Installation de bitlocker Drive encryption

1.1. pré requis d installation

Pour le type d’installation avec le module TPM, il faut s’assurer que l’ordinateur soit équipé de ce module en se rendant au menu BIOS dans la partie sécurité ou en contactant le constructeur de l’ordinateur. En cas d’absence du module vous pouvez utiliser une clé USB. Pour le système d’exploitation, Vous devez installer une version authentique de Windows Vista ou Windows Server compatible avec Bitlocker.

• Windows Vista Intégrale ou Ultimate Ultimate
• Windows Vista Entreprise ou Business Business
• Windows Server 2008 Server

Pour pouvoir être opérationnel, Bitlocker a besoin d’une partition de 1.5 Go en plus de la partition qui contient le système d’exploitation. Pour plus de détail, veuillez consulter la partie préparation.

1.2. Préparation avant le chiffrement du disque

Avant d’activer le chiffrage de Bitlocker il est impératif de préparer le disque de l’ordinateur et activer le module TPM. Pour se faire, cliquez sur le bouton démarrer, tapez « Outil de préparation de lecteur Bitlocker » et lancez l’application présente dans le résultat. Dans le cas échéant, vous devez aller dans le panneau de configuration puis cliquez sur le bouton affichage classique présent à gauche dans la fenêtre

Screen1

Lancez l’utilitaire Windows Update. Vous pouvez alors, visualiser la fenêtre ci-dessous

Screen2

Dans le cadre bleu, cliquez sur le bouton « afficher les composants additionnels disponibles ».

Screen3

Une liste de mises à jour s’affiche, allez dans la sous-liste « Windows Ultimate Extras » et cochez la case « Améliorations Bitlocker et EFS » puis cliquez sur installer en acceptant le contrat de licence puis validez. Après avoir effectué cette démarche l’outil de préparation de lecteur Bitlocker figurera dans le menu Démarrer. Lancez-le :

Screen4

Il vous demandera alors de lire et d’accepter le contrat de licence. Il est fortement recommandé de sauvegarder vos données importantes sur un autre support de stockage pour éviter le risque de les perdre. A la fin du processus de préparation une nouvelle partition apparait. Souvent nommée « Disque local (S 🙂 », et d’une taille de 1,5 Go ; où il est préférable de ne pas stocker dessus des données importantes. Redémarrez votre ordinateur pour que bitlocker prenne en compte cette nouvelle partition. Après le redémarrage, la fenêtre ci-dessous s’;affiche, et il se peut que vous puissiez visualiser le message d’;avertissement encerclé en rouge dans la capture d’écran ci-dessous mentionnant que votre module de plateforme sécurisée (TPM) est introuvable. Si vous disposez du module TPM, cela veut dire qu’;il est inactif. Dans le cas ou votre ordinateur ne dispose pas du module TPM, veuillez consulter la partie consacré à l’utilisation sans TPM.

Screen5

Rendez vous donc, dans le menu du BIOS et activez le module TPM. Après avoir démarré votre ordinateur, Cliquez sur Démarrer, sur Tous les programmes, sur Accessoires, puis sur Exécuter puis tapez « tpm.msc » pour lancer l’;outil de gestion de module TPM ci-dessous:

Screen6

Cliquez sur le menu « Action » et sélectionnez l’option « initialiser le module de plateforme sécurisé » une fenêtre s’affiche à l’écran vous demandant de redémarrer. Lors du démarrage, une confirmation de l’initialisation de la TPM sera demandée pour s’assurer que c’est bien l’utilisateur qui tente de modifier la TPM et non un programme malveillant. Veillez à ce que répondiez affirmativement à la demande de confirmation pour pouvoir continuer l’initialisation du module TPM.

Screen7

Le message ressemblera à la capture d’écran ci-dessus. Cependant, son apparence dépond du model de l’ordinateur. Une fois sur le bureau, vous pouvez visualiser cette fenêtre qui permet de définir un mot de passe propriétaire pour sécuriser l’;ordinateur. En effet, lorsque vous définissez le propriétaire du TPM, vous faites en sorte que seul vous, le propriétaire TPM, serez autorisé à accéder au TPM et le gérer, notamment le désactive, ou l’effacer.

Screen8

Après la création du mot de passe, ce dernier sera visible dans la partie marqué en rouge dans l’image qui suit. Il impératif de stocker le mot de passe propriétaire dans un support de stockage externe (disque dur, clé USB…) bien que vous aviez aussi la possibilité de l’imprimer.

Screen9

Il suffit après de cliquer sur le bouton initialiser pour lancer l’initialisation. Une fois c’est terminé, Le module TPM sera prêt à être utilisé et vous pouvez alors exécuter l’outil BitLocker et commencer la procédure du chiffrement.

