feigned

BitLocker : chiffrer un disque sur Windows

3.2K vues
4
Le Crabe

Le Crabe vous a aidé ? Aidez-le en retour en désactivant votre bloqueur de publicités !

(merci pour le coup de pince )

BitLocker est un logiciel de chiffrement intégré à Windows qui permet de chiffrer un disque (disque dur, SSD, clé USB…) pour protéger vos données personnelles contre le vol et les intrusions.

Le Crabe

Le Crabe vous a aidé ? Aidez-le en retour en désactivant votre bloqueur de publicités !

(merci pour le coup de pince )

Si vous perdez votre ordinateur mais que vous l’avez auparavant protégé avec BitLocker, vos données personnelles sont en sécurité : elles ne pourront pas être récupérées ni utilisées par des personnes malveillantes. Sans le mot de passe de déverrouillage, impossible pour quiconque d’accéder au contenu d’un disque chiffré avec BitLocker.

Dans ce tutoriel, nous allons voir comment activer et configurer BitLocker afin de chiffrer un disque sur Windows. Cela peut être un disque système (celui sur lequel Windows est installé), un autre disque physique (disque dur, SSD, clé USB…) ou bien un disque virtuel (VHD) !

Note : BitLocker n’est disponible que sur Windows 10 Professionnel, Windows 8.1 Pro et Windows 7 Ultimate. Pour chiffrer un disque sur une édition Famille de Windows, utilisez la fonctionnalité chiffrement de l’appareil (W10 et W8.1 uniquement) ou bien le logiciel VeraCrypt.

BitLocker : qu’est-ce que c’est ?

BitLocker est un logiciel de chiffrement intégré à Windows.

BitLocker permet de chiffrer :

  • les disques système (disques sur lesquels Windows est installé)
  • les disques fixes (disques durs et SSD internes)
  • les disques amovibles (clé USB, disque dur externe).

La procédure pour chiffrer un disque avec BitLocker est on ne peut simple : il suffit d’activer BitLocker sur le disque à chiffrer, choisir la méthode de déverrouillage (mot de passe, code PIN…), définir quelques options et c’est tout !

Une fois activé, le chiffrement est totalement transparent : vos fichiers apparaissent normalement mais sont stockés sur le disque sous une forme chiffrée. Les nouveaux fichiers sont automatiquement chiffrés lorsque vous les ajoutez au disque qui utilise BitLocker.

À noter que si vous copiez vos fichiers sur un autre disque ou sur un autre PC, ils sont automatiquement déchiffrés.

Pour chiffrer un lecteur avec BitLocker, vous avez le choix entre :

  • Chiffrement de lecteur BitLocker : chiffre intégralement un lecteur. Lorsque votre PC démarre, le chargeur de démarrage Windows (Windows Boot Loader) se charge et vous invite à déverrouiller le lecteur selon la méthode de déverrouillage choisie. BitLocker déchiffre ensuite le lecteur et charge Windows.
  • BitLocker To Go : chiffre un lecteur externe comme une clé USB, une carte SD ou un disque dur externe. Lorsque vous connectez le lecteur à votre ordinateur, vous êtes invité à le déverrouiller selon la méthode de déverrouillage choisie. Sans déverrouillage, personne ne peut accéder aux données du lecteur.

Plusieurs modes de déverrouillage sont disponibles avec BitLocker :

  • TPM* sans authentification
  • TPM + code PIN
  • TPM + code PIN + clé de démarrage
  • TPM + clé de démarrage
  • Clé de démarrage
  • Carte à puce
  • Mot de passe
  • Déverrouillage automatique
* TPM : Trusted Platform Module, module de plateforme sécurisée en français. C’est un composant cryptographique matériel (une puce) intégré sur la carte mère d’un ordinateur qui sert à stocker de manière sécurisée des clés de chiffrement.
Le Crabe

Le Crabe vous a aidé ? Aidez-le en retour en désactivant votre bloqueur de publicités !

