Connexion
Abonnez-vous

Windows 11 24H2 activera par défaut BitLocker sur les nouvelles installations

Quelques belles colères en perspective

Windows 11 24H2 activera par défaut BitLocker sur les nouvelles installations

La prochaine évolution majeure de Windows 11 présentera un changement important sur les nouvelles installations : l’activation par défaut du chiffrement BitLocker. Cette décision ne sera pas sans conséquences dans certains cas.

Le 14 mai à 12h01

BitLocker est une technologie de chiffrement logiciel pour les partitions. Elle existe depuis Vista et est traditionnellement fournie avec les éditions Pro et Enterprise de Windows. Depuis Windows 10 Pro, il n’est ainsi pas rare de trouver dans le commerce des ordinateurs portables dont le disque est déjà chiffré.

En théorie, ce chiffrement intégral, basé sur XTS-AES 128 ou 256 bits, permet la protection des données. En effet, en cas de vol de l’appareil, les données ne seront pas accessibles sans la clé. C’est du moins l’effet recherché, car cette protection n’est pas absolue.

Microsoft a dans l’idée de généraliser BitLocker à l’ensemble des versions de Windows 11, y compris l’édition Famille, sur toutes les nouvelles installations. À moins que l’éditeur ne communique abondamment sur ce changement, il y aura cependant des problèmes.

BitLocker par défaut sur les installations Windows 11 24H2

La prochaine mise à jour majeure du système, estampillée 24H2, sera proposée au téléchargement dans les mois qui viennent. Son installation fournira comme d’habitude une liste plus ou moins touffue de nouveautés, sans modifier le comportement de BitLocker. En cas de nouvelle installation cependant, la situation pourra évoluer.

Comme le rappelle le site allemand Deskmodder qui a diffusé l’information, il faut que deux conditions soient réunies. D’abord, que l’ordinateur intègre une puce TPM 1.2 au moins. Ce qui devrait être le cas pour toutes les machines compatibles Windows 11, puisque c’est l’un des prérequis du système. Deuxièmement, un flag doit être actif dans l’UEFI du PC. C’est généralement le cas des portables et PC de bureau vendus par les grands constructeurs comme Dell, HP ou encore Lenovo (les OEM). En revanche, les cartes mères vendues au détail sont très rarement concernées.

Le plus souvent, la version Famille de Windows 11 n’est pas fournie avec BitLocker, mais il arrive que des portables de marques connues l’aient quand même. Le changement prévu par Microsoft pourrait donc avoir un impact significatif en généralisant ce chiffrement à toutes les machines compatibles Windows 11 et provenant des OEM.

Les risques liés à BitLocker

L’activation par défaut de BitLocker sur les nouvelles installations devrait, on l’espère en tout cas, faire l’objet d’une communication claire. L’idée part sans doute d’un « bon sentiment », mais un tel changement n’est pas anodin.

D’abord pour des questions pratiques. Le chiffrement s’active en effet pour tous les disques. Si vous faites une installation neuve, que BitLocker fait son travail et que vous réinstallez Windows par la suite, il faut mieux s’assurer que vous avez sauvegardé les clés avant de vous lancer dans l’opération. Dans le cas contraire, une fois Windows réinstallé, les données présentes sur les autres disques ne seront plus accessibles.

La sauvegarde des clés se fait normalement – et par défaut – sur le compte Microsoft. Les clés sont ainsi disponibles depuis ce dernier à cette adresse. Vous devriez voir une page comme celle-ci :

Si elles ne sont pas sur le compte, il est en théorie possible de les récupérer depuis les options de BitLocker pour les sauvegarder sur un autre support ou les imprimer. Concernant l’impression, il peut tout à fait s’agir d’un export PDF.

Un impact visible sur les performances

Puisqu’il n’y a pour l’instant aucune communication pendant l’installation, ce processus peut passer complètement inaperçu. On peut cependant se douter de quelque chose selon les performances de la machine. Le chiffrement opéré par BitLocker est en effet logiciel et a un impact plus ou moins important sur les performances du disque. Tom’s Hardware avait procédé à des tests en octobre dernier. Nos confrères avaient constaté une chute de 20 % en moyenne, pouvant grimper à 45 % selon les scénarios.

La situation est très différente des Mac, où FileVault peut être activé sans crainte d’impact sur les performances de la machine. Mais Apple contrôle le logiciel et le matériel, lui permettant une accélération matérielle des opérations.

Autre grande différence avec les Mac d’ailleurs, la sécurité de BitLocker ne tient pas compte du code PIN de la session. Cette ouverture a permis à un youtubeur d’expliquer dans une vidéo comment contourner la protection en très peu de temps et avec moins de 10 dollars de matériel. Il s’agissait cependant d’un cas un peu spécifique, qui réclamait des conditions précises, notamment un connecteur LPC libre.

Vérifier la présence du chiffrement des données

Il est important de savoir si le chiffrement des données est activé. Comme vu, il peut expliquer sur certaines configurations des performances un peu décevantes lors des accès disques. Surtout, cette connaissance permet de préparer le terrain à une éventuelle réinstallation de Windows.

