Question à propos de Bitlocker

[TortueGeniale]

Bonjour,

Sur mon PC de bureau je n'utilise pas de logiciel de chiffrement car j'en ai pas vraiment l'utilité mais par contre sur mon PC portable, je souhaite l'activer. Au cas où me le vol ou si je le perds. Les deux PC ont une puce TPM 2.0.

J'ai donc mon disque SSD C: et mon second disque, partitionner en D: (disque dur classique) qui est une sauvegarde de mon Windows (Tous les Panneaux de configuration > Sauvegarder et restaurer (Windows 7)) et en E: qui me sert de stockage.

Lorsque je vais activer le chiffrement du disque C: via Bitlocker :

- dois-je aussi l'activer sur la partition D: ?
- la sauvegarde sera aussi chiffrée lors des sauvegardes ?
- dois-je aussi activer pour la partition E: ?

=)

[Yves B.]

Salut @TortueGeniale,

Avant de procéder au chiffrement avec Bitlocker, tu dois sélectionner la puissance de chiffrement. Pour le faire tu lances “gpedit”, et tu suis le chemin suivant :

• Stratégie Ordinateur local /Modèles d'administration /Composants Windows /Chiffrement de lecteur Bitlocker
• Dans la section de droite, tu double-cliques, une à la fois, sur chacune des trois lignes, et tu sélectionnes la méthode de chiffrement (voir ci-dessous) :

• Pour la première ligne, tu suis les étapes tel que ci-dessous (et tu dois répéter la même procédure pour chaque ligne) :

• Ensuite, tu procèdes de la même manière pour la seconde ligne, avec les choix comme ci-dessous (comme tu peux le remarquer, ils sont différents du précédent exemple) :

• Et pour la troisième ligne, comme ci-dessous :

Tu refermes “gpedit”, et tu lances l'Invite de commandes (Admin), et tu mets à jour la stratégie de groupe avec cette commande :

gpupdate /force

Et tu auras les deux messages tel que ci-dessus.

Le 19/07/2024 à 02:04, TortueGeniale a dit :

- dois-je aussi l'activer sur la partition D: ?
- la sauvegarde sera aussi chiffrée lors des sauvegardes ?
- dois-je aussi activer pour la partition E: ?

Tu peux chiffrer tous tes lecteurs, et n'oublie pas d'imprimer ou d'enregistrer (sur une clé USB), chaque clés de récupération du chiffrement de chacun de tes lecteurs.

Tu ne pourras pas imprimer ou enregistrer les clés sur ton ordinateur, de toute façon tu vas avoir un message qui va te le dire. Tu peux utiliser une clé USB ou un HHD/SSD externe.

P.S.: Pour ta sauvegarde, tu devrais la faire sur un disque externe.

A+

Modifié le 20 juillet par Yves B.
P.S.

[TortueGeniale]

Merci pour ta réponse Yves.

J'ai lu quelque part que le chiffrement Bitlocker pouvait réduire les performances du PC de 45% sur un SSD; donc dans la réalité, est-ce vraiment perturbant ? sachant que parfois (quasi tout le temps en fait), je lance un jeu ultra gourmand, avec un logiciel de retouche photo aussi gourmand, et diverses applications.

Actuellement, je ne ressens aucune gêne, tout est super fluide, sans problème, d'où ma question.

Question 1 : vais-je ressentir une gêne si je chiffre les données, encore plus avec AES-256 ?

Ensuite, j'ai lu ici https://lecrabeinfo.net/bitlocker-peut-on-deverrouiller-un-disque-sans-cle-de-recuperation.html#ne-basculez-pas-dans-le-cote-obscur

Si un personne veut récupérer ma clé de chiffrement, qui se fou de la loi et des règles, peut-il réellement récupérer cette clé « simplement » ? où alors faut vraiment le vouloir ? Comme la NSA qui voudrai récupérer les données d'un méchant hacker (par exemple xD) ?

