Comment chiffrer les disques et protéger les données avec BitLocker

Comment chiffrer les disques et protéger les données avec BitLocker

01/05/2024

Cet article technique et pédagogique est destiné à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans l'activation, la configuration et la gestion de BitLocker, la solution de chiffrement complet du disque de Microsoft. La protection des données au repos est fondamentale pour la sécurité des informations, en particulier sur les appareils mobiles tels que les ordinateurs portables et les tablettes, qui sont susceptibles d'être volés ou perdus. BitLocker permet d'atténuer le risque d'accès non autorisé aux données en cas de compromission d'un appareil physique [1].

Présentation

Avec la mobilité croissante de la main-d’œuvre et la prolifération des appareils stockant des informations sensibles, le chiffrement des disques est devenu une mesure de sécurité indispensable. BitLocker, intégré au système d'exploitation Windows, offre un moyen robuste de chiffrer des volumes entiers, garantissant que les données restent illisibles pour quiconque sans la clé de déchiffrement correcte. Ceci est crucial pour répondre aux exigences de conformité et protéger la propriété intellectuelle [2].

Ce guide pratique couvrira l'activation de BitLocker dans différents scénarios (lecteurs du système d'exploitation et lecteurs de données fixes/amovibles), la gestion des clés de récupération, la validation de l'état de chiffrement et les meilleures pratiques pour son déploiement dans des environnements d'entreprise. Des instructions étape par étape, des commandes réelles et des descriptions seront fournies afin que le lecteur puisse mettre en œuvre et gérer efficacement le chiffrement de disque, protégeant les données au repos et renforçant la posture de sécurité de votre organisation.

Pourquoi utiliser BitLocker ?

  • Protection des données au repos : garantit que les données stockées sur le disque dur sont protégées contre tout accès non autorisé, même si l'appareil est volé ou perdu.
  • Conformité : permet de répondre aux exigences réglementaires et de conformité qui nécessitent le cryptage des données (par exemple, HIPAA, GDPR, LGPD).
  • Intégration avec Windows : en tant que partie intégrante de Windows, il offre une expérience de gestion simplifiée et une intégration avec d'autres outils Microsoft.
  • Prévention des violations : empêche les attaquants d'accéder aux données sensibles en démarrant des systèmes d'exploitation alternatifs ou en retirant le disque dur.

Prérequis

Pour activer et configurer BitLocker, vous aurez besoin des éléments suivants :

  1. Version Windows : BitLocker est disponible dans les éditions Pro, Enterprise et Education de Windows 10 et 11. L'édition Home dispose d'une version plus basique appelée « Device Encryption » [3].
  2. TPM (Trusted Platform Module) : pour le chiffrement du lecteur du système d'exploitation, un TPM version 1.2 ou supérieure est fortement recommandé (et généralement requis pour l'activation automatique). Le TPM est une puce électronique qui stocke les clés de chiffrement et permet de vérifier l'intégrité du système [4].
  3. Autorisations administratives : un compte avec des privilèges d'administrateur local sur l'appareil.
  4. Clé de récupération : un emplacement sécurisé pour stocker la clé de récupération BitLocker (compte Microsoft, fichier, clé USB ou Azure AD/Active Directory).

Étape par étape : activation et configuration de BitLocker

Voyons l'activation de BitLocker pour le lecteur du système d'exploitation et pour les lecteurs de données.

1. Vérification de l'état du TPM

Il est important de vérifier que le TPM est activé et prêt à être utilisé, en particulier pour le lecteur du système d'exploitation.

  1. Appuyez sur « Win + R », tapez « tpm.msc » et appuyez sur « Entrée ».
  2. Dans la fenêtre Gestion du TPM, vérifiez le « Statut » et la « Version » du TPM.
    • Si le statut est « TPM est prêt à être utilisé », vous pouvez continuer.
    • Sinon, vous devrez peut-être l'activer dans le BIOS/UEFI de votre ordinateur.

2. Activation de BitLocker pour le lecteur du système d'exploitation

C'est le moyen le plus courant de protéger un ordinateur portable ou de bureau.

  1. Ouvrez le Panneau de configuration.
  2. Accédez à Système et sécurité > Chiffrement de lecteur BitLocker.

  3. Dans la section « Lecteurs du système d'exploitation », cliquez sur Activer BitLocker pour le lecteur C:.

  4. L'assistant BitLocker démarre. Choisissez comment vous souhaitez sauvegarder votre clé de récupération :

    • Enregistrez sur votre compte Microsoft : recommandé pour les utilisateurs à domicile. La clé est stockée dans votre compte Microsoft en ligne.
    • Enregistrer dans un fichier : Enregistre la clé dans un fichierde texte. Assurez-vous de le stocker dans un endroit sûr (par exemple, une clé USB séparée, un partage réseau sécurisé).
    • Imprimer la clé de récupération : Imprime la clé. Conservez-le dans un endroit physique sûr.
    • Conseil d'entreprise : dans les environnements d'entreprise, la clé de récupération doit être automatiquement stockée dans Azure AD ou Active Directory Domain Services (AD DS) via GPO ou Intune pour une gestion centralisée [5].