Plutôt que de passer par l’interface, il existe une commande permettant d’afficher immédiatement le statut pour chaque lecteur, partition ou disque. Pour cela, il suffit d’ouvrir une console (Invite de commande ou Terminal) en tant qu’administrateur. L’option se trouve à droite dans le menu Démarrer quand on cherche « Invite » ou « Terminal ».

Il faut ensuite entrer la commande suivante : manage-bde -status.

Si BitLocker est désactivé, vous obtiendrez un résultat de ce type :

On peut voir, pour chaque lecteur, la ligne « État de la conversion » renvoyant l’information : « Intégralement déchiffré ».

Dans le cas contraire, vous obtiendrez ce type de retour :

Cette fois, l’information est « Intégralement chiffré ».

On peut voir la version utilisée de BitLocker, le pourcentage des données chiffrées ou encore le protocole utilisé, ici XTS-AES 128.

Deux méthodes pour empêcher BitLocker de s’activer

Le problème est donc connu : durant l’installation, le processus ne pose aucune question liée à BitLocker et n’informe pas de ce changement, pourtant important. Notez que malgré nos multiples essais dans des machines virtuelles (dans VirtualBox et VMware Workstation avec la dernière ISO du canal Canary), nous n’avons pas été en mesure de constater cette activation par défaut de BitLocker. Ni sur des versions Pro, ni sur des versions Famille. En revanche, plusieurs médias ont confirmé ce comportement, ainsi que des commentaires sur plusieurs articles.

Avant de présenter deux méthodes pour empêcher BitLocker de s’activer, sachez que la désactivation est possible depuis l’application Sécurité Windows, intégrée au système (le bouclier bleu dans la zone du systray tout à droite de la barre des tâches). Cette possibilité, au moins, ne change pas.

La première méthode est utilisable au début du processus d’installation, quand il vous est demandé de choisir la langue :

    • Faire Maj + F10 pour appeler la console

    • Taper « regedit » puis valider

    • Se rendre dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker

    • Dans la partie droite, faire un clic droit et choisir Nouveau > Valeur DWORD 32 bits

    • Nommer la nouvelle clé « PreventDeviceEncryption » et lui donner la valeur « 1 », puis valider

    • Fermer l’Éditeur du Registre et la console, puis continuer l’installation de Windows normalement

Préparer son propre support d'installation personnalisé

L’autre méthode consiste à préparer un support d’installation avec l’utilitaire Rufus. Ce dernier est justement dédié à cette tâche, autorisant la récupération des images ISO, la préparation de la clé USB et la sélection de certaines options. Par exemple, la possibilité d’empêcher Windows 11 de vérifier la présence de certaines caractéristiques, comme la puce TPM 2.0, ou celle de forcer le système à créer un compte local.

Pour créer le média d’installation, il vous faudra une clé USB d’au moins 8 Go et la dernière image ISO de Windows 11. On peut récupérer gratuitement cette dernière depuis le site de Microsoft. Lancez alors Rufus, sélectionnez le périphérique souhaité ainsi que l’image ISO. Il n’est normalement pas nécessaire de toucher aux autres options de la fenêtre principale.

Quand vous appuyez sur « Démarrer », un panneau apparaît, dans lequel on trouve les précieuses options. Celle qui nous intéresse est la dernière : « Désactiver l’encryption automatique BitLocker » (on appréciera la traduction française). Les autres sont à votre discrétion, sachant que les deux premières sont cochées par défaut. Après quoi, la préparation de la clé commence. On obtient à la fin un périphérique bootable avec une version de Windows.

Commentaires (69)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Le truc un peu bête avec Bitlocker, c'est que les données sont déchiffrées dès que le PC démarre, car le TPM envoi directement la clef pour démarrer Windows.

Perso, ce que j'ai fais, c'est que j'ai mis un mot de passe au démarrage du PC avec le BIOS, ce mot de passe m'est demandé dès que je démarre mon PC, les données ne sont pas déchiffrées avant.

Par contre, je ne sais pas ce qu'il se passe si le BIOS est reset, est-ce-que Windows réclamera la clef de déchiffrement? a me semblerait logique, parce que sinon ça sert à rien.

Peut-être que ça se gère via le BIOS ASUS de ma x670E.
votre avatar
Il est possible d'avoir une protection par code PIN + TPM. En gros (si j'ai bien compris), le code pin en envoyé à la puce TPM qui ne renvoie la clé que si le PIN est valide. Quelques infos ici: learn.microsoft.com Microsoft
C'est probablement plus solide qu'un mot de passe BIOS (qui est possiblement reset, bruteforceable...)
votre avatar
Un code PIN?
Ça peut être de l'alphanumérique aussi?