Mon côté parano pencherai plus le Oui, le fait de pouvoir accéder aux données Bitlcoker reste possible pour certaines personnes ayant les compétences et le matos requis. Car casser du AES-128, je ne crois pas que soit physiquement possible, alors du 256, encore moins, mais si on contourne la protection ?

J'ai lu aussi, qu'on pouvait récupérer la clé avec un Raspberry Pi ( https://www.macg.co/materiel/2024/02/bitlocker-le-filevault-de-microsoft-casse-en-moins-de-45-secondes-142043 ).

Ici, c'est pour Lenovo apparemment, mais on peut surement adapter la technique.

Ici, ce n'est pas de savoir comment :

Question 2 : mais si c'est vraiment aussi facile ? car pour le coup ici, ça a l'air simple.

[TortueGeniale]

(je n'ai pas pu modifier mon post donc désolé du double post)

Màj : en lisant des articles comme ça : https://pulsesecurity.co.nz/articles/TPM-sniffing

ça fait tellement peur, je me disais que TPM 1.2 étant passé avec la 2.0, mais non, la même attaque contre un périphérique TPM1.2 fonctionne contre les périphériques TPM2.0.

Enfin voilà, ça fait peur ^^

Je sais que là on rentre dans de la technique pur et très difficile, honnêtement je ne comprends pas tout, et je pense que tout le monde n'a pas le niveau pour effectuer ce genre de tâches. Certaines personnes y arrivent, donc pourquoi pas d'autres.

[Yves B.]

Salut @TortueGeniale,

Il y a 12 heures, TortueGeniale a dit :

J'ai lu quelque part que le chiffrement Bitlocker pouvait réduire les performances du PC de 45% sur un SSD; donc dans la réalité, est-ce vraiment perturbant ? sachant que parfois (quasi tout le temps en fait), je lance un jeu ultra gourmand, avec un logiciel de retouche photo aussi gourmand, et diverses applications.

Personnellement, je n'ai remarqué aucun ralentissement avec mon ordinateur portable, mais il faut dire que j'ai tout de même assez de RAM🤷🏽‍♂️!!

Cet article, qui n'est pas long à lire, devrait te rassurer pour ton questionnement sur les performances, les jeux, etc... Et puis les autres logiciels de chiffrement doivent avoir aussi un certain impact sur le benchmark, non ???

ref. : https://www.lojiciels.com/bitlocker-affecte-t-il-les-performances-de-windows-10/

Et, c'est à peu près semblable avec Windows 11.

Si avec un chiffrement à 128 AES, tout est fluide, c'est toi qui vois🤷🏽‍♂️!?? Tu n'as qu'en même pas des secrets d'ordres nationales sur tes ordinateurs, alors qui aurait intérêt à essayer de craquer ta protection Bitlocker !??? En général, la personne qui trouverait ton ordinateur, ne se casserait même pas la tête à essayer de le décrypter, cette personne le formaterait, et ciao bye !!

Au bout du compte, c'est toi qui vois 🤷🏽‍♂️!??

A+

[TortueGeniale]

Merci pour le lien, en gros, c'est mi-bien mi-pas-top.

Bien sûr que non, je n'ai pas de secret national ^_^, mais je parlais en général.

C'est un peu comme les cadenas que tu achètes à 300 € pièce, super sécurisés, renforcés en titane, etc. etc. mais que tu contournes avec un lockpick en 10 secondes. Ils bombardent la sécurité, mais tu as une porte dérobée qui te permet de les ouvrir facilement, c'est tellement naze, preuve en est sur la chaîne du YouTubeur : LockPickingLawyer

Ce que j'ai retenu :

- Pas de porte dérobée (logiciel propriétaire, donc personne n'en sera absolument sûr)

- Réduit les performances de Windows de plusieurs % sur un SSD (mais quel impact, avec combien de RAM, etc.) https://www.tomshardware.com/news/windows-software-bitlocker-slows-performance

- Utiliser XTS AES-256 en chiffrement

Je pense que le chiffrement matériel de mon Samsung 990 Pro serait approprié, plus rapide, plus fiable, mais il faudrait repartir à zéro, et là, je n'ai pas envie de me retaper une énième réinstallation de Windows, surtout avec tous les tweaks

Dans tous les cas en un clic je peux désactiver Bitlocker, donc je vais essayer pendant quelques temps et on verra si je laisse ou pas.

