Le chiffrement de lecteur BitLocker est une fonctionnalité de protection des données disponible dans Windows Server 2008 R2 et dans certaines éditions de Windows 7. L’intégration de BitLocker dans le système d’exploitation répond aux menaces liées au vol ou à l’exposition de données d’ordinateurs perdus, volés ou incorrectement mis hors service.

Les données d’un ordinateur perdu ou volé sont vulnérables à l’accès non autorisé lorsqu’elles sont la cible d’un outil d’attaque logicielle ou que le disque dur de l’ordinateur est transféré vers un autre ordinateur. BitLocker limite l’accès non autorisé aux données en améliorant les protections du système et des fichiers. BitLocker empêche également l’accès aux données des ordinateurs sous sa protection lorsque ceux-ci sont mis hors service ou recyclés.

BitLocker offre une protection optimale lorsqu’il est utilisé avec un module de plateforme sécurisée (TPM) version 1.2. Le TPM est un composant matériel que les fabricants d’ordinateurs ont installé sur la plupart des ordinateurs récents. Il fonctionne conjointement avec BitLocker pour protéger les données de l’utilisateur et garantir qu’un ordinateur n’a pas été falsifié pendant que le système était hors connexion.

Sur les ordinateurs non dotés d’un module de plateforme sécurisée version 1.2, vous pouvez toujours utiliser BitLocker pour chiffrer le lecteur du système d’exploitation Windows. Cette implémentation nécessite cependant que l’utilisateur insère une clé de démarrage USB pour démarrer l’ordinateur ou sortir de la mise en veille prolongée, mais elle ne fournit pas la vérification d’intégrité du système avant le démarrage offerte par BitLocker avec un TPM.

Outre le TPM, BitLocker offre la possibilité de verrouiller le processus de démarrage normal jusqu’à ce que l’utilisateur décline son code confidentiel ou insère un périphérique amovible, tel qu’un disque mémoire flash USB, contenant une clé de démarrage. Ces mesures de sécurité supplémentaires fournissent l’authentification multifacteur et l’assurance que l’ordinateur ne démarrera pas ou ne sortira pas de la mise en veille prolongée tant que le code confidentiel correct ou la clé de démarrage ne sera pas présenté.

Vérification de l’intégrité du système

BitLocker peut utiliser un module de plateforme sécurisée (TPM) pour vérifier l’intégrité des composants de la séquence de démarrage et des données de configuration de démarrage. L’utilisateur est ainsi assuré que le lecteur chiffré est accessible uniquement si ces composants n’ont pas été falsifiés et si le lecteur chiffré réside sur l’ordinateur d’origine.

BitLocker garantit l’intégrité du processus de démarrage en effectuant les opérations suivantes :

  • fourniture d’une méthode permettant de vérifier que l’intégrité des fichiers de la séquence de démarrage a été maintenue et que ceux-ci n’ont pas subi de modification contradictoire, comme avec des virus sur le secteur de démarrage ou des rootkits ;

  • amélioration de la protection visant à limiter les attaques logicielles hors connexion. Tout autre logiciel susceptible de démarrer le système ne pourra pas accéder aux clés de déchiffrement du lecteur du système d’exploitation Windows ;

  • verrouillage du système en cas de falsification. S’il s’avère que l’un des fichiers surveillés a été falsifié, le système ne démarre pas. L’utilisateur est ainsi alerté puisque le système ne démarre pas normalement. Si le système se bloque, BitLocker propose un processus de récupération simple.

Configuration matérielle, logicielle et de microprogramme requise

Pour pouvoir utiliser BitLocker, un ordinateur doit remplir certaines conditions :

  • Pour que BitLocker puisse utiliser la vérification d’intégrité du système fournie par un module de plateforme sécurisée (TPM), l’ordinateur doit être équipé d’un TPM version 1.2. Si votre ordinateur en est dépourvu, l’activation de BitLocker vous impose d’enregistrer une clé de démarrage sur un périphérique amovible tel qu’un disque mémoire flash USB.

  • Un ordinateur équipé d’un module de plateforme sécurisée doit également posséder un BIOS compatible TCG (Trusted Computing Group). Le BIOS établit une chaîne de confiance pour le démarrage préalable au système d’exploitation et il doit inclure la prise en charge de la racine statique spécifiée par TCG de la mesure de confiance. Un ordinateur sans TPM ne nécessite pas de BIOS compatible TCG.