Je regarde ce soir dès que je rentre du taf, merci pour l'info!
votre avatar
On peut mettre un mot de passe, mais pour ce faire, il faut aller jouer avec les GPO des paramètres BitLocker (sous Windows 10). Et évidemment le mot de passe s'entre en QWERTY sinon ce n'est pas rigolo (toujours sous W10).

edit : la configuration que j'utilise pour LGPO.
edit2 : mauvaise interprétation du markdown, la frimousse est deux-points huit…


; ----------------------------------------------------------------------
; PARSING Computer POLICY
; Source file: z:\foo\{7BEE8D24-3E8A-4A05-099B-60204F4B1306}\DomainSysvol\GPO\Machine\registry.pol

Computer
SOFTWARE\Policies\Microsoft\FVE
EncryptionMethodWithXtsOs
DWORD:7

Computer
SOFTWARE\Policies\Microsoft\FVE
EncryptionMethodWithXtsFdv
DWORD:7

Computer
SOFTWARE\Policies\Microsoft\FVE
EncryptionMethodWithXtsRdv
DWORD:7

Computer
SOFTWARE\Policies\Microsoft\FVE
EncryptionMethodNoDiffuser
DWORD:4

Computer
SOFTWARE\Policies\Microsoft\FVE
EncryptionMethod
DWORD:4

Computer
SOFTWARE\Policies\Microsoft\FVE
RDVHardwareEncryption
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
RDVAllowSoftwareEncryptionFailover
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
RDVRestrictHardwareEncryptionAlgorithms
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
RDVAllowedHardwareEncryptionAlgorithms
DELETE

Computer
SOFTWARE\Policies\Microsoft\FVE
FDVHardwareEncryption
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
FDVAllowSoftwareEncryptionFailover
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
FDVRestrictHardwareEncryptionAlgorithms
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
FDVAllowedHardwareEncryptionAlgorithms
DELETE

Computer
SOFTWARE\Policies\Microsoft\FVE
OSHardwareEncryption
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
OSAllowSoftwareEncryptionFailover
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
OSRestrictHardwareEncryptionAlgorithms
DWORD:0

Computer
SOFTWARE\Policies\Microsoft\FVE
OSAllowedHardwareEncryptionAlgorithms
DELETE

Computer
SOFTWARE\Policies\Microsoft\FVE
UseEnhancedPin
DWORD:1

Computer
SOFTWARE\Policies\Microsoft\FVE
MinimumPIN
DWORD:8

Computer
SOFTWARE\Policies\Microsoft\FVE
UseAdvancedStartup
DWORD:1

Computer
SOFTWARE\Policies\Microsoft\FVE
EnableBDEWithNoTPM
DWORD:1

Computer
SOFTWARE\Policies\Microsoft\FVE
UseTPM
DWORD:2

Computer
SOFTWARE\Policies\Microsoft\FVE
UseTPMPIN
DWORD:2

Computer
SOFTWARE\Policies\Microsoft\FVE
UseTPMKey
DWORD:2

Computer
SOFTWARE\Policies\Microsoft\FVE
UseTPMKeyPIN
DWORD:2

; PARSING COMPLETED.
; ----------------------------------------------------------------------

votre avatar
ah ouais, j'pense que je vais rester comme je suis, loul
votre avatar
Il faut se renseigner sur le fonctionnement de Bitlocker aussi...

Déjà, le disque n'est pas déchiffré au démarrage. Les données sur le disque restent chiffrées.

Quand on démarre l'ordi, l'UEFI et le TPM font des vérifications de l'état du système (basés sur les registres PCR), et si l'état du système n'est pas satisfaisant (par exemple changement du bootloader), la clé ne sera pas libérée par le TPM.

Il est possible d'ajouter également un PIN et/ou une clé de démarrage qui devront être saisi avant que le TPM ne libère la clé. Et pas besoin de se lancer dans des GPOs ou modification de registres ultra compliquées...

Une fois que la clé est libérée, les données restent chiffrées. La clé est chargée en mémoire, et les données sont chiffrées/déchiffrées à la volée de manière transparente.

learn.microsoft.com Microsoft

Perso je trouve que c'est une très bonne chose que MS mette ça en place, ça aurait dû être fait depuis longtemps. Cet article complètement à charge nous le présente principalement comme un risque, mais il faut garder à l'esprit que tous nos smartphones sont complètement chiffrés de manière transparentes depuis des années sans que ça pose le moindre problème. Perso j'utilise Bitlocker sur tous mes disques depuis que ça existe, sans jamais aucun souci. J'ai eu 2-3 fois à saisir la clé de récupération suite à des bourdes de ma part et des évolutions matérielles, mais tout s'est toujours bien passé.
votre avatar
"Il est possible d'ajouter également un PIN et/ou une clé de démarrage qui devront être saisi avant que le TPM ne libère la clé. Et pas besoin de se lancer dans des GPOs ou modification de registres ultra compliquées..."

Source?
votre avatar
Source : la documentation Microsoft.
votre avatar
Ouais donc t'as pas de source.
Merci de confirmer.
votre avatar
Tu es de mauvaise foi. Il a fourni un lien un peu plus haut qui dit exactement ça.

Par contre, si tu veux savoir comment le mettre en œuvre, je pense qu'il vaut mieux que tu cherches par toi-même, ça m'étonnerait qu'il fasse le boulot pour toi, vu comme tu lui parles.
votre avatar
J'ai déjà regardé ce lien, et rien n'indique comment le faire sans GPO.
Mais merci de répondre quand-même.
votre avatar
La comparaison avec les smartphones est mal placée. La majorité des gens ont un compte Google (ou plutôt plusieurs, 1 nouveau à chaque fois crée par le vendeur du smartphone), les photos sont expédiées sur Google Photos sous réserve d'avoir la place. Or les 15 Go gratuits du compte Google conviennent dans la majorité des cas, ceci d'autant que les documents sont en général assez rares et donc leur perte est tolérable. En clair, l'usage de cette plateforme fait que l'on peut se permettre de chiffrer.