[TortueGeniale]

Chiffrement en cours... on verra je reviendrai dans quelques jours vous dire mon ressenti, ça aidera peut être du monde

[TortueGeniale]

Maj : alors un truc que je ne pige pas et qui complétement débile, le principe de Bitlcoker et de chiffrer le disque dur pour éviter que quelqu'un accéder à nos données ?

Mais si on vol le PC de quelqu'un, forcément l'intégrité de démarrage ne sera pas corrompu; donc aucun soucis.

Actuellement je ne peux pas ajouter de mot de passe ni de code pin.

Donc le disque est bien chiffré en AES256, mais la porte est grande ouverte ^^

Voici un Benchmark après l'activation de Bitlocker, ce n'est pas dégueu : (je n'ai pas avant ^^)

Modifié le 24 juillet par TortueGeniale

[TortueGeniale]

Maj : (désolé mais c'est un peu embêtant de ne pas pouvoir modifier son sujet :( )

Le chiffrement de mon SSD de 1 To m'a pris environ 5 minutes et mon disque dur de 2 To, là ça fait 2 heures, et j'en suis seulement à 8%, c'est lent; est-ce normal ? vous aussi ?

[Yves B.]

Salut @TortueGeniale,

Le message (#1), que tu as mis en jaune, c'est tout à fait normal, parce que tu as choisi ta puissance de la méthode de chiffrement.

En #2, mon lecteur (D:) est en mode déverrouillage automatique (ainsi que mon lecteur (C:)), parce que sinon à chaque démarrage, je serais dans l'obligation de renseigner les informations nécessaires pour ouvrir une session et avoir accès à mes données.

Tu peux activer le verrouillage automatique, je te suggérerais de lire ce tutoriel : https://lecrabeinfo.net/manage-bde-bitlocker-en-ligne-de-commande.html, tu y trouveras les différentes lignes de commandes. Mais n'oublie pas, qu'à chaque fois que tu démarreras tes ordinateurs, tu devras passer par l'identification nécessaire de Bitlocker.

Ci-dessous, mon SSD externe (K:) (#1), est en mode verrouillage automatique :

Une fois le mot de passe renseigné, il y a plusieurs options disponibles, dont celle de désactiver le verrouillage automatique du lecteur (#2 (K:))

Le verrouillage automatique m'oblige à renseigner le mot de passe à chaque fois que je le branche sur l'ordinateur.

A+

[Yves B.]

il y a 31 minutes, TortueGeniale a dit :

2 To, là ça fait 2 heures, et j'en suis seulement à 8%, c'est lent; est-ce normal ?

C'est long, mais ça dépend de la quantité de données à encrypter, et est-ce que tu as choisi de chiffrer seulement les données ou le disque entièrement ?

Je serai de retour un peu plus tard.

A+

[TortueGeniale]

Perso je chiffres tous les disques, (SSD + disque dur) là j'en suis à 51% (~ 4 heures déjà), et j'ai encore la partition (O:) à faire.

Mon disque C: (SSD) = 25%

Sauvegarde Windows E: (disque dur partition) = 10% (hier, j'avais supprimé toutes les vieillies sauvegardes, remis au propre avec la dernière d'hier en pensant que le chiffrement irai plus vite, mais vu que chiffre tout le disque, CQFD)

Sauvegarde Divers O: (disque dur partition 2) : 75%

De toutes façons, je vais devoir m'en séparer car le connecteur est cassé, il tient au ras du fil, tant qu'il ne bouge pas, ça passe, mais je vais suivre tes conseils et passer sur un disque dur portable, les SSD sont encore trop cher pour du 5 To (ou +), donc je vais rester sur du disque dur standard.

