Windows 11 24H2 activera par défaut BitLocker sur les nouvelles installations

La prochaine évolution majeure de Windows 11 présentera un changement important sur les nouvelles installations : l’activation par défaut du chiffrement BitLocker. Cette décision ne sera pas sans conséquences dans certains cas.

BitLocker est une technologie de chiffrement logiciel pour les partitions. Elle existe depuis Vista et est traditionnellement fournie avec les éditions Pro et Enterprise de Windows. Depuis Windows 10 Pro, il n’est ainsi pas rare de trouver dans le commerce des ordinateurs portables dont le disque est déjà chiffré.

En théorie, ce chiffrement intégral, basé sur XTS-AES 128 ou 256 bits, permet la protection des données. En effet, en cas de vol de l’appareil, les données ne seront pas accessibles sans la clé. C’est du moins l’effet recherché, car cette protection n’est pas absolue.

Microsoft a dans l’idée de généraliser BitLocker à l’ensemble des versions de Windows 11, y compris l’édition Famille, sur toutes les nouvelles installations. À moins que l’éditeur ne communique abondamment sur ce changement, il y aura cependant des problèmes.

BitLocker par défaut sur les installations Windows 11 24H2

La prochaine mise à jour majeure du système, estampillée 24H2, sera proposée au téléchargement dans les mois qui viennent. Son installation fournira comme d’habitude une liste plus ou moins touffue de nouveautés, sans modifier le comportement de BitLocker. En cas de nouvelle installation cependant, la situation pourra évoluer.

Comme le rappelle le site allemand Deskmodder qui a diffusé l’information, il faut que deux conditions soient réunies. D’abord, que l’ordinateur intègre une puce TPM 1.2 au moins. Ce qui devrait être le cas pour toutes les machines compatibles Windows 11, puisque c’est l’un des prérequis du système. Deuxièmement, un flag doit être actif dans l’UEFI du PC. C’est généralement le cas des portables et PC de bureau vendus par les grands constructeurs comme Dell, HP ou encore Lenovo (les OEM). En revanche, les cartes mères vendues au détail sont très rarement concernées.

Le plus souvent, la version Famille de Windows 11 n’est pas fournie avec BitLocker, mais il arrive que des portables de marques connues l’aient quand même. Le changement prévu par Microsoft pourrait donc avoir un impact significatif en généralisant ce chiffrement à toutes les machines compatibles Windows 11 et provenant des OEM.

Les risques liés à BitLocker

L’activation par défaut de BitLocker sur les nouvelles installations devrait, on l’espère en tout cas, faire l’objet d’une communication claire. L’idée part sans doute d’un « bon sentiment », mais un tel changement n’est pas anodin.

D’abord pour des questions pratiques. Le chiffrement s’active en effet pour tous les disques. Si vous faites une installation neuve, que BitLocker fait son travail et que vous réinstallez Windows par la suite, il faut mieux s’assurer que vous avez sauvegardé les clés avant de vous lancer dans l’opération. Dans le cas contraire, une fois Windows réinstallé, les données présentes sur les autres disques ne seront plus accessibles.

La sauvegarde des clés se fait normalement – et par défaut – sur le compte Microsoft. Les clés sont ainsi disponibles depuis ce dernier à cette adresse. Vous devriez voir une page comme celle-ci :

Si elles ne sont pas sur le compte, il est en théorie possible de les récupérer depuis les options de BitLocker pour les sauvegarder sur un autre support ou les imprimer. Concernant l’impression, il peut tout à fait s’agir d’un export PDF.

Un impact visible sur les performances

Puisqu’il n’y a pour l’instant aucune communication pendant l’installation, ce processus peut passer complètement inaperçu. On peut cependant se douter de quelque chose selon les performances de la machine. Le chiffrement opéré par BitLocker est en effet logiciel et a un impact plus ou moins important sur les performances du disque. Tom’s Hardware avait procédé à des tests en octobre dernier. Nos confrères avaient constaté une chute de 20 % en moyenne, pouvant grimper à 45 % selon les scénarios.

La situation est très différente des Mac, où FileVault peut être activé sans crainte d’impact sur les performances de la machine. Mais Apple contrôle le logiciel et le matériel, lui permettant une accélération matérielle des opérations.

