BitLocker : chiffrement d’un disque sous Windows 10 avec clé de récupération

  • Iperius Backup France

BitLocker est un système de chiffrement de lecteur intégré au système d’exploitation Microsoft Windows, depuis Windows Vista. Il vous permet de chiffrer des disques durs, des disques amovibles ou des partitions afin de les protéger à l’aide d’un mot de passe spécifique et de les rendre inaccessibles à des tiers. La protection peut également être configurée pour des lecteurs amovibles ou des clés USB.

Il existe également des outils tiers pour chiffrer les disques et les partitions, tels que TrueCrypt ou VeraCrypt (considéré comme meilleure alternative au premier, et son digne successeur), qui sont également gratuits mais qui n’offrent pas la même sécurité en termes de normes et de fiabilité dans le temps, qu’un outil Windows intégré. BitLocker protège les données de l’ordinateur même contre le vol, car l’accès aux fichiers sur les disques ne sera pas possible sans connaissance du mot de passe.

Pour activer BitLocker dans Windows 10, il existe différents modes opératoires. L’un d’eux nécessite une carte mère équipée d’une puce appelée TPM (Trusted Platform Module) version 1.2. Cette puce est utilisée pour stocker des mots de passe sécurisés. Le fait que les mots de passe soient enregistrés sur un support physique, différent du disque, garantit une sécurité robuste. Cependant, il est possible d’activer et d’utiliser BitLocker même sur des ordinateurs dépourvus de puce TPM, comme nous le verrons plus loin, bien que cette solution puisse être moins sécurisée que la précédente.

capture

 

Comment activer BitLocker pour protéger les données sur une partition :

Dans notre exemple, nous montrons comment activer BitLocker sur une partition de disque unique (ce qui peut être utile pour protéger des fichiers ou des programmes spécifiques). Nous utilisons ici le logiciel gratuit «Macrorit Partition Expert», mais nous pouvons utiliser n’importe quel autre logiciel gratuit pour créer des partitions. Sélectionnez une partition et cliquez avec le bouton droit de la souris sur «Déplacer / Redimensionner». Supprimer 100 Go d’une partition existante :

micro_resize_volume

Créez la nouvelle partition en affectant un système de fichiers, une étiquette et une lettre de lecteur :

micro_create_volume

En cliquant sur «Appliquer» dans la barre d’outils, le logiciel créera la nouvelle partition. Si vous créez la nouvelle partition sur le disque sur lequel le système d’exploitation est installé, vous devrez redémarrer l’ordinateur.

file_system

À ce stade, cliquez avec le bouton droit de la souris sur la nouvelle unité et sélectionnez «Activer Bitlocker». Un formulaire apparaîtra pour choisir le mode de protection des données. Dans notre exemple, nous avons choisi le mode «Mot de passe» :

 

choose_modality_enc

Après avoir défini le mot de passe et cliqué sur «Suivant», BitLocker vous demande de choisir le mode de récupération du mot de passe.

Les options de récupération incluent:

  1. Compte Microsoft ;
  2. Clé USB ;
  3. Fichier ;
  4. Impression ;

Dans l’exemple actuel, nous avons choisi de sauvegarder la clé de récupération dans un fichier. Pour des raisons évidentes de sécurité, le fichier doit être déplacé du PC et stocké sur un autre appareil.

save_pswd_recovery

Ensuite, BitLocker vous permet de choisir entre, chiffrer l’ensemble, ou, uniquement les données qu’il contient. Nous avons choisi de protéger l’ensemble de l’unité.

Sélectionnez «Nouveau mode de cryptage», cliquez sur «Suivant», puis sur «Démarrer le cryptage». BitLocker commencera le processus de chiffrement du lecteur.

En chiffrant l’intégralité du disque, le processus sera plus lent.

protect_all type_ecnryption start_encryption

 

Une fois le processus terminé, l’icône du lecteur de disque sera marquée d’un cadenas jaune pour indiquer que le disque doit être déverrouillé avant d’être utilisé.

Pour le déverrouiller, cliquez dessus et entrez le mot de passe demandé.

unlock

Utilisez BitLocker même sur des ordinateurs sans puce TPM

Pour utiliser la protection BitLocker même sur des ordinateurs sans puce TPM, il est nécessaire d’agir sur les stratégies système. Avec ce mode, la protection est au niveau logiciel, donc moins efficace que la protection matérielle fournie par la puce.

no_cpm

En activant la protection et en cochant la case «Autoriser BitLocker sans TPM compatible», nous pourrons définir un mot de passe d’accès ou choisir de sauvegarder les informations d’identification sur un support USB. L’accès aux données sera garanti en saisissant le mot de passe à chaque fois ou en insérant une clé USB au démarrage du PC.

L’utilisation de BitLocker pour chiffrer un lecteur de disque ou une partition est une pratique hautement recommandée pour protéger les données sensibles, à la fois du point de vue de la RGPD et, plus simplement, pour éviter le vol d’informations d’identification.