Concernant le message en jaune, je n'étais pas sur du fait qu'il soit là à cause du changement de stratégie, du coup je sais maintenant :)

Pour le mot de passe, j'ai pu en mettre un sur mon disque dur, bizarrement ^^

A propos de l'ouverture automatique, imagine on vol ton PC, à quoi ça sert le chiffrement Bitlocker si y'a aucune identification ?

Tout réside ici, pas le fait de mettre un mot de passe à ma session, car tu contournes trop facilement sur Windows, mais ajouter un mot de passe + chiffrement du disque, et c'est là que se trouve la réponse à ma question d'origine :)

Perso je trouve ça un peu inutile l'ouverture automatique, car sans mot de passe, tout le monde peut avoir accès à tes données, enfin je ne comprends pas trop ^_^

[TortueGeniale]

Maj : bon j'ai enfin terminé la première étape, donc c'est bien le chiffrement d'une partition, 2.5 To, ça a durée environ 9 heures en XTS-AES-256 sur un disque dur.

Ensuite, sur mon C: j'ai essayé de désactiver la désactivation automatique. Vu que je ne pouvais pas le faire dans l'interface, j'ai essayé en ligne de commande.

Dans l'article que tu m'a donné, la commande n'est pas bonne, lorsque je fais :

manage-bde -protectors -add C: -type Password

J'ai cette erreur :

Chiffrement de lecteur BitLocker : outil de configuration version 10.0.22621
Copyright (C) 2013 Microsoft Corporation. Tous droits réservés.

ERREUR : syntaxe non valide.
« -type » n’a pas été compris.

Tapez « manage-bde -? » pour afficher la syntaxe.

Il faut retirer -type :

manage-bde -protectors -add C: -password

Par contre, j'ai cette erreur du coup :

ERREUR : une erreur s’est produite (code 0x8031006a) :
Les paramètres de stratégie de groupe ne permettent pas la création d’un mot de passe.

J'ai essayé ça mais fonctionne pas, du coup je ne sais pas comment faire :(

La seule solution +/- viable que j'ai trouvé c'est :

Configuration ordinateur -> Modèles d'administration -> Composants Windows -> Chiffrement de lecteur BitLocker -> Lecteurs de données fixes

> Configurer les options de mot de passe
> J'active tout

J'ouvre l'invite de commandes et je fais un

gpupdate /force

Puis je retourne dans Bitlocker et je peux ajouter un code pin :

J'en ai pas encore mis, j'attends de voir si y'a pas une autre solution pour le mot de passe.

Modifié le 24 juillet par TortueGeniale

[Yves B.]

Salut @TortueGeniale,

Je te suggérerais de consulter cette page de chez Microsoft : https://learn.microsoft.com/fr-fr/windows/security/operating-system-security/data-protection/bitlocker/configure?tabs=os.

Personnellement, mes deux lecteurs sont encryptés, et mon lecteur D: , qui contient mes données est en mode déverrouillage automatique à la maison, mais si je pars à l'étranger, j'active le verrouillage de mon lecteur D:, que j'emporte ou non mon “laptop” avec moi. Quand même bien qu'un individu partirait avec mon ordi, et qu'il réussirait à contourner mon mot de passe (que je n'utilise jamais, parce que j'ai un lecteur d'empreinte digitale), il devrait être résolument décidé pour essayer de débloquer mes données🤷🏽‍♂️!!?? Donc, si j'étais toi, je me contenterais de protéger mes données, et de ne pas trop jouer avec les paramètres Bitlocker au risque de perdre l'accès à ton système.

