En savoir plus sur le Chiffrement de lecteur BitLocker

Le Chiffrement de lecteur BitLocker fournit une protection pour les lecteurs de système d’exploitation, les lecteurs de données fixes et les lecteurs de données amovibles perdus ou volés. Pour cela, BitLocker chiffre le contenu des lecteurs et requiert que les utilisateurs authentifient leurs informations d’identification pour accéder aux données. Sur le lecteur sur lequel Windows est installé, BitLocker utilise le Module de plateforme sécurisée (TPM) pour vérifier si le processus de démarrage critique de l’ordinateur a été falsifié. En outre, un code confidentiel ou une clé de démarrage peut être demandé aux utilisateurs pour leur accorder l’accès aux données du lecteur. Sur les lecteurs de données fixes et amovibles, les utilisateurs peuvent accéder aux lecteurs protégés par BitLocker au moyen d’un mot de passe, d’une carte à puce ou en déverrouillant le lecteur automatiquement.

BitLocker pour les lecteurs de système d’exploitation a été conçu pour un fonctionnement avec les systèmes équipés d’un matériel de sécurité du TPM et d’un BIOS compatibles. Pour garantir une compatibilité avec BitLocker, les fabricants d’ordinateurs doivent respecter les normes définies par le « Trusted Computing Group » (PCG). Pour plus d’informations sur le TCG, voir le site Web du Trusted Computing Group (http://go.microsoft.com/fwlink/?LinkId=67440 (éventuellement en anglais)).

Activation de BitLocker

L’Assistant Installation de BitLocker, qui peut être lancé à partir du Panneau de configuration ou de l’Explorateur Windows, permet d’activer BitLocker sur un lecteur de données fixe ou amovible installé sur l’ordinateur ou sur le lecteur de système d’exploitation des ordinateurs disposant d’un TPM compatible. Si vous souhaitez activer BitLocker sur le lecteur de système d’exploitation d’un ordinateur sans TPM ou utiliser d’autres fonctionnalités et options de BitLocker, vous pouvez modifier les paramètres de stratégie de groupe BitLocker qui contrôlent les fonctionnalités accessibles par le biais de l’Assistant Installation de BitLocker.

Sur les ordinateurs dotés d’un TPM compatible, les lecteurs de système d’exploitation protégés par BitLocker peuvent être déverrouillés de quatre manières :

  • TPM uniquement. L’utilisation de la validation TPM uniquement ne requiert aucune interaction de la part de l’utilisateur afin de déchiffrer et fournir l’accès au lecteur. Si la validation TPM réussit, l’expérience d’ouverture de session de l’utilisateur est identique à l’ouverture de session standard. Si le TPM est manquant, s’il a été modifié ou s’il détecte des modifications apportées aux fichiers critiques de démarrage de système d’exploitation, BitLocker passe en mode de récupération et vous devez avoir un mot de passe de récupération pour accéder de nouveau aux données.

  • TPM avec clé de démarrage. Outre la protection du TPM, une partie de la clé de chiffrement est stockée sur un disque mémoire flash USB. On emploie alors le terme de clé de démarrage. Vous ne pouvez pas accéder aux données sur le volume chiffré sans clé de démarrage.

  • TPM avec code confidentiel. Outre la protection du TPM, BitLocker exige que l’utilisateur entre un code confidentiel. Vous ne pouvez pas accéder aux données sur le volume chiffré sans entrer de code confidentiel.

  • TPM avec clé de démarrage et code confidentiel. Cette option peut être configurée uniquement à l’aide de l’outil en ligne de commande Manage-bde. Outre la protection des composants de base fournie par le TPM, une partie de la clé de chiffrement est stockée sur un disque mémoire flash USB et un code confidentiel est requis pour authentifier l’utilisateur auprès du TPM. Ceci procure une authentification à facteurs multiples, de sorte qu’en cas de perte ou de vol de la clé USB, celle-ci ne peut pas être utilisée pour accéder au lecteur car le code confidentiel correct est également nécessaire.

    Remarque

    • Nous recommandons de toujours utiliser le pilote de TPM Windows par défaut avec BitLocker. Si un pilote de TPM non Microsoft est installé, il peut empêcher le chargement du pilote du TPM par défaut et provoquer l’affichage d’un message indiquant qu’aucun TPM n’est présent sur l’ordinateur. Dans ce cas, BitLocker ne sera pas en mesure d’utiliser le TPM. Si des paramètres de stratégie de groupe sont configurés de façon à exiger l’utilisation du BitLocker avec un TPM, BitLocker ne pourra pas être activé tant que le pilote non-Microsoft n’aura pas été supprimé.

Pour utiliser BitLocker pour protéger un lecteur de système d’exploitation sur un ordinateur sans TPM, l’option suivante est disponible :

  • Clé de démarrage uniquement. Toutes les informations requises sur la clé de chiffrement sont stockées sur un disque mémoire flash USB. L’utilisateur doit insérer le disque mémoire flash USB dans l’ordinateur au démarrage. La clé stockée sur le disque mémoire flash déverrouille l’ordinateur. Si l’ordinateur est dépourvu du TPM, toutes les informations nécessaires à la lecture du lecteur chiffré sont comprises dans la clé de démarrage. L’utilisation d’un TPM est recommandée car elle aide à protéger l’ordinateur contre les attaques sur le processus de démarrage critique de la machine.

