Chiffrement intégral du disque (FDE) dans Windows : BitLocker et alternatives

Le chiffrement intégral du disque est un excellent moyen d’empêcher l’accès à l’appareil en cas de vol. Examinons BitLocker, la version native de Windows, et ses alternatives.

Savez-vous ce qu’il y a d’effrayant dans le vol de l’ordinateur portable de Coplin Health Systems, basé en Virginie occidentale, qui contenait les données de 43 000 patients ?

Ou qu’y a-t-il de mal à ce qu’un entrepreneur japonais perde une clé USB contenant les informations personnelles de 460 000 résidents ?

Les données n’étaient pas cryptées.

Un acteur mal intentionné pouvait donc facilement accéder à des données personnelles et les vendre sur le dark web.

Ils l’ont appris à leurs dépens. Mais cela ne devrait pas être le cas, sachant à quel point il est facile de chiffrer les données.

Les sections suivantes traitent du chiffrement des disques, de la manière de le faire avec BitLocker et de quelques alternatives à BitLocker.

Chiffrement intégral du disque

Le chiffrement intégral du disque (FDE) consiste à verrouiller les lecteurs de votre système. Il empêche l’accès aux données sur les périphériques compromis et peut permettre une vérification au démarrage pour une sécurité supplémentaire s’il est appliqué aux lecteurs du système.

BitLocker

Les versions professionnelles, d’entreprise et éducatives de Windows sont préchargées avec le chiffrement des périphériques BitLocker.

BitLocker permet de protéger les lecteurs par un mot de passe, qui fonctionne normalement une fois que vous êtes à l’intérieur. Il existe également une clé de récupération pour réinitialiser le mot de passe, sans lequel le contenu du disque sera illisible.

En outre, ce système fonctionne sur plusieurs plates-formes. Par exemple, un disque crypté sous Windows restera sécurisé sous Linux.

En revanche, vous ne serez pas protégé une fois le système déverrouillé. Ces mécanismes de cryptage seront inefficaces contre, par exemple, les logiciels espions qui volent vos informations personnelles et que vous avez peut-être installés à votre insu. Ils ne remplacent donc pas les antivirus ou les logiciels espions.

Pour commencer, tapez BitLocker dans la barre de recherche de la barre des tâches et ouvrez Manage BitLocker.

Choisissez ensuite le disque concerné et cliquez sur Activer BitLocker.

La procédure suivante est différente pour le lecteur du système d’exploitation et les partitions hors système, y compris les disques portables.

BitLocker sur les lecteurs système

Par défaut, BitLocker utilise la puce de sécurité TPM (version 1.2 ou ultérieure) pour l’authentification. La machine démarre une fois que le TPM renvoie la clé.

Le module de plate-forme de confiance (TPM) est une puce dont sont équipés les ordinateurs modernes. Il s’agit d’une puce distincte qui garantit l’intégrité globale de l’appareil. Mais vous devrez peut-être l’activer si votre système ne détecte pas le TPM même s’il en est équipé.

Dans ce cas, il n’y a pas d’authentification avant le démarrage et toute personne possédant votre PC peut l’allumer en forçant brutalement le mot de passe de connexion à Windows.

Toutefois, vous pouvez activer le code PIN avant le démarrage à partir de l’éditeur de stratégie de groupe local pour bénéficier d’une sécurité maximale. Ensuite, la puce TPM vous demandera la clé de récupération et le code PIN avant de laisser la machine démarrer.

Ce qui fait la différence ici, c’est que ces puces sont dotées de protections contre la force brute. L’attaquant n’aura donc qu’une poignée d’essais avant d’abandonner.

N’oubliez pas de configurer cette protection avant de lancer le chiffrement.

La procédure est assez simple. Tout d’abord, ouvrez Windows Run en appuyant sur ⊞ R, tapez gpedit.msc et appuyez sur la touche Entrée.

