Quelques belles colères en perspective

Windows 11 24H2 activera par défaut BitLocker sur les nouvelles installations

Abonnez-vous pour tout dévorer et ne rien manquer.

Déjà abonné ? Se connecter

Abonnez-vous

La prochaine évolution majeure de Windows 11 présentera un changement important sur les nouvelles installations : l’activation par défaut du chiffrement BitLocker. Cette décision ne sera pas sans conséquences dans certains cas.

BitLocker est une technologie de chiffrement logiciel pour les partitions. Elle existe depuis Vista et est traditionnellement fournie avec les éditions Pro et Enterprise de Windows. Depuis Windows 10 Pro, il n’est ainsi pas rare de trouver dans le commerce des ordinateurs portables dont le disque est déjà chiffré.

En théorie, ce chiffrement intégral, basé sur XTS-AES 128 ou 256 bits, permet la protection des données. En effet, en cas de vol de l’appareil, les données ne seront pas accessibles sans la clé. C’est du moins l’effet recherché, car cette protection n’est pas absolue.

Microsoft a dans l’idée de généraliser BitLocker à l’ensemble des versions de Windows 11, y compris l’édition Famille, sur toutes les nouvelles installations. À moins que l’éditeur ne communique abondamment sur ce changement, il y aura cependant des problèmes.

BitLocker par défaut sur les installations Windows 11 24H2

Abonnez-vous pour tout dévorer et ne rien manquer.

Déjà abonné ? Se connecter

Abonnez-vous

Commentaires (68)


Le truc un peu bête avec Bitlocker, c'est que les données sont déchiffrées dès que le PC démarre, car le TPM envoi directement la clef pour démarrer Windows.

Perso, ce que j'ai fais, c'est que j'ai mis un mot de passe au démarrage du PC avec le BIOS, ce mot de passe m'est demandé dès que je démarre mon PC, les données ne sont pas déchiffrées avant.

Par contre, je ne sais pas ce qu'il se passe si le BIOS est reset, est-ce-que Windows réclamera la clef de déchiffrement? a me semblerait logique, parce que sinon ça sert à rien.

Peut-être que ça se gère via le BIOS ASUS de ma x670E.
Il est possible d'avoir une protection par code PIN + TPM. En gros (si j'ai bien compris), le code pin en envoyé à la puce TPM qui ne renvoie la clé que si le PIN est valide. Quelques infos ici: https://learn.microsoft.com/fr-fr/windows/security/operating-system-security/data-protection/bitlocker/countermeasures
C'est probablement plus solide qu'un mot de passe BIOS (qui est possiblement reset, bruteforceable...)

4742

Il est possible d'avoir une protection par code PIN + TPM. En gros (si j'ai bien compris), le code pin en envoyé à la puce TPM qui ne renvoie la clé que si le PIN est valide. Quelques infos ici: https://learn.microsoft.com/fr-fr/windows/security/operating-system-security/data-protection/bitlocker/countermeasures
C'est probablement plus solide qu'un mot de passe BIOS (qui est possiblement reset, bruteforceable...)
Un code PIN?
Ça peut être de l'alphanumérique aussi?

Je regarde ce soir dès que je rentre du taf, merci pour l'info!

dylem29

Un code PIN?
Ça peut être de l'alphanumérique aussi?

Je regarde ce soir dès que je rentre du taf, merci pour l'info!
On peut mettre un mot de passe, mais pour ce faire, il faut aller jouer avec les GPO des paramètres BitLocker (sous Windows 10). Et évidemment le mot de passe s'entre en QWERTY sinon ce n'est pas rigolo (toujours sous W10).

edit : la configuration que j'utilise pour LGPO.
edit2 : mauvaise interprétation du markdown, la frimousse est deux-points huit…


; ----------------------------------------------------------------------
; PARSING Computer POLICY
; Source file: z:\foo\{7BEE8D24-3E8A-4A05-099B-60204F4B1306}\DomainSysvol\GPO\Machine\registry.pol

Computer
SOFTWARE\Policies\Microsoft\FVE
EncryptionMethodWithXtsOs
DWORD:7

Computer
SOFTWARE\Policies\Microsoft\FVE
EncryptionMethodWithXtsFdv
DWORD:7

Computer
SOFTWARE\Policies\Microsoft\FVE
EncryptionMethodWithXtsRdv
DWORD:7

Computer
SOFTWARE\Policies\Microsoft\FVE
EncryptionMethodNoDiffuser
DWORD:4

Computer
SOFTWARE\Policies\Microsoft\FVE
EncryptionMethod
DWORD:4

Computer
SOFTWARE\Policies\Microsoft\FVE
RDVHardwareEncryption
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
RDVAllowSoftwareEncryptionFailover
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
RDVRestrictHardwareEncryptionAlgorithms
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
RDVAllowedHardwareEncryptionAlgorithms
DELETE

Computer
SOFTWARE\Policies\Microsoft\FVE
FDVHardwareEncryption
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
FDVAllowSoftwareEncryptionFailover
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
FDVRestrictHardwareEncryptionAlgorithms
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
FDVAllowedHardwareEncryptionAlgorithms
DELETE

Computer
SOFTWARE\Policies\Microsoft\FVE
OSHardwareEncryption
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
OSAllowSoftwareEncryptionFailover
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
OSRestrictHardwareEncryptionAlgorithms
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
OSAllowedHardwareEncryptionAlgorithms
DELETE

Computer
SOFTWARE\Policies\Microsoft\FVE
UseEnhancedPin
DWORD:1

Computer
SOFTWARE\Policies\Microsoft\FVE
MinimumPIN
DWORD:8

Computer
SOFTWARE\Policies\Microsoft\FVE
UseAdvancedStartup
DWORD:1

Computer
SOFTWARE\Policies\Microsoft\FVE
EnableBDEWithNoTPM
DWORD:1

Computer
SOFTWARE\Policies\Microsoft\FVE
UseTPM
DWORD:2

Computer
SOFTWARE\Policies\Microsoft\FVE
UseTPMPIN
DWORD:2

Computer
SOFTWARE\Policies\Microsoft\FVE
UseTPMKey
DWORD:2

Computer
SOFTWARE\Policies\Microsoft\FVE
UseTPMKeyPIN
DWORD:2

; PARSING COMPLETED.
; ----------------------------------------------------------------------

Modifié le 14/05/2024 à 12h59

Historique des modifications :

Posté le 14/05/2024 à 12h44


On peut mettre un mot de passe, mais pour ce faire, il faut aller jouer avec les GPO des paramètres BitLocker (sous Windows 10). Et évidemment le mot de passe s'entre en QWERTY sinon ce n'est pas rigolo (toujours sous W10).

Posté le 14/05/2024 à 12h55


On peut mettre un mot de passe, mais pour ce faire, il faut aller jouer avec les GPO des paramètres BitLocker (sous Windows 10). Et évidemment le mot de passe s'entre en QWERTY sinon ce n'est pas rigolo (toujours sous W10).

edit : la configuration que j'utilise pour LGPO.


; ----------------------------------------------------------------------
; PARSING Computer POLICY
; Source file: z:\foo\{7BEE8D24-3E8A-4A05-099B-60204F4B1306}\DomainSysvol\GPO\Machine\registry.pol

Computer
SOFTWARE\Policies\Microsoft\FVE
EncryptionMethodWithXtsOs
DWORD:7

Computer
SOFTWARE\Policies\Microsoft\FVE
EncryptionMethodWithXtsFdv
DWORD:7

Computer
SOFTWARE\Policies\Microsoft\FVE
EncryptionMethodWithXtsRdv
DWORD:7

Computer
SOFTWARE\Policies\Microsoft\FVE
EncryptionMethodNoDiffuser
DWORD:4

Computer
SOFTWARE\Policies\Microsoft\FVE
EncryptionMethod
DWORD:4

Computer
SOFTWARE\Policies\Microsoft\FVE
RDVHardwareEncryption
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
RDVAllowSoftwareEncryptionFailover
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
RDVRestrictHardwareEncryptionAlgorithms
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
RDVAllowedHardwareEncryptionAlgorithms
DELETE

Computer
SOFTWARE\Policies\Microsoft\FVE
FDVHardwareEncryption
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
FDVAllowSoftwareEncryptionFailover
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
FDVRestrictHardwareEncryptionAlgorithms
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
FDVAllowedHardwareEncryptionAlgorithms
DELETE

Computer
SOFTWARE\Policies\Microsoft\FVE
OSHardwareEncryption
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
OSAllowSoftwareEncryptionFailover
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
OSRestrictHardwareEncryptionAlgorithms
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
OSAllowedHardwareEncryptionAlgorithms
DELETE

