1. Introduction
BitLocker est un outil de chiffrement intégré à certaines versions de Windows qui permet de sécuriser les données en les rendant illisibles sans la clé de chiffrement appropriée. Il a été introduit pour la première fois avec Windows Vista et est devenu un élément essentiel de la sécurité des données pour de nombreux utilisateurs et organisations.
BitLocker offre une protection robuste contre une variété de menaces, allant du vol de données à la perte d’un appareil. En chiffrant l’intégralité du disque dur, BitLocker assure que même si un appareil est perdu ou volé, les données qu’il contient restent sécurisées et inaccessibles sans la clé de chiffrement.
Pour utiliser BitLocker, il est nécessaire de disposer d’une version de Windows qui le prend en charge (comme Windows 10 Pro, Enterprise ou Education) et d’un matériel compatible. Cela inclut généralement un module de plateforme sécurisée (TPM), qui est une puce spéciale sur la carte mère de l’ordinateur qui peut stocker en toute sécurité les clés de chiffrement.
Dans cet article, nous allons explorer en détail comment BitLocker fonctionne, comment l’installer et le configurer, et comment l’utiliser pour protéger vos données. Nous examinerons également les meilleures pratiques pour l’utilisation de BitLocker et discuterons de son utilisation dans un environnement d’entreprise.
Que vous soyez un professionnel de l’informatique cherchant à renforcer la sécurité de votre organisation, ou simplement un utilisateur soucieux de protéger vos données personnelles, ce guide vous fournira les informations et les outils dont vous avez besoin pour tirer le meilleur parti de BitLocker.
2. Comprendre le fonctionnement de BitLocker
Le chiffrement est un processus qui convertit des données lisibles (ou « en clair ») en un format illisible (ou « chiffré ») à moins que vous n’ayez une clé spécifique pour le déchiffrer. Il s’agit d’une méthode essentielle pour protéger les informations sensibles contre les accès non autorisés.
BitLocker utilise le chiffrement pour sécuriser les données sur un disque dur. Lorsque BitLocker est activé sur un disque, toutes les données qui y sont écrites sont automatiquement chiffrées. De même, chaque fois que des données sont lues à partir du disque, elles sont automatiquement déchiffrées.
BitLocker utilise un type de chiffrement appelé chiffrement « symétrique », ce qui signifie qu’il utilise la même clé pour chiffrer et déchiffrer les données. Cette clé est générée lorsque BitLocker est activé sur un disque et est stockée de manière sécurisée de sorte qu’elle ne peut pas être facilement récupérée par une personne ou un programme non autorisé.
- Description des différents modes de chiffrement disponibles avec BitLocker (AES 128, AES 256)
BitLocker utilise l’Advanced Encryption Standard (AES) pour le chiffrement. AES est un algorithme de chiffrement largement utilisé qui a été adopté par le gouvernement américain et est utilisé dans le monde entier.
BitLocker prend en charge deux tailles de clé AES : 128 bits et 256 bits. La taille de la clé se réfère à la longueur de la clé de chiffrement utilisée, et en général, plus la clé est longue, plus le chiffrement est fort.
-
- AES 128 : C’est le mode de chiffrement par défaut pour BitLocker. Il offre un bon équilibre entre sécurité et performance, et est suffisamment fort pour la plupart des applications.
- AES 256 : Ce mode de chiffrement offre une sécurité plus élevée que AES 128, mais il est également plus lent. Il peut être utilisé dans des situations où la sécurité est d’une importance primordiale et où la performance est une préoccupation secondaire.