  5. Choisissez comment chiffrer votre lecteur :

    • Chiffrer uniquement l'espace disque utilisé : le plus rapide, idéal pour les disques nouveaux ou vides.
    • Chiffrer l'intégralité du lecteur : plus lent, mais garantit que toutes les données (y compris les données supprimées) sont cryptées. Recommandé pour les lecteurs avec des données existantes.

  6. Choisissez le mode de cryptage :

    • Nouveau mode de cryptage (XTS-AES) : recommandé pour les lecteurs fixes.
    • Mode compatible (AES-CBC) : Pour les lecteurs amovibles pouvant être utilisés sur des systèmes plus anciens.

  7. Confirmez les paramètres et cliquez sur Démarrer le cryptage.

  8. BitLocker nécessitera un redémarrage pour démarrer le processus de chiffrement. Après le redémarrage, le chiffrement continuera en arrière-plan.

3. Activation de BitLocker pour les lecteurs de données (fixes et amovibles)

Le processus est similaire, mais avec quelques différences dans les options de déverrouillage.

  1. Ouvrez le Panneau de configuration > Système et sécurité > Chiffrement de lecteur BitLocker.
  2. Dans la section « Lecteurs de données fixes » ou « Lecteurs amovibles », cliquez sur Activer BitLocker pour le lecteur souhaité.

  3. Choisissez comment déverrouiller le lecteur :

    • Utilisez un mot de passe pour déverrouiller le lecteur : définissez un mot de passe pour accéder au lecteur.
    • Utilisez une carte à puce pour déverrouiller l'appareil : Nécessite une carte à puce.
    • Déverrouiller automatiquement sur cette machine : pour les lecteurs fixes, permet au lecteur d'être automatiquement déverrouillé au démarrage du système d'exploitation (si le lecteur du système d'exploitation est également chiffré avec BitLocker).

  4. Sauvegardez la clé de récupération (selon les options décrites dans la section 2).

  5. Choisissez le type et le mode de cryptage et démarrez le processus.

4. Gestion des clés de récupération BitLocker

La clé de récupération est indispensable pour accéder aux données en cas de problème (mot de passe oublié, panne du TPM, etc.).

  1. Dans Panneau de configuration > Système et sécurité > Chiffrement de lecteur BitLocker.
  2. Cliquez sur Sauvegarder votre clé de récupération sur le lecteur souhaité.

  3. Vous pouvez enregistrer dans un fichier, imprimer ou enregistrer à nouveau sur un compte Microsoft.

  4. Commande pour vérifier l'état et obtenir l'ID de la clé : ouvrez l'invite de commande (administrateur) et exécutez : cmd gérer-bde -statut Pour obtenir l'ID de la clé de récupération : cmd gérer-bde -protectors C: -get Le « Key ID » peut être utilisé pour localiser la clé de récupération dans Azure AD ou Active Directory.

Validation et tests

Il est crucial de valider que BitLocker est actif et fonctionne correctement.

1. Vérification de l'état du cryptage

  1. Ouvrez Explorateur de fichiers.

  2. Vous devriez voir une icône de verrou sur le lecteur chiffré, indiquant que BitLocker est actif.

  3. Ouvrez l'invite de commande (Admin) et exécutez la commande manage-bde -status.

  4. Vérifiez que le « Statut de conversion » est « Entièrement crypté » et que le « Statut de protection » est « Protection activée ».

2. Test de la clé de récupération

  1. Simuler une situation de récupération : Dans un environnement de test ou par prudence, vous pouvez essayer de désactiver temporairement le TPM dans le BIOS/UEFI ou de déplacer le disque vers un autre ordinateur.
  2. Lorsque vous démarrez Windows, BitLocker doit entrer en mode de récupération et demander la clé de récupération.
  3. Entrez la clé de récupération que vous avez enregistrée pour vérifier si elle fonctionne.