Un ordinateur ne fonctionne pas ainsi, et tend à centraliser moultes documents/photos sur des années voir des décénnies. Microsoft tente d'imposer le fonctionnement smartphone sur PC avec l'aide du compte Microsoft et de OneDrive qui de base prend les répertoires Docs/Images, mais l'espace gratuit risible de 5 Go est une insulte pour un usage PC et oblige à la souscription d'espace ce que beaucoup refuse (du moins quand ils savent ce qu'est OneDrive, ce qui est déjà rare en soi). Ça aurait pû être intéressant si on avait 50 Go gratuit, pas moins.

Le résultat est que cette activation de Bitlocker est une bombe à retardement. Un PC n'est pas un smartphone.
votre avatar
Pour l'avoir expérimenté au quotidien un reset de TPM te demande effectiviment de saisir la clé de récupération (48 chiffres à saisir avec les touches F1-F10)

Le souci c'est que c'est chatouilleux, du moins sur mon probook :

- un dual boot avec grub -> demande de recovery quasi systématique (problème de config je dirais, mais n'utilisant windows que pour installer les maj de bios / firmware, jamais pris le temps de creuser)

- une maj du bios -> parfois demande de recovery

Sur d'autres machines, c'est moins instable, mais j'en connais quelques uns qui ont perdu leurs données en n'ayant pas pris soin de stocker leur clé de récupération.
votre avatar
Mes clefs sont stockées ailleurs, donc pas de souci.
Mais ce que je sais, c'est que j'ai déjà reset le BIOS, sans que ça ne reset le TPM, et ça me pose problème, et je ne sais pas comment le régler dans le BIOS.
votre avatar
Dans le principe bitlocker c'est bien, MAIS ca ne protège qu'à moitié :

La communication de la clé bitlocker entre le tpm et le CPU n'est pas chiffrée.
Si le tpm n'est pas intégré au processeur, la clé est accessible avec un raspberry zéro
Démonstration ici :
youtu.be YouTube
votre avatar
ça ne se fait plus ça la TPM discrete, si ? C'est intégré au CPU depuis 2016 ou 2018 il me semble.
votre avatar
Tu évoques un cas spécifique. Pas cool de suggérer que c'est une généralité.
votre avatar
Effectivement je plaide coupable 😅, j'ai un point de vu biaisé, mon pc fixe de 2018 perso et mon pc de bureau de 2019 ont un tpm intégré a la carte mère... Et donc avec une clé accessible.
votre avatar
Comme toutes les protections, aucune n'est infaillible... Ca protège très bien dans la très grande majorité des cas. Le gars qui te pète le pare-brise pour te voler ton PC avant il avait accès au contenu en 2 fois rien de temps, maintenant ce n'est plus le cas. Il ne va pas s'amuser à essayer de casser bitlocker avec raspberry :)

Pour ceux qui ont à craindre, ils ont surement déjà opté pour une solution alternative plus robuste.

Personnelement, je trouve que c'est une bonne chose.
votre avatar
Autre inconvénient et non des moindres: adieu la possibilité de récupérer des données en cas de defaillance de la table des matières....
votre avatar
Backup is life.

La récupération des données sur un disque cramé ça concerne quel pourmillage des utilisateurs ? Toujours une question de balance... et elle est plutôt en faveur du chiffrement contre le vol en général.
votre avatar
Perso, j'ai eu davantage de clients pour lesquels j'ai dû faire de la récup depuis le DD que de clients s'étant faits voler leur machine....
votre avatar
J'imagine que tu parles en tant que tech ? Qui irait appeler un tech en cas de vol ? 😜
votre avatar
J'y ai pensé aussi mais c'est le même cas que pour les ransomwares : ne jamais s'appuyer sur les seuls disques de la machine pour le stockage de ses données. Il peut se passer n'importe quoi n'importe quand.
votre avatar
Je veux bien, mais le commun des mortels fait rarement des backups. Du coup, lorsque son PC rend l'âme, c'est bien pratique de pouvoir aller récupérer tous ses fichiers sur le DD.
votre avatar
Je ne comprends pas. Si tu récupères des fichiers sur le DD c'est qu'il est fonctionnel non ? Tu parles bien de récupérer avec un soft ? S'il est fonctionnel alors tu peux le monter avec la bonne clé sur un autre PC pour déchiffrer et faire une récup comme sur un disque qui n'est pas chiffré.

