BitLocker est le nom que Microsoft donne aux outils de chiffrement disponibles dans les éditions professionnelles de Windows. Les éditions domestiques de Windows 10 offrent également un sous-ensemble limité mais efficace de fonctionnalités de chiffrement des périphériques BitLocker.
En cas de perte ou de vol de votre ordinateur, le coût de remplacement pourrait être source d'inquiétude. Cependant, cela ne serait rien en comparaison de ce que vous risqueriez de perdre si quelqu'un avait un accès illimité aux données de cet appareil. Même si un voleur ne peut pas se connecter sans mot de passe à votre cession Windows, il pourrait démarrer l'ordinateur à partir d'un périphérique amovible et accéder au contenu du disque système en toute impunité. La meilleure façon de prévenir ce cauchemar est de chiffrer l'ensemble de votre périphérique, rendant son contenu accessible uniquement avec la clé de récupération. A utiliser avec précaution.
Alors, comment ça fonctionne?
Sur tous les périphériques sous Windows 10, le chiffrement du périphérique est automatiquement activé. Windows crée les partitions nécessaires et initialise le chiffrement sur le lecteur du système d'exploitation avec une clé en clair.
Pour achever le processus de chiffrement, vous devez effectuer l'une des étapes suivantes :
Connectez-vous avec votre compte Microsoft doté de droits d'administrateur. Cela supprime la clé d'effacement, télécharge une clé de récupération sur le compte OneDrive de l'utilisateur et chiffre les données sur le lecteur du système. À noter que ce processus se déroule automatiquement et fonctionne sur toutes les éditions de Windows 10.
Connectez-vous avec un compte Active Directory sur un domaine Windows ou un compte Azure Active Directory (AAD). Les deux configurations exigent une édition professionnelle de Windows 10 (Pro, Enterprise ou Education), et la clé de récupération est enregistrée dans un emplacement accessible à l'administrateur du domaine ou de l'AAD.
Si vous vous connectez avec un compte local sur un appareil utilisant une édition professionnelle de Windows 10, utilisez les outils de gestion BitLocker pour activer le chiffrement sur les lecteurs disponibles.
Sur les lecteurs à semi-conducteurs auto-chiffrés prenant en charge le chiffrement matériel, Windows 10 délègue le travail de chiffrement et de déchiffrement des données au matériel. À noter qu'une vulnérabilité dans cette fonctionnalité, révélée pour la première fois en novembre 2018, pourrait exposer les données dans certaines circonstances. Dans ce cas, une mise à jour du micrologiciel du SSD est nécessaire ; en attendant cette mise à jour, vous pouvez opter pour le chiffrement logiciel en suivant les instructions de l'avis de sécurité de Microsoft.
Remarquez que Windows 10 prend toujours en charge la fonction beaucoup plus ancienne de système de fichiers chiffrés, un système basé sur les fichiers et les dossiers introduit avec Windows 2000. Cependant, pour la plupart des dispositifs matériels modernes, BitLocker reste un choix préférable.
La caractéristique matérielle principale requise pour prendre en charge le chiffrement des dispositifs BitLocker est une puce TPM (Trusted Platform Module). Le dispositif doit également prendre en charge la fonction de veille moderne (anciennement appelée InstantGo). Pratiquement tous les dispositifs initialement conçus pour Windows 10 satisfont à ces exigences.
Gestion de BitLocker
Dans l'ensemble, BitLocker est une fonction qui se configure et se laisse ensuite en mode automatique. Une fois que vous avez activé le chiffrement d'un lecteur, aucune maintenance ultérieure n'est requise. Cependant, vous avez la possibilité d'utiliser des outils intégrés au système d'exploitation pour effectuer diverses tâches de gestion.
Les outils les plus simples sont accessibles via l'interface graphique de Windows, mais uniquement si vous utilisez Windows 10 Pro ou Enterprise. Il vous suffit d'ouvrir l'explorateur de fichiers, de faire un clic droit sur l'icône d'un lecteur, puis de choisir "Gérer BitLocker". Cela vous dirigera vers une page où vous pouvez activer ou désactiver BitLocker. Si BitLocker est déjà activé pour le lecteur système, vous pouvez temporairement suspendre le chiffrement ou sauvegarder votre clé de récupération à partir de cette interface. De plus, vous pouvez gérer le chiffrement sur les lecteurs amovibles et les lecteurs internes secondaires. Ces outils de gestion ne sont disponibles que sur les éditions professionnelles de Windows 10.
Sur un système utilisant Windows 10 Home, vous trouverez un bouton marche/arrêt dans Paramètres > Mise à jour et récupération > Chiffrement des périphériques. Un avertissement s'affichera si le chiffrement du périphérique n'a pas été activé lors de la connexion au compte Microsoft.
Pour un ensemble plus étendu d'outils, ouvrez une invite de commande et utilisez l'un des deux outils administratifs intégrés à BitLocker, manage-bde ou repair-bde, avec l'un des commutateurs disponibles. Le plus simple et le plus utile de ces outils est manage-bde -status, qui affiche l'état de chiffrement de tous les lecteurs disponibles. Il est à noter que cette commande fonctionne sur toutes les éditions, y compris Windows 10 Home. Pour obtenir une liste complète des commutateurs, tapez manage-bde - ? ou repair-bde - ?.