Computer
SOFTWARE\Policies\Microsoft\FVE
UseEnhancedPin
DWORD:1

Computer
SOFTWARE\Policies\Microsoft\FVE
MinimumPIN
DWORD:8

Computer
SOFTWARE\Policies\Microsoft\FVE
UseAdvancedStartup
DWORD:1

Computer
SOFTWARE\Policies\Microsoft\FVE
EnableBDEWithNoTPM
DWORD:1

Computer
SOFTWARE\Policies\Microsoft\FVE
UseTPM
DWORD:2

Computer
SOFTWARE\Policies\Microsoft\FVE
UseTPMPIN
DWORD:2

Computer
SOFTWARE\Policies\Microsoft\FVE
UseTPMKey
DWORD:2

Computer
SOFTWARE\Policies\Microsoft\FVE
UseTPMKeyPIN
DWORD:2

; PARSING COMPLETED.
; ----------------------------------------------------------------------

Xelloss Metallium

On peut mettre un mot de passe, mais pour ce faire, il faut aller jouer avec les GPO des paramètres BitLocker (sous Windows 10). Et évidemment le mot de passe s'entre en QWERTY sinon ce n'est pas rigolo (toujours sous W10).

edit : la configuration que j'utilise pour LGPO.
edit2 : mauvaise interprétation du markdown, la frimousse est deux-points huit…


; ----------------------------------------------------------------------
; PARSING Computer POLICY
; Source file: z:\foo\{7BEE8D24-3E8A-4A05-099B-60204F4B1306}\DomainSysvol\GPO\Machine\registry.pol

Computer
SOFTWARE\Policies\Microsoft\FVE
EncryptionMethodWithXtsOs
DWORD:7

Computer
SOFTWARE\Policies\Microsoft\FVE
EncryptionMethodWithXtsFdv
DWORD:7

Computer
SOFTWARE\Policies\Microsoft\FVE
EncryptionMethodWithXtsRdv
DWORD:7

Computer
SOFTWARE\Policies\Microsoft\FVE
EncryptionMethodNoDiffuser
DWORD:4

Computer
SOFTWARE\Policies\Microsoft\FVE
EncryptionMethod
DWORD:4

Computer
SOFTWARE\Policies\Microsoft\FVE
RDVHardwareEncryption
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
RDVAllowSoftwareEncryptionFailover
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
RDVRestrictHardwareEncryptionAlgorithms
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
RDVAllowedHardwareEncryptionAlgorithms
DELETE

Computer
SOFTWARE\Policies\Microsoft\FVE
FDVHardwareEncryption
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
FDVAllowSoftwareEncryptionFailover
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
FDVRestrictHardwareEncryptionAlgorithms
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
FDVAllowedHardwareEncryptionAlgorithms
DELETE

Computer
SOFTWARE\Policies\Microsoft\FVE
OSHardwareEncryption
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
OSAllowSoftwareEncryptionFailover
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
OSRestrictHardwareEncryptionAlgorithms
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
OSAllowedHardwareEncryptionAlgorithms
DELETE

Computer
SOFTWARE\Policies\Microsoft\FVE
UseEnhancedPin
DWORD:1

Computer
SOFTWARE\Policies\Microsoft\FVE
MinimumPIN
DWORD:8

Computer
SOFTWARE\Policies\Microsoft\FVE
UseAdvancedStartup
DWORD:1

Computer
SOFTWARE\Policies\Microsoft\FVE
EnableBDEWithNoTPM
DWORD:1

Computer
SOFTWARE\Policies\Microsoft\FVE
UseTPM
DWORD:2

Computer
SOFTWARE\Policies\Microsoft\FVE
UseTPMPIN
DWORD:2

Computer
SOFTWARE\Policies\Microsoft\FVE
UseTPMKey
DWORD:2

Computer
SOFTWARE\Policies\Microsoft\FVE
UseTPMKeyPIN
DWORD:2

; PARSING COMPLETED.
; ----------------------------------------------------------------------

ah ouais, j'pense que je vais rester comme je suis, loul

dylem29

ah ouais, j'pense que je vais rester comme je suis, loul
Il faut se renseigner sur le fonctionnement de Bitlocker aussi...

Déjà, le disque n'est pas déchiffré au démarrage. Les données sur le disque restent chiffrées.

Quand on démarre l'ordi, l'UEFI et le TPM font des vérifications de l'état du système (basés sur les registres PCR), et si l'état du système n'est pas satisfaisant (par exemple changement du bootloader), la clé ne sera pas libérée par le TPM.

Il est possible d'ajouter également un PIN et/ou une clé de démarrage qui devront être saisi avant que le TPM ne libère la clé. Et pas besoin de se lancer dans des GPOs ou modification de registres ultra compliquées...

Une fois que la clé est libérée, les données restent chiffrées. La clé est chargée en mémoire, et les données sont chiffrées/déchiffrées à la volée de manière transparente.

https://learn.microsoft.com/fr-fr/windows/security/operating-system-security/data-protection/bitlocker/countermeasures

Perso je trouve que c'est une très bonne chose que MS mette ça en place, ça aurait dû être fait depuis longtemps. Cet article complètement à charge nous le présente principalement comme un risque, mais il faut garder à l'esprit que tous nos smartphones sont complètement chiffrés de manière transparentes depuis des années sans que ça pose le moindre problème. Perso j'utilise Bitlocker sur tous mes disques depuis que ça existe, sans jamais aucun souci. J'ai eu 2-3 fois à saisir la clé de récupération suite à des bourdes de ma part et des évolutions matérielles, mais tout s'est toujours bien passé.

Freeben666

Il faut se renseigner sur le fonctionnement de Bitlocker aussi...

Déjà, le disque n'est pas déchiffré au démarrage. Les données sur le disque restent chiffrées.

Quand on démarre l'ordi, l'UEFI et le TPM font des vérifications de l'état du système (basés sur les registres PCR), et si l'état du système n'est pas satisfaisant (par exemple changement du bootloader), la clé ne sera pas libérée par le TPM.

Il est possible d'ajouter également un PIN et/ou une clé de démarrage qui devront être saisi avant que le TPM ne libère la clé. Et pas besoin de se lancer dans des GPOs ou modification de registres ultra compliquées...

Une fois que la clé est libérée, les données restent chiffrées. La clé est chargée en mémoire, et les données sont chiffrées/déchiffrées à la volée de manière transparente.

https://learn.microsoft.com/fr-fr/windows/security/operating-system-security/data-protection/bitlocker/countermeasures

Perso je trouve que c'est une très bonne chose que MS mette ça en place, ça aurait dû être fait depuis longtemps. Cet article complètement à charge nous le présente principalement comme un risque, mais il faut garder à l'esprit que tous nos smartphones sont complètement chiffrés de manière transparentes depuis des années sans que ça pose le moindre problème. Perso j'utilise Bitlocker sur tous mes disques depuis que ça existe, sans jamais aucun souci. J'ai eu 2-3 fois à saisir la clé de récupération suite à des bourdes de ma part et des évolutions matérielles, mais tout s'est toujours bien passé.
"Il est possible d'ajouter également un PIN et/ou une clé de démarrage qui devront être saisi avant que le TPM ne libère la clé. Et pas besoin de se lancer dans des GPOs ou modification de registres ultra compliquées..."

Source?

dylem29

"Il est possible d'ajouter également un PIN et/ou une clé de démarrage qui devront être saisi avant que le TPM ne libère la clé. Et pas besoin de se lancer dans des GPOs ou modification de registres ultra compliquées..."

Source?
Source : la documentation Microsoft.

Freeben666

Source : la documentation Microsoft.
Ouais donc t'as pas de source.
Merci de confirmer.

dylem29

Ouais donc t'as pas de source.
Merci de confirmer.
Tu es de mauvaise foi. Il a fourni un lien un peu plus haut qui dit exactement ça.

Par contre, si tu veux savoir comment le mettre en œuvre, je pense qu'il vaut mieux que tu cherches par toi-même, ça m'étonnerait qu'il fasse le boulot pour toi, vu comme tu lui parles.

fred42

Tu es de mauvaise foi. Il a fourni un lien un peu plus haut qui dit exactement ça.

Par contre, si tu veux savoir comment le mettre en œuvre, je pense qu'il vaut mieux que tu cherches par toi-même, ça m'étonnerait qu'il fasse le boulot pour toi, vu comme tu lui parles.
J'ai déjà regardé ce lien, et rien n'indique comment le faire sans GPO.
Mais merci de répondre quand-même.

Freeben666

Il faut se renseigner sur le fonctionnement de Bitlocker aussi...

Déjà, le disque n'est pas déchiffré au démarrage. Les données sur le disque restent chiffrées.

Quand on démarre l'ordi, l'UEFI et le TPM font des vérifications de l'état du système (basés sur les registres PCR), et si l'état du système n'est pas satisfaisant (par exemple changement du bootloader), la clé ne sera pas libérée par le TPM.

Il est possible d'ajouter également un PIN et/ou une clé de démarrage qui devront être saisi avant que le TPM ne libère la clé. Et pas besoin de se lancer dans des GPOs ou modification de registres ultra compliquées...