- Le fonctionnement de la TPM (Trusted Platform Module) et son rôle dans BitLocker
Le Trusted Platform Module (TPM) est une puce spéciale qui est intégrée dans la carte mère de nombreux ordinateurs modernes. Le TPM est conçu pour stocker de manière sécurisée des informations sensibles, comme les clés de chiffrement.Lorsque BitLocker est activé sur un disque, la clé de chiffrement est stockée dans le TPM. Cela signifie que même si quelqu’un parvient à accéder physiquement à l’ordinateur, il ne pourra pas récupérer la clé de chiffrement sans également avoir accès au TPM. De plus, le TPM a une autre fonction importante : il peut vérifier l’intégrité du système d’exploitation au démarrage. Si le TPM détecte que le système d’exploitation a été modifié de manière non autorisée (par exemple, par un logiciel malveillant), il peut refuser de libérer la clé de chiffrement, empêchant ainsi le système d’exploitation de démarrer.En résumé, le TPM joue un rôle crucial dans le fonctionnement de BitLocker en stockant de manière sécurisée la clé de chiffrement et en vérifiant l’intégrité du système d’exploitation.
3. Installation et configuration de BitLocker
3.1 – Installation de BitLocker sur une machine équipé d’une puce TPM, sous Windows 10 à partir de la version 1511, suivez les étapes suivantes :
Méthode 1 :
Dans la boîte de recherche de la barre des tâches, tapez « bitlocker », puis sélectionnez « Gerer BitLocker » dans la liste des résultats.
Méthode 2 :
Sinon, cliquez sur le bouton Démarrer, puis sous « Système Windows », sélectionnez « Panneau de configuration ». Dans le Panneau de configuration, cliquez sur « Système et sécurité », puis sous « Chiffrement de lecteur BitLocker », sélectionnez « Gérer BitLocker ».
Méthode 3 (la plus simple):
Dans l’explorateur de fichier, choisissez le disque que vous voulez chiffré, faites un clique droit, et cliquez sur Activer BitLocker
Une fois que vous avez activer BitLocker, plusieurs options de configuration s’offrent à vous :
Votre machine est équipée d’une puce TPM, BitLocker utilisera cette puce pour stocker le mot de passe en AES 128. C’est le choix par défaut de Microsoft pour des raisons de sécurité. Dans ce cas, BitLocker ne vous proposera pas de sauvegarder le mot de passe de démarrage, ni ne vous le demandera, car la demande sera directement adressée à la puce TPM.
Cependant, BitLocker vous oblige à avoir la clé de récupération quelque part, au cas où la puce TPM qui stocke le mot de passe serait endommagée. Cette clé de récupération vous permettra toujours de récupérer vos données en cas de besoin.
Sauvegardez la clé de récupération :
- Vous devez choisir comment sauvegarder la clé de récupération, qui peut être utilisée en cas d’oubli du mot de passe ou de perte de la Clé USB de déverrouillage.
Les options de sauvegarde incluent le stockage dans votre compte Microsoft OneDrive (Nécessite une connexion internet), sur une autre Clé USB , dans un fichier texte, ou tout simplement en l’imprimant (sous forme physique via une imprimante ou virtuelle sous forme de fichier PDF).
Il est important de noter que vous ne pouvez pas sauvegarder la clé de récupération sur le disque qui sera chiffré pour des raisons de sécurité.
- Vous devez, ensuite choisir entre le chiffrement du disque entièrement du premier coup (ce qui prendra plus de temps) ou seulement le chiffrement de l’espace utilisé (et chiffrer progressivement les données ajoutées au fur et à mesure).
- Maintenant, vous devez définir le mode de chiffrement, et vous avez deux options :
-
- Nouvelle méthode de chiffrement : Cette option est recommandée pour les disques fixes, c’est-à-dire les disques qui sont liés à la machine et ne sont pas censés être utilisés sur d’autres machines. Ce mode de chiffrement offre généralement de meilleures performances et une meilleure sécurité, car il est spécifiquement adapté aux disques internes. Le procédé utilise le chiffrement XTS-AES 128.
- Mode compatible : Cette option est conçue pour les disques amovibles ou les disques qui pourraient être utilisés sur d’autres machines. Ce mode de chiffrement permet de rendre le disque compatible avec différents systèmes, ce qui peut être utile si vous prévoyez d’utiliser le disque sur plusieurs ordinateurs.