Naviguez ensuite vers Configuration de l’ordinateur > Modèles d’administration > Composants Windows > BitLocker Device Encryption > Lecteurs du système d’exploitation:

pre boot authentication bitlocker set up

Désormais, le chiffrement BitLocker nécessitera un code PIN ou une clé USB prédéfinie comme authentification physique avant le démarrage.

Ensuite, vous pouvez choisir de crypter l’intégralité du disque ou uniquement l’espace disque utilisé.

Le fait de tout crypter est généralement la meilleure idée pour les ordinateurs plus anciens, car vous pouvez avoir des données qui peuvent être récupérées dans les secteurs vides à l’aide d’outils de récupération de données Windows.

Ensuite, vous devez choisir entre un nouveau mode de cryptage et un mode compatible. Vous pouvez choisir le nouveau mode de cryptage car il s’agit d’un lecteur de système d’exploitation. Le mode compatible convient mieux aux lecteurs portables.

Enfin, il est recommandé d’exécuter la vérification du système BitLocker dans la fenêtre suivante pour voir si tout fonctionne parfaitement.

BitLocker sur les lecteurs de données fixes

Le chiffrement de ces partitions et lecteurs est plus simple. Il vous sera demandé de définir un mot de passe au préalable.

Une fois cette étape franchie, le processus est similaire au chiffrement des lecteurs du système d’exploitation, à l’exception des vérifications du système BitLocker.

Bien que BitLocker soit pratique, il n’est pas disponible pour les personnes utilisant les variantes de Windows Home. La deuxième meilleure option gratuite est Windows Device Encryption, si votre appareil la prend en charge.

Cette option diffère de BitLocker en ce sens qu’elle exige la présence d’un dispositif de protection contre les menaces (TPM). En outre, il n’existe aucun moyen d’authentification avant le démarrage.

Vous pouvez vérifier la disponibilité de ce système à l’aide des informations sur le système. Ouvrez Windows Run, tapez msinfo32 et appuyez sur la touche Entrée. Descendez jusqu’au bas de la page et vérifiez si des conditions préalables de rencontre sont mentionnées pour la prise en charge du chiffrement des périphériques.

Si ce n’est pas le cas, il est fort probable que votre appareil ne prenne pas en charge le cryptage des appareils. Toutefois, vous pouvez contacter le service d’assistance du fabricant pour trouver une solution.

Sinon, il existe quelques outils de cryptage de disque complet, gratuits et payants, que vous pouvez utiliser.

VeraCrypt

VeraCrypt est un logiciel de cryptage gratuit et open-source pour Windows, Mac et Linux. À l’instar de BitLocker, vous pouvez chiffrer les lecteurs système, les lecteurs de données fixes et les lecteurs portables.

Il est plus flexible et offre de nombreuses options pour les algorithmes de chiffrement. En outre, il peut également crypter à la volée. Créez donc un conteneur crypté et transférez vos fichiers pour les crypter.

En outre, VeraCrypt peut créer des volumes cachés chiffrés et prend en charge l’authentification avant le démarrage comme BitLocker.

Toutefois, l’interface utilisateur peut s’avérer difficile à appréhender, mais rien qu’un tutoriel sur YouTube ne puisse résoudre.

BestCrypt

BestCrypt est une version payante et conviviale de Veracrypt.

Il vous donne accès à divers algorithmes et à une multitude d’options pour obtenir un chiffrement complet du disque. Il prend en charge la création de conteneurs de chiffrement et de lecteurs système.

En outre, vous pouvez déployer un démarrage approuvé par mot de passe.

BestCrypt est un outil de chiffrement multiplateforme et est livré avec une version d’essai gratuite de 21 jours.

Alternatives commerciales à BitLocker

Il s’agit de solutions prêtes pour l’entreprise, basées sur des licences en volume.

ESET

Le chiffrement intégral des disques d’ESET (qui fait désormais partie d’ESET Protect Elite) est excellent pour la gestion à distance. Il vous offre de la flexibilité avec des solutions de chiffrement sur site et dans le nuage.