Une fois que la clé est libérée, les données restent chiffrées. La clé est chargée en mémoire, et les données sont chiffrées/déchiffrées à la volée de manière transparente.

https://learn.microsoft.com/fr-fr/windows/security/operating-system-security/data-protection/bitlocker/countermeasures

Perso je trouve que c'est une très bonne chose que MS mette ça en place, ça aurait dû être fait depuis longtemps. Cet article complètement à charge nous le présente principalement comme un risque, mais il faut garder à l'esprit que tous nos smartphones sont complètement chiffrés de manière transparentes depuis des années sans que ça pose le moindre problème. Perso j'utilise Bitlocker sur tous mes disques depuis que ça existe, sans jamais aucun souci. J'ai eu 2-3 fois à saisir la clé de récupération suite à des bourdes de ma part et des évolutions matérielles, mais tout s'est toujours bien passé.
La comparaison avec les smartphones est mal placée. La majorité des gens ont un compte Google (ou plutôt plusieurs, 1 nouveau à chaque fois crée par le vendeur du smartphone), les photos sont expédiées sur Google Photos sous réserve d'avoir la place. Or les 15 Go gratuits du compte Google conviennent dans la majorité des cas, ceci d'autant que les documents sont en général assez rares et donc leur perte est tolérable. En clair, l'usage de cette plateforme fait que l'on peut se permettre de chiffrer.

Un ordinateur ne fonctionne pas ainsi, et tend à centraliser moultes documents/photos sur des années voir des décénnies. Microsoft tente d'imposer le fonctionnement smartphone sur PC avec l'aide du compte Microsoft et de OneDrive qui de base prend les répertoires Docs/Images, mais l'espace gratuit risible de 5 Go est une insulte pour un usage PC et oblige à la souscription d'espace ce que beaucoup refuse (du moins quand ils savent ce qu'est OneDrive, ce qui est déjà rare en soi). Ça aurait pû être intéressant si on avait 50 Go gratuit, pas moins.

Le résultat est que cette activation de Bitlocker est une bombe à retardement. Un PC n'est pas un smartphone.
Modifié le 15/05/2024 à 20h19

Historique des modifications :

Posté le 15/05/2024 à 19h48


La comparaison avec les smartphones est mal placée. La majorité des gens ont un compte Google (ou plutôt plusieurs, 1 nouveau à chaque fois crée par le vendeur du smartphone) et donc les photos sont expédiés sur Google Photos, ce qui les protège (sous réserve d'avoir la place). Les 15 Go gratuits du compte Google convient dans la majorité des cas, ceci d'autant que les documents sont en général assez rares et donc leur perte est tolérable. En clair, l'usage de cette plateforme fait que l'on peut se permettre de chiffrer.

Un ordinateur ne fonctionne pas ainsi, et tend à centraliser moultes documents/photos sur des années. Microsoft tente d'imposer le fonctionnement smartphone sur PC avec l'aide du compte Microsoft et de OneDrive qui de base prend les répertoires Docs/Images, mais l'espace gratuit risible de 5 Go est une insulte pour un usage PC et oblige à la souscription d'espace ce que beaucoup refuse (du moins quand ils savent ce qu'est OneDrive, ce qui est déjà rare en soi). Ça aurait pû être intéressant si on avait 50 Go gratuit, pas moins.

Le résultat est que cette activation de Bitlocker est une bombe à retardement. Un PC n'est pas un smartphone.

Posté le 15/05/2024 à 19h55


La comparaison avec les smartphones est mal placée. La majorité des gens ont un compte Google (ou plutôt plusieurs, 1 nouveau à chaque fois crée par le vendeur du smartphone) et donc les photos sont expédiées sur Google Photos, ce qui les protège sous réserve d'avoir la place. Les 15 Go gratuits du compte Google convient dans la majorité des cas, ceci d'autant que les documents sont en général assez rares et donc leur perte est tolérable. En clair, l'usage de cette plateforme fait que l'on peut se permettre de chiffrer.

Un ordinateur ne fonctionne pas ainsi, et tend à centraliser moultes documents/photos sur des années. Microsoft tente d'imposer le fonctionnement smartphone sur PC avec l'aide du compte Microsoft et de OneDrive qui de base prend les répertoires Docs/Images, mais l'espace gratuit risible de 5 Go est une insulte pour un usage PC et oblige à la souscription d'espace ce que beaucoup refuse (du moins quand ils savent ce qu'est OneDrive, ce qui est déjà rare en soi). Ça aurait pû être intéressant si on avait 50 Go gratuit, pas moins.

Le résultat est que cette activation de Bitlocker est une bombe à retardement. Un PC n'est pas un smartphone.

Posté le 15/05/2024 à 19h57


La comparaison avec les smartphones est mal placée. La majorité des gens ont un compte Google (ou plutôt plusieurs, 1 nouveau à chaque fois crée par le vendeur du smartphone) et donc les photos sont expédiées sur Google Photos, ce qui les protège sous réserve d'avoir la place. Les 15 Go gratuits du compte Google convient dans la majorité des cas, ceci d'autant que les documents sont en général assez rares et donc leur perte est tolérable. En clair, l'usage de cette plateforme fait que l'on peut se permettre de chiffrer.

Un ordinateur ne fonctionne pas ainsi, et tend à centraliser moultes documents/photos sur des années voir des décénnies. Microsoft tente d'imposer le fonctionnement smartphone sur PC avec l'aide du compte Microsoft et de OneDrive qui de base prend les répertoires Docs/Images, mais l'espace gratuit risible de 5 Go est une insulte pour un usage PC et oblige à la souscription d'espace ce que beaucoup refuse (du moins quand ils savent ce qu'est OneDrive, ce qui est déjà rare en soi). Ça aurait pû être intéressant si on avait 50 Go gratuit, pas moins.

Le résultat est que cette activation de Bitlocker est une bombe à retardement. Un PC n'est pas un smartphone.

Pour l'avoir expérimenté au quotidien un reset de TPM te demande effectiviment de saisir la clé de récupération (48 chiffres à saisir avec les touches F1-F10)

Le souci c'est que c'est chatouilleux, du moins sur mon probook :

- un dual boot avec grub -> demande de recovery quasi systématique (problème de config je dirais, mais n'utilisant windows que pour installer les maj de bios / firmware, jamais pris le temps de creuser)

- une maj du bios -> parfois demande de recovery

Sur d'autres machines, c'est moins instable, mais j'en connais quelques uns qui ont perdu leurs données en n'ayant pas pris soin de stocker leur clé de récupération.

fcthulhu

Pour l'avoir expérimenté au quotidien un reset de TPM te demande effectiviment de saisir la clé de récupération (48 chiffres à saisir avec les touches F1-F10)

Le souci c'est que c'est chatouilleux, du moins sur mon probook :

- un dual boot avec grub -> demande de recovery quasi systématique (problème de config je dirais, mais n'utilisant windows que pour installer les maj de bios / firmware, jamais pris le temps de creuser)

- une maj du bios -> parfois demande de recovery

Sur d'autres machines, c'est moins instable, mais j'en connais quelques uns qui ont perdu leurs données en n'ayant pas pris soin de stocker leur clé de récupération.
Mes clefs sont stockées ailleurs, donc pas de souci.
Mais ce que je sais, c'est que j'ai déjà reset le BIOS, sans que ça ne reset le TPM, et ça me pose problème, et je ne sais pas comment le régler dans le BIOS.
Dans le principe bitlocker c'est bien, MAIS ca ne protège qu'à moitié :

La communication de la clé bitlocker entre le tpm et le CPU n'est pas chiffrée.
Si le tpm n'est pas intégré au processeur, la clé est accessible avec un raspberry zéro
Démonstration ici :
https://youtu.be/wTl4vEednkQ
ça ne se fait plus ça la TPM discrete, si ? C'est intégré au CPU depuis 2016 ou 2018 il me semble.
Tu évoques un cas spécifique. Pas cool de suggérer que c'est une généralité.

grsbdl

Tu évoques un cas spécifique. Pas cool de suggérer que c'est une généralité.
Effectivement je plaide coupable 😅, j'ai un point de vu biaisé, mon pc fixe de 2018 perso et mon pc de bureau de 2019 ont un tpm intégré a la carte mère... Et donc avec une clé accessible.
Modifié le 16/05/2024 à 23h31

Historique des modifications :

Posté le 16/05/2024 à 23h30


Effectivement je plaide coupable 😅, j'ai un point de vu biaisé, mon pc fixe de 2018 perso et mon pc de bureau de 2019 ont un tpm intégré a la carte mère... Et donc avec une clé accessible.

Comme toutes les protections, aucune n'est infaillible... Ca protège très bien dans la très grande majorité des cas. Le gars qui te pète le pare-brise pour te voler ton PC avant il avait accès au contenu en 2 fois rien de temps, maintenant ce n'est plus le cas. Il ne va pas s'amuser à essayer de casser bitlocker avec raspberry :)

Pour ceux qui ont à craindre, ils ont surement déjà opté pour une solution alternative plus robuste.