Si le disque est mort et que tu fais une récup "mécanique", on est sur un scénario que je refuse de croire "courant".
votre avatar
Sauf que la plupart des utilisateurs que je connais, seraient incapable de savoir si Bitlocker est activé ou pas sur leurs ordinateurs fixes.
Encore moins réaliser et ou récupérer la sauvegarde de leurs clé BitLocker.
votre avatar
Voilà. Merci! C'est bien à ce cas que je pense.
votre avatar
heureusement que le bitlocker n'était pas actif chez moi quand Windows ne reconnaissait plus mon mot de passe de session et mon empreinte digitale... et qu'il a fallu que je réinstalle tout.
C'était sans doute de ma faute, j'avais mis à jour le BIOS de ma carte mère.:iloveyou:
votre avatar
Tu peux toujours déchiffrer avec la clé bitlocker que tu as soigneusement sauvegardée en adoptant l'une des différentes méthodes détaillées dans l'article.
votre avatar
Pq tout réinstaller ? Si on parle d'un compte local, suffit de faire sauter le mot de passe (tu peux perdre certains mots de passe, mais tu les perdras aussi en réinstallant)
votre avatar
Je trouve un peu gonflé de parler de la perte de performance, en évoquant un chiffrement logiciel. Pour peu que le CPU ou le SSD offre les instructions aes-ni (le cas de l'immense majorité des CPU et SSD), l'impact sur les performances est imperceptible :-)
Les 20 ou 40% de pertes, c'est bon pour de vieux CPU atom et autres vieilleries.
votre avatar
De mon côté, j'ai un dell de 2018 avec i5 8400h et un nvme.
Quand je l'ai reçu, je comprenais pas pourquoi les perfs étaient si mauvaise. En fouillant un peu, j'ai vu qu'il y avait bitlocker, et après désactivation j'ai obtenu les perfs attendu pour la config.
Je me souviens plus des chiffres, mais les 20% de perfs en moins y était largement !
votre avatar
Une autre méthode, plus radicale : désactiver la puce TPM ou son équivalent intégré dans es CPU. Opération à faire dans l'UEFI.
votre avatar
Je pense qu'une immense et écrasante majorité des utilisateurs de Windows n'ont aucune idée de la signification des mots TPM et UEFI...

D'ailleurs je me demande le % de personnes utilisant un ordinateur qui savent qu'en appuyant sur F2 ou DEL durant le POST, on arrive sur un "programme avec plein de menus et que des intitulés avec des noms trop trop bizarres incompréhensibles"

Et je vais être honnête aussi, sur certains BIOS, ça arrive que pour la moitié des options, je n'ai aucune idée de à quoi ça sert et ce que ça veut dire.

Je parle de "tweaks" pour le CPU par exemple... Sauf à utiliser un autre ordi à côté ou un smartphone pour chercher les définitions une par une sur Internet.
votre avatar
Juste pour info : la version actuelle 24H2 - 10.0.26100.268.240408-1720 (from uudump) n'active pas bitlocker par défaut. Ca viendra donc éventuellement avec la version finale qui sera diffusée. Je surveillerai XD
p.s : Rien à voir mais cette version n'impose pas de compte MS au 1er démarrage. La vieille méthode [email protected] fonctionne ^^
votre avatar
Il y a deux méthodes pour chiffrer les données avec Bitlocker, sauf erreur de ma part l'article n'en parle pas. La première est de chiffrer uniquement les données à la volée au fur et à mesure de l'écriture sur le SSD (ce qui, j'imagine, a un impact effectif sur les performances), la deuxième est de chiffrer l'intégralité du disque en une fois au moment de l'activation... Dans ce cas de figure, je me demande si l'impact n'est pas moindre sinon inexistant ?
votre avatar
la deuxième est de chiffrer l'intégralité du disque en une fois au moment de l'activation... Dans ce cas de figure, je me demande si l'impact n'est pas moindre sinon inexistant ?
Je ne suis pas sûr de comprendre de quoi tu parles, mais par quelle magie un chiffrement au moment de l'activation ferait qu'il y a moins données à chiffrer quand on écrit ces données sur le disque que quand on utilise l'autre méthode de chiffrement ?
votre avatar
Une fois le chiffrement du disque initialisé ça ne change rien dans tous les cas les donnes sont chiffrées / déchiffrées à la volée. C’est juste que bitlocker peut mettre des données aléatoires sur tout le disque quand tu l’actives pour cacher des données non chiffrées liées à des utilisations antérieures du disque.
votre avatar
Bitlocker propose deux façons de chiffrer initialement le disque :

* chiffrement intégral (y compris les blocs libres qui pourraient contenir d'anciennes données, potentiellement sensibles) ;
* chiffrement uniquement des blocs utilisés sur le disque.

Dans les deux cas, les données écrites après avoir initié le chiffrement du disque sont toujours chiffrées et le choix de la méthode initiale de chiffrement n'a alors strictement aucune influence.

La première option est plus sûre, mais la seconde à l'avantage de ne pas écrire sur toutes les cellules du SSD et évite ainsi un cycle d'écriture.
votre avatar
Merci pour ta réponse (et @lo17 également). C'est plus clair ainsi. :)
votre avatar
C'était une question, à laquelle j'attendais une réponse et non une autre question.