(merci pour le coup de pince )

BitLocker : prérequis

BitLocker requiert quelques prérequis logiciels et matériels.

Pour utiliser BitLocker, vous devez exécuter une des versions de Windows suivantes :

  • Windows 10 Professionnel, Entreprise ou Éducation
  • Windows 8.1 Pro ou Entreprise
  • Windows 7 Entreprise ou Édition Intégrale

Pour chiffrer un lecteur système (lecteur sur lequel Windows est installé), le mieux est d’avoir un ordinateur avec une carte mère équipée d’un module de plateforme sécurisée (TPM, Trusted Platform Module). C’est une puce qui génère et qui stocke les clés de chiffrement utilisées par BitLocker.
Si votre carte mère n’est pas équipée d’un TPM, vous pouvez tout de même utiliser BitLocker en activant une stratégie de groupe dans Windows : c’est moins sécurisé qu’un TPM mais c’est toujours mieux que de ne pas utiliser BitLocker du tout.

Pour chiffrer un disque non système ou un disque amovible en revanche, pas besoin de TPM ni de stratégie de groupe à activer.

Le Crabe

Le Crabe vous a aidé ? Aidez-le en retour en désactivant votre bloqueur de publicités !

(merci pour le coup de pince )

Chiffrer un disque avec BitLocker

Choisir l’algorithme de chiffrement

Windows 10 v1511 introduit un nouveau mode de chiffrement : XTS-AES. La protection offerte par le mode XTS est supérieure aux autres modes de chiffrement par bloc (CBC, ECB…) mais celui-ci n’est pas compatible avec les anciennes versions de Windows.

Si vous devez utiliser votre lecteur sur une ancienne version de Windows (c’est surtout le cas avec les lecteurs amovibles), préférez l’ancien mode de chiffrement AES-CBC.


Pour choisir l’algorithme de chiffrement, suivez ces instructions :

  1. Ouvrez l’Éditeur de stratégie de groupe locale en entrant gpedit.msc dans la commande Exécuter.
  2. Naviguez jusqu’à Configuration ordinateur > Modèles d’administration > Composants Windows > Chiffrement de lecteur BitLocker.
  3. Double-cliquez sur la stratégie Choisir la méthode et la puissance de chiffrement des lecteurs selon la version de votre Windows :
    • Windows 10 v1511 et les versions ultérieures
    • Windows 10 v1507 et Windows 8.1
    • Windows 7 et Windows Vista

  4. Cliquez sur Activé puis sélectionnez la méthode de chiffrement pour les trois types de lecteur (système d’exploitation, fixe et amovible) :
    • AES-CBC 128 bits (le plus compatible)
    • AES-CBC 256 bits
    • XTS AES 128 bits
    • XTS AES 256 bits (le plus sécurisé)

  5. Validez en cliquant sur OK.
Étape 1 terminée : vous avez sélectionné votre méthode de chiffrement préférée pour chaque type de lecteur. Passez à l’étape suivante.

Activer le TPM ou la stratégie de groupe

Note : cette étape est nécessaire si et seulement si vous souhaitez chiffrer un lecteur système (lecteur sur lequel Windows est installé). Si vous voulez protéger un disque non-système ou un disque amovible, passez à l’étape suivante.

Pour chiffrer un lecteur système, il faut que votre ordinateur soit équipé d’un module TPM 1.2 ou 2.0 et que celui-ci soit activé dans les paramètres de l’UEFI.

Sinon, vous aurez le message d’erreur suivant au lancement de BitLocker :

Démarrage de BitLocker
Ce périphérique ne peut pas utiliser un module de plateforme sécurisée (TPM). Votre administrateur doit définir l’option « Autoriser BitLocker sans un module de plateforme sécurisée compatible dans la stratégie « Demander une authentification supplémentaire au démarrage » pour les volumes du système d’exploitation.