Cas d’utilisation:

Utiliser BitLocker pour protéger les données du gestionnaire de connexions de bureau à distance (RDCMan)

Remote Desktop Connection Manager est un utilitaire gratuit développé par Microsoft et largement utilisé par les administrateurs réseau. Il vous permet de gérer plusieurs connexions Bureau à distance dans une seule interface utilisateur.

RDCMan vous permet de sauvegarder des groupes et plusieurs objets serveur auxquels vous connecter. Il est également possible de sauvegarder les informations de connexion pour éviter de les saisir à chaque connexion. Toutefois, les fichiers d’archive RDCMan, contenant également les informations d’identité, sont enregistrés sur le disque. Etant donné que Microsoft n’a pas fourni l’utilitaire de fonction de «mot de passe principal», tout attaquant ayant accès à l’ordinateur peut facilement se connecter à des ordinateurs distants. en ouvrant RDCMan. L’utilisation de BitBlocker avec la protection d’un lecteur de disque dédié à l’enregistrement de fichiers RDCMan (Gestionnaire de connexions Bureau à distance) peut être considérée comme une méthode obligatoire pour protéger les données de connexion d’un accès non autorisé. L’erreur suivante de RDCMan lorsque vous essayez d’accéder à ses fichiers, protégés à l’intérieur d’un lecteur chiffré :

alert_disk_protect

Utilisez Iperius pour sauvegarder des dossiers et des fichiers à partir d’un disque protégé par BitLocker :

La protection des données avec BitLocker empêche également l’accès au logiciel de sauvegarde destiné à copier des fichiers à partir d’un disque protégé. Ceci s’applique évidemment aussi à Iperius Backup. Si vous ne supprimez pas la protection du lecteur, Iperius affichera l’erreur suivante dans les journaux de sauvegarde.

erro_log_iperius

Évidemment, en déverrouillant le lecteur de disque, la sauvegarde s’exécutera avec succès, mais cela pose certains problèmes lorsque nous devons effectuer des sauvegardes automatiques, car le déblocage du disque nécessite une intervention explicite de l’utilisateur. Une solution consiste à exécuter un script avec Iperius avant la sauvegarde (nous pouvons le configurer dans les options de l’opération de sauvegarde, panneau «Autres processus»), dans lequel nous pouvons insérer une commande qui déverrouille le lecteur avant la sauvegarde, comme dans l’exemple suivant:

manage-bde -unlock D: -RecoveryPassword VOTRE-CLÉ-DE -DÉCHIFFREMENT

Ensuite, à la fin de la sauvegarde, Iperius peut exécuter un autre script qui verrouille à nouveau le lecteur:

manage-bde -lock D:

Cependant, il est inutile d’ajouter à quel point il est dangereux de conserver un script sur un disque avec un mot de passe clair pour déchiffrer le disque protégé par BitLocker. Un moyen plus sûr de sauvegarder des disques durs chiffrés avec BitLocker consiste à utiliser le mode de sauvegarde Drive Image.

Sauvegarde Image Disque  avec Iperius d’un lecteur de disque protégé avec BitLocker :

Un scénario différent existe dans Iperius Drive Image Backup. La sauvegarde est effectuée avec succès dans le cas d’un lecteur verrouillé ou non verrouillé. Par la suite, lorsque le fichier image “.vhdx” est finalement restauré, si le lecteur a été verrouillé à l’origine, il sera restauré avec le verrouillage actif, et, dans le cas inverse, il sera restauré sans verrouillage :

disk_image_backup

 

Iperius peut donc être considéré comme un excellent logiciel pour cloner un disque dur ou un disque SSD chiffré avec BitLocker. De plus, Iperius vous permet de restaurer un disque crypté BitLocker en suivant la procédure décrite dans le tutoriel suivant : Restaurer une sauvegarde d’image disque BitLocker avec Iperius Recovery Environment®

Voir aussi : Sauvegarde d’image de lecteur, P2V et clonage de disque avec Iperius

La même chose se produira si vous exécutez une image disque Windows (image disque compatible avec Windows Backup exécutée par Iperius via l’interface wbadmin). La chose a en fait suscité quelques critiques, étant donné que le système de sauvegarde Windows avertit explicitement que la sauvegarde du disque ne sera pas cryptée à son tour. Cependant, la sécurité peut être garantie en enregistrant la sauvegarde, c’est-à-dire le fichier image VHDX, sur un espace lui-même crypté ou inaccessible, sauf par authentification.

(Anglais, Italien, Allemand, Espagnol, Portugais - du Brésil)



BitLocker : chiffrement d’un disque sous Windows 10 avec clé de récupération
Iperius Backup France
*****************************************

PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://www.iperiusbackup.com/contact.aspx

*****************************************

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

*****************************************

PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://www.iperiusbackup.com/contact.aspx

*****************************************