Le cryptage total du disque est un rempart essentiel contre l’accès non autorisé en cas de vol de votre appareil. Examinons BitLocker, l’outil natif de Windows, ainsi que ses alternatives.
Imaginez l’inquiétude suscitée par le vol de l’ordinateur portable de Coplin Health Systems, en Virginie-Occidentale, contenant les informations de 43 000 patients.
Ou encore, les conséquences désastreuses lorsqu’un entrepreneur japonais perd une clé USB renfermant les données personnelles de 460 000 citoyens.
Le point commun à ces incidents ? L’absence de cryptage des données.
Des individus malintentionnés pourraient ainsi aisément s’emparer et revendre ces informations sur le dark web.
Ces organisations ont appris à leurs dépens l’importance du cryptage, une leçon coûteuse mais évitable compte tenu de la simplicité de la mise en œuvre d’un tel système.
Les prochaines sections détaillent le cryptage de disque, son fonctionnement avec BitLocker, ainsi que des solutions alternatives.
Le Cryptage Complet du Disque
Le cryptage complet du disque (FDE) consiste à verrouiller l’accès aux disques de votre système. Il empêche l’accès aux données en cas de compromission de l’appareil et permet, lorsqu’il est appliqué aux lecteurs système, une vérification au démarrage pour une sécurité accrue.
Fonctionnement de BitLocker
Les éditions Professionnelle, Entreprise et Éducation de Windows intègrent le cryptage d’appareil BitLocker.
BitLocker permet de protéger les lecteurs par un mot de passe. Ces derniers fonctionnent normalement une fois que vous êtes authentifié. Une clé de récupération est également disponible pour réinitialiser le mot de passe, sans laquelle le contenu du disque est inaccessible.
De plus, cette protection est multiplateforme : un lecteur chiffré sous Windows restera sécurisé même sous Linux.
Il est important de noter que BitLocker ne vous protège pas une fois le système déverrouillé. Les mécanismes de cryptage ne seront pas efficaces, par exemple, contre les logiciels espions qui subtilisent vos informations après l’authentification. Il ne remplace donc pas les solutions antivirus ou anti-logiciels espions.
Pour commencer, saisissez « BitLocker » dans la barre de recherche et ouvrez « Gérer BitLocker ».
Sélectionnez ensuite le disque à chiffrer et cliquez sur « Activer BitLocker ».
La procédure diffère selon qu’il s’agit du lecteur système ou de partitions non système, incluant les disques externes.
BitLocker sur les Lecteurs Système
Par défaut, l’authentification s’appuie sur la puce de sécurité TPM (version 1.2 ou ultérieure). La machine démarre lorsque le TPM fournit la clé.
Le module de plateforme sécurisée (TPM) est une puce intégrée aux PC récents, assurant l’intégrité globale de l’appareil. Si votre système ne le détecte pas, malgré sa présence, vous devrez peut-être l’activer.
En l’absence de TPM, l’authentification de pré-démarrage n’est pas disponible, et toute personne ayant accès physique au PC peut le démarrer en forçant l’accès via le mot de passe de connexion Windows.
Pour une sécurité renforcée, il est possible d’activer un code PIN de pré-démarrage depuis l’éditeur de stratégie de groupe local. Le TPM demandera alors la clé de récupération et le code PIN avant d’autoriser le démarrage de la machine.
Ces puces intègrent des protections contre les attaques par force brute, limitant le nombre de tentatives possibles pour un attaquant.
Il est crucial de configurer ces options avant de lancer le cryptage.
La procédure est simple : ouvrez « Exécuter » (touche Windows + R), saisissez « gpedit.msc » et validez.
Naviguez ensuite vers « Configuration ordinateur » > « Modèles d’administration » > « Composants Windows » > « Chiffrement de lecteur BitLocker » > « Lecteurs du système d’exploitation » :
Désormais, BitLocker exigera un code PIN ou un lecteur USB prédéfini comme authentification physique avant le démarrage.
Ensuite, vous choisissez entre le cryptage de l’intégralité du lecteur ou de l’espace disque utilisé uniquement.
Le cryptage total est préférable pour les ordinateurs anciens, car des données peuvent être récupérées à partir des secteurs vides à l’aide d’outils spécifiques.
Enfin, vous choisissez entre le nouveau mode de cryptage ou un mode compatible. Le nouveau mode est recommandé pour les lecteurs système, tandis que le mode compatible est plus adapté aux lecteurs portables.
Il est conseillé d’effectuer une vérification du système BitLocker pour s’assurer du bon fonctionnement de l’ensemble.
BitLocker sur les Lecteurs de Données Fixes
Le cryptage de ces partitions et lecteurs est plus simple et nécessite simplement la définition d’un mot de passe.
La suite de la procédure est similaire à celle des lecteurs système, les vérifications du système BitLocker mises à part.
Bien que BitLocker soit pratique, il n’est pas disponible pour les utilisateurs des versions Windows Home. L’alternative gratuite la plus intéressante est le « Cryptage d’appareil Windows », si votre appareil le prend en charge.
Ce dernier diffère de BitLocker car il impose des exigences TPM et ne propose pas d’authentification avant le démarrage.