Si votre PC n’a pas de module TPM, vous pouvez tout de même chiffrer un lecteur système en configurant une stratégie de groupe (voir plus loin).


Pour utiliser BitLocker sur un lecteur système, suivez ces instructions :

  1. Vérifiez que votre ordinateur possède un module TPM en entrant tpm.msc dans la commande Exécuter.
    • Si la fenêtre « Gestion de module de plateforme sécurisée sur l’ordinateur local » affiche des informations relatives au TPM : votre PC a un TPM.
    • Si le message « Module de plateforme sécurisée compatible introuvable » s’affiche : votre PC n’a pas de TPM.
  2. Si votre PC a un TPM, activez-le : rendez-vous dans l’utilitaire de configuration de l’UEFI, activez l’option TPM puis redémarrez votre PC.
    Option TPM sur un PC Lenovo
    Option TPM sur un PC HP

    Option TPM sur un PC Asus
  3. Si votre PC n’a pas de TPM, activez la stratégie de groupe :
    1. Ouvrez la commande Exécuter > gpedit.msc .
    2. Naviguez jusqu’à Configuration ordinateur > Modèles d’administration > Composants Windows > Chiffrement de lecteur BitLocker > Lecteurs du système d’exploitation.
    3. Double-cliquez sur la stratégie Exiger une authentification supplémentaire au démarrage.
    4. Sélectionnez Activé puis cochez la case Autoriser BitLocker sans un module de plateforme sécurisée compatible.
    5. Validez en cliquant sur OK.
Étape 2 terminée : vous avez activé le module TPM ou la stratégie de groupe afin de pouvoir chiffrer le lecteur système. Passez à l’étape suivante.

Activer BitLocker sur le lecteur

Maintenant, vous devez activer BitLocker sur le lecteur que vous souhaitez protéger :

  1. Rendez-vous sur la console de gestion BitLocker en ouvrant le Panneau de configuration > Système et sécurité > Chiffrement de lecteur BitLocker.
  2. Tous les lecteurs compatibles avec BitLocker s’affichent dans trois catégories distinctes :
    • Lecteur du système d’exploitation : partition où est installée Windows
    • Lecteurs de données fixes : autres partitions (disque dur, SSD)
    • Lecteurs de données amovibles : partitions de disques amovibles (clé USB, disque dur externe…). BitLocker To Go sera utilisé pour ces lecteurs

  3. Cliquez sur Activer BitLocker à côté du lecteur à chiffrer.
  4. Vous pouvez aussi faire un clic droit sur le lecteur à chiffrer dans l’Explorateur de fichiers et sélectionner Activer BitLocker.
  5. Patientez pendant le chargement de BitLocker.
Étape 3 terminée : vous êtes activé BitLocker sur le lecteur. Passez à l’étape suivante.

Choisir le mode de déverrouillage

Pour démarrer le système d’exploitation (Windows) sur un lecteur système chiffré avec BitLocker, vous devrez déverrouiller le lecteur au démarrage de l’ordinateur.

Pour les lecteurs non-système, le déverrouillage se fait au moment du montage du lecteur dans Windows.

Vous avez le choix entre cinq modes de déverrouillage :

  • Code PIN (uniquement avec un TPM) : vous devez saisir un code PIN pour déverrouiller le lecteur
  • Lecteur flash USB : vous devez insérer une clé USB pour déverrouiller le lecteur
  • Mot de passe : vous devez saisir un mot de passe pour déverrouiller le lecteur
  • Carte à puce : votre devez insérer votre carte à puce et saisir son code PIN pour déverrouiller le lecteur
  • Déverrouillage automatique : le lecteur est automatiquement déverrouillé (déconseillé)

Sélectionnez le mode de déverrouillage que vous préférez en fonction du type de lecteur :