Personnelement, je trouve que c'est une bonne chose.
Autre inconvénient et non des moindres: adieu la possibilité de récupérer des données en cas de defaillance de la table des matières....
Backup is life.

La récupération des données sur un disque cramé ça concerne quel pourmillage des utilisateurs ? Toujours une question de balance... et elle est plutôt en faveur du chiffrement contre le vol en général.
Modifié le 14/05/2024 à 14h15

Historique des modifications :

Posté le 14/05/2024 à 14h15


Backup is life.

La récupération des données sur un disque cramé ça concerne quel pourmillage des utilisateurs ? Toujours une question de balance... et elle est plutôt en faveur du chiffrement contre le vol en général.

Ozwel

Backup is life.

La récupération des données sur un disque cramé ça concerne quel pourmillage des utilisateurs ? Toujours une question de balance... et elle est plutôt en faveur du chiffrement contre le vol en général.
Perso, j'ai eu davantage de clients pour lesquels j'ai dû faire de la récup depuis le DD que de clients s'étant faits voler leur machine....

sitesref

Perso, j'ai eu davantage de clients pour lesquels j'ai dû faire de la récup depuis le DD que de clients s'étant faits voler leur machine....
J'imagine que tu parles en tant que tech ? Qui irait appeler un tech en cas de vol ? 😜
J'y ai pensé aussi mais c'est le même cas que pour les ransomwares : ne jamais s'appuyer sur les seuls disques de la machine pour le stockage de ses données. Il peut se passer n'importe quoi n'importe quand.

Zone démilitarisée

J'y ai pensé aussi mais c'est le même cas que pour les ransomwares : ne jamais s'appuyer sur les seuls disques de la machine pour le stockage de ses données. Il peut se passer n'importe quoi n'importe quand.
Je veux bien, mais le commun des mortels fait rarement des backups. Du coup, lorsque son PC rend l'âme, c'est bien pratique de pouvoir aller récupérer tous ses fichiers sur le DD.

sitesref

Je veux bien, mais le commun des mortels fait rarement des backups. Du coup, lorsque son PC rend l'âme, c'est bien pratique de pouvoir aller récupérer tous ses fichiers sur le DD.
Je ne comprends pas. Si tu récupères des fichiers sur le DD c'est qu'il est fonctionnel non ? Tu parles bien de récupérer avec un soft ? S'il est fonctionnel alors tu peux le monter avec la bonne clé sur un autre PC pour déchiffrer et faire une récup comme sur un disque qui n'est pas chiffré.

Si le disque est mort et que tu fais une récup "mécanique", on est sur un scénario que je refuse de croire "courant".

Ozwel

Je ne comprends pas. Si tu récupères des fichiers sur le DD c'est qu'il est fonctionnel non ? Tu parles bien de récupérer avec un soft ? S'il est fonctionnel alors tu peux le monter avec la bonne clé sur un autre PC pour déchiffrer et faire une récup comme sur un disque qui n'est pas chiffré.

Si le disque est mort et que tu fais une récup "mécanique", on est sur un scénario que je refuse de croire "courant".
Sauf que la plupart des utilisateurs que je connais, seraient incapable de savoir si Bitlocker est activé ou pas sur leurs ordinateurs fixes.
Encore moins réaliser et ou récupérer la sauvegarde de leurs clé BitLocker.

Cleandre

Sauf que la plupart des utilisateurs que je connais, seraient incapable de savoir si Bitlocker est activé ou pas sur leurs ordinateurs fixes.
Encore moins réaliser et ou récupérer la sauvegarde de leurs clé BitLocker.
Voilà. Merci! C'est bien à ce cas que je pense.
heureusement que le bitlocker n'était pas actif chez moi quand Windows ne reconnaissait plus mon mot de passe de session et mon empreinte digitale... et qu'il a fallu que je réinstalle tout.
C'était sans doute de ma faute, j'avais mis à jour le BIOS de ma carte mère.:iloveyou:
Tu peux toujours déchiffrer avec la clé bitlocker que tu as soigneusement sauvegardée en adoptant l'une des différentes méthodes détaillées dans l'article.
Pq tout réinstaller ? Si on parle d'un compte local, suffit de faire sauter le mot de passe (tu peux perdre certains mots de passe, mais tu les perdras aussi en réinstallant)
Je trouve un peu gonflé de parler de la perte de performance, en évoquant un chiffrement logiciel. Pour peu que le CPU ou le SSD offre les instructions aes-ni (le cas de l'immense majorité des CPU et SSD), l'impact sur les performances est imperceptible :-)
Les 20 ou 40% de pertes, c'est bon pour de vieux CPU atom et autres vieilleries.
Modifié le 14/05/2024 à 14h20

Historique des modifications :

Posté le 14/05/2024 à 14h20


Je trouve un peu gonflé de parler de la perte de performance, en évoquant un chiffrement logiciel. Pour peu que le CPU ou le SSD offre les instructions aes-ni (le cas de l'immense majorité des ordinateurs et SSD), l'impact sur les performances est imperceptible :-)
Les 20 ou 40% de pertes, c'est bon pour de vieux CPU atom et autres vieilleries.

De mon côté, j'ai un dell de 2018 avec i5 8400h et un nvme.
Quand je l'ai reçu, je comprenais pas pourquoi les perfs étaient si mauvaise. En fouillant un peu, j'ai vu qu'il y avait bitlocker, et après désactivation j'ai obtenu les perfs attendu pour la config.
Je me souviens plus des chiffres, mais les 20% de perfs en moins y était largement !
Modifié le 15/05/2024 à 17h38

Historique des modifications :

Posté le 15/05/2024 à 17h38


De mon côté, j'ai un dell de 2018 avec i5 8400h et un nvme.
Quand je l'ai reçu, je comprenais pas pourquoi les perfs étaient si mauvaise. En fouillant un peu, j'ai vu qu'il y avait bitlocker, et après désactivation j'ai obtenu les pers attendu pour la config.
Je me souviens plus des chiffres, mais les 20% de perfs en moins y était largement !

Une autre méthode, plus radicale : désactiver la puce TPM ou son équivalent intégré dans es CPU. Opération à faire dans l'UEFI.
Je pense qu'une immense et écrasante majorité des utilisateurs de Windows n'ont aucune idée de la signification des mots TPM et UEFI...

D'ailleurs je me demande le % de personnes utilisant un ordinateur qui savent qu'en appuyant sur F2 ou DEL durant le POST, on arrive sur un "programme avec plein de menus et que des intitulés avec des noms trop trop bizarres incompréhensibles"

Et je vais être honnête aussi, sur certains BIOS, ça arrive que pour la moitié des options, je n'ai aucune idée de à quoi ça sert et ce que ça veut dire.

Je parle de "tweaks" pour le CPU par exemple... Sauf à utiliser un autre ordi à côté ou un smartphone pour chercher les définitions une par une sur Internet.
Modifié le 14/05/2024 à 15h14

Historique des modifications :

Posté le 14/05/2024 à 15h13


Je pense qu'une immense et écrasante majorité des utilisateurs de Windows n'ont aucune idée la signification des mots TPM et UEFI...


D'ailleurs je me demande le % de personnes utilisant un ordinateur qui savent qu'en appuyant sur F2 ou DEL durant le POST, on arrive sur un "programme avec plein de menus et que des intitulés avec des noms trop trop bizarres incompréhensibles"


Et je vais être honnête aussi, sur certains BIOS, ça arrive que pour la moitié des options, je n'ai aucune idée de à quoi ça sert et ce que ça veut dire.

Je parle de "tweaks" pour le CPU par exemple... Sauf à utiliser un autre ordi à côté ou un smartphone pour chercher les définitions une par une sur Internet.

Posté le 14/05/2024 à 15h13


Je pense qu'une immense et écrasante majorité des utilisateurs de Windows n'ont aucune idée de la signification des mots TPM et UEFI...

D'ailleurs je me demande le % de personnes utilisant un ordinateur qui savent qu'en appuyant sur F2 ou DEL durant le POST, on arrive sur un "programme avec plein de menus et que des intitulés avec des noms trop trop bizarres incompréhensibles"

Et je vais être honnête aussi, sur certains BIOS, ça arrive que pour la moitié des options, je n'ai aucune idée de à quoi ça sert et ce que ça veut dire.

Je parle de "tweaks" pour le CPU par exemple... Sauf à utiliser un autre ordi à côté ou un smartphone pour chercher les définitions une par une sur Internet.