Au début de cet article, Le Crabe donne quelques excellentes raisons d'activer le chiffrement : https://lecrabeinfo.net/activer-le-chiffrement-de-lappareil-bitlocker-sur-windows-10-famille.html

Citation

C’est donc une excellente protection contre le vol de données et les intrusions dans votre système.

• • Vous utilisez régulièrement des spots Wi-Fi publics ?
  • Les déplacements avec votre PC sont monnaie courante ?
  • Vos données sont suffisamment importantes pour mériter un cryptage ?
  • Vous souhaitez vous sentir en sécurité ?

Sinon, tu peux toujours encrypter tes lecteurs avec Veracrypt, dont Le Crabe en a fait un tuto.

P.S. : Si tu es sous Windows 11, supposément que la prochaine upgrade vers la version 24H2, que ce soit une “clean install”, ou une mise à niveau via Windows Update, TOUTES les versions (famille, Pro, Entreprise), seront encrypté par défaut par Bitlocker.

https://www.youtube.com/watch?v=6GBUFgZ0mHg

A+

Modifié le 26 juillet par Yves B.
P.S. :

[Yves B.]

il y a 45 minutes, Yves B. a dit :

mais si je pars à l'étranger, j'active le verrouillage de mon lecteur D:, que j'emporte ou non mon “laptop” avec moi. Quand même bien qu'un individu partirait avec mon ordi, et qu'il réussirait à contourner mon mot de passe

Parce qu'une fois verrouillé, il aurait besoin de la clé de chiffrement, il ne pourrait le déchiffrer en utilisant les lignes de commandes.

[TortueGeniale]

Je suis sur Windows 11 Pro 23H2. (tous les logiciels à jour ainsi que Windows 11 + pilotes)

Voilà, tu as un l'empreinte digitale, ce qui te sert de mot de passe, je ne comprenais pas.

Moi je n'ai pas d'empreinte digitale à disposition, donc je suis obligé d'utiliser un code PIN ou un mot de passe.

J'ai mis un code PIN sur mon C: et un mot de passe sur le E: et O:

La sécurité est optimale, à part une faille majeure, je pense que personne ne puisse accéder à mes données.

[rodrigue7800be]

tortue ta pas fait update 24h2 ?

[TortueGeniale]

Le 31/07/2024 à 17:31, rodrigue7800be a dit :

tortue ta pas fait update 24h2 ?

Non, pas encore. Pourquoi ? J'attends la sortie officielle ^_ car je ne suis pas trop « bêta ».

Je reviens faire un petit rapport.

Suite au chiffrement de mon SSD de 1 To sur Windows 11 23H2, ainsi que de mon disque dur de 5 To, partitionné en deux fois 2,5 To, j'ai utilisé l’algorithme XTS AES-256 sur les deux disques.

Pour mon disque SSD, le C:, j'utilise la puce TPM ainsi qu'un code PIN, et pour les deux partitions, uniquement un mot de passe.

Les deux disques sont chiffrés en intégralité.

Durée de chiffrement :

• SSD, environ 10 minutes
• Disque dur, 2 x 2.5 To, environ 12 heures par partition, soit environ 24 heures

Ma plus grande crainte était une diminution drastique des performances : 45 % d'après Tom's Hardware. Il aurait donc fallu un chiffrement matériel et non logiciel, mais cela aurait impliqué de tout recommencer à zéro, ce qui ne m'enchantait guère.

Cependant, je n'ai remarqué rien de spécial. Je peux lancer un jeu AAA (comme Cyberpunk 2077) et divers logiciels tels que Photoshop ou Blender en même temps, sans réelle perte de vitesse.

Ma configuration est relativement correcte, avec 32 Go de RAM, un processeur récent et une carte graphique performante.

Le fait de déchiffrer mes disques lorsque j'allume mon PC n'est pas vraiment embêtant ; cela ajoute simplement deux tâches à ma routine de démarrage.

Voilà.