  1. Sur un lecteur système, vous avez le choix entre quatre modes de déverrouillage :
    • Code PIN (uniquement avec un TPM)
    • Lecteur flash USB
    • Laisser BitLocker déverrouiller automatiquement mon lecteur (déconseillé)
    • Mot de passe (si TPM indisponible)

  2. Sur un lecteur non-système, vous avez le choix entre deux modes de déverrouillage :
    • Mot de passe
    • Carte à puce

  3. Déverrouillage par code PIN (uniquement avec un TPM) : entrez un code PIN de 6 à 20 chiffres puis cliquez sur Définir le code PIN.
  4. Déverrouillage par mot de passe : choisissez un mot de passe fort et sécurisé puis cliquez sur Suivant.
  5. Déverrouillage par clé de démarrage : insérez une clé USB, sélectionnez-la dans la liste puis cliquez sur Enregistrer.
  6. Déverrouillage par carte à puce : insérez votre carte à puce puis entrez son code PIN.
Étape 4 terminée : vous avez choisi le mode de déverrouillage pour déverrouiller votre lecteur. Passez à l’étape suivante.

Note : si BitLocker ne vous propose pas certains modes de déverrouillage pour le lecteur système, suivez ces instructions :

  1. Ouvrez l’Éditeur de stratégie de groupe locale en entrant gpedit.msc dans la commande Exécuter.
  2. Naviguez jusqu’à Configuration ordinateur > Modèles d’administration > Composants Windows > Chiffrement de lecteur BitLocker > Lecteurs du système d’exploitation.
  3. Double-cliquez sur la stratégie Exiger une authentification supplémentaire au démarrage.
  4. Sélectionnez Activé, décochez la case Autoriser BitLocker sans un module de plateforme sécurisée compatible si vous avez un TPM (sinon laissez cocher) puis vérifiez que les options suivantes sont bien sélectionnées :
    • Configurer le démarrage du module de plateforme sécurisée : Autoriser le module de plateforme sécurisée
    • Configurer le code PIN de démarrage de module de plateforme sécurisée : Autoriser un code PIN de démarrage avec le module de plateforme sécurisée
    • Configurer la clé de démarrage de module de plateforme sécurisée : Autoriser une clé de démarrage avec le module de plateforme sécurisée
    • Configurer le code PIN et la clé de démarrage de module de plateforme sécurisée : Autoriser une clé et un code PIN de démarrage avec le module de plateforme sécurisée

  5. Validez en cliquant sur OK.

Sauvegarder la clé de récupération

Une clé de récupération est une clé qui permet de déverrouiller un lecteur chiffré avec BitLocker en cas de perte du mot de passe de déverrouillage, du code PIN, de la clé de démarrage ou bien de la carte à puce.

Par sécurité, sauvegardez cette clé de récupération à plusieurs endroits différents afin d’être sûr et certain de pouvoir la récupérer quoiqu’il arrive. Sans cette clé de récupération, vous n’aurez plus aucun moyen d’accéder aux données d’un lecteur verrouillé.


Pour sauvegarder la clé de récupération de votre lecteur, suivez ces instructions :

  1. BitLocker vous invite à sauvegarder votre clé de récupération à plusieurs endroits différents :
    • Compte Microsoft
    • Disque mémoire flash USB
    • Dans un fichier
    • Sur une feuille de papier (impression)

  2. Je vous recommande fortement d’enregistrer votre clé de récupération sur un maximum d’emplacements.
  3. Compte Microsoft : enregistre la clé de récupération sur l’espace de stockage en ligne OneDrive de votre compte Microsoft.
    Vos clés de récupération sont accessible à l’adresse suivante : https://onedrive.live.com/recoverykey
  4. Disque mémoire flash USB : enregistre la clé de récupération dans un fichier texte (.txt) sur un périphérique USB.
  5. Fichier : enregistre la clé de récupération dans un fichier texte à l’emplacement de votre choix. Il n’est pas possible enregistrer ce fichier texte sur un lecteur chiffré, ni dans le répertoire racine d’un lecteur fixe.
  6. Impression : imprime la clé de récupération sur une feuille de papier.
  7. Une fois votre clé de récupération enregistrée à plusieurs endroits différents, cliquez sur Suivant.
Étape 5 terminée : vous avez sauvegardé votre clé de récupération en lieux sûrs. Passez à l’étape suivante.