Juste pour info : la version actuelle 24H2 - 10.0.26100.268.240408-1720 (from uudump) n'active pas bitlocker par défaut. Ca viendra donc éventuellement avec la version finale qui sera diffusée. Je surveillerai XD
p.s : Rien à voir mais cette version n'impose pas de compte MS au 1er démarrage. La vieille méthode [email protected] fonctionne ^^
Modifié le 14/05/2024 à 16h10

Historique des modifications :

Posté le 14/05/2024 à 16h08


Juste pour info : la version actuelle 24H2 - 10.0.26100.268 (from uudump) n'active pas bitlocker par défaut.
Ca viendra donc éventuellement avec la verison finale qui sera diffusée. Je surveillerai XD
p.s : Rien à voir mais cette version d'ailleurs n'impose pas de compte MS au 1er démarrage. La vieille méthode [email protected] fonctionne ^^

Posté le 14/05/2024 à 16h09


Juste pour info : la version actuelle 24H2 - 10.0.26100.268.240408-1720 (from uudump) n'active pas bitlocker par défaut. Ca viendra donc éventuellement avec la version finale qui sera diffusée. Je surveillerai XD
p.s : Rien à voir mais cette version n'impose pas de compte MS au 1er démarrage. La vieille méthode [email protected] fonctionne ^^

Il y a deux méthodes pour chiffrer les données avec Bitlocker, sauf erreur de ma part l'article n'en parle pas. La première est de chiffrer uniquement les données à la volée au fur et à mesure de l'écriture sur le SSD (ce qui, j'imagine, a un impact effectif sur les performances), la deuxième est de chiffrer l'intégralité du disque en une fois au moment de l'activation... Dans ce cas de figure, je me demande si l'impact n'est pas moindre sinon inexistant ?
la deuxième est de chiffrer l'intégralité du disque en une fois au moment de l'activation... Dans ce cas de figure, je me demande si l'impact n'est pas moindre sinon inexistant ?


Je ne suis pas sûr de comprendre de quoi tu parles, mais par quelle magie un chiffrement au moment de l'activation ferait qu'il y a moins données à chiffrer quand on écrit ces données sur le disque que quand on utilise l'autre méthode de chiffrement ?

fred42

la deuxième est de chiffrer l'intégralité du disque en une fois au moment de l'activation... Dans ce cas de figure, je me demande si l'impact n'est pas moindre sinon inexistant ?


Je ne suis pas sûr de comprendre de quoi tu parles, mais par quelle magie un chiffrement au moment de l'activation ferait qu'il y a moins données à chiffrer quand on écrit ces données sur le disque que quand on utilise l'autre méthode de chiffrement ?
Une fois le chiffrement du disque initialisé ça ne change rien dans tous les cas les donnes sont chiffrées / déchiffrées à la volée. C’est juste que bitlocker peut mettre des données aléatoires sur tout le disque quand tu l’actives pour cacher des données non chiffrées liées à des utilisations antérieures du disque.

fred42

la deuxième est de chiffrer l'intégralité du disque en une fois au moment de l'activation... Dans ce cas de figure, je me demande si l'impact n'est pas moindre sinon inexistant ?


Je ne suis pas sûr de comprendre de quoi tu parles, mais par quelle magie un chiffrement au moment de l'activation ferait qu'il y a moins données à chiffrer quand on écrit ces données sur le disque que quand on utilise l'autre méthode de chiffrement ?
Bitlocker propose deux façons de chiffrer initialement le disque :

* chiffrement intégral (y compris les blocs libres qui pourraient contenir d'anciennes données, potentiellement sensibles) ;
* chiffrement uniquement des blocs utilisés sur le disque.

Dans les deux cas, les données écrites après avoir initié le chiffrement du disque sont toujours chiffrées et le choix de la méthode initiale de chiffrement n'a alors strictement aucune influence.

La première option est plus sûre, mais la seconde à l'avantage de ne pas écrire sur toutes les cellules du SSD et évite ainsi un cycle d'écriture.

Xelloss Metallium

Bitlocker propose deux façons de chiffrer initialement le disque :

* chiffrement intégral (y compris les blocs libres qui pourraient contenir d'anciennes données, potentiellement sensibles) ;
* chiffrement uniquement des blocs utilisés sur le disque.

Dans les deux cas, les données écrites après avoir initié le chiffrement du disque sont toujours chiffrées et le choix de la méthode initiale de chiffrement n'a alors strictement aucune influence.

La première option est plus sûre, mais la seconde à l'avantage de ne pas écrire sur toutes les cellules du SSD et évite ainsi un cycle d'écriture.
Merci pour ta réponse (et @lo17 également). C'est plus clair ainsi. :)

fred42

la deuxième est de chiffrer l'intégralité du disque en une fois au moment de l'activation... Dans ce cas de figure, je me demande si l'impact n'est pas moindre sinon inexistant ?


Je ne suis pas sûr de comprendre de quoi tu parles, mais par quelle magie un chiffrement au moment de l'activation ferait qu'il y a moins données à chiffrer quand on écrit ces données sur le disque que quand on utilise l'autre méthode de chiffrement ?
C'était une question, à laquelle j'attendais une réponse et non une autre question.

Mais d'autres membres m'ont répondu : cela n'a (a priori "évidemment") aucun impact sur les performances.
Modifié le 14/05/2024 à 22h17

Historique des modifications :

Posté le 14/05/2024 à 22h15


C'était une question, à laquelle j'attendais une réponse et non une autre question.

Mais d'autres membres m'ont répondu et donc c'est plus clair : cela n'a (a priori "évidemment") aucun impact sur les performances.

Donkusei

C'était une question, à laquelle j'attendais une réponse et non une autre question.

Mais d'autres membres m'ont répondu : cela n'a (a priori "évidemment") aucun impact sur les performances.
Non, c'est à moi qu'ils ont répondu. :D
Vu le nombre de fois où j'ai extrait le disque d'un portable cramé pour sauvegarder les données de madame Michue, ça vas être compliqué maintenant, non ? "Le mot de passe mon compte m$ ? mais il ne le demande jamais, je ne sais plus."
Ah ça... RIP les données de madame Michue. Mais d'ailleurs ça pose la question de "l'éducation" à l'informatique, son fonctionnement, et la nécessité de faire attention à ce genre de choses. Les boomers sont souvent à la rue... Certes c'est pas de leur génération, mais le problème c'est qu'ils utilisent quand même ces systèmes, sans fondamentalement comprendre les tenants et aboutissants.

Donkusei

Ah ça... RIP les données de madame Michue. Mais d'ailleurs ça pose la question de "l'éducation" à l'informatique, son fonctionnement, et la nécessité de faire attention à ce genre de choses. Les boomers sont souvent à la rue... Certes c'est pas de leur génération, mais le problème c'est qu'ils utilisent quand même ces systèmes, sans fondamentalement comprendre les tenants et aboutissants.
Un autre problème serait qu'on devrait arrêter de demander toujours plus.

Il fut un temps où nous n'avions pas besoin d'un Compte Microsoft, ça n'existait même pas. Certes on peut contourner sa demande à l'installation mais ça reste un fait. Et maintenant il faut aussi un code PIN à l'allumage de l'ordinateur. Je pourrais citer d'autres exemples...

Tout se complexifie sans forcément une raison apparente qui pourrait motiver l'usager lambda à s'y coller, alors qu'il n'a peut-être pas la mentalité d'adaptation permanente que requiert l'informatique moderne surtout vu que les développeurs font parfois des changements juste pour le changement (notamment les interfaces, même de sites Internet et qui déroutent plus d'un usager).

Il serait temps de revenir un peu aux racines, et d'envisager une informatique plus simple (sans pour autant aller dans le simplisme, l'usager avancé ne doit pas être menoté en contre-partie).
Modifié le 14/05/2024 à 21h14

Historique des modifications :

Posté le 14/05/2024 à 21h13


Un autre problème serait qu'on devrait arrêter de demander toujours plus.

Il fut un temps où nous n'avions pas besoin d'un Compte Microsoft, ça n'existait même pas. Certes on peut contourner sa demande à l'installation mais ça reste un fait. Et maintenant il faut aussi un code PIN à l'allumage de l'ordinateur. Ce n'est qu'un exemple parmi d'autres.

Tout se complexifie sans forcément une raison apparente qui pourrait motiver l'usager lambda à s'y coller, alors qu'il n'a peut-être pas la mentalité d'adaptation permanente que requiert l'informatique moderne surtout vu que les développeurs font parfois des changements juste pour le changement (notamment les interfaces, même de sites Internet et qui déroutent plus d'un usager).

Il serait temps de revenir un peu aux racines, et d'envisager une informatique plus simple (sans pour autant aller dans le simplisme, l'usager avancé ne doit pas être menoté en contre-partie).

J'ai des clients que j'essaye de rendre autonome pour certaines démarches en lignes, ben 90% des gens ne connaissent pas le mot de passe de leur adresse émail.
Et donc je montre la manipulation sur leur smartphone, alors qu'on a un PC exprès pour eux (et où c'est bien plus simple etc)

Dj

J'ai des clients que j'essaye de rendre autonome pour certaines démarches en lignes, ben 90% des gens ne connaissent pas le mot de passe de leur adresse émail.
Et donc je montre la manipulation sur leur smartphone, alors qu'on a un PC exprès pour eux (et où c'est bien plus simple etc)
J'en connais qui n'ont pas renseigné d'informations de récupération sur leur Compte Microsoft/Outlook, et ont oublié le mot de passe. Oups...

