Vue d’ensemble du chiffrement de lecteur BitLocker

BitLocker peut utiliser un module de plateforme sécurisée (TPM) pour vérifier l’intégrité des composants de la séquence de démarrage et des données de configuration de démarrage. L’utilisateur est ainsi assuré que le lecteur chiffré est accessible uniquement si ces composants n’ont pas été falsifiés et si le lecteur chiffré réside sur l’ordinateur d’origine.

BitLocker garantit l’intégrité du processus de démarrage en effectuant les opérations suivantes :

• fourniture d’une méthode permettant de vérifier que l’intégrité des fichiers de la séquence de démarrage a été maintenue et que ceux-ci n’ont pas subi de modification contradictoire, comme avec des virus sur le secteur de démarrage ou des rootkits ;
  
  
• amélioration de la protection visant à limiter les attaques logicielles hors connexion. Tout autre logiciel susceptible de démarrer le système ne pourra pas accéder aux clés de déchiffrement du lecteur du système d’exploitation Windows ;
  
  
• verrouillage du système en cas de falsification. S’il s’avère que l’un des fichiers surveillés a été falsifié, le système ne démarre pas. L’utilisateur est ainsi alerté puisque le système ne démarre pas normalement. Si le système se bloque, BitLocker propose un processus de récupération simple.
  
  

Pour pouvoir utiliser BitLocker, un ordinateur doit remplir certaines conditions :

• Pour que BitLocker puisse utiliser la vérification d’intégrité du système fournie par un module de plateforme sécurisée (TPM), l’ordinateur doit être équipé d’un TPM version 1.2. Si votre ordinateur en est dépourvu, l’activation de BitLocker vous impose d’enregistrer une clé de démarrage sur un périphérique amovible tel qu’un disque mémoire flash USB.
  
  
• Un ordinateur équipé d’un module de plateforme sécurisée doit également posséder un BIOS compatible TCG (Trusted Computing Group). Le BIOS établit une chaîne de confiance pour le démarrage préalable au système d’exploitation et il doit inclure la prise en charge de la racine statique spécifiée par TCG de la mesure de confiance. Un ordinateur sans TPM ne nécessite pas de BIOS compatible TCG.
  
  
• Le BIOS système (pour les ordinateurs équipés ou non d’un module de plateforme sécurisée) doit prendre en charge la classe de périphériques de stockage de masse USB, notamment la lecture des petits fichiers sur un disque mémoire flash USB dans l’environnement préalable au démarrage du système d’exploitation. Pour plus d’informations sur USB, reportez-vous à la page consacrée aux spécifications relatives au stockage de masse USB en bloc uniquement et à la commande UFI de stockage de masse sur le site Web USB (https://go.microsoft.com/fwlink/?LinkId=83120) (éventuellement en anglais).
  
  
• Le disque dur doit être partitionné avec deux lecteurs au minimum :
  
  
  • Le lecteur du système d’exploitation (ou lecteur démarrage) contient le système d’exploitation et ses fichiers de support ; il doit être formaté avec le système de fichiers NTFS.
    
    
  • Le lecteur système contient les fichiers nécessaires au chargement de Windows après que le BIOS a préparé le matériel système. BitLocker n’est pas activé sur ce lecteur. Pour que BitLocker puisse fonctionner, le lecteur système ne doit pas être chiffré, il doit être différent du lecteur du système d’exploitation et il doit être formaté avec le système de fichiers NTFS. Le lecteur système doit être de 1,5 gigaoctets (Go) au minimum.
    
    

BitLocker est installé automatiquement dans le cadre de l’installation du système d’exploitation. Toutefois, BitLocker n’est pas activé tant qu’il ne l’est pas explicitement à l’aide de l’Assistant de configuration BitLocker, accessible depuis le Panneau de configuration ou en cliquant avec le bouton droit sur le lecteur dans Windows Explorer.

Après l’installation et la configuration initiale du système d’exploitation, l’administrateur système peut à tout moment utiliser l’Assistant de configuration BitLocker pour initialiser BitLocker. Le processus d’initialisation compte deux étapes :

1. Sur les ordinateurs équipés d’un module de plateforme sécurisée, initialisez le module en utilisant l’Assistant Initialisation du module de plateforme sécurisée (TPM), l’élément Chiffrement de lecteur BitLocker du Panneau de configuration ou en exécutant un script d’initialisation dédié.
   
   
2. Configurez BitLocker. Dans le Panneau de configuration, accédez à l’Assistant de configuration BitLocker qui va vous guider tout au long de la configuration et vous présenter des options d’authentification avancées.
   
   

Lorsqu’un administrateur local initialise BitLocker, il doit également créer un mot de passe de récupération ou une clé de récupération. Sans clé ou mot de passe de récupération, il est possible que toutes les données du lecteur chiffré soient inaccessibles et irrécupérables en cas de problème rencontré avec le lecteur protégé par BitLocker.