Lors de l’activation de BitLocker sur des lecteurs de données fixes ou amovibles, BitLocker peut utiliser les méthodes de déverrouillage suivantes :

  • Mot de passe. Vous pouvez utiliser un mot de passe pour déverrouiller des lecteurs de données fixes (tels que des disques durs internes) et des lecteurs de données amovibles (tels que des disques durs externes et des disques mémoire flash USB). Des paramètres de stratégie de groupe peuvent être utilisés pour définir la longueur minimale du mot de passe.

  • Carte à puce. Pour utiliser une carte à puce avec BitLocker, vous devez avoir un certificat compatible sur votre carte à puce. BitLocker choisit automatiquement le certificat, à moins que vous ne possédiez plusieurs certificats compatibles, auquel cas vous devez choisir le certificat à utiliser.

    Remarque sur la sécurité

    • Lors du chiffrement d’un lecteur à l’aide d’une carte à puce, un protecteur basé sur certificat est créé sur le lecteur. Ce protecteur contient certaines informations non chiffrées qui sont requises pour déverrouiller le lecteur. La clé publique et l’empreinte du certificat utilisé pour chiffrer le lecteur sont stockées sous forme non chiffrée dans les métadonnées du protecteur sur le lecteur. Ces informations pourraient être utilisées pour identifier l’autorité de certification ayant émis le certificat.

  • Déverrouillage automatique. Les lecteurs de données fixes chiffrés avec BitLocker peuvent être configurés de façon à être déverrouillés automatiquement lorsque vous ouvrez une session Windows. Le déverrouillage automatique des lecteurs de données amovibles peut être sélectionné une fois que le lecteur a été chiffré. Pour être en mesure de déverrouiller automatiquement des lecteurs de données fixes, le lecteur sur lequel Windows est installé doit également être chiffré par BitLocker.

Accès au contenu sur les lecteurs de données protégés par BitLocker

Une fois qu’un lecteur de données a été protégé par BitLocker, l’accès à ce lecteur est authentifié avant que le contenu ne soit affiché. Les lecteurs de données fixes peuvent être déverrouillés automatiquement après que le lecteur de système d’exploitation a été déverrouillé. Si le lecteur n’est pas déverrouillé automatiquement, vous pouvez cliquer sur Poste de travail pour afficher les lecteurs de l’ordinateur, cliquer avec le bouton droit sur le lecteur et cliquer sur Déverrouiller, ou utiliser l’élément Chiffrement de lecteur BitLocker du Panneau de configuration. Selon la méthode d’authentification configurée pour votre ordinateur, le lecteur sera déverrouillé automatiquement ou vous serez invité à fournir une carte à puce ou un mot de passe. Lorsque des lecteurs de données amovibles sont insérés dans l’ordinateur, après détection de la protection du lecteur par BitLocker vous serez invité à fournir un mot de passe ou une carte à puce.

Options de récupération

Pour empêcher toute perte d’accès aux lecteurs protégés par BitLocker en cas de défaillance du TPM, d’oubli du mot de passe ou de perte de carte à puce ou de clé USB, il est important que les administrateurs soient en mesure d’accéder aux lecteurs BitLocker. BitLocker prend en charge les méthodes suivantes de récupération de l’accès aux lecteurs protégés :

  • Clé de récupération ou mot de passe de récupération. Vous pouvez utiliser une clé de récupération ou un mot de passe de récupération avec BitLocker. Si aucune clé BitLocker n’est disponible, par exemple en cas d’oubli du mot de passe ou de perte de carte à puce, un mot de passe de récupération à 48 chiffres peut être utilisé pour déverrouiller le lecteur protégé. En remplacement d’un mot de passe, une clé de récupération ayant été stockée dans un fichier sur un média amovible (tel qu’un disque mémoire flash USB) peut également être utilisée pour déverrouiller le lecteur protégé.

  • Sauvegarde de clés dans les services de domaine Active Directory (AD DS, Active Directory Domain Services). Les mots de passe de récupération BitLocker peuvent être stockés dans les services AD DS. Cela permet aux administrateurs, tels que le personnel d’assistance, d’aider les utilisateurs lors de la récupération de lecteurs protégés par BitLocker en cas d’oubli ou de perte du mot de passe de récupération.

  • Agent de récupération de données. Un agent de récupération de données est une personne désignée (telle qu’un administrateur système) qui peut utiliser ses informations d’identification administratives pour déverrouiller des lecteurs protégés par BitLocker. BitLocker n’est configuré avec aucun agent de récupération de données par défaut et les agents de récupération de données ne sont pas activés par défaut. Ils doivent être activés et configurés à l’aide de la stratégie de groupe.

Références supplémentaires