Skip to main content

Comment configurer BitLocker sur les ordinateurs exempts de module de plateforme sécurisée

Date de publication : 6 octobre 2010

On a beaucoup écrit au sujet de la solution de chiffrement de lecteur BitLocker Windows 7. Pour une protection maximale, Microsoft recommande de déployer BitLocker sur les systèmes dotés d'un module de plateforme sécurisée (TPM) et il existe de nombreux articles sur les sites TechNet et des influenceurs qui l'avalisent comme étant la meilleure pratique. Même si je suis entièrement d'accord, il est également prouvé que de très nombreuses machines sont livrées sans comporter de module TPM.

Je suis souvent approché par des clients qui souhaitent bénéficier des avantages du chiffrement de lecteur, mais qui sont déroutés et incertains quant à la démarche à suivre pour le déployer dans un environnement non sécurisé ou sur des machines sensibles. Dans cet article succinct, je cherche à résoudre ces problèmes et, en même temps, je suggère quelques meilleures pratiques à mettre en œuvre.

Capture d'écran Assistant Chiffrement de lecteur BitLocker

Tout d'abord, pour pouvoir utiliser BitLocker, vous devez disposer de l'édition Entreprise ou Intégrale de Windows 7. Même s'il a été installé comme faisant partie intégrante du système d'exploitation (SE), BitLocker est désactivé par défaut. Pour activer la fonctionnalité, il vous suffit d'aller dans Panneau de configuration | Système et sécurité | BitLocker. À cet emplacement, vous pouvez sélectionner le disque à chiffrer, activer BitLocker et suivre l'Assistant.

Capture d'écran Demande de mot de passe BitLocker

Comme l'illustre la figure ci-dessus, vous êtes invité à saisir un mot de passe (de préférence complexe) ou à utiliser une carte à puce. Si vous choisissez la dernière option, un numéro d'identification personnel (PIN) est également requis.

Capture d'écran Demande de clé de récupération BitLocker

Une fois le chiffrement effectué, BitLocker vous demande si vous souhaitez sauvegarder votre clé de récupération. Ceci est essentiel en cas d'oubli de votre mot de passe. Vous pouvez imprimer votre clé ou la sauvegarder dans un fichier à des fins d'archivage. Dans les environnements d'entreprise, les clés de récupération peuvent être archivées dans Active Directory et gérées via Stratégie de groupe (comme illustré ci-dessous).

Capture d'écran Demande d'écran d'archivage de la clé de récupération

Il convient de noter que dans les scénarios ci-dessus dans lesquels BitLocker est déployé sans module TPM, les clés BitLocker restent vulnérables dans la RAM et, que par conséquent, elles peuvent être exposées à des menaces potentielles, parmi lesquelles le vol de RAM et les rootkits. Dans le cas d'une attaque de RAM, un pirate doit être à même d'accéder physiquement à une machine pour lancer l'attaque. Un scénario possible ici pourrait mettre en œuvre un employé malveillant ayant des intentions d'espionnage industriel.

Par conséquent, on me pose souvent la question suivante : « Je souhaite utiliser BitLocker mais ne dispose pas de module TPM. Que puis-je faire ? » Avant tout, vous devez réduire le risque d'attaque. Pour ce faire, il vous suffit de suivre quelques procédures simples. D'abord, désactivez la mise en veille prolongée. Il s'agit d'une fonctionnalité de gestion de l'alimentation Windows qui, pour l'essentiel, vide le contenu de la RAM dans un fichier, à la racine de votre disque dur, intitulé Hiberfill.sys. Les avantages de cette technologie incluent des temps d'arrêt et de démarrage plus rapides.

À présent, nous voilà confrontés à un choix difficile : la vitesse ou la sécurité. Afin d'atténuer cette vulnérabilité, vous pouvez effectuer l'une des opérations suivantes :

  1. Désactiver la capacité de l'ordinateur à se mettre en veille prolongée et à arrêter physiquement la machine. Cette opération peut être effectuée dans Options d'alimentation Windows | Modifier les paramètres du mode de gestion de l'alimentation | Paramètres avancés, comme illustré ci-dessous :

    Capture d'écran Gestion de l'alimentation Windows
  2. Une autre façon d'y parvenir consiste à utiliser l'outil Configuration de l'alimentation Windows. Pour ce faire, ouvrez une invite de commande et tapez Powercfg –h off

N'oubliez pas que BitLocker est une solution de chiffrement de données au repos (DAR) et, que par conséquent, vous ne serez pas protégé contre chaque menace. Mais, en planifiant un peu, vous pouvez réduire les risques de manière significative. Une autre vulnérabilité potentielle réside dans le fait qu'un pirate a la capacité d'accéder aux documents sensibles présents sur des volumes chiffrés BitLocker en mappant les lecteurs réseau. Afin d'atténuer cette menace, vous pouvez associer BitLocker à une autre fonctionnalité de chiffrement Windows 7, Système de fichiers EFS (Encrypting File System).

Pour activer EFS, procédez comme suit :

  1. Chiffrez votre lecteur à l'aide de BitLocker, comme illustré en suivant les étapes ci-dessus.
  2. Placez vos données sensibles dans une structure de dossiers sur le volume chiffré.
  3. Cliquez avec le bouton droit de la souris sur le dossier, puis cliquez sur Avancé.
  4. Cliquez sur Chiffrer le contenu pour sécuriser les données.

Capture d'écran Paramètres du système de fichiers EFS

En conclusion, BitLocker associé à un module TPM offre une solution DAR solide comme un roc. Néanmoins, dans certains cas, les entreprises ou les particuliers qui souhaitent utiliser les technologies BitLocker, mais disposent d'ordinateurs qui ne sont pas dotés du module TPM, peuvent effectuer quelques étapes supplémentaires afin de garantir une sécurité accrue.

Retour au début

À propos de l'auteur

Photo de Andy Malone Andy Malone est le PDG de Quality Training Ltd et fondateur des événements Dive Deeper Technology et Cybercrime Security.

Basé en Écosse, Andy est un présentateur d'événements internationaux et spécialiste de la technologie reconnu, ayant à son actif plus de 15 ans d'expérience en matière de fourniture de contenu technique et de sécurité à des milliers de professionnels de l'informatique dans le monde lors de diverses conférences techniques, comme par exemple Microsoft Tech•Ed, IT Pro-Connections et Tech-days. Vous pouvez également consulter son blog.

Microsoft réalise une enquête en ligne pour comprendre votre opinion sur le site Web de. Si vous choisissez de participer, l’enquête en ligne vous sera présentée lorsque vous quitterez le site Web de.

Souhaitez-vous y participer ?