D'autres connaissent leur mot de passe mais sont dans l'incapacité de le changer :D (Orange, quand on n'est plus client alors qu'il faut valider le changement en appuyant sur la Livebox).

Bon clairement ça ne se passera jamais en automatique sur des ordinateurs intégrés à un domaine. L'idéal serait d'anticiper la mise en œuvre dans ton domaine > https://serverspace.io/support/help/bitlocker-active-directory/
La théorie veut que ce n'est valable qu'en cas de nouvelle installation OU réinstallation. Soit... J'imagine déjà un bug survenir au hasard d'une update se terminant à l'extinction de l'ordinateur qui causera l'application effective du chiffrement. L'usager trouvera l'extinction bien longue sans comprendre pourquoi, jusqu'au jour où l'on doit récupérer des données.

Mauvaise foi ? Peut-être, mais j'ai une pleine confiance en l'incompétence de Microsoft. J'ai encore au travers du gosier la récente KB5034122...

Aussi, je suis inquiet à l'idée que tous les disques seraient chiffrés à la réinstallation. Qu'en est-il des disques externes si on a le malheur de les avoir laissé branchés ?
Modifié le 14/05/2024 à 21h14

Historique des modifications :

Posté le 14/05/2024 à 21h06


La théorie veut que ce n'est valable qu'en cas de nouvelle installation OU réinstallation. Soit... J'imagine déjà un bug survenir au hasard d'une update se terminant à l'extinction de l'ordinateur qui causera l'application effectif du chiffrement. L'usager trouvera l'extinction bien longue sans comprendre pourquoi, jusqu'au jour où l'on doit récupérer des données.

Mauvaise foi ? Peut-être, mais j'ai une pleine confiance en l'incompétence de Microsoft. J'ai encore au travers du gosier la récente KB5034122...

Aussi, je suis inquiet à l'idée que tous les disques seraient chiffrés à la réinstallation. Qu'en est-il des disques externes si on a le malheur de les avoir laissé branchés ?

Les classes wmi de gestion des disques permettent au système de le savoir. Ça n'arrivera donc jamais automatiquement (le chiffrement d'un disque externe)
wmic diskdrive get Caption, MediaType, Index, InterfaceType
Je chiffre avec Veracrypt, au moins je maitrise le process.
L'un n'empêchera pas l'autre :) tu auras un veracrypt dans un bitlocker...

fofo9012

L'un n'empêchera pas l'autre :) tu auras un veracrypt dans un bitlocker...
Chiffreception.
Perso je ne veux pas de bitlocker sur mon pc. Les données qui doivent être chiffrées le sont avec un outil ad hoc et le reste ne PEUT PAS être chiffré justement pour des raisons de mobilité de disque et de facilité de récupération (et la perf je ne savais pas que l'impact était si "sauvage" donc ça devient un 3e argument.)
Qu'ils activent bitlocker "par défaut" ok, mais en donnant la possibilité claire à l'utilisateur de ne PAS le faire.
Bitlocker est une saloperie sans nom.Les seuls chiffrements qui devraient exister - si chiffrement on veut - doivent être des chiffrements purement hardwares ET indépendants de la couche logicielle de l'ordi.
" purement hardwares ET indépendants de la couche logicielle de l'ordi".
UN HDD / SSD externe chiffré matériellement?
En effet je n'ai pas du tout compris le concept de Bitlocker qui stocke dans le TPM. Du point de vue utilisateur, rien n'a changé, mon PC démarrait sans rien demander avant d'activer Bitlocker, et démarrait toujours sans rien demander après. Celui qui me le vole pourrait donc toujours le démarrer sans problème. En effet on ne peut pas lire le disque sur une autre machine, mais pour un portable ou un disque interne c'est très improbable qu'on me vole le disque sans la machine.

En effet on peut mettre un mot de passe dans le BIOS, ou mettre un code PIN (qui va s'appliquer à je sais pas quel moment ? Pour toutes les clés du TPM avec des risques de conflit ?). Mais ce n'est pas fait par défaut, il faut le faire dans un deuxième temps, ce qui est étrange vu qu'en s'arrêtant à l'activation ça ne protège de rien. Si c'est comme ça que ce sera activé par défaut c'est quoi l'intérêt ?

Au final, n'ayant rien compris j'ai fini par désactiver TPM et du coup Bitlocker m'a demandé un mot de passe classique, qui fonctionne j'imagine comme LUKS ou VeraCrypt avec la clé stockée sur le disque chiffrée par le mot de passe, qu'il me demande au tout début du démarrage (par contre moi c'est bien en AZERTY sur une page en français). Mais pourquoi ne pas pouvoir choisir cette option avec TPM actif ?
Modifié le 15/05/2024 à 11h54

Historique des modifications :

Posté le 15/05/2024 à 11h52


En effet je n'ai pas du tout compris le concept de Bitlocker qui stocke dans le TPM. Du point de vue utilisateur, rien n'a changé, mon PC démarrait sans rien demander avant d'activer Bitlocker, et démarrait toujours sans rien demander après. Celui qui me le vole pourrait donc toujours le démarrer sans problème. En effet on ne peut pas lire le disque sur une autre machine, mais pour un portable ou un disque interne c'est très improbable qu'on me vole le disque sans la machine.

En effet on peut mettre un mot de passe dans le BIOS, ou mettre un code PIN (qui va s'appliquer à je sais pas que moment) ? Mais ce n'est pas fait par défaut, il faut le faire dans un deuxième temps, ce qui est étrange vu qu'en s'arrêtant à l'activation ça ne protège de rien. Si c'est comme ça que ce sera activé par défaut c'est quoi l'intérêt ?

Au final, n'ayant rien compris j'ai fini par désactiver TPM et du coup Bitlocker m'a demandé un mot de passe classique, qui fonctionne j'imagine comme LUKS ou VeraCrypt avec la clé stockée sur le disque chiffrée par le mot de passe, qu'il me demande au tout début du démarrage (par contre moi c'est bien en AZERTY sur une page en français). Mais pourquoi ne pas pouvoir choisir cette option avec TPM actif ?

Posté le 15/05/2024 à 11h54


En effet je n'ai pas du tout compris le concept de Bitlocker qui stocke dans le TPM. Du point de vue utilisateur, rien n'a changé, mon PC démarrait sans rien demander avant d'activer Bitlocker, et démarrait toujours sans rien demander après. Celui qui me le vole pourrait donc toujours le démarrer sans problème. En effet on ne peut pas lire le disque sur une autre machine, mais pour un portable ou un disque interne c'est très improbable qu'on me vole le disque sans la machine.

En effet on peut mettre un mot de passe dans le BIOS, ou mettre un code PIN (qui va s'appliquer à je sais pas quel moment ? Pour toutes les clés du TPM ?). Mais ce n'est pas fait par défaut, il faut le faire dans un deuxième temps, ce qui est étrange vu qu'en s'arrêtant à l'activation ça ne protège de rien. Si c'est comme ça que ce sera activé par défaut c'est quoi l'intérêt ?

Au final, n'ayant rien compris j'ai fini par désactiver TPM et du coup Bitlocker m'a demandé un mot de passe classique, qui fonctionne j'imagine comme LUKS ou VeraCrypt avec la clé stockée sur le disque chiffrée par le mot de passe, qu'il me demande au tout début du démarrage (par contre moi c'est bien en AZERTY sur une page en français). Mais pourquoi ne pas pouvoir choisir cette option avec TPM actif ?

Dans une entreprise, personnes ne va taper à chaque démarrage une clé.
Sous linux on peut aussi utiliser le TPM via systemd-cryptencroll ou autre clevis.
Le but étant que la puce TPM ne donne la clé de déchiffrement dans certaines conditions (bitlocker fonctionne mieux avec TPM + secureboot + mot de passe admin bios et éventuellement un pin comme suggéré plus haut)
Et si quelqu'un sort le disque dur poste et bien problème réglé.

Édit : j'ai pas été claire, avec l'ensemble des paramétrages, il n'est normalement pas possible de démarrer autre chose que Windows depuis le disque principal sans que la puce TPM ne délivre pas la clé ou qu'il faille saisir le mot de passe admin du BIOS (démarre sur un stockage externe)
Modifié le 15/05/2024 à 12h08

Historique des modifications :

Posté le 15/05/2024 à 12h01


Dans une entreprise, personnes ne va taper a chaque démarrage une clé.
Sous linux on peut aussi utiliser le TPM via systemd-cryptencroll ou autre clevis.
Le but étant que la puce TPM ne donne la clé de déchiffrement dans certaines conditions (bitmocker fonctionne mieux avec TPM + secureboot + mot de passe admin bios et éventuellement un pin comme suggéré plus haut)
Et si quelqu'un sort le disque dur poste et bien problème réglé.