- Enfin, avant de procéder au chiffrement du lecteur, il est recommandé de faire une vérification du système pour s’assurer que tout fonctionne correctement. Cette vérification garantit que le système est prêt pour le processus de chiffrement et peut identifier d’éventuels problèmes qui pourraient affecter le processus ou la sécurité des données.
- Le chiffrement démarre, une notification apparaîtra et si vous cliquez dessus, vous verrez l’état d’avancement du chiffrement.
- L’installation est terminé.
Une fois l’installation terminer, on peut toujours sauvegarder notre clé sur d’autres supports, en plus de celui qu’on avait choisis.
Pour le compte Microsoft, il faut que vous vous connectiez avec votre compte sur Windows, pour qu’il puisse effectué la sauvegarde, la clé sera sauvegardé sur votre OneDrive dans le dossier Vault.
Résumé : Vous avez installer BitLocker avec la méthode TPM, le mot de passe en AES128 est sauvegardé dans la puce TPM.
Si vous avez choisis une sauvegarde de la clé par PDF ou fichier texte, vous aurez un identifiant, et une clé de récupération, dans le cas ou votre PC est administré (via un Active Directory par exemple), l’identifiant servira à retrouvé la clé de récupération pour votre BitLocker.Gardez bien votre clé de récupération !
Si vous changez de carte mère, vous aurez besoin de la clé de récupération, car la puce TPM qui contient le mot de passe BitLocker chiffré, est soudé physiquement sur l’ancienne carte mère. Vous aurez un écran similaire a celui ci dessous :
Vous aurez cette écran à chaque redémarrage, pour y remédier, il faut désactiver BitLocker, puis le réactiver. Comme cité précédemment.
Lorsque BitLocker est activé avec succès, vous pouvez le vérifier en accédant au Gestionnaire de disques. À cet endroit, vous verrez une annotation spécifiant que votre disque dur est chiffré avec BitLocker et sécurisé.
3.2 – Installation de BitLocker sur une machine non-équipé d’une puce TPM, sous Windows 10 à partir de la version 1511, suivez les étapes suivantes :
Edit de la stratégie local, sur le pc.
Accédez à la console gpedit.msc (Exécutez gpedit.msc dans Run (Windows + R)
Accédez à Stratégie de l’ordinateur local > Configuration de l’ordinateur > Modèles d’administration > Composants Windows > Chiffrement de lecteur BitLocker > Lecteurs de système d’exploitation dans le volet de gauche.
Double-cliquez sur l’option « Exiger une authentification supplémentaire au démarrage » dans le volet de droite.
Sélectionnez « Activé », et assurez-vous que la case « Autoriser BitLocker sans un TPM compatible (nécessite un mot de passe ou une clé de démarrage sur une clé USB) » est cochée ici.
Mise en place de BitLocker :
Méthode 1 :
Dans la boîte de recherche de la barre des tâches, tapez « bitlocker », puis sélectionnez « Gerer BitLocker » dans la liste des résultats.
Méthode 2 :
Sinon, cliquez sur le bouton Démarrer, puis sous « Système Windows », sélectionnez « Panneau de configuration ». Dans le Panneau de configuration, cliquez sur « Système et sécurité », puis sous « Chiffrement de lecteur BitLocker », sélectionnez « Gérer BitLocker ».
Méthode 3 (la plus simple):
Dans l’explorateur de fichier, choisissez le disque que vous voulez chiffré, faites un clique droit, et cliquez sur Activer BitLocker
Une fois que vous avez activer BitLocker, plusieurs options de configuration s’offrent à vous :
- Vous devez choisir comment déverrouiller le lecteur à chaque démarrage, soit avec un mot de passe (que vous tapez à chaque fois) ou via une clé USB (qui doit rester branché tout le temps), et je ne recommande pas la dernière pour une utilisation personnel.
- De plus, vous devez choisir comment sauvegarder la clé de récupération, qui peut être utilisée en cas d’oubli du mot de passe ou de perte de la Clé USB de déverrouillage.