Il permet de protéger les disques durs, les disques portables, les courriels, etc., grâce au cryptage AES 256 bits, qui est la norme dans le secteur.

En outre, il vous permet de chiffrer des fichiers individuels à l’aide du chiffrement au niveau du fichier (FLE).

Vous pouvez l’essayer grâce à la démo interactive ou à un essai gratuit de 30 jours pour une prise en main complète.

Symantec

Symantec, de Broadcom, est un autre acteur de premier plan dans la fourniture d’installations de chiffrement de niveau entreprise. Ce chiffrement intégral du disque prend en charge la technologie TPM, qui garantit l’inviolabilité des dispositifs institutionnels.

En outre, vous bénéficiez de vérifications avant le démarrage, du chiffrement des courriers électroniques et des disques amovibles.

Symantec vous aide à définir l’authentification unique et peut également protéger les applications basées sur le cloud. Il prend en charge les cartes à puce et propose diverses méthodes de récupération si l’utilisateur oublie le code d’accès.

En outre, Symantec propose un chiffrement au niveau des fichiers, un moniteur de fichiers sensibles et diverses autres fonctionnalités qui en font une solution de chiffrement de bout en bout irrésistible.

ZENworks

ZENworks de Microfocus est le moyen le plus simple de gérer le chiffrement AES-256 dans toute organisation.

Il prend en charge une authentification optionnelle avant le démarrage avec un nom d’utilisateur et un mot de passe ou une carte à puce avec un code PIN. ZENworks propose une gestion centralisée des clés pour aider les utilisateurs bloqués au démarrage.

Vous pouvez élaborer des stratégies de chiffrement pour les périphériques et les appliquer via une connexion web HTTP standard.

Enfin, vous pouvez profiter de sa version d’essai gratuite, sans carte de crédit, pour en faire l’expérience.

FDE vs FLE

Parfois, il n’est pas utile de chiffrer un disque entier. Dans ce cas, il est judicieux de protéger un fichier spécifique, ce qui donne naissance au chiffrement au niveau du fichier ou au chiffrement basé sur le fichier (FBE).

Le FLE est plus courant et nous l’utilisons souvent sans en reconnaître la présence.

Par exemple, les conversations WhatsApp sont chiffrées de bout en bout. De même, les courriels envoyés via Proton mail sont automatiquement cryptés et seul le destinataire peut accéder à leur contenu.

De la même manière, il est possible de protéger un fichier avec FLE à l’aide d’outils tels que AxCrypt ou FolderLock.

L’avantage de la FBE par rapport à la FDE est que tous les fichiers peuvent avoir des clés de chiffrement différentes. Ainsi, si l’une d’entre elles est compromise, les autres resteront en sécurité.

Toutefois, la gestion de ces clés pose un problème supplémentaire.

Conclusion

Le chiffrement intégral du disque est crucial lorsque vous perdez un appareil contenant des informations sensibles.

Bien que chaque utilisateur ait des données cruciales à bord, ce sont les entreprises qui ont le plus besoin du chiffrement de disque.

Personnellement, BitLocker est le meilleur outil de chiffrement pour les utilisateurs de Windows. VeraCrypt est une autre option pour ceux qui peuvent supporter une interface désuète.

Les organisations ne devraient pas se fier au verdict de quelqu’un, mais prendre le temps de choisir ce qui convient le mieux à leur cas d’utilisation. La seule chose qu’un propriétaire d’entreprise devrait éviter, c’est le verrouillage par le fournisseur.

PS : Consultez notre logiciel de cryptage et d’authentification pour vous familiariser avec les principes de base.

Hitesh Sant
Contributeur
- LinkedIn
Hitesh Sant est rédacteur technique senior chez Geekflare, où il couvre la cybersécurité, les systèmes d’exploitation, l’IA générative et les crypto-monnaies. Ses écrits bénéficient de son expérience pratique des logiciels SaaS chauds et des dernières technologies, dans le but de démystifier des concepts technologiques complexes pour les consommateurs finaux.