format chiffré. C’est, avec BitLocker, la protection la plus élevée que propose Windows sans installer de programmes additionnels.

Cette méthode de sécurisation est très efficace lorsque le système est en état de marche, mais peut facilement être contournée si l’attaquant a un accès physique au disque dur et essaie d’y accéder depuis un système d’exploitation alternatif (Linux, live CD Windows, disque dur branché sur un autre ordinateur, etc.).

Une solution consiste alors à chiffrer les fichiers sur le disque dur. Ces fichiers seront déchiffrés au moment de l’exécution du système.

Chiffrer un fichier vous garantit que les fichiers ne seront exploitables et lisibles que sur votre ordinateur. Voici comment chiffrer un fichier ou un dossier :

  •  Ouvrez à l’aide du bouton droit les propriétés du dossier (ou du fichier).
  • Cliquez sur le bouton Avancé de l’onglet Général.
  • Cochez la case Chiffrer le contenu pour sécuriser les données.
  • Cliquez sur OK.

Votre dossier ou fichier est alors automatiquement chiffré et apparaît en vert dans l’explorateur Windows.

fichier cryptéDès lors qu’un dossier est marqué avec un attribut de chiffrement, les fichiers et dossiers qu’il contient seront alors automatiquement chiffrés. Tant que ces fichiers sont déplacés sur des volumes NTFS, le chiffrement est conservé ; mais, s’ils sont déplacés sur un système de fichiers ne gérant pas EFS (par exemple, une partition contenant un système de fichiers FAT32), alors ils seront déchiffrés avant d’être copiés.

BitLocker

BitLocker Drive Encryption, plus simplement appelé BitLocker, est une fonctionnalité apparue avec Windows Vista, qui sert à protéger les données en chiffrant entièrement le disque dur.
Contrairement à EFS qui ne chiffre que certaines données, BitLocker
chiffre non seulement les données, mais aussi les fichiers système et la totalité des informations d’un disque dur.

En effet, il chiffre :

  • les données utilisateurs ;
  • les fichiers système (dossier Windows, etc.) ;
  • le fichier de veille prolongée (copie de la mémoire lors du dernier lancement pouvant contenir des informations sensibles) ;
  •  le fichier d’échange (dit de swap) ;
  • les fichiers temporaires (souvent source d’informations pour un attaquant).

La seconde protection se situe au niveau de l’amorçage du système dont l’intégrité est vérifiée par plusieurs mécanismes :

  • À l’aide de chiffrement et de fonctions de hachage, il vérifie si les
    fichiers servant au démarrage n’ont pas été modifiés par un virus de secteur d’amorçage ou de kit racine.
  • Il empêche le système de démarrer si les fichiers système ont été
    modifiés par malveillance.
  • Il empêche tout accès aux données via des applications tierces ou systèmes d’exploitation alternatifs, en bloquant l’accès aux clés racines du disque dur.

Activer BitLocker:

Pour lancer le panneau de contrôle de BitLocker :

    1. Ouvrez le menu Démarrer.
    2. Saisissez BitLocker dans la zone de saisie.
    3. Cliquez sur Chiffrement de lecteur BitLocker.
    4. L’interface de gestion de BitLocker s’affiche et liste les volumes de l’ordinateur pour lesquels il peut être activé ou désactivé.
    5. Choisissez le volume de votre choix et cliquez sur le bouton Activer BitLocker correspondant .Un assistant d’activation s’ouvre.

chiffrement de lecteur bitlocker

6 .Choisissez parmi les trois options de déverrouillage proposées   celle qui correspond à vos besoins :

  • Déverrouillage par mot de passe : le mot de passe est demandé lors de l’accès au disque. Cela permet de partager le disque avec d’autres utilisateurs, s’ils en connaissent le mot de passe.
  • Déverrouillage par Smart Card : le système vous demandera d’insérer la carte à puce pour accéder au lecteur. Cette carte à puce aura préalablement été configurée à l’aide d’un certificat de sécurité.
  • Déverrouillage automatique : le lecteur est déchiffré au moment où vous vous connectez sous votre compte Windows.Cliquez ensuite sur le bouton Suivant.

7. Une dernière confirmation vous est alors demandée. Cliquez sur Démarrer le chiffrement pour activer BitLocker. Une fenêtre de progression apparaît alors. Le chiffrement peut prendre plusieurs
minutes et il est très important de ne pas éteindre l’ordinateur pendant l’opération.

Un message vous informe lorsque le traitement est terminé. Votre lecteur s’orne alors d’une nouvelle icône dans l’interface de gestion de BitLocker, tout comme dans le poste de travail.

icône dans l’interface de gestion de bitlockerLe chiffrement n’est pas irréversible :

il peut être désactivé ou modifié à tout moment, tant que le lecteur est déverrouillé. Ainsi, à l’aide du panneau de contrôle de BitLocker, vous pouvez soit déchiffrer un lecteur en cliquant sur:

  • le bouton Désactiver BitLocker,
  • soit cliquer sur le bouton Gérer BitLocker qui vous permet d’effectuer différentes opérations relatives au lecteur

panneau de controle de bitlocker

BitLocker To Go

Dans Windows 7, la protection BitLocker est étendue aux périphériques amovibles tels que les clés USB et les disques durs externes grâce à BitLocker To Go.
L’avantage est de pouvoir mettre en œuvre une passphrase (phrase servant de mot de passe) afin de déchiffrer les données au moment où l’on tente d’y accéder.