Mais d'autres membres m'ont répondu : cela n'a (a priori "évidemment") aucun impact sur les performances.
votre avatar
Non, c'est à moi qu'ils ont répondu. :D
votre avatar
Vu le nombre de fois où j'ai extrait le disque d'un portable cramé pour sauvegarder les données de madame Michue, ça vas être compliqué maintenant, non ? "Le mot de passe mon compte m$ ? mais il ne le demande jamais, je ne sais plus."
votre avatar
Ah ça... RIP les données de madame Michue. Mais d'ailleurs ça pose la question de "l'éducation" à l'informatique, son fonctionnement, et la nécessité de faire attention à ce genre de choses. Les boomers sont souvent à la rue... Certes c'est pas de leur génération, mais le problème c'est qu'ils utilisent quand même ces systèmes, sans fondamentalement comprendre les tenants et aboutissants.
votre avatar
Un autre problème serait qu'on devrait arrêter de demander toujours plus.

Il fut un temps où nous n'avions pas besoin d'un Compte Microsoft, ça n'existait même pas. Certes on peut contourner sa demande à l'installation mais ça reste un fait. Et maintenant il faut aussi un code PIN à l'allumage de l'ordinateur. Je pourrais citer d'autres exemples...

Tout se complexifie sans forcément une raison apparente qui pourrait motiver l'usager lambda à s'y coller, alors qu'il n'a peut-être pas la mentalité d'adaptation permanente que requiert l'informatique moderne surtout vu que les développeurs font parfois des changements juste pour le changement (notamment les interfaces, même de sites Internet et qui déroutent plus d'un usager).

Il serait temps de revenir un peu aux racines, et d'envisager une informatique plus simple (sans pour autant aller dans le simplisme, l'usager avancé ne doit pas être menoté en contre-partie).
votre avatar
J'ai des clients que j'essaye de rendre autonome pour certaines démarches en lignes, ben 90% des gens ne connaissent pas le mot de passe de leur adresse émail.
Et donc je montre la manipulation sur leur smartphone, alors qu'on a un PC exprès pour eux (et où c'est bien plus simple etc)
votre avatar
J'en connais qui n'ont pas renseigné d'informations de récupération sur leur Compte Microsoft/Outlook, et ont oublié le mot de passe. Oups...

D'autres connaissent leur mot de passe mais sont dans l'incapacité de le changer :D (Orange, quand on n'est plus client alors qu'il faut valider le changement en appuyant sur la Livebox).
votre avatar
Bon clairement ça ne se passera jamais en automatique sur des ordinateurs intégrés à un domaine. L'idéal serait d'anticiper la mise en œuvre dans ton domaine > https://serverspace.io/support/help/bitlocker-active-directory/
votre avatar
La théorie veut que ce n'est valable qu'en cas de nouvelle installation OU réinstallation. Soit... J'imagine déjà un bug survenir au hasard d'une update se terminant à l'extinction de l'ordinateur qui causera l'application effective du chiffrement. L'usager trouvera l'extinction bien longue sans comprendre pourquoi, jusqu'au jour où l'on doit récupérer des données.

Mauvaise foi ? Peut-être, mais j'ai une pleine confiance en l'incompétence de Microsoft. J'ai encore au travers du gosier la récente KB5034122...

Aussi, je suis inquiet à l'idée que tous les disques seraient chiffrés à la réinstallation. Qu'en est-il des disques externes si on a le malheur de les avoir laissé branchés ?
votre avatar
Les classes wmi de gestion des disques permettent au système de le savoir. Ça n'arrivera donc jamais automatiquement (le chiffrement d'un disque externe)
wmic diskdrive get Caption, MediaType, Index, InterfaceType
votre avatar
Je chiffre avec Veracrypt, au moins je maitrise le process.
votre avatar
L'un n'empêchera pas l'autre :) tu auras un veracrypt dans un bitlocker...
votre avatar
Chiffreception.
votre avatar
Perso je ne veux pas de bitlocker sur mon pc. Les données qui doivent être chiffrées le sont avec un outil ad hoc et le reste ne PEUT PAS être chiffré justement pour des raisons de mobilité de disque et de facilité de récupération (et la perf je ne savais pas que l'impact était si "sauvage" donc ça devient un 3e argument.)
Qu'ils activent bitlocker "par défaut" ok, mais en donnant la possibilité claire à l'utilisateur de ne PAS le faire.
Bitlocker est une saloperie sans nom.Les seuls chiffrements qui devraient exister - si chiffrement on veut - doivent être des chiffrements purement hardwares ET indépendants de la couche logicielle de l'ordi.
votre avatar
" purement hardwares ET indépendants de la couche logicielle de l'ordi".
UN HDD / SSD externe chiffré matériellement?
votre avatar
oui un HDD chiffré a plein d'avantages, le 1er étant la performance vu que le chip dédié au chiffrement est onboard. C'est un poil moins souple pour faire évoluer les algos.
Bon, après il reste toujours le prob de la clé de chiffrement qu'il faudra entrer d'une manière ou d'une autre.
Exactement comme il existe des clés usb chiffrées il me semble.Il existe même des claviers chiffrés (bon, chiffrement faible faut pas non plus sombrer dans la parano)
votre avatar
En effet je n'ai pas du tout compris le concept de Bitlocker qui stocke dans le TPM. Du point de vue utilisateur, rien n'a changé, mon PC démarrait sans rien demander avant d'activer Bitlocker, et démarrait toujours sans rien demander après. Celui qui me le vole pourrait donc toujours le démarrer sans problème. En effet on ne peut pas lire le disque sur une autre machine, mais pour un portable ou un disque interne c'est très improbable qu'on me vole le disque sans la machine.