Conseils de sécurité et bonnes pratiques

  • Gestion centralisée : dans les environnements d'entreprise, utilisez Microsoft Intune ou des objets de stratégie de groupe (GPO) pour gérer de manière centralisée BitLocker, notamment en appliquant des politiques de chiffrement et en sauvegardant automatiquement les clés de récupération sur Azure AD ou AD DS [5].
  • Stockage sécurisé des clés : ne stockez jamais la clé de récupération sur le même disque que celui en cours de chiffrement. Utilisez un emplacement distinct et sécurisé, tel qu'un coffre-fort de mots de passe, unà partir d’une clé USB cryptée ou d’un service d’annuaire.
  • TPM est essentiel : donnez la priorité aux appareils dotés de TPM 2.0 pour une plus grande sécurité et une gestion BitLocker plus facile.
  • PIN/Mot de passe de pré-démarrage : pour une plus grande sécurité du lecteur de votre système d'exploitation, envisagez de configurer un code PIN ou un mot de passe de pré-démarrage en plus du TPM. Cela oblige l'utilisateur à saisir un code PIN avant même le chargement de Windows, ce qui le protège contre les attaques de démarrage à froid.
  • Cryptage des lecteurs amovibles : encouragez ou exigez le chiffrement de tous les lecteurs amovibles (USB, disques durs externes) pouvant contenir des données sensibles.
  • Examen périodique : vérifiez régulièrement l'état de cryptage des appareils et l'accessibilité des clés de récupération.
  • Éducation des utilisateurs : informez les utilisateurs sur l'importance de BitLocker, sur la façon de gérer leurs clés de récupération et sur la marche à suivre s'ils rencontrent des problèmes.

Dépannage courant

  • BitLocker ne s'active pas : Vérifiez si le TPM est activé et configuré correctement dans le BIOS/UEFI. Assurez-vous que le disque dispose d'une partition système EFI/UEFI (s'il s'agit d'un lecteur de système d'exploitation). Vérifiez les stratégies de groupe qui peuvent empêcher l’activation.
  • Demande de clé de récupération au démarrage : Cela peut se produire s'il y a eu des modifications matérielles (par exemple, mise à jour du BIOS/UEFI, changement de carte mère) ou si le TPM a été désactivé. Entrez la clé de récupération. Si cela est fréquent, recherchez la cause première (par exemple, TPM instable, problème matériel).
  • Clé de récupération perdue : si la clé de récupération est perdue et qu'il n'y a aucune sauvegarde dans un emplacement accessible, les données sur le lecteur crypté peuvent être irrécupérables. C'est pourquoi une sauvegarde sécurisée est si essentielle.
  • Performances réduites : le chiffrement et le déchiffrement en temps réel peuvent entraîner une légère baisse des performances, en particulier sur le matériel plus ancien. Assurez-vous que le matériel répond aux exigences de performances.
  • Problèmes GPO/Intune : si BitLocker est géré via GPO ou Intune et qu'il y a des problèmes, vérifiez l'application des stratégies, les journaux d'événements sur les appareils et la connectivité à Azure AD/AD DS pour la sauvegarde des clés.

Conclusion

Le chiffrement de disque avec BitLocker est un outil puissant et essentiel pour protéger les données au repos sur les appareils Windows. En mettant en œuvre BitLocker, les organisations peuvent garantir que les informations sensibles sont protégées contre tout accès non autorisé en cas de vol, de perte ou d'élimination inappropriée du matériel. Une configuration correcte, une gestion sécurisée des clés de récupération et le respect des meilleures pratiques sont essentiels pour maximiser l'efficacité de BitLocker. Avec ce guide, les analystes de sécurité, les administrateurs informatiques et les ingénieurs système seront équipés pour renforcer la sécurité des données dans leurs environnements, contribuant ainsi à une posture de sécurité plus robuste et conforme aux exigences actuelles.

Références :

[1] Microsoft Apprendre. Aperçu de BitLocker. Disponible sur : https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/bitlocker-overview [2] Microsoft Apprendre. Guide de planification BitLocker. Disponible sur : https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/planning-guide [3] Microsoft Apprendre. Cryptage de l'appareil sous Windows. Disponible sur : [https://support.microsoft.com/pt-br/windows/cryptia-de-dispósito-no-windows-cf7e2b6f-3e70-4882-9532-18633605b7df] (https://support.microsoft.com/pt-br/windows/cryptia-de-dispósito-no-windows-cf7e2b6f-3e70-4882-9532-18633605b7df) [4] Microsoft Apprendre. Aperçu de la technologie du module de plate-forme de confiance. Disponible sur : https://learn.microsoft.com/en-us/windows/security/information-protection/tpm/tpm-overview [5] Microsoft Apprendre. Sauvegardez les clés de récupération BitLocker. Disponible sur : https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/bitlocker-recovery-guide-plan#bitlocker-recovery-key-storage