  • Le BIOS système (pour les ordinateurs équipés ou non d’un module de plateforme sécurisée) doit prendre en charge la classe de périphériques de stockage de masse USB, notamment la lecture des petits fichiers sur un disque mémoire flash USB dans l’environnement préalable au démarrage du système d’exploitation. Pour plus d’informations sur USB, reportez-vous à la page consacrée aux spécifications relatives au stockage de masse USB en bloc uniquement et à la commande UFI de stockage de masse sur le site Web USB (https://go.microsoft.com/fwlink/?LinkId=83120) (éventuellement en anglais).

  • Le disque dur doit être partitionné avec deux lecteurs au minimum :

    • Le lecteur du système d’exploitation (ou lecteur démarrage) contient le système d’exploitation et ses fichiers de support ; il doit être formaté avec le système de fichiers NTFS.

    • Le lecteur système contient les fichiers nécessaires au chargement de Windows après que le BIOS a préparé le matériel système. BitLocker n’est pas activé sur ce lecteur. Pour que BitLocker puisse fonctionner, le lecteur système ne doit pas être chiffré, il doit être différent du lecteur du système d’exploitation et il doit être formaté avec le système de fichiers NTFS. Le lecteur système doit être de 1,5 gigaoctets (Go) au minimum.

Installation et initialisation

BitLocker est installé automatiquement dans le cadre de l’installation du système d’exploitation. Toutefois, BitLocker n’est pas activé tant qu’il ne l’est pas explicitement à l’aide de l’Assistant de configuration BitLocker, accessible depuis le Panneau de configuration ou en cliquant avec le bouton droit sur le lecteur dans Windows Explorer.

Après l’installation et la configuration initiale du système d’exploitation, l’administrateur système peut à tout moment utiliser l’Assistant de configuration BitLocker pour initialiser BitLocker. Le processus d’initialisation compte deux étapes :

  1. Sur les ordinateurs équipés d’un module de plateforme sécurisée, initialisez le module en utilisant l’Assistant Initialisation du module de plateforme sécurisée (TPM), l’élément Chiffrement de lecteur BitLocker du Panneau de configuration ou en exécutant un script d’initialisation dédié.

  2. Configurez BitLocker. Dans le Panneau de configuration, accédez à l’Assistant de configuration BitLocker qui va vous guider tout au long de la configuration et vous présenter des options d’authentification avancées.

Lorsqu’un administrateur local initialise BitLocker, il doit également créer un mot de passe de récupération ou une clé de récupération. Sans clé ou mot de passe de récupération, il est possible que toutes les données du lecteur chiffré soient inaccessibles et irrécupérables en cas de problème rencontré avec le lecteur protégé par BitLocker.

Remarques

L’initialisation de BitLocker et du module de plateforme sécurisée doit être effectuée par un membre du groupe local Administrateurs sur l’ordinateur.

Pour plus d’informations sur la configuration et le déploiement de BitLocker, voir le Guide pas à pas du chiffrement de lecteur BitLocker Windows (https://go.microsoft.com/fwlink/?LinkID=140225) (éventuellement en anglais).

Implémentation dans l’entreprise

BitLocker peut faire appel à une infrastructure AD DS (services de domaine Active Directory) existante de l’entreprise pour stocker à distance des clés de récupération. BitLocker fournit également un Assistant de configuration et d’administration, de même que l’extensibilité et la gérabilité via une interface WMI (Windows Management Instrumentation) dotée du support des scripts. BitLocker possède également une console de récupération intégrée dans le processus de la séquence de démarrage qui permet à l’utilisateur ou aux spécialistes du support technique d’accéder à nouveau à un ordinateur verrouillé.

Pour plus d’informations sur l’écriture de scripts pour BitLocker, reportez-vous à Win32_EncryptableVolume (https://go.microsoft.com/fwlink/?LinkId=85983) (éventuellement en anglais).

Mise hors service et recyclage d’ordinateurs

De nombreux ordinateurs personnels sont aujourd’hui réutilisés par des personnes qui ne sont ni les propriétaires, ni les utilisateurs initiaux de l’ordinateur. Dans l’entreprise, il arrive que des ordinateurs soient redéployés dans d’autres services ou soient recyclés dans le cadre du cycle d’actualisation des équipements.

Sur des lecteurs non chiffrés, des données peuvent rester lisibles même après le formatage du lecteur. Pour réduire le risque d’exposition des données sur des lecteurs mis hors service, les entreprises ont souvent recours aux remplacements multiples ou à la destruction physique.

BitLocker permet de créer un processus de mise hors service simple et rentable. En conservant les données chiffrées par BitLocker puis en supprimant les clés, une entreprise peut réduire définitivement le risque d’exposition de ces données. Il devient alors presque impossible d’accéder aux données chiffrées par BitLocker car il faudrait pour cela percer le chiffrement AES 128 bits ou 256 bits.