En effet on peut mettre un mot de passe dans le BIOS, ou mettre un code PIN (qui va s'appliquer à je sais pas quel moment ? Pour toutes les clés du TPM avec des risques de conflit ?). Mais ce n'est pas fait par défaut, il faut le faire dans un deuxième temps, ce qui est étrange vu qu'en s'arrêtant à l'activation ça ne protège de rien. Si c'est comme ça que ce sera activé par défaut c'est quoi l'intérêt ?

Au final, n'ayant rien compris j'ai fini par désactiver TPM et du coup Bitlocker m'a demandé un mot de passe classique, qui fonctionne j'imagine comme LUKS ou VeraCrypt avec la clé stockée sur le disque chiffrée par le mot de passe, qu'il me demande au tout début du démarrage (par contre moi c'est bien en AZERTY sur une page en français). Mais pourquoi ne pas pouvoir choisir cette option avec TPM actif ?
votre avatar
Dans une entreprise, personnes ne va taper à chaque démarrage une clé.
Sous linux on peut aussi utiliser le TPM via systemd-cryptencroll ou autre clevis.
Le but étant que la puce TPM ne donne la clé de déchiffrement dans certaines conditions (bitlocker fonctionne mieux avec TPM + secureboot + mot de passe admin bios et éventuellement un pin comme suggéré plus haut)
Et si quelqu'un sort le disque dur poste et bien problème réglé.

Édit : j'ai pas été claire, avec l'ensemble des paramétrages, il n'est normalement pas possible de démarrer autre chose que Windows depuis le disque principal sans que la puce TPM ne délivre pas la clé ou qu'il faille saisir le mot de passe admin du BIOS (démarre sur un stockage externe)
votre avatar
Taper un mot de passe, pas une clé. Mais si personne n'a jamais à le taper, celui qui vole ou trouve la machine n'aura pas à le taper non plus. Quel intérêt ? Ou alors on considère que le mot de passe de session (aussi à taper à chaque démarrage) suffit car Bitlocker bloquera la possibilité de le cracker en utilisant un autre OS ou en sortant le disque ?
votre avatar
Effectivement une fois windows démarré, tu peux exploiter les failles de celui-ci. D'où l'utilisation d'un PIN ou du password avant le déchiffrement, c'est documenté par Microsoft.
Mais il n'est pas possible de l'exploiter depuis un autre OS ou en l'extrayant sans la clé ou un exploit matériel sur la puce TPM si elle est physique.

Édit : voir les registres PCR du TPM pour comprendre comment ça marche.
votre avatar
Oui avec un PIN ou un mot de passe au démarrage je comprends, mais quand j'avais activé Bitlocker avec TPM, rien ne m'avait obligé à mettre un PIN, j'ai même souvenir qu'il fallait chiffrer d'abord et mettre le PIN ensuite (mais pas sûr et je ne peut pas revérifier). Je m'étonnais donc que la configuration par défaut ne protège de rien sans en informer ostensiblement l'utilisateur qui peut du coup se croire protégé même sans utiliser de PIN.
votre avatar
Effectivement, sans PIN il y a un risque, que le voleur attende de trouver un faille accessible avant l'ouverture de session. Il n'a qu'à attendre ça arrivera bien tôt ou tard puisque que le poste en sa possession ne sera plus à jour.

Même sans PIN on peut limiter la casse en restreignant les connexions avant ouverture de session (thunderbolt, réseau)

Pour le PIN/password/clé avant déchiffrement, il n'y pas de GUI, c'est en GPO ou en CLI.

Édit : je crois que dans la documentation, il y a même un authentification via le réseau.
votre avatar
OK, merci de m'avoir éclairé. :inpactitude:
votre avatar
(ceci est une vraie question hors troll), un windows sans le mdp de session est vraiment sécurisé ? y'a encore quelques années tu faisais mode invité, lançait le poste de travail et pouvait naviguer à peu près partout (y compris récupérer le fichier de la base de registre ntlm qqch qui contenait les mots de passes de sessions cassables en quelques secondes avec le bon outil).

Il se passe quoi en 2024 si tu utilises un autre compte microsoft sur un PC fraichement volé connecté à internet ? Je ne serais pas du tout étonné qu'on retrouve ce comportement "invité" pas du tout sécurisé.

Autre faille béante, il y'a aussi les dossiers partagés, combien de gens utilisaient le dossier documents / images partagés, accessible à n'importe qui en réseau local. Là aussi suffit de brancher le PC volé à un routeur dhcp (ex une box internet), puis naviguer sur les partages réseaux depuis un autre PC. Donc si comprend bien un PC "protégé" avec bitlocker sans PIN déverrouille son disque dès le démarrage, risque de servir les fichiers partagés sans broncher.

On pourrait aussi parler des partages réseaux non documenté de tous les lecteurs \\nom_machine\c$ ça j'espère que ça a été résolu, parce que c'était plus proche d'une backdoor que d'une feature !
votre avatar
Bitlocker pour les particuliers c'est effectivement pas le mieux puisque ça chiffre le volume système entièrement ce qui requière de déchiffré avant le lancement de Windows.

