Chiffrement de lecteur BitLocker

Le programme de chiffrement de disque BitLocker fournit un chiffrement de disque pour les versions professionnelle, intégrale et entreprise de Windows 7 , Windows Vista , Windows 10 et Windows 11 , ainsi que les versions entreprise de Windows Server 2008 . Il est conçu pour protéger les données en assurant le chiffrement de volumes entiers. Par défaut, l'algorithme de chiffrement standard AES est utilisé en mode CBC avec une clé de 128 bits .

La dernière version de BitLocker ajoute la possibilité de chiffrer les lecteurs amovibles .

Vue d'ensemble

Il existe trois mécanismes d'authentification qui peuvent être utilisés comme éléments de base pour implémenter le chiffrement BitLocker.

• Mode de fonctionnement transparent : Ce mode tire parti des capacités du module de plateforme sécurisée ( TPM ) . La clé utilisée pour le chiffrement du disque est chiffrée et le code ne sera communiqué au système d'exploitation que si les fichiers de démarrage au début du démarrage n'ont pas été modifiés. Ce mode est vulnérable à une attaque de démarrage à froid car il permet à un attaquant d'arrêter la machine.
• Mode d'authentification utilisateur : ce mode nécessite que l'utilisateur fournisse une clé d'authentification au pré-démarrage. Ce mode est vulnérable à une attaque de rootkit .
• Mode périphérique USB : L'utilisateur doit insérer un périphérique USB contenant une clé de démarrage dans l'ordinateur afin de démarrer le système d'exploitation protégé. Notez que ce mode nécessite que le BIOS de la machine protégée prenne en charge le démarrage à partir de périphériques USB. Ce mode est également vulnérable à une attaque de rootkit .

Opération

Contrairement au nom officiel, BitLocker Disk Encryptor est un volume logique. Un volume peut ou non être un disque entier, et les lecteurs peuvent s'étendre sur un ou plusieurs disques physiques. De plus, lorsque le module de plateforme sécurisée (TPM) est activé, BitLocker peut garantir l'intégrité du chemin de démarrage de confiance (par exemple, un BIOS, un secteur de démarrage, etc.), pour empêcher les attaques physiques en dehors de la ligne système, du secteur de démarrage. logiciels malveillants, etc.

Pour que BitLocker fonctionne, le disque dur nécessite au moins deux partitions NTFS : une pour le système d'exploitation (généralement C :) et une d'une taille minimale de 100 Mo pour le système d'exploitation amorçable. BitLocker nécessite un volume de démarrage qui reste non chiffré, de sorte que le démarrage ne doit pas être utilisé pour stocker des informations sensibles. Contrairement aux versions précédentes de Windows, l'outil de ligne de commande "Vista diskpart" inclut la possibilité de réduire la taille d'un volume NTFS afin que le volume système pour BitLocker puisse être créé. Un outil appelé "BitLocker Drive Preparation Tool" est également disponible auprès de Microsoft et permet de réduire un volume existant pour faire de la place pour un volume de démarrage et pour que des fichiers y soient transférés. Étant donné que BitLocker nécessite au moins deux partitions au format NTFS ; certains utilisateurs préfèrent chiffrer l'intégralité du disque dur, sans avoir besoin de partitionner.

Une fois qu'une partition de démarrage alternative a été créée, le module TPM doit être initialisé (en supposant que cette fonctionnalité est utilisée) après que le chiffrement du disque nécessite des mécanismes de protection de clé. Le volume est chiffré en tâche de fond, ce qui peut prendre un temps considérable sur un disque volumineux. Ce n'est qu'une fois que le volume entier a été chiffré avec les clés protégées que le volume est considéré comme sûr.

D'autres systèmes de chiffrement de fichiers peuvent être utilisés conjointement avec BitLocker pour fournir une protection une fois le noyau du système d'exploitation chargé. BitLocker déchiffre les fichiers sur le disque avant le chargement du système d'exploitation (et donc en dehors du contexte du système d'exploitation). ^{[ 1} ]

Références