Les propos ci-après n'engagent que moi, c'est un simple récapitulatif des hypothèses, faits et lectures sur différent site US et FR que j'ai pû lire ici et là.

Conclusion d'après ce que j'ai pu lire sur différents sites, forums, et Reddit :

• BitLocker est mauvais et ralentit le disque de 45 % (faux)
• VeraCrypt (et tous les autres logiciels de chiffrement à code ouvert) sont meilleurs, car qui dit code ouvert dit faille de sécurité moins présente (mi-faux, mi-vrai, on ne sait pas finalement)
• BitLocker dispose d'une porte dérobée pour les États (je pense que faux)
• BitLocker n'est pas aussi puissant qu'on le prétend, mais vu que le code est fermé, on ne sait pas (je pense que faux)
• Les appareils à auto-chiffrement utilisent toujours une cryptographie propriétaire, et cette cryptographie est apparemment cassée chaque année. Nouvel appareil, nouvelle crypto, cassée d’ici l’année prochaine (souvent vrai)
• Le chiffrement logiciel utilise généralement une cryptographie ouverte / auditable, aussi sécurisée que possible (vrai, les développeurs ne vont pas s'amuser à faire du mauvais code exprès. Un exemple de mauvais code : pour certains, les développeurs de TrueCrypt ont arrêtés sous pression d'un gouvernement pour y ajouter une porte dérobée)
• Même les acteurs non étatiques sont bien plus avisés que quiconque ne le croit. Oui, ils pourraient pirater votre SED car les procédures sont également très publiques. (potentiellement vrai)
• Le Samsung 990 Pro ne serait pas encore "cassé". (vrai)

Personnellement, je pense qu'au vu de tout ce que j'ai pu lire ici et là, BitLocker reste parfaitement fiable, surtout que si une faille majeure était présente, on l'aurait su depuis le temps, à part des hackers qui arrivent à extraire les clés de chiffrement d'un TPM en moins de 45 secondes avec un Raspberry Pi Pico.

Cela reste des cas extrêmes et particuliers, aucune réelle porte dérobée n'a été trouvée ou alors c'est bien caché et Microsoft le dévoile à certains clients ultra VIP pour des raisons tout aussi extrêmes, comme le terrorisme, la pédocriminalité, etc.

Cela arrangerai surement les agences gouvernementales, comme on a pu l'entendre dans les médias, lorsque le FBI s'est cassée les dents sur l'iPhone du tireur de San Bernardino; forcément certaines entreprise privés peuvent y voir une opportunité, c'est triste pour la vie privée, mais comment jongler entre vie privée et sauver des vies ?!

La réputation de Microsoft est en jeu ici : si quelque chose clochait, leur réputation en pâtirait. Ils ont sûrement beaucoup à perdre. Je fais confiance à Microsoft depuis plus de 25 ans, pourquoi m'arrêterai-je aujourd'hui ?

Depuis tout à l'heure, je parle de Windows et du chiffrement logiciel BitLocker. En effet, si j'étais sur Linux, j'utiliserais LUKS, qui est aussi puissant et surement plus rapide aujourd'hui.

Il y a aussi le chiffrement matériel, toujours avec du code fermé ^^; certaines marques sont à fuir, d'autres sont mieux. Mais si tu mets à jour ton SSD Samsung avec un firmware défaillant, c'est problématique (on me dit que c'est déjà arrivé). Il faut faire attention. Pour mes les miens, j'attends toujours quelques semaines avant de mettre à jour le firmware (sauf si faille majeure ou correction de bug important).

Donc, si votre mot de passe n'est pas "azerty123", que vous chiffrez vos disques avec l'algorithme approprié et entièrement, il n'y a aucune raison de s'inquiéter, BitLocker est top !

En tout cas, je suis plus tranquille avec BitLocker actif que sans. En espérant qu'une faille "zero day" n'apparaisse pas du jour au lendemain