BitLocker, comment protéger les données sur les disques durs et les SSD et demander un mot de passe au démarrage
Configurez BitLocker sur les systèmes protégés par une puce TPM pour être invité à entrer un code confidentiel lorsque la machine est allumée.
À l’époque du RGPD BitLocker ça devrait être un outil toujours utilisé sur leurs ordinateurs portables et convertibles Windows 10 pour protéger efficacement les données stockées sur les appareils eux-mêmes. Et ceci indépendamment du fait que des SSD ou des disques durs traditionnels soient utilisés sur leurs machines.
Nous avons dédié deux articles détaillés à BitLocker: BitLocker, ce que c’est, comment cela fonctionne et pourquoi il doit être activé en termes de GDPR et BitLocker, comment la récupération de clé et le déverrouillage avec USB fonctionnent.
Dans le premier nous avons expliqué qu’est-ce que BitLocker et comment cela fonctionne (qui, nous vous le rappelons, vous permet de crypter le contenu de toutes les unités de stockage, y compris celle du système, dans Windows 10 Pro, Entreprise et Éducation, mais n’est pas disponible dans l’édition familiale du système d’exploitation); dans la seconde nous avons appris comment c’est possible configurer une clé USB à utiliser pour déverrouiller le système protégé par BitLocker. En d’autres termes, tant que la clé USB configurée pour être utilisée avec BitLocker n’est pas insérée au démarrage de Windows 10, le système ne démarrera pas et toutes les données resteront chiffrées.
Cependant, il est également bon de ne pas négliger les clés USB et les lecteurs amovibles, surtout s’ils contiennent des informations confidentielles et des données personnelles. Le risque de perdre et de laisser leur contenu à la merci de tiers est trop élevé. Dans l’article Clé USB protégée avec BitLocker To Go: comment ça marche, nous avons vu comment utiliser un outil également présent dans Windows 10 Home pour protéger ce qui est stocké sur des disques externes, qu’il s’agisse de lecteurs flash (y compris les SSD) ou de disques durs.
Quelle est la puce TPM
Par défaut, sur les systèmes Windows 10 chiffrés avec BitLocker et protégés avec des puces TPM (Module de plateforme sécurisée) le contenu des lecteurs indiqués par l’utilisateur est chiffré mais rien n’est demandé au démarrage.
L’accès au système n’est possible qu’en indiquant les mots de passe corrects pour les différents comptes configurés sur l’écran de connexion.
Sur les systèmes protégés par BitLocker, les « jeux » tels que ceux illustrés dans l’article Mot de passe oublié Windows 10: exclusif, comment se connecter au système ils ne fonctionnent pas car il n’est pas possible pour un attaquant de contourner la protection cryptographique en utilisant un support de démarrage.
La puce TPM est présente sur tous les PC modernes et son objectif principal est de prendre en charge le bon fonctionnement des solutions basées sur la cryptographie.
Pour vous assurer que votre système utilise la puce TPM, installée au niveau de la carte mère, appuyez simplement sur Windows + R puis tapez tpm.msc.
L’indication TPM prêt à l’emploi confirme que le système est équipé de la puce en question; sinon, l’apparence du message Impossible de trouver un TPM compatible il représente son absence.
BitLocker nécessite l’utilisation d’une puce TPM version 1.2 pour fonctionner, mais les lecteurs (y compris le lecteur système) peuvent être chiffrés même sans dépendre de la puce (avec une solution moins sécurisée).
En supposant que vous ayez déjà activé le chiffrement du lecteur système avec BitLocker sur un système équipé d’une puce TPM, voyons comment vous pouvez également demander un code PIN lors du démarrage de la machine.
Comment exiger un code PIN lors du démarrage de l’ordinateur pour déverrouiller les lecteurs protégés par BitLocker
Si vous souhaitez compter sur un niveau de sécurité supplémentaire et vous assurer que l’écran de connexion n’apparaît pas immédiatement au démarrage avec la liste des comptes, vous pouvez utiliser une clé USB pour déverrouiller le système, comme déjà vu dans l’article BitLocker, comment travaux de récupération de clé et de déverrouillage USB ou demander la saisie d’un code PIN de votre choix lors de la mise sous tension de l’appareil Windows 10.
Pour configurer la saisie d’un code PIN lors du démarrage d’un système protégé par une puce TPM suivez simplement quelques étapes simples:
1) Assurez-vous, comme indiqué ci-dessus, qu’une puce TPM est présente sur le PC utilisé.