Considérations relatives à la sécurité offerte par BitLocker

BitLocker ne peut pas protéger un ordinateur contre toutes les attaques possibles. Si, par exemple, des utilisateurs mal intentionnés ou des programmes malveillants tels que des virus ou des rootkits, ont accès à l’ordinateur avant que celui-ci ne soit perdu ou volé, ils peuvent introduire des faiblesses qui leur permettront par la suite d’accéder aux données chiffrées. La protection BitLocker peut également être compromise si la clé de démarrage USB reste dans l’ordinateur ou si la confidentialité du mot de passe de connexion Windows ou du code confidentiel n’est pas préservée.

Le mode d’authentification par module de plateforme sécurisée uniquement est le plus facile à déployer, à gérer et à utiliser. Il est également adapté aux ordinateurs qui sont en mode sans assistance ou qui doivent redémarrer dans ce mode. Le mode d’authentification par module de plateforme sécurisée uniquement offre cependant la protection des données la moins efficace. Si certains départements de votre organisation possèdent des données considérées comme ultra-sensibles sur des ordinateurs portables, pensez à déployer BitLocker avec l’authentification multifacteur sur ces ordinateurs.

Pour plus d’informations sur les éléments à prendre en compte en matière de sécurité BitLocker, voir Data Encryption Toolkit for Mobile PCs (https://go.microsoft.com/fwlink/?LinkId=85982) (éventuellement en anglais).

Implémentation de BitLocker sur des serveurs

S’agissant de serveurs dans un environnement partagé ou potentiellement non sécurisé, tel qu’une succursale, BitLocker peut être utilisé pour chiffrer le lecteur du système d’exploitation et des lecteurs de données sur le même serveur.

Par défaut, BitLocker n’est pas installé avec Windows Server 2008 R2. Ajoutez BitLocker à partir de la page Windows Server 2008 R2 Gestionnaire de serveur. Redémarrez le serveur après avoir installé BitLocker. Vous pouvez également activer BitLocker à distance à l’aide de WMI.

BitLocker est pris en charge sur les serveurs EFI utilisant une architecture de processeurs 64 bits.

Remarques

BitLocker ne prend pas en charge les configurations de cluster.

Gestion des clés

Une fois que le volume a été chiffré et protégé avec BitLocker, la page Gérer BitLocker de l’élément Chiffrement de lecteur BitLocker du Panneau de configuration peut être utilisée pour changer le mot de passe afin de déverrouiller le lecteur, supprimer le mot de passe du lecteur, ajouter une carte à puce pour déverrouiller le lecteur, enregistrer ou imprimer de nouveau la clé de récupération, déverrouiller automatiquement le lecteur, dupliquer des clés et réinitialiser le code confidentiel.

Remarques

Les types de clés pouvant être utilisés sur un ordinateur sont contrôlés à l’aide de la stratégie de groupe. Pour plus d’informations sur l’utilisation de la stratégie de groupe avec BitLocker, voir le Guide de déploiement de BitLocker (https://go.microsoft.com/fwlink/?LinkID=140286) (éventuellement en anglais).

Désactivation temporaire de la protection BitLocker

Un administrateur peut souhaiter désactiver temporairement BitLocker dans des circonstances particulières, comme :

  • le redémarrage de l’ordinateur pour des opérations de maintenance sans intervention de l’utilisateur (par exemple, pas de saisie d’un code confidentiel ni d’insertion d’une clé de démarrage) ;

  • la mise à jour du BIOS ;

  • l’installation d’un composant matériel ayant une mémoire morte (ROM) facultative ;

  • la mise à niveau de composants critiques de la séquence de démarrage sans déclenchement de la récupération BitLocker. Par exemple :

    • l’installation d’une autre version du système d’exploitation ou d’un autre système d’exploitation qui pourrait modifier le secteur de démarrage principal (MBR) ;

    • le repartitionnement du disque qui pourrait modifier la table de partition ;

    • l’exécution d’autres tâches système qui modifient les composants de démarrage validés par le module de plateforme sécurisée ;

  • la mise à niveau de la carte mère pour remplacer ou retirer le module de plateforme sécurisée sans déclenchement de la récupération BitLocker ;

  • la désactivation ou la suppression du module de plateforme sécurisée sans déclenchement de la récupération BitLocker ;

  • le déplacement d’un lecteur protégé par BitLocker vers un autre ordinateur sans déclenchement de la récupération BitLocker.

Ces scénarios sont désignés collectivement sous le nom de « scénario de mise à niveau d’ordinateurs ». BitLocker peut être activé ou désactivé à l’aide de l’élément Chiffrement de lecteur BitLocker du Panneau de configuration Windows.