Posté le 15/05/2024 à 12h04


Dans une entreprise, personnes ne va taper à chaque démarrage une clé.
Sous linux on peut aussi utiliser le TPM via systemd-cryptencroll ou autre clevis.
Le but étant que la puce TPM ne donne la clé de déchiffrement dans certaines conditions (bitlocker fonctionne mieux avec TPM + secureboot + mot de passe admin bios et éventuellement un pin comme suggéré plus haut)
Et si quelqu'un sort le disque dur poste et bien problème réglé.

Édit : j'ai pas été claire, avec l'ensemble des paramétrages, il n'est normalement pas possible de démarrer autre chose que Windows depuis le disque principal sans que la puce TPM ne délivre pas la clé ou qu'il faille saisir le mot de passe admin du BIOS (démarre sur un stockage externe)

mrintrepide

Dans une entreprise, personnes ne va taper à chaque démarrage une clé.
Sous linux on peut aussi utiliser le TPM via systemd-cryptencroll ou autre clevis.
Le but étant que la puce TPM ne donne la clé de déchiffrement dans certaines conditions (bitlocker fonctionne mieux avec TPM + secureboot + mot de passe admin bios et éventuellement un pin comme suggéré plus haut)
Et si quelqu'un sort le disque dur poste et bien problème réglé.

Édit : j'ai pas été claire, avec l'ensemble des paramétrages, il n'est normalement pas possible de démarrer autre chose que Windows depuis le disque principal sans que la puce TPM ne délivre pas la clé ou qu'il faille saisir le mot de passe admin du BIOS (démarre sur un stockage externe)
Taper un mot de passe, pas une clé. Mais si personne n'a jamais à le taper, celui qui vole ou trouve la machine n'aura pas à le taper non plus. Quel intérêt ? Ou alors on considère que le mot de passe de session (aussi à taper à chaque démarrage) suffit car Bitlocker bloquera la possibilité de le cracker en utilisant un autre OS ou en sortant le disque ?

Inodemus

Taper un mot de passe, pas une clé. Mais si personne n'a jamais à le taper, celui qui vole ou trouve la machine n'aura pas à le taper non plus. Quel intérêt ? Ou alors on considère que le mot de passe de session (aussi à taper à chaque démarrage) suffit car Bitlocker bloquera la possibilité de le cracker en utilisant un autre OS ou en sortant le disque ?
Effectivement une fois windows démarré, tu peux exploiter les failles de celui-ci. D'où l'utilisation d'un PIN ou du password avant le déchiffrement, c'est documenté par Microsoft.
Mais il n'est pas possible de l'exploiter depuis un autre OS ou en l'extrayant sans la clé ou un exploit matériel sur la puce TPM si elle est physique.

Édit : voir les registres PCR du TPM pour comprendre comment ça marche.
Modifié le 15/05/2024 à 12h35

Historique des modifications :

Posté le 15/05/2024 à 12h27


Effectivement une fois windows démarré, tu peux exploiter les failles de celui-ci. D'où l'utilisation d'un PIN ou du password avant le déchiffrement, c'est documenté par Microsoft.
Mais il n'est pas possible de l'exploiter depuis un autre OS ou en l'extrayant sans la clé.

Posté le 15/05/2024 à 12h28


Effectivement une fois windows démarré, tu peux exploiter les failles de celui-ci. D'où l'utilisation d'un PIN ou du password avant le déchiffrement, c'est documenté par Microsoft.
Mais il n'est pas possible de l'exploiter depuis un autre OS ou en l'extrayant sans la clé ou un exploit matériel sur la puce TPM si elle est physique.

Posté le 15/05/2024 à 12h35


Effectivement une fois windows démarré, tu peux exploiter les failles de celui-ci. D'où l'utilisation d'un PIN ou du password avant le déchiffrement, c'est documenté par Microsoft.
Mais il n'est pas possible de l'exploiter depuis un autre OS ou en l'extrayant sans la clé ou un exploit matériel sur la puce TPM si elle est physique.

Édit : voir les registres PCR du TPM pour comprendre comment ça marche.

mrintrepide

Effectivement une fois windows démarré, tu peux exploiter les failles de celui-ci. D'où l'utilisation d'un PIN ou du password avant le déchiffrement, c'est documenté par Microsoft.
Mais il n'est pas possible de l'exploiter depuis un autre OS ou en l'extrayant sans la clé ou un exploit matériel sur la puce TPM si elle est physique.

Édit : voir les registres PCR du TPM pour comprendre comment ça marche.
Oui avec un PIN ou un mot de passe au démarrage je comprends, mais quand j'avais activé Bitlocker avec TPM, rien ne m'avait obligé à mettre un PIN, j'ai même souvenir qu'il fallait chiffrer d'abord et mettre le PIN ensuite (mais pas sûr et je ne peut pas revérifier). Je m'étonnais donc que la configuration par défaut ne protège de rien sans en informer ostensiblement l'utilisateur qui peut du coup se croire protégé même sans utiliser de PIN.
Modifié le 15/05/2024 à 13h20

Historique des modifications :

Posté le 15/05/2024 à 13h19


Oui avec un PIN ou un mot de passe au démarrage je comprends, mais quand j'avais activé Bitlocker avec TPM, rien ne m'avait obligé à mettre un PIN, j'ai même souvenir qu'il fallait chiffrer d'abord et mettre le PIN ensuite (mais pas sûr et je ne peut pas revérifier). Je m'étonnais donc que la configuration par défaut ne protège de rien sans en informer ostensiblement l'utilisateur qui peut du coup se croire protégé même sans utiliser de PIN.

Inodemus

Oui avec un PIN ou un mot de passe au démarrage je comprends, mais quand j'avais activé Bitlocker avec TPM, rien ne m'avait obligé à mettre un PIN, j'ai même souvenir qu'il fallait chiffrer d'abord et mettre le PIN ensuite (mais pas sûr et je ne peut pas revérifier). Je m'étonnais donc que la configuration par défaut ne protège de rien sans en informer ostensiblement l'utilisateur qui peut du coup se croire protégé même sans utiliser de PIN.
Effectivement, sans PIN il y a un risque, que le voleur attende de trouver un faille accessible avant l'ouverture de session. Il n'a qu'à attendre ça arrivera bien tôt ou tard puisque que le poste en sa possession ne sera plus à jour.

Même sans PIN on peut limiter la casse en restreignant les connexions avant ouverture de session (thunderbolt, réseau)

Pour le PIN/password/clé avant déchiffrement, il n'y pas de GUI, c'est en GPO ou en CLI.

Édit : je crois que dans la documentation, il y a même un authentification via le réseau.
Modifié le 15/05/2024 à 14h29

Historique des modifications :

Posté le 15/05/2024 à 14h28


Effectivement, sans PIN il y a un risque, que le voleur attende de trouver un faille accessible avant l'ouverture de session. Il n'a qu'à attendre ça arrivera bien tôt ou tard puisque que le poste en sa possession ne sera plus à jour.

Même sans PIN on peut limiter la casse en restreignant les connexions avant ouverture de session (thunderbolt, réseau)

Pour le PIN/password/clé avant déchiffrement, il n'y pas de GUI, c'est en GPO ou en CLI.

mrintrepide

Effectivement, sans PIN il y a un risque, que le voleur attende de trouver un faille accessible avant l'ouverture de session. Il n'a qu'à attendre ça arrivera bien tôt ou tard puisque que le poste en sa possession ne sera plus à jour.

Même sans PIN on peut limiter la casse en restreignant les connexions avant ouverture de session (thunderbolt, réseau)

Pour le PIN/password/clé avant déchiffrement, il n'y pas de GUI, c'est en GPO ou en CLI.

Édit : je crois que dans la documentation, il y a même un authentification via le réseau.
OK, merci de m'avoir éclairé. :inpactitude:

mrintrepide

Effectivement, sans PIN il y a un risque, que le voleur attende de trouver un faille accessible avant l'ouverture de session. Il n'a qu'à attendre ça arrivera bien tôt ou tard puisque que le poste en sa possession ne sera plus à jour.

Même sans PIN on peut limiter la casse en restreignant les connexions avant ouverture de session (thunderbolt, réseau)

Pour le PIN/password/clé avant déchiffrement, il n'y pas de GUI, c'est en GPO ou en CLI.

Édit : je crois que dans la documentation, il y a même un authentification via le réseau.
(ceci est une vraie question hors troll), un windows sans le mdp de session est vraiment sécurisé ? y'a encore quelques années tu faisais mode invité, lançait le poste de travail et pouvait naviguer à peu près partout (y compris récupérer le fichier de la base de registre ntlm qqch qui contenait les mots de passes de sessions cassables en quelques secondes avec le bon outil).

Il se passe quoi en 2024 si tu utilises un autre compte microsoft sur un PC fraichement volé connecté à internet ? Je ne serais pas du tout étonné qu'on retrouve ce comportement "invité" pas du tout sécurisé.