Autre grande différence avec les Mac d’ailleurs, la sécurité de BitLocker ne tient pas compte du code PIN de la session. Cette ouverture a permis à un youtubeur d’expliquer dans une vidéo comment contourner la protection en très peu de temps et avec moins de 10 dollars de matériel. Il s’agissait cependant d’un cas un peu spécifique, qui réclamait des conditions précises, notamment un connecteur LPC libre.

• • BitLocker contourné rapidement pour moins de 10 dollars ? Pas de panique

Vérifier la présence du chiffrement des données

Il est important de savoir si le chiffrement des données est activé. Comme vu, il peut expliquer sur certaines configurations des performances un peu décevantes lors des accès disques. Surtout, cette connaissance permet de préparer le terrain à une éventuelle réinstallation de Windows.

Plutôt que de passer par l’interface, il existe une commande permettant d’afficher immédiatement le statut pour chaque lecteur, partition ou disque. Pour cela, il suffit d’ouvrir une console (Invite de commande ou Terminal) en tant qu’administrateur. L’option se trouve à droite dans le menu Démarrer quand on cherche « Invite » ou « Terminal ».

Il faut ensuite entrer la commande suivante : manage-bde -status.

Si BitLocker est désactivé, vous obtiendrez un résultat de ce type :

On peut voir, pour chaque lecteur, la ligne « État de la conversion » renvoyant l’information : « Intégralement déchiffré ».

Dans le cas contraire, vous obtiendrez ce type de retour :

Cette fois, l’information est « Intégralement chiffré ».

On peut voir la version utilisée de BitLocker, le pourcentage des données chiffrées ou encore le protocole utilisé, ici XTS-AES 128.

Deux méthodes pour empêcher BitLocker de s’activer

Le problème est donc connu : durant l’installation, le processus ne pose aucune question liée à BitLocker et n’informe pas de ce changement, pourtant important. Notez que malgré nos multiples essais dans des machines virtuelles (dans VirtualBox et VMware Workstation avec la dernière ISO du canal Canary), nous n’avons pas été en mesure de constater cette activation par défaut de BitLocker. Ni sur des versions Pro, ni sur des versions Famille. En revanche, plusieurs médias ont confirmé ce comportement, ainsi que des commentaires sur plusieurs articles.

Avant de présenter deux méthodes pour empêcher BitLocker de s’activer, sachez que la désactivation est possible depuis l’application Sécurité Windows, intégrée au système (le bouclier bleu dans la zone du systray tout à droite de la barre des tâches). Cette possibilité, au moins, ne change pas.

La première méthode est utilisable au début du processus d’installation, quand il vous est demandé de choisir la langue :

• • Faire Maj + F10 pour appeler la console

• • Taper « regedit » puis valider

• • Se rendre dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker

• • Dans la partie droite, faire un clic droit et choisir Nouveau > Valeur DWORD 32 bits

• • Nommer la nouvelle clé « PreventDeviceEncryption » et lui donner la valeur « 1 », puis valider

• • Fermer l’Éditeur du Registre et la console, puis continuer l’installation de Windows normalement

Préparer son propre support d'installation personnalisé

L’autre méthode consiste à préparer un support d’installation avec l’utilitaire Rufus. Ce dernier est justement dédié à cette tâche, autorisant la récupération des images ISO, la préparation de la clé USB et la sélection de certaines options. Par exemple, la possibilité d’empêcher Windows 11 de vérifier la présence de certaines caractéristiques, comme la puce TPM 2.0, ou celle de forcer le système à créer un compte local.

Pour créer le média d’installation, il vous faudra une clé USB d’au moins 8 Go et la dernière image ISO de Windows 11. On peut récupérer gratuitement cette dernière depuis le site de Microsoft. Lancez alors Rufus, sélectionnez le périphérique souhaité ainsi que l’image ISO. Il n’est normalement pas nécessaire de toucher aux autres options de la fenêtre principale.

Quand vous appuyez sur « Démarrer », un panneau apparaît, dans lequel on trouve les précieuses options. Celle qui nous intéresse est la dernière : « Désactiver l’encryption automatique BitLocker » (on appréciera la traduction française). Les autres sont à votre discrétion, sachant que les deux premières sont cochées par défaut. Après quoi, la préparation de la clé commence. On obtient à la fin un périphérique bootable avec une version de Windows.