Chiffrer le lecteur

Dernière étape : le chiffrement du lecteur.

BitLocker chiffre automatiquement les nouveaux fichiers que vous ajoutez au lecteur, mais vous devez choisir ce qui se passe avec les fichiers actuellement présents sur le lecteur.

Vous pouvez chiffrer l’intégralité du lecteur (y compris l’espace libre) ou bien seulement l’espace disque utilisé.


Pour chiffrer le lecteur, suivez ces instructions :

  1. Sélectionnez une des deux méthodes de chiffrement :
    • Ne chiffrer que l’espace disque utilisé (plus rapide et plus efficace pour les nouveaux PC et lecteurs) : si vous lancez BitLocker sur un nouveau PC, sélectionnez cette option.
    • Chiffrer tout le lecteur (opération plus lente recommandée pour les PC et les lecteurs en service) : si vous lancez BitLocker sur un PC que vous utilisez depuis un certain temps, sélectionnez cette option. Toutes les données du lecteur seront chiffrées, même les fichiers que vous avez supprimés, personne ne pourra les récupérer.

  2. Sélectionnez le mode de chiffrement à utiliser :
    • Nouveau mot de chiffrement : Windows 10 a introduit une nouveau mode de chiffrement nommé XTS-AES. Il offre une intégrité et des performances améliorées par rapport à l’AES utilisé dans Windows 7 et 8. Si votre lecteur ne sera utilisé que sur un PC Windows 10, choisissez cette option.
    • Mode compatible : l’ancien mode de chiffrement AES-CBC utilisé par Windows 7 et 8. Si votre lecteur peut être utilisé sur d’anciennes versions de Windows (c’est sûrement le cas s’il s’agit d’un lecteur amovible), choisissez cette option.

  3. Si vous chiffrer un lecteur système : cochez la case Exécuter la vérification du système Bitlocker puis cliquez sur Continuer.
  4. Cliquez sur la notification puis sur le bouton Redémarrer maintenant pour redémarrer votre PC et lancer la vérification du système.
  5. Au démarrage du PC, utilisez le mode de déverrouillage choisi (code PIN, mot de passe, clé de démarrage) pour déverrouiller le lecteur système.
  6. Si vous chiffrez un lecteur non-système, cliquez simplement sur le bouton Démarrer le chiffrement.
  7. Patientez pendant le chiffrement du lecteur avec BitLocker.
  8. Voilà, votre lecteur a bien été chiffré avec BitLocker. Vous pouvez le voir dans la console de gestion de BitLocker, l’Explorateur de fichiers ou l’outil Gestion des disques.
Étape 6 terminée : félicitations, vous avez chiffré et protégé votre lecteur avec BitLocker ! Pour savoir comment le déverrouiller, passez à l’étape suivante.

Aller plus loin

Déverrouiller un disque avec BitLocker

Le déverrouillage d’un lecteur chiffré avec BitLocker est différent selon le type de lecteur.

Sur un lecteur système, le déverrouillage dépend de la méthode de déverrouillage que vous avez choisie :

  • si votre PC est équipé d’un TPM et que vous avez choisi de déverrouiller automatiquement le lecteur (déconseillé), votre PC démarrera directement dans Windows, vous n’avez rien à faire.
  • si vous avez choisi une autre méthode de déverrouillage, Windows vous invite à déverrouiller le lecteur au démarrage (via un code PIN, une mot de passe, une clé de démarrage…).

Sur un lecteur non-système, vous serez invité à déverrouiller le lecteur après le montage de celui-ci ou après avoir connecté le lecteur à l’ordinateur (clé USB, disque dur externe…).