Les options de sauvegarde incluent le stockage dans votre compte Microsoft OneDrive (Nécessite une connexion internet), sur une clé USB différente de celle utilisée pour le déverrouillage du disque, dans un fichier texte, ou tout simplement en l’imprimant (sous forme physique via une imprimante ou virtuelle sous forme de fichier PDF).
Il est important de noter que vous ne pouvez pas sauvegarder la clé de récupération sur le disque qui sera chiffré pour des raisons de sécurité.
- Vous devez, ensuite choisir entre le chiffrement du disque entièrement du premier coup (ce qui prendra plus de temps) ou seulement le chiffrement de l’espace utilisé (et chiffrer progressivement les données ajoutées au fur et à mesure).
- Choisissez le mode de chiffrement, vous aurez deux options :
- Nouvelle méthode de chiffrement : Cette option est recommandée pour les disques fixes, c’est-à-dire les disques qui sont liés à la machine et ne sont pas censés être utilisés sur d’autres machines. Ce mode de chiffrement offre généralement de meilleures performances et une meilleure sécurité, car il est spécifiquement adapté aux disques internes. Le procédé utilise le chiffrement XTS-AES 128.
- Mode compatible : Cette option est conçue pour les disques amovibles ou les disques qui pourraient être utilisés sur d’autres machines. Ce mode de chiffrement permet de rendre le disque compatible avec différents systèmes, ce qui peut être utile si vous prévoyez d’utiliser le disque sur plusieurs ordinateurs.
- Enfin, avant de procéder au chiffrement du lecteur, il est recommandé de faire une vérification du système pour s’assurer que tout fonctionne correctement. Cette vérification garantit que le système est prêt pour le processus de chiffrement et peut identifier d’éventuels problèmes qui pourraient affecter le processus ou la sécurité des données.
- Le chiffrement démarre, une notification apparaîtra et si vous cliquez dessus, vous verrez l’état d’avancement du chiffrement.
Une fois l’installation terminer, on peut toujours sauvegarder notre clé sur d’autres supports, en plus de celui qu’on avait choisis.
Pour le compte Microsoft, il faut que vous vous connectiez avec votre compte sur Windows, pour qu’il puisse effectué la sauvegarde, la clé sera sauvegardé sur votre OneDrive dans le dossier Vault.
Résumé : Vous avez installer BitLocker sans l’option TPM, il est basé sur le mot de passe que vous avez définis ou la clé USB que vous avez mis. Personnellement, pour des raison de sécurité je ne recommande pas le déverrouillage par clé USB.
Si vous avez choisis une sauvegarde de la clé par PDF ou fichier texte, vous aurez un identifiant, et une clé de récupération, dans le cas ou votre PC est administré (via un Active Directory par exemple), l’identifiant servira à retrouvé la clé de récupération pour votre BitLocker, ou tout simplement si vous avez plusieurs disque PC, avec plusieurs disque chiffré.
- Gardez bien votre clé de récupération !
A chaque démarrage vous aurez cet écran, Entrez le mot de passe que vous avez définit (pas votre clé de récupération)
Vérifiez que BitLocker est installé avec succès, en allant dans le gestionnaire de disques. À cet endroit, vous verrez une annotation spécifiant que votre disque dur est chiffré avec BitLocker et sécurisé.
3.3 – Installation de BitLocker sur une machine jointe à un domaine Active Directory
Avant d’activer BitLocker sur la machine cliente, il faut bien paramétrer le Windows Serveur.
Sur le Windows serveur :
- Installer la features BitLocker Drive Encryption. (C’est des features ADDS)
- Laissez tout par défaut, faites suivant jusqu’au bouton installer, cliquez dessus pour installer les features.
- Redémarrez le serveur.
- Créez une gpo et lui attribué un nom, ensuite il faut la lié à votre OU (ou se trouve les machines avec des lecteurs à BitLocké).