	Remarques
	L’initialisation de BitLocker et du module de plateforme sécurisée doit être effectuée par un membre du groupe local Administrateurs sur l’ordinateur.

Pour plus d’informations sur la configuration et le déploiement de BitLocker, voir le Guide pas à pas du chiffrement de lecteur BitLocker Windows (https://go.microsoft.com/fwlink/?LinkID=140225) (éventuellement en anglais).

BitLocker peut faire appel à une infrastructure AD DS (services de domaine Active Directory) existante de l’entreprise pour stocker à distance des clés de récupération. BitLocker fournit également un Assistant de configuration et d’administration, de même que l’extensibilité et la gérabilité via une interface WMI (Windows Management Instrumentation) dotée du support des scripts. BitLocker possède également une console de récupération intégrée dans le processus de la séquence de démarrage qui permet à l’utilisateur ou aux spécialistes du support technique d’accéder à nouveau à un ordinateur verrouillé.

Pour plus d’informations sur l’écriture de scripts pour BitLocker, reportez-vous à Win32_EncryptableVolume (https://go.microsoft.com/fwlink/?LinkId=85983) (éventuellement en anglais).

De nombreux ordinateurs personnels sont aujourd’hui réutilisés par des personnes qui ne sont ni les propriétaires, ni les utilisateurs initiaux de l’ordinateur. Dans l’entreprise, il arrive que des ordinateurs soient redéployés dans d’autres services ou soient recyclés dans le cadre du cycle d’actualisation des équipements.

Sur des lecteurs non chiffrés, des données peuvent rester lisibles même après le formatage du lecteur. Pour réduire le risque d’exposition des données sur des lecteurs mis hors service, les entreprises ont souvent recours aux remplacements multiples ou à la destruction physique.

BitLocker permet de créer un processus de mise hors service simple et rentable. En conservant les données chiffrées par BitLocker puis en supprimant les clés, une entreprise peut réduire définitivement le risque d’exposition de ces données. Il devient alors presque impossible d’accéder aux données chiffrées par BitLocker car il faudrait pour cela percer le chiffrement AES 128 bits ou 256 bits.

BitLocker ne peut pas protéger un ordinateur contre toutes les attaques possibles. Si, par exemple, des utilisateurs mal intentionnés ou des programmes malveillants tels que des virus ou des rootkits, ont accès à l’ordinateur avant que celui-ci ne soit perdu ou volé, ils peuvent introduire des faiblesses qui leur permettront par la suite d’accéder aux données chiffrées. La protection BitLocker peut également être compromise si la clé de démarrage USB reste dans l’ordinateur ou si la confidentialité du mot de passe de connexion Windows ou du code confidentiel n’est pas préservée.

Le mode d’authentification par module de plateforme sécurisée uniquement est le plus facile à déployer, à gérer et à utiliser. Il est également adapté aux ordinateurs qui sont en mode sans assistance ou qui doivent redémarrer dans ce mode. Le mode d’authentification par module de plateforme sécurisée uniquement offre cependant la protection des données la moins efficace. Si certains départements de votre organisation possèdent des données considérées comme ultra-sensibles sur des ordinateurs portables, pensez à déployer BitLocker avec l’authentification multifacteur sur ces ordinateurs.

Pour plus d’informations sur les éléments à prendre en compte en matière de sécurité BitLocker, voir Data Encryption Toolkit for Mobile PCs (https://go.microsoft.com/fwlink/?LinkId=85982) (éventuellement en anglais).

S’agissant de serveurs dans un environnement partagé ou potentiellement non sécurisé, tel qu’une succursale, BitLocker peut être utilisé pour chiffrer le lecteur du système d’exploitation et des lecteurs de données sur le même serveur.

Par défaut, BitLocker n’est pas installé avec Windows Server 2008 R2. Ajoutez BitLocker à partir de la page Windows Server 2008 R2 Gestionnaire de serveur. Redémarrez le serveur après avoir installé BitLocker. Vous pouvez également activer BitLocker à distance à l’aide de WMI.

BitLocker est pris en charge sur les serveurs EFI utilisant une architecture de processeurs 64 bits.

	Remarques
	BitLocker ne prend pas en charge les configurations de cluster.

Une fois que le volume a été chiffré et protégé avec BitLocker, la page Gérer BitLocker de l’élément Chiffrement de lecteur BitLocker du Panneau de configuration peut être utilisée pour changer le mot de passe afin de déverrouiller le lecteur, supprimer le mot de passe du lecteur, ajouter une carte à puce pour déverrouiller le lecteur, enregistrer ou imprimer de nouveau la clé de récupération, déverrouiller automatiquement le lecteur, dupliquer des clés et réinitialiser le code confidentiel.