Les étapes suivantes sont nécessaires pour mettre à niveau un ordinateur protégé par BitLocker.

  1. Désactivez temporairement BitLocker.

  2. Mettez à niveau le système ou le BIOS.

  3. Réactivez BitLocker.

Si vous forcez BitLocker en mode désactivé, le lecteur reste chiffré mais la clé principale de lecteur est chiffrée avec une clé symétrique stockée sans chiffrement sur le disque dur. La disponibilité de cette clé non chiffrée désactive la protection des données offerte par BitLocker, mais garantit que les futurs démarrages de l’ordinateur s’effectueront correctement sans autre entrée utilisateur. Lorsque BitLocker est réactivé, la clé non chiffrée est supprimée du disque et la protection BitLocker réactivée. En outre, la clé principale du lecteur est indexée puis chiffrée à nouveau.

Le déplacement du lecteur chiffré (c’est-à-dire le disque physique) vers un autre ordinateur protégé par BitLocker ne nécessite aucune étape supplémentaire car la clé protégeant la clé principale de lecteur est stockée sans chiffrement sur le disque.

Attention

L’exposition de la clé principale de lecteur, même pour une courte période, constitue un risque de sécurité. En effet, un attaquant a peut-être pu accéder à la clé principale de lecteur et à la clé de chiffrement de lecteur entier lorsque celles-ci étaient exposées par la clé non chiffrée.

Pour plus d’informations sur la désactivation de BitLocker, voir le Guide pas à pas du chiffrement de lecteur BitLocker Windows (https://go.microsoft.com/fwlink/?LinkID=140225) (éventuellement en anglais).

Récupération du système

De nombreux scénarios peuvent déclencher un processus de récupération, par exemple :

  • le déplacement d’un lecteur protégé par BitLocker sur un nouvel ordinateur ;

  • l’installation d’une nouvelle carte mère avec un nouveau module de plateforme sécurisée ;

  • l’arrêt, la désactivation ou la suppression du module de plateforme sécurisée ;

  • la mise à jour du BIOS ;

  • la mise à jour de la mémoire morte (ROM) facultative ;

  • la mise à niveau des composants critiques de la séquence de démarrage qui provoquent l’échec de la validation d’intégrité du système ;

  • l’oubli du code confidentiel lorsque son authentification a été activée ;

  • la perte du disque mémoire flash USB contenant la clé de démarrage lorsque l’authentification par clé de démarrage a été activée.

Un administrateur peut également déclencher la récupération comme un mécanisme de contrôle des accès (par exemple, pendant le redéploiement d’ordinateurs). Il peut décider de verrouiller un lecteur chiffré et imposer que des utilisateurs obtiennent des informations de récupération BitLocker pour déverrouiller le lecteur.

Configuration de la récupération

Dans le cadre de la stratégie de groupe, un administrateur peut choisir les méthodes de récupération qui sont imposées, refusées ou en option pour les utilisateurs activant BitLocker. Le mot de passe de récupération peut être stocké dans les services de domaine Active Directory (AD DS) et l’administrateur peut rendre cette option obligatoire, interdite ou facultative pour chaque utilisateur de l’ordinateur. De plus, les données de récupération peuvent être stockées sur un disque mémoire flash USB.

Mot de passe de récupération

Le mot de passe de récupération est un nombre généré de façon aléatoire de 48 chiffres qui peut être créé pendant la configuration de BitLocker. Si l’ordinateur entre en mode récupération, l’utilisateur est invité à taper ce mot de passe à l’aide des touches de fonction (F0 à F9). Le mot de passe de récupération peut être géré et copié après l’activation de BitLocker. Vous pouvez l’imprimer ou l’enregistrer dans un fichier pour une utilisation ultérieure à l’aide de la page Gérer BitLocker de l’élément Chiffrement de lecteur BitLocker du Panneau de configuration.

Un administrateur de domaine peut configurer la stratégie de groupe qui génère automatiquement des mots de passe de récupération et sauvegarde ceux-ci dans AD DS dès que BitLocker est activé. Il peut également empêcher BitLocker de chiffrer un lecteur sauf si l’ordinateur est connecté au réseau et si la sauvegarde AD DS du mot de passe de récupération est réussie.

Clé de récupération

La clé de récupération peut être créée et enregistrée sur un disque mémoire flash USB pendant la configuration de BitLocker ; elle peut également être gérée et copiée après l’activation de BitLocker. Si l’ordinateur entre en mode récupération, l’utilisateur est invité à insérer la clé de récupération dans l’ordinateur.


Table des matières