Si vous avez perdu le mot de passe ou le code PIN d’un lecteur BitLocker, utilisez la clé de récupération pour le déverrouiller :

BitLocker : utiliser une clé de récupération pour déverrouiller un lecteur

Modifier le mot de passe ou le code PIN

Pour modifier le mot de passe ou le code PIN d’un lecteur chiffré avec BitLocker, rendez-vous simplement dans la console de gestion de BitLocker.


Pour modifier le mot de passe d’un lecteur BitLocker :

  1. Cliquez sur Modifier le mot de passe en face du lecteur concerné.
  2. Entrez l’ancien et le nouveau mot de passe puis cliquez sur Modifier le mot de passe.

Pour réinitialiser le mot de passe perdu ou oublié d’un lecteur BitLocker :

  1. Cliquez sur Modifier le mot de passe en face du lecteur concerné.
  2. Cliquez sur Réinitialiser un mot de passe oublié.
  3. Entrez le nouveau mot de passe puis cliquez sur Terminer.

Pour modifier le code PIN :

  1. Cliquez sur Modifier le code PIN en face du lecteur concerné.
  2. Entrez l’ancien et le nouveau code PIN puis clique sur Modifier le code PIN.

Pour réinitialiser un code PIN perdu ou oublié d’un lecteur BitLocker :

  1. Cliquez sur Modifier le code PIN en face du lecteur concerné.
  2. Cliquez sur Réinitialiser un code PIN oublié.
  3. Entrez le nouveau code PIN puis cliquez sur Définir le code PIN.

Désactiver BitLocker

Le chiffrement d’un lecteur peut être désactivé à tout moment :

  1. Rendez-vous sur la console de gestion BitLocker en ouvrant le Panneau de configuration > Système et sécurité > Chiffrement de lecteur BitLocker.
  2. Cliquez sur Désactiver BitLocker.
  3. Confirmez le déchiffrement du lecteur en cliquant sur le bouton Désactiver BitLocker.
  4. Patientez pendant le déchiffrement.
  5. Voilà, votre lecteur est maintenant totalement déchiffré.

Vous pouvez également suspendre temporairement BitLocker, c’est souvent une opération nécessaire pour installer des mises à jour et pour certaines opérations de maintenance du système.

Par exemple, lors de la mise à jour du BIOS/UEFI, il est recommandé de suspendre BitLocker pour éviter tout problème lors de l’installation de la mise à jour.

État de la protection BitLocker

Un lecteur chiffré avec BitLocker peut être dans différents états :

État du lecteur Icône
Chiffré et verrouillé
Chiffré et déverrouillé
Suspendu
Non chiffré

manage-bde : Bitlocker en ligne de commande

manage-bde est un outil en ligne de commande qui permet de gérer BitLocker plus rapidement qu’avec l’interface graphique. Il peut être utilisé à la place de l’application graphique du Panneau de configuration.

Avec manage-bde, vous pouvez activer ou désactiver BitLocker, définir les méthodes de déverrouillage, mettre à jour les méthodes de récupération, déverrouiller les lecteurs protégés par BitLocker…

Pour savoir comment utiliser manage-bde, ça se passe par là :

manage-bde : Bitlocker en ligne de commande

Conclusion

Chiffrer ses données personnelles, c’est important pour protéger sa vie privée et assurer sa sécurité.

BitLocker est un logiciel de chiffrement efficace et très simple d’utilisation. Intégré nativement à Windows, c’est la solution n°1 pour protéger ses données personnelles contre le vol et les intrusions.

Je vous recommande vivement d’activer BitLocker sur vos lecteurs sensibles, c’est simple, rapide et ça peut vous sauver la vie !

Si vous ne voulez d’un produit Microsoft pour chiffrer vos données, d’autres solutions existent comme VeraCrypt.

Liens utiles