Autre faille béante, il y'a aussi les dossiers partagés, combien de gens utilisaient le dossier documents / images partagés, accessible à n'importe qui en réseau local. Là aussi suffit de brancher le PC volé à un routeur dhcp (ex une box internet), puis naviguer sur les partages réseaux depuis un autre PC. Donc si comprend bien un PC "protégé" avec bitlocker sans PIN déverrouille son disque dès le démarrage, risque de servir les fichiers partagés sans broncher.

On pourrait aussi parler des partages réseaux non documenté de tous les lecteurs \\nom_machine\c$ ça j'espère que ça a été résolu, parce que c'était plus proche d'une backdoor que d'une feature !

fofo9012

(ceci est une vraie question hors troll), un windows sans le mdp de session est vraiment sécurisé ? y'a encore quelques années tu faisais mode invité, lançait le poste de travail et pouvait naviguer à peu près partout (y compris récupérer le fichier de la base de registre ntlm qqch qui contenait les mots de passes de sessions cassables en quelques secondes avec le bon outil).

Il se passe quoi en 2024 si tu utilises un autre compte microsoft sur un PC fraichement volé connecté à internet ? Je ne serais pas du tout étonné qu'on retrouve ce comportement "invité" pas du tout sécurisé.

Autre faille béante, il y'a aussi les dossiers partagés, combien de gens utilisaient le dossier documents / images partagés, accessible à n'importe qui en réseau local. Là aussi suffit de brancher le PC volé à un routeur dhcp (ex une box internet), puis naviguer sur les partages réseaux depuis un autre PC. Donc si comprend bien un PC "protégé" avec bitlocker sans PIN déverrouille son disque dès le démarrage, risque de servir les fichiers partagés sans broncher.

On pourrait aussi parler des partages réseaux non documenté de tous les lecteurs \\nom_machine\c$ ça j'espère que ça a été résolu, parce que c'était plus proche d'une backdoor que d'une feature !
Bitlocker pour les particuliers c'est effectivement pas le mieux puisque ça chiffre le volume système entièrement ce qui requière de déchiffré avant le lancement de Windows.

Originellement c'est sur Windows Pro et donc fait pour des personnes qui ont lu la documentation.
Le disque système est déchiffré entièrement avant le démarrage de Windows donc, logiciellement l’ensemble des données sont "accessibles".
Donc un poste mal configuré à des problèmes, tout comme la mauvaise configuration du bios (pas de secureboot ou de mot de passe admin bios). Le compte Invité est désactivé par défaut.
Pour un partage réseau, tu n'y accède que depuis une compte avec mot de passe et "C$" il faut être en plus administrateurs.
Pour "C$" c'est bien une feature pro documenté, inutile pour les particuliers (désactivable).
Normalement, les nouveaux réseaux sont détectés comme publique par le pare-feu Windows, je crois que les partages SMB sont désactivé dans ce profil.

Pour le craquage de mot de passe via une copie de la base SAM (faut être admin je crois), il faut avoir un bon mot de passe, c'est à dire au moins 12 caractères (voir infographie ici) Ici, je ne crois pas que les hash NTLM peuvent être, aujourd'hui, décrypté (hors découverte des hashs déjà connu ou générés soi-même)

EDIT : Bitlocker avec TPM c'est une solution non optimale pour ne pas modifier Windows en profondeur avec la création de plusieurs volumes et lier le mot de passe de sessions et chiffrement des données utilisateurs.
Modifié le 20/05/2024 à 14h34

Historique des modifications :

Posté le 20/05/2024 à 14h31


Bitlocker pour les particuliers c'est effectivement pas le mieux puisque ça chiffre le volume système entièrement ce qui requière de déchiffré avant le lancement de Windows.

Originellement c'est sur Windows Pro et donc fait pour des personnes qui ont lu la documentation.
Le disque système est déchiffré entièrement avant le démarrage de Windows donc, logiciellement l’ensemble des données sont "accessibles".
Donc un poste mal configuré à des problèmes, tout comme la mauvaise configuration du bios (pas de secureboot ou de mot de passe admin bios). Le compte Invité est désactivé par défaut.
Pour un partage réseau, tu n'y accède que depuis une compte avec mot de passe et "C$" il faut être en plus administrateurs.
Pour "C$" c'est bien une feature pro documenté, inutile pour les particuliers (désactivable).
Normalement, les nouveaux réseaux sont détectés comme publique par le pare-feu Windows, je crois que les partages SMB sont désactivé dans ce profil.

Pour le craquage de mot de passe via une copie de la base SAM (faut être admin je crois), il faut avoir un bon mot de passe, c'est à dire au moins 12 caractères (voir infographie ici) Ici, je ne crois pas que les hash NTLM peuvent être, aujourd'hui, décrypté (hors découverte des hashs déjà connu ou générés soi-même)

Inodemus

Taper un mot de passe, pas une clé. Mais si personne n'a jamais à le taper, celui qui vole ou trouve la machine n'aura pas à le taper non plus. Quel intérêt ? Ou alors on considère que le mot de passe de session (aussi à taper à chaque démarrage) suffit car Bitlocker bloquera la possibilité de le cracker en utilisant un autre OS ou en sortant le disque ?
Oui c'est bien ça, le mot de passe de session "suffit" car on ne peut pas le faire sauter facilement depuis un linux live par exemple étant donné qu'il sera impossible de monter le disque/la partition Windows (puisqu'elle est chiffrée et que la puce TPM ne balancera pas la clé de déchiffrement dans ces conditions).
Modifié le 16/05/2024 à 13h46

Historique des modifications :

Posté le 16/05/2024 à 13h46


Oui c'est bien ça, le mot de passe de session "suffit" car on ne peut pas le faire sauter facilement depuis un linux live par exemple étant donné qu'il sera impossible de monter le disque/la partition Windows (puisqu'elle est chiffrée et que la puce TPM ne balancera pas ma clé de déchiffrement dans ces conditions).

Ici, on part de l'avantage ou inconvénient pour l'usage de BitLocker, qui est souvent utilisé en entreprise (du moins celles que je connais).

Si vous n'êtes pas concerné par cette technologie, ce qui suit ne vous intéresse pas je pense.

J'utilise BitLocker depuis Windows 10 au moins (version professionnelle et entreprise), et une de mes vieilles machines, équipé en TPM 1.2, chiffré par bit locker, m'a permis de m'apercevoir d'une chose que l'on pourrait qualifié d'amusante.

Que j'ai découverte quand j'ai eu des informations sur la méthode de Microsoft permettant la migration de système qui avait le minimum vital pour la réaliser, à savoir un élément hardware TPM 1.2, un bios UFI permettant naturellement le secure boot.

Et je me suis aperçu ensuite que l'environnement installé (éventuellement migré depuis) Windows 10 avait aussi le même soucis…

Pour ce que vaut BitLocker, la force d'un sécurité ne vaut que celle de son maillon le plus faible.

Si vous avez une installation déjà cryptée, ou que tous les critères ne sont pas réunis, il peut y avoir un défaut impactant la sécurité lors du chargement (mise en cause de l'algorithme effectivement utilisé).

En effet, pour bénéficier entièrement de BitLocker, il faut qu'au moins les éléments suivants soient réunis :
- Bios UFI
- Puce TPM 1.2 minimum (ou probablement également un CPU qui l'inclus de type AMD ZEN 2)
- Secure boot activé.
- Disque au format GPT

Si lors de l'installation initiale de l'OS une de ces conditions n'est pas respectée, l'algorithme d'intégrité de la banque PCR 7 ne pourra être utilisé…

La seule solution si on s'y attache vraiment, est de faire le nécessaire pour disposer du prérequis, de décrypter intégralement l'ensemble des volumes concernés, puis de les crypter à nouveau.

Qu'est ce que cela signifie ? la banque PCR 7 sert notamment à garantir que le loader BitLocker n'a pas été altéré, donc que personne en théorie ne l'a modifié pour tenter de contourner le cryptage.

Si ce point de détail ne vous intéresse pas plus que ça, on peut effectivement garder les choses en l'état : ça marchera suffisamment.

En mode administrateur, vous pouvez lancer msinfo pour vérifier dans la partie résumé du système :
- Etat du démarrage sécurisé : doit afficher "Activé".
- Configuration de PCR 7 : "Liaison possible" si possible

Si vous n'êtes pas encore crypté, et qu'il est indiqué que la liaison PCR 7 est disponible, vous ne devriez pas rencontrer de soucis si vous souhaiter utiliser BitLocker.

En mode administrateur, vous pouvez vérifier l'état des protecteurs disponibles ou utilisés du volume système via la commande suivante (sachant que si le protector 7 est dans la liste, c'est correct) :

manage-bde -protectors -get c:

Un peu de lecture pour en savoir plus (si vous avez pas peur d'un mal de crâne) :
TPM recommandations
TPM contre-mesures

Fermer