1.3. Les types d installation de Bitlocker

1.3.1. Installation avec le module TPM

Activer le module TPM : pour cela il faut s’assurer de posséder un module TPM avec la version 1.2 (cf. Préparation).

Activer Bitlocker, il faut aller dans Démarrer> Panneau de configuration. Il devrait s’afficher cet écran :

Si un écran autre que celui là apparait, il suffit de cliquer dans le menu à gauche sur « Affichage classique ». Ensuite cliquer sur l’icône « Chiffrement de lecteur Bitlocker ». Les différents volumes présents sur votre ordinateur doivent apparaitre comme ceci :

Cliquez sur Activer le chiffrement de lecteur Bitlocker sous le volume que vous souhaitez chiffrer.

Trois choix apparaissent à l’écran :

  • Enregistrer le mot de passe récupération sur un lecteur USB : cette option permet de sauvegarder votre mot de passe sur une clé ou un disque dur USB. Cette étape est fortement recommandée car en cas de mauvaise manipulation de le module TPM (effacement…) vous perdriez vos données sans le mot de passe de récupération.

  • Enregistrer le mot de passe dans un dossier : enregistrer le mot de passe dans le dossier de votre choix.

  • Imprimer le mot de passe : permet d’imprimer votre mot de passe.

Ensuite il y a deux possibilités :

  • soit vous chiffrez directement le volume :

  • soit un test qui s’assure que votre mot de passe est bien enregistré sur votre périphérique de stockage USB. Attention cette étape requiert un redémarrage de votre ordinateur, assurez vous de bien sauvegarder vos documents ouverts et de fermer tous les programmes ouverts pour éviter toute perte de donnée. Assurez-vous d’avoir bien connecté le périphérique USB sur lequel est enregistré le mot de passe avant le redémarrage.

Après avoir redémarré, si l’ordinateur ne trouve pas le périphérique USB ou bien si le mot de passe a été mal enregistré, ce message d’erreur s’affiche à l’écran :

Il suffit de répéter les étapes citées plus haut pour recommencer le chiffrement. Si cette erreur se reproduit plusieurs fois de suite, utilisez une autre clé ou disque dur USB ou bien formatez la clé USB (attention assurez-vous d’avoir sauvegardé vos données présentes sur la clé avant de formater car cette action entraine l’effacement total de la clé).

Une fois le chiffrement lancé, une icône affichant le pourcentage de chiffrement effectué apparait dans la barre des taches (en bas à droite de votre écran près de l’horloge). Le chiffrement peut être très long suivant la capacité du volume à chiffrer : environ 500 mo par minute. Une fois le chiffrement terminé un message s’affiche à l’écran.

Vous pouvez aussi vous en assurer en vous rendant dans Panneau de configuration et Chiffrement de lecteur Bitlocker. Vous pouvez alors voir l’état des différents volumes et gérer le chiffrement et les clés de ces volumes.

Duplication du mot de passe Bitlocker Si par mégarde vous avez effacez votre mot de passe après avoir chiffré votre lecteur ou que vous souhaitez le sauvegardez de nouveau, il suffit de se rendre dans Panneau de configuration puis Chiffrement de lecteur Bitlocker. Puis cliquez sur Gérer les clés Bitlocker.

Cliquez ensuite sur Dupliquer le mot de passe de récupération.

2.3.2. Installation sans le module TPM

A l’heure d’aujourd’hui tous les PC ne sont pas équipés en série d’un module TPM. Pourtant il reste possible de chiffré son disque dur avec Bitlocker. Bitlocker a en effet prévue une solution : l’utilisation d’une clé USB ou d’une carte mémoire. Ces dernières remplaceront le module TPM au démarrage. Si le périphérique n’est pas branché nous verrons que l’ordinateur n’amorce pas le démarrage de Windows. Mais cette option n’est pas active d’origine, il faut l’activer en utilisant l’Editeur d’objets de stratégie de groupe. Si cette option n’est pas activer le chiffrement est impossible :

Pour activer le démarrage depuis une clé USB, Cliquer sur Démarrer/Exécuter puis saisissez gpedit.msc. Il est possible qu’;une fenêtre du compte utilisateur s’ouvre, si c’est le cas cliquez sur Ok. Ensuite vous devez ouvrir l’arborescence : Configuration ordinateur/Modèles d’;administration/Composants Windows/Chiffrement de lecteur BitLocker. Puis double cliquez sur : Panneau de configuration : activer les options avancées de démarrage.