	Remarques
	Les types de clés pouvant être utilisés sur un ordinateur sont contrôlés à l’aide de la stratégie de groupe. Pour plus d’informations sur l’utilisation de la stratégie de groupe avec BitLocker, voir le Guide de déploiement de BitLocker (https://go.microsoft.com/fwlink/?LinkID=140286) (éventuellement en anglais).

Un administrateur peut souhaiter désactiver temporairement BitLocker dans des circonstances particulières, comme :

• le redémarrage de l’ordinateur pour des opérations de maintenance sans intervention de l’utilisateur (par exemple, pas de saisie d’un code confidentiel ni d’insertion d’une clé de démarrage) ;
  
  
• la mise à jour du BIOS ;
  
  
• l’installation d’un composant matériel ayant une mémoire morte (ROM) facultative ;
  
  
• la mise à niveau de composants critiques de la séquence de démarrage sans déclenchement de la récupération BitLocker. Par exemple :
  
  
  • l’installation d’une autre version du système d’exploitation ou d’un autre système d’exploitation qui pourrait modifier le secteur de démarrage principal (MBR) ;
    
    
  • le repartitionnement du disque qui pourrait modifier la table de partition ;
    
    
  • l’exécution d’autres tâches système qui modifient les composants de démarrage validés par le module de plateforme sécurisée ;
    
    
• la mise à niveau de la carte mère pour remplacer ou retirer le module de plateforme sécurisée sans déclenchement de la récupération BitLocker ;
  
  
• la désactivation ou la suppression du module de plateforme sécurisée sans déclenchement de la récupération BitLocker ;
  
  
• le déplacement d’un lecteur protégé par BitLocker vers un autre ordinateur sans déclenchement de la récupération BitLocker.
  
  

Ces scénarios sont désignés collectivement sous le nom de « scénario de mise à niveau d’ordinateurs ». BitLocker peut être activé ou désactivé à l’aide de l’élément Chiffrement de lecteur BitLocker du Panneau de configuration Windows.

Les étapes suivantes sont nécessaires pour mettre à niveau un ordinateur protégé par BitLocker.

1. Désactivez temporairement BitLocker.
   
   
2. Mettez à niveau le système ou le BIOS.
   
   
3. Réactivez BitLocker.
   
   

Si vous forcez BitLocker en mode désactivé, le lecteur reste chiffré mais la clé principale de lecteur est chiffrée avec une clé symétrique stockée sans chiffrement sur le disque dur. La disponibilité de cette clé non chiffrée désactive la protection des données offerte par BitLocker, mais garantit que les futurs démarrages de l’ordinateur s’effectueront correctement sans autre entrée utilisateur. Lorsque BitLocker est réactivé, la clé non chiffrée est supprimée du disque et la protection BitLocker réactivée. En outre, la clé principale du lecteur est indexée puis chiffrée à nouveau.

Le déplacement du lecteur chiffré (c’est-à-dire le disque physique) vers un autre ordinateur protégé par BitLocker ne nécessite aucune étape supplémentaire car la clé protégeant la clé principale de lecteur est stockée sans chiffrement sur le disque.

	Attention
	L’exposition de la clé principale de lecteur, même pour une courte période, constitue un risque de sécurité. En effet, un attaquant a peut-être pu accéder à la clé principale de lecteur et à la clé de chiffrement de lecteur entier lorsque celles-ci étaient exposées par la clé non chiffrée.

Pour plus d’informations sur la désactivation de BitLocker, voir le Guide pas à pas du chiffrement de lecteur BitLocker Windows (https://go.microsoft.com/fwlink/?LinkID=140225) (éventuellement en anglais).

De nombreux scénarios peuvent déclencher un processus de récupération, par exemple :

• le déplacement d’un lecteur protégé par BitLocker sur un nouvel ordinateur ;
  
  
• l’installation d’une nouvelle carte mère avec un nouveau module de plateforme sécurisée ;
  
  
• l’arrêt, la désactivation ou la suppression du module de plateforme sécurisée ;
  
  
• la mise à jour du BIOS ;
  
  
• la mise à jour de la mémoire morte (ROM) facultative ;
  
  
• la mise à niveau des composants critiques de la séquence de démarrage qui provoquent l’échec de la validation d’intégrité du système ;
  
  
• l’oubli du code confidentiel lorsque son authentification a été activée ;
  
  
• la perte du disque mémoire flash USB contenant la clé de démarrage lorsque l’authentification par clé de démarrage a été activée.
  
  

Un administrateur peut également déclencher la récupération comme un mécanisme de contrôle des accès (par exemple, pendant le redéploiement d’ordinateurs). Il peut décider de verrouiller un lecteur chiffré et imposer que des utilisateurs obtiennent des informations de récupération BitLocker pour déverrouiller le lecteur.