- Editez la gpo, et positionnez vous au niveau de :
- « Configuration de l’ordinateur » > « Stratégies » > « Modèles d’administration » > « Composants Windows » > « Chiffrement de lecteur BitLocker ».
- Trouvez dans la liste, et faites un double clique dessus:
- Stocker les informations de récupération BitLocker dans les services de domaine Active Directory « Store BitLocker recovery information in Active Directory Domain Services » .
-
- Puis : Activez ce paramètre pour permettre le stockage des clés de récupération BitLocker dans Active Directory. (Vous devez l’activer puis choisir, mot de passe et clé de récupération, vérifié que l’option « Exiger la sauvegarde de BitLocker dans AD DS » est coché aussi)
- Ensuite, allez dans :
- « Configuration de l’ordinateur » > « Stratégies » > « Modèles d’administration » > « Composants Windows » > « Chiffrement de lecteur BitLocker » > « Lecteur de système d’exploitation ».
- Trouvez dans la liste, et faites un double clique dessus :
- Choisissez comment les lecteurs du système d’exploitation protégés par BitLocker peuvent être récupérés « Choose how BitLocker-protected operating system drives can be recovered »
- Faites un double clique, puis : Activez ce paramètre et assurez-vous que Enregistrer les informations de récupération BitLocker dans AD DS pour les lecteurs du système d’exploitation (Save BitLocker recovery information to AD DS for operating system drives), est bien coché .
Avec ces étapes, vous avez configuré Active Directory pour stocker les clés de récupération BitLocker. Vous pouvez maintenant gérer et récupérer ces clés via l’outil « Active Directory Users and Computers ».
Sur la machine cliente :
Pour vérifié le bon fonctionnement de notre GPO, nous allons forcer un gpupdate sur la machine cliente.
Comme dans les postes précédents, si votre machine ne possède pas de puce TPM, il faut configurer le paramètre : Exiger une authentification supplémentaire au démarrage.
Activez BitLocker sur le lecteur voulue.
Suivez les étapes cité dans les chapitres précédent (ci dessus, 3.1 et 3.2) pour installer BitLocker selon la configuration de votre machine.
Sur le Windows serveur :
Allez dans la console Utilisateurs et ordinateurs.
Dans l’OU ou se trouve la/les machines avec le lecteur BitLocké.
Faites click droit sur la machine > Propriété > BitLocker Recovery
Et vous pouvez constatez que notre manipulation à parfaitement fonctionner.
Le disque est bien chiffré dans la machine :
3.3.1 – Automatisé le déploiement de BitLocker à distance.
Pour automatisé le déploiement de BitLocker sans qu’on ai accès aux machines clientes physiquement nous allons passez par une gpo bien évidemment.
5. Automatiser le déploiement de BitLocker :
5. Best Practices
Pour vérifié l’état de votre disque et le BitLocker sur la machine cliente, utilisez la commande Powershell suivante : Get-BitLockerVolume -MountPoint c:
-
- Conseils et meilleures pratiques pour l’utilisation de BitLocker, y compris la gestion des clés de récupération, la mise à jour de BitLocker, et la résolution des problèmes courants.
- Discussion sur l’importance de la sauvegarde des données et la manière dont BitLocker s’intègre dans une stratégie de sauvegarde globale.
6. BitLocker dans un environnement d’entreprise
-
- Discussion sur l’utilisation de BitLocker dans un environnement d’entreprise, y compris la gestion centralisée de BitLocker avec BitLocker Management in Microsoft Endpoint Configuration Manager.
- Exemples de déploiement de BitLocker dans un environnement d’entreprise.
7. Conclusion
-
- Résumé des points clés de l’article ou du cours.
- Discussion sur l’importance de la sécurité des données et le rôle que BitLocker peut jouer.
8. Ressources supplémentaires
-
- Liens vers des ressources supplémentaires pour approfondir certains aspects de BitLocker.
- Suggestions de sujets connexes à explorer pour les lecteurs ou les étudiants qui souhaitent en savoir plus sur la sécurité des données et le chiffrement.