Ici cochez la case « activer ». Ceci vous permettra donc de pouvoirs chiffrer votre disque dur sans le module TPM. Nous allons maintenant examiner, le fonctionnement de Bitlocker dans les conditions suivantes :

  • Un disque dur simple boot
  • Une clé USB qui sert de clé de démarrage

Retournez ensuite sur l’application BitLocker. L’activation du chiffrage est désormais possible. Pour l’activer, cliquez sur Activer le chiffrement de lecteur BitLocker.

Dans la fenêtre qui va s’ouvrir cliquez sur Imposer une clé USB de démarrage à chaque démarrage

Ensuite sélectionnez le lecteur qui correspond au périphérique mémoire puis cliquez sur Enregistrez

La fenêtre suivante propose l’enregistrement du mot de passe de récupération qui vous servira en cas de perte de la clé USB. Les choix suivant vous sont proposés :

  • Enregistrer le mot de passe sur une clé USB
  • Enregistrer le mot de passe dans un dossier
  • Imprimer le mot de passe

ATTENTION : N’enregistrer pas le mot de passe de récupération sur la même clé USB que le mot de passe de démarrage. Vous ne pouvez pas non plus enregistrer le mot de passe dans un dossier qui se trouve dans le disque crypter. Il est conseillé de faire plusieurs sauvegardes.

Une fois le mot de passe sauvegarder cliquez sur Suivant. Dans la fenêtre suivante laissez cocher la case Exécuter le test système BitLocker puis cliquez sur Continuer.

Cette précaution doit être prise afin de vérifier que BitLocker puisse lire correctement les clés de chiffrement et de récupération avant de démarrer le processus de chiffrement de votre volume. Enfin, cliquez sur le bouton Continuer puis sur Redémarrer maintenant. L’ordinateur va redémarrer, s’il n’y a pas de problèmes de reconnaissance de la clé au démarrage, le processus de chiffrement va se lancer.

N.B : L’opération prend une heure environ pour un disque de 60 Go. De plus il est préférable pendant ce temps de désactiver votre antivirus. Une fenêtre vous avertira que le processus est terminé.

A la fin de chiffrement, vous pouvez fermer la fenêtre. Si vous ouvrez de nouveau le module BitLocker, il vous sera possible de désactiver le chiffrement de lecteur BitLocker ou de gérer les clés BitLocker en dupliquant soit :

  • Le mot de passe de récupération .
  • La clé de démarrage.

Enfin, si vous démarrer sans la clé USB branché un message vous indiquera qu’une clé de chiffrement est requise. Dans ce cas :

  • Tapez sur ESC pour que l’ordinateur redémarre.

Si la clé USB est branchée, le démarrage se fait de manière transparente, un message s’affiche pendant 1 seconde, pour vous indiquez que vous pouvez retirer la clé.

Chiffrement d un second prériphérique de stockage

2.1. Chiffrement d un disque dur interne

Bitlocker n’as pas été implanté simplement que pour chiffrer votre disque dur principal. Avant toute chose, pour pouvoir, chiffrer votre second ou votre 5ème disque dur. Il faut tout d’abord chiffrer votre disque dur principal. Une fois chiffrée retournez sur le lecteur de chiffrement de BitLocker. Vous devez avoir ceci :

On peut observer que le lien Activer le chiffrement de lecteur BitLocker est présent sous le « HDD2 ». Cliquez sur Activer le chiffrement de lecteur Bitlocker, pour commencer la procédure de chiffrement. Cette fois, il n’y a pas besoin d’enregistrer de clé de démarrage. La première fenêtre qui s’affichera sera pour enregistrez le mot de passe de récupération. Les même choix sont disponibles :

  • Une clé USB
  • Dans un dossier
  • Imprimer le mot de passe

Il est recommandé de faire plusieurs sauvegardes.

Cliquez sur Chiffrer, pour lancer la procédure. La procédure de chiffrement se lance. Il faut compter une heure pour 60 Go. Une fois le chiffrement terminé vous pouvez fermer la fenêtre.

2.2. Chiffrement d un prériphérique de stockage externe

Le lecteur BitLocker est aussi capable de chiffrer les clés USB. Mais attention ces dernières doivent être d’une capacité supérieure ou égale à 4 Go, sinon BitLocker ne pourra pas la chiffré, il vous affichera une erreur :

Si votre clé USB est supérieur ou égale à 4 Go, la procédure est la même que pour un disque Interne ou un disque dur externe :

  • Ouvrir le Chiffrement de lecteur Bitlocker
  • Cliquez sur Activer le chiffrement de lecteur Bitlocker
  • Enregistrez le mot de passe de récupération
  • Cliquez sur Chiffrer
  • Vos périphériques de stockages interne ou externe, seront ainsi protégés contre le vol.