Enfin, Windows PowerShell propose un ensemble complet de cmdlets BitLocker. Vous pouvez utiliser, par exemple, Get-BitLockerVolume pour consulter l'état de tous les disques fixes et amovibles du système actuel. Pour une liste exhaustive des cmdlets BitLocker disponibles, consultez la page de documentation BitLocker PowerShell.
Mode à Emporter
Les dispositifs de stockage amovibles requièrent également un niveau de sécurité, notamment les clés USB et les cartes MicroSD qui peuvent être insérées dans certains PC. C'est ici que BitLocker To Go entre en jeu. Pour activer le chiffrement BitLocker sur un disque amovible, une édition professionnelle de Windows 10 est nécessaire. Toutefois, vous pouvez déverrouiller ce périphérique sur un appareil fonctionnant avec n'importe quelle édition, y compris Windows 10 Home.
Dans le cadre du processus de chiffrement, vous devez définir un mot de passe qui servira à déverrouiller le lecteur. De plus, il est impératif d'enregistrer la clé de récupération du lecteur, car elle n'est pas automatiquement sauvegardée sur un compte cloud.
Enfin, vous devez choisir un mode de chiffrement. Optez pour l'option "Nouveau mode de chiffrement (XTS-AES)" si vous prévoyez d'utiliser l'appareil exclusivement sous Windows 10. Choisissez le mode "compatible" pour un lecteur que vous pourriez vouloir ouvrir sur un appareil fonctionnant sous une version antérieure de Windows. Lors de l'insertion ultérieure de ce dispositif dans un PC Windows, le mot de passe vous sera demandé. Cliquez sur "Plus d'options" et cochez la case pour déverrouiller automatiquement l'appareil si vous souhaitez accéder facilement à ses données sur un appareil de confiance que vous contrôlez.
L'option de déverrouillage automatique est particulièrement utile lorsque vous utilisez un disque amovible sur un appareil de confiance, vous permettant d'ignorer le mot de passe. Cette fonction est particulièrement pratique si vous employez une carte MicroSD pour étendre la capacité de stockage d'un appareil tel que la Surface Pro. Une fois connecté, toutes vos données deviennent immédiatement accessibles. En cas de perte ou de vol du disque amovible, les données restent inaccessibles au mauvaises intentions.
Comment sauvegarder et utiliser la clé de récupération
En conditions normales, votre lecteur se déverrouille automatiquement lorsque vous vous connectez à Windows 10 à l'aide d'un compte autorisé pour cet appareil. Cependant, si vous essayez d'accéder au système d'une autre manière, comme le démarrage à partir d'un lecteur de configuration de Windows 10 ou d'un lecteur de démarrage USB basé sur Linux, vous serez invité à fournir une clé de récupération pour accéder au lecteur actuel. Une demande de clé de récupération peut également survenir si une mise à jour du firmware modifie le système d'une manière que le TPM ne reconnaît pas.
En tant qu'administrateur système au sein d'une organisation, vous avez la capacité d'utiliser une clé de récupération (manuellement ou à l'aide d'un logiciel de gestion) pour accéder aux données sur tout périphérique appartenant à votre organisation, même si l'utilisateur n'est plus affilié à l'organisation. La clé de récupération, un numéro à 48 chiffres, déverrouille le lecteur chiffré dans ces circonstances. Sans cette clé, les données sur le disque restent chiffrées. Si votre objectif est de réinstaller Windows pour recycler un périphérique, vous pouvez omettre de saisir la clé, et les anciennes données seront totalement illisibles une fois l'installation terminée.
Votre clé de récupération est automatiquement stockée dans le cloud si vous avez activé le chiffrement du périphérique avec un compte Microsoft. Pour trouver la clé, rendez-vous sur https://onedrive.com/recoverykey et connectez-vous avec le compte Microsoft associé. Notez que cette option fonctionne également sur un téléphone portable. Développez la liste pour n'importe quel appareil afin de voir des détails supplémentaires et afficher une option pour supprimer la clé enregistrée.
Si vous avez activé le chiffrement BitLocker en associant votre appareil Windows 10 à un compte Azure AD, vous trouverez la clé de récupération dans la liste de votre profil Azure AD. Allez dans Paramètres > Comptes > Vos informations et cliquez sur "Gérer mon compte". Si vous utilisez un appareil qui n'est pas enregistré auprès d'Azure AD, rendez-vous sur https://account.activedirectory.windowsazure.com/profile et connectez-vous avec vos identifiants Azure AD. Trouvez le nom de l'appareil sous la rubrique "Appareils et activités" et cliquez sur "Obtenir des clés BitLocker" pour afficher la clé de récupération de cet appareil. Notez que votre organisation doit autoriser cette fonctionnalité pour que les informations soient disponibles.
Enfin, sur les éditions professionnelles de Windows 10, vous avez la possibilité d'imprimer ou d'enregistrer une copie de la clé de récupération et de stocker le fichier ou l'impression (ou les deux) dans un endroit sûr. Utilisez les outils de gestion disponibles dans l'explorateur de fichiers pour accéder à ces options. Choisissez cette option si vous avez activé le chiffrement de l'appareil avec un compte Microsoft et que vous préférez ne pas avoir la clé de récupération disponible dans OneDrive.