Vous pouvez vérifier sa disponibilité via les informations système. Ouvrez « Exécuter », tapez « msinfo32 » et validez. Faites défiler vers le bas et vérifiez si les conditions préalables sont mentionnées en regard de « Prise en charge du chiffrement de l’appareil ».
Si ce n’est pas le cas, votre appareil ne prendra probablement pas en charge le cryptage d’appareil. Contactez le support du fabricant pour explorer d’éventuelles solutions.
Par ailleurs, des outils de cryptage complet de disque gratuits et payants sont disponibles.
VeraCrypt
VeraCrypt est un logiciel de cryptage open source gratuit pour Windows, Mac et Linux. Comme BitLocker, il permet de crypter les lecteurs système, les lecteurs de données fixes et les lecteurs portables.
Plus flexible, il propose de nombreux algorithmes de cryptage et peut également crypter à la volée. Créez un conteneur crypté et transférez vos fichiers pour les sécuriser.
VeraCrypt peut également créer des volumes cachés cryptés et prend en charge l’authentification de pré-démarrage, à l’instar de BitLocker.
L’interface utilisateur peut sembler complexe, mais de nombreux tutoriels en ligne sont disponibles pour vous guider.
BestCrypt
BestCrypt est une version conviviale et payante de Veracrypt.
Il offre un accès à divers algorithmes et une multitude d’options pour le cryptage complet de disque. Il prend en charge la création de conteneurs de chiffrement et de lecteurs système.
De plus, vous pouvez déployer un démarrage sécurisé par mot de passe.
BestCrypt est un outil de cryptage multiplateforme, proposé avec un essai gratuit de 21 jours.
Alternatives Commerciales à BitLocker
Ces solutions, destinées aux entreprises, sont basées sur des licences en volume.
ESET
Le cryptage intégral de disque ESET est idéal pour la gestion à distance, avec des solutions de cryptage sur site et dans le cloud.
Il protège les disques durs, les lecteurs portables, les e-mails, etc., grâce au cryptage AES 256 bits, standard de l’industrie.
De plus, il permet de crypter des fichiers individuels via le cryptage au niveau du fichier (FLE).
Vous pouvez découvrir ses fonctionnalités grâce à une démonstration interactive ou un essai gratuit de 30 jours.
Symantec
Symantec, de Broadcom, est un autre acteur majeur dans le domaine du cryptage de niveau entreprise. Son cryptage complet du disque prend en charge le TPM, assurant l’intégrité des appareils.
Vous bénéficiez également de vérifications de pré-démarrage, du cryptage des e-mails et des disques amovibles.
Symantec permet de configurer l’authentification unique et de protéger les applications basées sur le cloud. Il prend en charge les cartes à puce et diverses méthodes de récupération en cas d’oubli du mot de passe.
Symantec propose également un cryptage au niveau des fichiers, un moniteur de fichiers sensibles et diverses autres fonctionnalités, ce qui en fait une solution de cryptage complète et intéressante.
ZENworks
ZENworks de Microfocus simplifie la gestion du cryptage AES-256 au sein d’une organisation.
Il prend en charge une authentification de pré-démarrage optionnelle via un nom d’utilisateur et un mot de passe ou une carte à puce avec un code PIN. ZENworks offre une gestion centralisée des clés pour aider les utilisateurs bloqués lors des connexions de démarrage.
Vous pouvez définir des stratégies de chiffrement pour les appareils et les appliquer via une connexion Web HTTP standard.
Profitez de son essai gratuit sans carte de crédit pour l’évaluer par vous-même.
FDE contre FLE
Dans certains cas, il n’est pas nécessaire de crypter un disque entier. La protection de fichiers spécifiques est alors préférable, d’où l’intérêt du cryptage au niveau du fichier (FLE) ou cryptage basé sur le fichier (FBE).
Le FLE est plus répandu et nous l’utilisons souvent sans en être conscients.
Par exemple, les conversations WhatsApp sont cryptées de bout en bout. De même, les e-mails envoyés via la messagerie Proton sont automatiquement cryptés et seul le destinataire peut accéder au contenu.
De même, un fichier peut être protégé par le FLE à l’aide d’outils tels que AxCrypt ou FolderLock.
Un avantage majeur du FBE par rapport au FDE réside dans la possibilité d’utiliser des clés de cryptage différentes pour chaque fichier. Ainsi, si une clé est compromise, les autres fichiers restent sécurisés.
Cependant, cela implique la gestion de plusieurs clés, ce qui peut être fastidieux.
Conclusion
Le cryptage complet du disque est essentiel pour protéger les informations sensibles en cas de perte d’un appareil.
Si chaque utilisateur possède des données importantes, les entreprises ont davantage besoin du cryptage de disque.
Pour un particulier, BitLocker reste le meilleur outil de cryptage sous Windows. VeraCrypt est une alternative intéressante pour ceux qui peuvent s’accommoder d’une interface datée.
Quant aux entreprises, elles devraient évaluer les différentes options disponibles pour identifier celle qui correspond le mieux à leurs besoins, tout en évitant les solutions propriétaires.
PS : Consultez notre article comparant les logiciels de cryptage et d’authentification pour revoir les bases.