Pas besoin de matériel spécifique (comme une puce TPM) ou de mettre à jour son BIOS, il suffit de posséder Windows 7 (version Entreprise ou Intégrale) et d’utiliser un périphérique de stockage USB.
Tous vos lecteurs externes peuvent ainsi être protégés contre la récupération des données qu’ils contiennent, et ceci sans vous gêner dans leur utilisation de tous les jours.
Le chiffrement d’un périphérique de stockage externe est sensiblement identique à l’utilisation de BitLocker pour un disque dur interne :

  1.  Ouvrez le panneau de configuration.
  2. Saisissez BitLocker dans la zone de recherche pour ouvrir le panneau Gérer BitLocker.
  3. Repérez votre périphérique et cliquez sur le bouton Activer BitLocker. Choisissez soit la sécurité par mot de passe, soit par carte à puce. Lorsque vous y êtes invité, effectuez une sauvegarde de la clé de récupération.

Lors de la première tentative d’accès au périphérique, une fenêtre vous demandant de saisir votre mot de passe (ou d’insérer votre Smart Card) s’affiche. Si le mot de passe saisi est correct, le périphérique est déverrouillé jusqu’à ce que vous quittiez votre session Windows.

Tentative d’accès à un périphérique protégé par bitlocker

Paramétrer BitLocker

Il est possible de paramétrer finement tant le comportement de Bit-
Locker que la façon de l’utiliser. Vous pouvez ainsi forcer, via les stratégies de groupe, tous les utilisateurs du domaine ou de l’ordinateur à chiffrer les périphériques amovibles lorsqu’ils tentent de copier des données depuis leur ordinateur vers les périphériques.

Il est également possible de configurer le niveau de vérification de BitLocker lors du préchargement du système.

  1. Dans le menu Démarrer, saisissez gpedit.msc dans la zone de
    recherche, puis appuyez sur la touche Entrée.
  2. Dans les stratégies locales, Configuration ordinateur, dépliez l’arborescence pour trouver les stratégies relatives à BitLocker : Modèles d’administration/Composants Windows/Chiffrement de lecteur BitLocker.

Un grand nombre de stratégies locales permettent alors de paramétrer l’utilisation de BitLocker. Vous pouvez, par exemple :

  • Choisir le niveau de chiffrage utilisé (AES 128 bits ou 256 bits), ainsi que la méthode de chiffrement.
  • Forcer le chiffrement des lecteurs externes pour y copier des données de l’ordinateur.
  • Empêcher la désactivation de BitLocker sur les lecteurs chiffrés.
  • Configurer le niveau de complexité requis pour les mots de passe: caractères spéciaux, longueur minimale, etc.
  • Autoriser l’activation d’un agent de récupération qui pourra accéder à tous les lecteurs sans posséder les clés de déchiffrage.
  • Configurer le profil de validation du système par le TPM, c’est-à dire paramétrer les verrous de vérification de BitLocker, allant de la vérification du secteur d’amorçage jusqu’à la vérification du constructeur de l’ordinateur.

En cas de perte de mot de passe

Lorsque le moyen de déverrouillage d’un disque chiffré avec BitLocker (mot de passe ou carte à puce) est perdu, il est impossible de récupérer les données.

Il ne reste qu’un seul recours : avoir préalablement sauvegardé
la clé de récupération sur un support externe. Cette clé de récupération se présente généralement sous la forme d’un simple fichier texte contenant différentes informations.

Contenu d’un fichier d’export de clé BitLocker

La clé de récupération permet de récupérer les données sur un lecteur protégé par BitLocker.
Pour vérifier qu’il s’agit de la bonne clé de récupération, comparez l’identification avec ce qui est proposé sur l’écran de récupération.

Identification de la clé de récupération : 1F17D9A1-2721-49
Identification complète de la clé de récupération : 1F17D9A1-2721-4997-9755-E921D6BCCADC
Clé de récupération BitLocker :
027940-635503-618838-501468-419529-352462-574167-245487

Voici comment procéder dans ce cas :

  • Lorsque vous tentez d’accéder à un disque chiffré, un assistant vous demande la saisie du mot de passe. L’assistant propose un bouton J’ai oublié mon mot de passe. Cliquez sur ce bouton, un moyen de récupération vous est proposé :

clé de recupération de bitlocker

  • L’écran suivant vous permet, dans le cas d’une saisie manuelle de la clé, de déverrouiller le lecteur. C’est alors à vous de modifier les
    options du lecteur pour changer le mot de passe.

BitLocker est donc une manière simple et efficace de protéger ses données. Néanmoins, elle nécessite tout de même de prendre quelques précautions, notamment d’avoir toujours de côté des clés de récupération, sous peine de voir les données disparaître à jamais.

Incoming search terms:

  • bitlocker vs EFS (1)
  • windows 10 chiffrer le contenu désactivé (1)