    Test de la sécurité des données en cas de vol

    3.1. Installation du disque chiffré dans une autre machine

    Après avoir vu comment on chiffrait une unité de stockage, nous allons maintenant vérifier que les données sont bien protégées en cas de vol. Dans notre test, nous testerons une clé USB qui a été au préalable chiffrée avec BitLocker (on observera le même comportement avec un disque dur interne). Après avoir inséré la clé USB, on peut observer dans le poste de travail, que notre clé a perdu son nom d’origine « USB1 » remplacé par « disque amovible ».

    En double cliquant sur l’icône deux messages d’erreur peuvent s’afficher :

    Et quand on regarde les propriétés du disque, le système d’exploitation ne reconnait pas la capacité de la clé USB :

    On peut en conclure, que Bitlocker protège réellement les données contre le vol. La clé que nous avons utilisé n’as pas pu être lu, que ce soit un système Microsoft Vista SP1 ou Microsoft XP SP2.

    3.2. Sécurité des données sur un réseau

    La protection des données avec Bitlocker n’est pas effective sur le réseau. En effet, si vous partager des fichiers sur un réseau, ils seront accessible même si le disque dur est chiffré.

    3.3. Démarrer la machine avec un live CD

    Un live CD est un CD qui contient un système d’exploitation (généralement Linux), Pour rappel, en démarrant l’ordinateur avec ce CD, le système d’exploitation qui est stocké dessus se charge en mémoire, rien n’;est installé sur le disque dur et donc on peut utiliser son ordinateur et accéder à toutes ses ressources notamment les disques durs et les données, il y a donc une faille. Après avoir, chiffré notre disque dur, lorsque redémarre et on insère un live Cd de Linux. Le disque chiffré avec Bitlocker ne sera pas accessible. On peut en conclure que Bitlocker protège aussi votre système des attaques par Live CD. Ou en essayant d’accéder aux données en installant un 2ème système d’exploitation.

    Désactiver ou déchiffrer bitlocker Drive encryption

    Pour désactiver le chiffrement ou déchiffrer le lecteur, il faut se diriger dans Panneau de configuration puis Chiffrement de lecteur Bitlocker. Cliquez sur désactiver le chiffrement de lecteur Bitlocker sous le volume que vous souhaitez déchiffrer. Une fenêtre s’ouvre :

    Deux choix apparaissent alors à l’écran :

    • Désactiver Bitlocker : cette option permet de désactiver le chiffrement de lecteur Bitlocker, cette option est réversible : elle ne déchiffre pas le volume, elle désactive seulement le chiffrement.

    Une fois la protection désactivée un message s’affiche dans la barre des tâches vous signalant que la protection du lecteur est désactivée.

    Pour réactiver Bitlocker il suffit de cliquer sur l’icône dans la barre des taches ou bien de vous rendre dans Panneau de configuration puis Chiffrement de lecteur Bitlocker et cliquez sur Activer le chiffrement de lecteur Bitlocker.

    • Déchiffrer le lecteur : cette option déchiffre entièrement le volume chiffré, cette opération peut être longue suivant la capacité du volume à déchiffrer. Un message dans la barre des tâches vous indique que le déchiffrement est en cours. Pour suivre l’avancement du déchiffrement, cliquez sur l’icône dans la barre des tâches. Dans la fenêtre qui apparait vous avez la possibilité de mettre en pause le déchiffrement.

    Une fois l’opération terminée, un message vous en avertit.

    Conclusion

    L’implantation de Bitlocker Drive Encryption dans Windows Vista/Windows 7 est une solution simple et efficace pour protéger ses données contre la divulgation. En effet sa mise en place est longue mais très simple. Nos différents tests ont montré l’efficacité de Bitlocker contre toute violation. Il faut cependant toujours veiller à faire des sauvegardes régulières de vos données pour éviter toutes pertes. Bitlocker sera présent dans les prochains systèmes d’exploitation de Microsoft (Windows Seven et Windows Server 2008 R2) et apportera de nouvelles fonctionnalités telles que :

    • une nouvelle méthode de récupération : Data Recovery Agent (DRA)
    • System Partition (Boot) sans lettre de lecteur
    • Bitlocker To Go : Bitlocker sur clé USB, disque externe… pouvant utiliser plusieurs systèmes de fichiers (NTFS, FAT, FAT32, ExFAT).
    • D’autres fonctionnalités seront certainement présentées plus tard.

    Il sera possible de mettre à jour vers Windows 7 depuis Windows Vista sans avoir besoin de décrypter son disque dur.