Originellement c'est sur Windows Pro et donc fait pour des personnes qui ont lu la documentation.
Le disque système est déchiffré entièrement avant le démarrage de Windows donc, logiciellement l’ensemble des données sont "accessibles".
Donc un poste mal configuré à des problèmes, tout comme la mauvaise configuration du bios (pas de secureboot ou de mot de passe admin bios). Le compte Invité est désactivé par défaut.
Pour un partage réseau, tu n'y accède que depuis une compte avec mot de passe et "C$" il faut être en plus administrateurs.
Pour "C$" c'est bien une feature pro documenté, inutile pour les particuliers (désactivable).
Normalement, les nouveaux réseaux sont détectés comme publique par le pare-feu Windows, je crois que les partages SMB sont désactivé dans ce profil.

Pour le craquage de mot de passe via une copie de la base SAM (faut être admin je crois), il faut avoir un bon mot de passe, c'est à dire au moins 12 caractères (voir infographie ici) Ici, je ne crois pas que les hash NTLM peuvent être, aujourd'hui, décrypté (hors découverte des hashs déjà connu ou générés soi-même)

EDIT : Bitlocker avec TPM c'est une solution non optimale pour ne pas modifier Windows en profondeur avec la création de plusieurs volumes et lier le mot de passe de sessions et chiffrement des données utilisateurs.
votre avatar
Oui c'est bien ça, le mot de passe de session "suffit" car on ne peut pas le faire sauter facilement depuis un linux live par exemple étant donné qu'il sera impossible de monter le disque/la partition Windows (puisqu'elle est chiffrée et que la puce TPM ne balancera pas la clé de déchiffrement dans ces conditions).
votre avatar
Ici, on part de l'avantage ou inconvénient pour l'usage de BitLocker, qui est souvent utilisé en entreprise (du moins celles que je connais).

Si vous n'êtes pas concerné par cette technologie, ce qui suit ne vous intéresse pas je pense.

J'utilise BitLocker depuis Windows 10 au moins (version professionnelle et entreprise), et une de mes vieilles machines, équipé en TPM 1.2, chiffré par bit locker, m'a permis de m'apercevoir d'une chose que l'on pourrait qualifié d'amusante.

Que j'ai découverte quand j'ai eu des informations sur la méthode de Microsoft permettant la migration de système qui avait le minimum vital pour la réaliser, à savoir un élément hardware TPM 1.2, un bios UFI permettant naturellement le secure boot.

Et je me suis aperçu ensuite que l'environnement installé (éventuellement migré depuis) Windows 10 avait aussi le même soucis…

Pour ce que vaut BitLocker, la force d'un sécurité ne vaut que celle de son maillon le plus faible.

Si vous avez une installation déjà cryptée, ou que tous les critères ne sont pas réunis, il peut y avoir un défaut impactant la sécurité lors du chargement (mise en cause de l'algorithme effectivement utilisé).

En effet, pour bénéficier entièrement de BitLocker, il faut qu'au moins les éléments suivants soient réunis :
- Bios UFI
- Puce TPM 1.2 minimum (ou probablement également un CPU qui l'inclus de type AMD ZEN 2)
- Secure boot activé.
- Disque au format GPT

Si lors de l'installation initiale de l'OS une de ces conditions n'est pas respectée, l'algorithme d'intégrité de la banque PCR 7 ne pourra être utilisé…

La seule solution si on s'y attache vraiment, est de faire le nécessaire pour disposer du prérequis, de décrypter intégralement l'ensemble des volumes concernés, puis de les crypter à nouveau.

Qu'est ce que cela signifie ? la banque PCR 7 sert notamment à garantir que le loader BitLocker n'a pas été altéré, donc que personne en théorie ne l'a modifié pour tenter de contourner le cryptage.

Si ce point de détail ne vous intéresse pas plus que ça, on peut effectivement garder les choses en l'état : ça marchera suffisamment.

En mode administrateur, vous pouvez lancer msinfo pour vérifier dans la partie résumé du système :
- Etat du démarrage sécurisé : doit afficher "Activé".
- Configuration de PCR 7 : "Liaison possible" si possible

Si vous n'êtes pas encore crypté, et qu'il est indiqué que la liaison PCR 7 est disponible, vous ne devriez pas rencontrer de soucis si vous souhaiter utiliser BitLocker.

En mode administrateur, vous pouvez vérifier l'état des protecteurs disponibles ou utilisés du volume système via la commande suivante (sachant que si le protector 7 est dans la liste, c'est correct) :

manage-bde -protectors -get c:

Un peu de lecture pour en savoir plus (si vous avez pas peur d'un mal de crâne) :
TPM recommandations
TPM contre-mesures

Windows 11 24H2 activera par défaut BitLocker sur les nouvelles installations

  • BitLocker par défaut sur les installations Windows 11 24H2

  • Les risques liés à BitLocker

  • Un impact visible sur les performances

  • Vérifier la présence du chiffrement des données

  • Deux méthodes pour empêcher BitLocker de s’activer

  • Préparer son propre support d’installation personnalisé

Fermer