2) Appuyez sur la combinaison de touches Windows + R puis tapez gpedit.msc.
3) Aller à Configuration ordinateur, modèles d’administration, composants Windows, chiffrement de lecteur BitLocker, lecteurs de système d’exploitation puis double-cliquez sur la règle Exiger une authentification supplémentaire au démarrage dans le panneau de droite.
4) Choisissez l’option Activé en haut, décochez la case Autoriser BitLocker sans TPM compatible puis définissez les menus déroulants ci-dessous comme indiqué sur la figure.
5) Appuyez sur le bouton OK puis tapez cmd dans la zone de recherche de Windows 10. Appuyez sur la combinaison de touches CTRL + MAJ + ENTRÉE pour ouvrir l’invite de commande avec les droits d’administrateur.
6) Exécutez la commande suivante pour vérifier l’état de la configuration BitLocker: manage-bde -status.
7) Utilisez la commande suivante pour demander à BitLocker de forcer l’utilisateur à entrer un code PIN lors du démarrage du PC, avant la phase de démarrage réelle:
manage-bde -protectors -add c: -TPMAndPIN
Avec l’indication c: on se réfère évidemment au lecteur système contenant Windows 10, préalablement chiffré.
8) Il vous sera demandé de saisir un code PIN numérique (« Entrez le code PIN à utiliser pour sécuriser le volume« ): c’est le » pass « qu’il faut désormais introduire à chaque démarrage de la machine.
9) Ecrire à nouveau manage-bde -status, en bas de l’écran juste en dessous Protections avec clé l’entrée doit apparaître TPM et PIN.
10) Le redémarrage du PC demandera immédiatement le code PIN choisi précédemment avec l’affichage d’un écran similaire à celui de la figure.
11) Si vous oubliez votre code PIN, vous pouvez toujours déverrouiller BitLocker et accéder à Windows 10 en appuyant sur la touche Échap et en utilisant le code de récupération généré par le système lors de la configuration de BitLocker.
En démarrant le système à partir du support d’installation Windows ou d’un disque de démarrage d’urgence basé sur le noyau Windows, le lecteur chiffré BitLocker ne sera pas accessible car il est protégé.
Dans l’article Récupérer des fichiers à partir d’un lecteur crypté Bitlocker nous avons présenté la commande gérer-bde à utiliser pour déverrouiller les lecteurs chiffrés, y compris le lecteur système. Il sera évidemment nécessaire d’indiquer l’intégralité de la clé de récupération exportée lors du chiffrement du lecteur avec BitLocker.
Comme note finale importante, lors de la configuration de la politique Exiger une authentification supplémentaire au démarrage, à Configuration du code PIN de démarrage du TPM vous n’aurez pas à sélectionner Demander un code PIN de démarrage avec TPM mais Autoriser le code PIN de démarrage avec TPM.
Dans le premier cas, en fait, si vous essayez de chiffrer un lecteur externe avec BitLocker To Go, par exemple, le message d’erreur « Impossible d’appliquer les paramètres de stratégie de groupe liés aux options de démarrage de BitLocker car ils sont en conflit« .
À résoudre, si l’option était précédemment sélectionnée Demander un code PIN de démarrage avec TPM, remplacez-le simplement par Autoriser le code PIN de démarrage avec TPM et redémarrez le système.
Comment désactiver l’invite de code PIN au démarrage du système protégé BitLocker
Si vous souhaitez désactiver la demande de saisie du code PIN lors du démarrage du système, vous devrez réexécuter leÉditeur de stratégie de groupe (gpedit.msc) et réglé sur Pas configuré la politique Exiger une authentification supplémentaire au démarrage.
Après avoir cliqué sur OK, vous devrez ouvrir l’invite de commande avec les droits d’administrateur et taper ce qui suit:
manage-bde -protectors -add c: -TPM
Cela reviendra à utiliser uniquement la puce TPM pour déverrouiller le disque dur protégé par BitLocker.
Découvrez d’avantage plus d’articles dans nos catégories Internet, productivité et Ordinateur et internet.
Merci pour votre visite on espère que notre article BitLocker, comment protéger les données sur les disques durs et les SSD et demander un mot de passe au démarrage
vous aide, pour nous aider, on vous invite à partager l’article sur Facebook, pinterest et e-mail avec les hashtags ☑️ #BitLocker #comment #protéger #les #données #sur #les #disques #durs #les #SSD #demander #mot #passe #démarrage ☑️!