Vacances tranquilles 2 : Windows 7 et BitLocker sans TPM
Il y a un an, je décrivais ici même les précautions que vous pouvez prendre avant de partir en vacances l’esprit tranquille quant à vos données à la maison : faites des sauvegardes et chiffrez les données qui restent derrière vous. L’idée est que vos données soient protégées même en cas de vol du PC ou de non-redémarrage au retour de vacances. Ces conseils sont toujours d’actualités.
Aujourd’hui je vais profiter du fait que je suis en train de préparer un départ proche, pour vous faire profiter de l’utilisation de BitLocker dans Windows 7 Ultimate pour protéger les données qui restent sur place. Cette manipulation est valable pour la RC de Windows 7, et le sera à l’identique pour la version Ultimate (Intégrale) finale.
Cette machine contient deux disques internes : le disque du système et un disque de données. Comme c’est une machine de bureau et qu’elle date un peu, elle ne dispose pas d’un TPM. Il faudra donc utiliser une clé USB pour que Windows récupère la clé BitLocker lors de son démarrage.
AVERTISSEMENT : Ne chiffrez pas votre disque à moins de comprendre le mécanisme de BitLocker, de disposer d’au moins deux clés USB formatées en FAT, et d’être certain de ne pas perdre ces deux clés. Une fois votre disque chiffré, si vous perdez la clé, personne ne pourra absolument rien pour vous, vos données seront perdues à jamais.
1. Chiffrement du disque C: (système)
Donc la première étape est de configurer BitLocker pour qu’il accepte de fonctionner dans ce mode “clé USB”, sans TPM. Pour ceci, lancez gpedit.msc, puis sélectionnez le nœud Computer Configuration – Administrative Templates – Windows Components – BitLocker Drive Encryption – Operating System Drives :
Double-cliquez sur Require additional authentication at startup :
Sélectionnez Enabled pour activer la stratégie, et cochez la case Allow BitLocker without a compatible TPM. Les explications se trouvent dans le texte de droite. Validez et fermez gpedit.
Dans l’explorateur Windows, cliquez à droite sur le Disque C et sélectionnez Turn on BitLocker.
L’assistant BitLocker démarre :
Sélectionnez Require a Startup key at every startup. Si ce n’est déjà fait, connectez la clé USB choisie pour abriter la clé de chiffrement BitLocker. L’assistant vous montre la clé USB connectée :
Sélectionnez la clé USB et cliquez sur Save.
Cette étape vous propose de faire une ou plusieurs copies du mot de passe de récupération BitLocker. Je vous conseille de faire deux choses : imprimez le mot de passe grâce à la troisième option Print the recovery key, puis sauvegardez le mot de passe sur la même clé USB que la clé BitLocker, grâce à la première option Save the recovery key to a USB flash drive.
Conservez le papier sur lequel vous avez imprimé le mot de passe en lieu sûr.
Une fois ces deux sauvegardes effectuées, cliquez sur Next.
Cette étape est très importante : elle consiste à vérifier que votre PC parvient à lire la clé USB lors du démarrage, ce qui est nécessaire pour le fonctionnement de BitLocker sans TPM. Assurez-vous que la case Run BitLocker system check est bien cochée, puis cliquez sur Continue.
Cliquez sur Restart now pour effectuer la vérification. Après le redémarrage, ouvrez une session avec le même compte utilisateur que précédemment.
Au redémarrage, en cas de problème avec la vérification, un message vous en préviendra. Arrêtez ici : il est inutile, et dangereux, de continuer plus loin. Au mieux, retentez l’opération depuis le début avec une autre clé USB.
Si aucun message ne vient vous avertir d’un problème, la vérification a réussi et le chiffrement du disque est en train de commencer. Vous verrez un icône de BitLocker dans la zone de notification de Windows 7 :
En cliquant sur l’icône vous pouvez suivre la progression du chiffrement (patience… le chiffrement de mon disque SATA2 de 500 Go a pris plusieurs heures.)
Vous remarquerez aussi que pendant le chiffrement, le disque C apparaît complètement saturé :
C’est tout à fait normal et cela ne dure que le temps du chiffrement. Pendant ce temps, vous pouvez observer le statut de BitLocker dans une ligne de commande en tant qu’administrateur, avec la commande manage-bde –status :
De même vous pouvez consulter les protecteurs de clé pour le disque C avec la commande manage-bde –protectors –get C:
Notez que cette commande vous permet d’afficher le mot de passe de récupération.
Une fois le chiffrement terminé, vérifiez que votre machine redémarre correctement : avec la clé USB connectée, le démarrage doit se dérouler normalement. Sans la clé, BitLocker doit vous inviter à connecter la clé et à taper Echap pour redémarrer. S’il y a un problème à ce niveau, il vaut mieux déchiffrer le disque :
- Utilisez le mot de passe de récupération (recovery mode) que vous avez imprimé pour démarrer le système.
- Depuis le panneau de configuration (Control Panel – System and Security – BitLocker Drive Encryption), sélectionnez Turn Off BitLocker puis Decrypt Drive.
Si tout s’est bien déroulé jusqu’ici, il est temps de faire une deuxième copie de la clé USB. Pour ce faire, cliquez à droite sur le disque C dans l’explorateur Windows, et sélectionner Manage BitLocker. Sélectionnez alors Duplicate the startup key pour sauvegarder la clé de chiffrement sur la deuxième clé USB. Puis, refaites l’opération en sélectionnant cette fois Save or Print recovery key again pour sauvegarder à nouveau le mot de passe de récupération.
2. Chiffrement d’un disque de données interne
Si vous avez tout suivi jusqu’ici, et si vous avez comme moi un deuxième disque dur interne à protéger, il reste à chiffrer celui-ci, cette fois avec un simple mot de passe.
Dans l’explorateur Windows, cliquez à droite sur le disque de données (D: dans mon cas) et sélectionnez Turn on BitLocker.
Cochez la case Use a password to unlock the drive, et entrez (deux fois) le mot de passe que vous avez choisi. Cochez également la case Automatically unlock this drive on this computer. Notez que cette dernière option permet de déverrouiller automatiquement le disque de données, mais que la clé est stockée sur le disque C qui est déjà chiffré, donc protégée. Il n’y a donc pas de risque à ce niveau.
Cliquez sur Next.
On vous demande ensuite de sauvegarder le mot de passe de récupération (recovery key) pour ce deuxième disque. La manipulation est identique à précédemment : Imprimez le mot de passe, puis sauvegardez-le une fois sur la 1ère clé USB, et une seconde fois sur la seconde clé USB.
Une fois l’impression et les sauvegardes effectuées, cliquez sur Next.
Cliquez sur Start Encrypting pour démarrer le chiffrement. Quelques heures sont encore nécessaires, pendant lesquelles le disque de données apparaîtra comme presque plein et ne disposant que de 6 Go de libre.
Reste à s’assurer que les impressions des mots de passe de récupération seront en lieu sûr, ainsi que les deux clés USB. Personnellement je les apporte en vacances, avec les sauvegardes de mes données sur un disque dur externe compact. S’il prenait l’idée à un voleur de mettre la main sur mon PC, il n’aurait qu’une machine qui ne démarre pas et deux disques illisibles…
Bonnes vacances !
Comments
- Anonymous
June 11, 2010
Depuis le temps que je cherche des explications simples et explicites !
- 1 pour vous. :)
Anonymous
July 08, 2010
Article sympa mais petite question : Si le PC est volé et qu'heureusement il reste (dans un coin bien planqué) un disque externe de backup crypté... ...Reinstaller Win7 sur un nouveau PC puis ajouter cet HDD de données cryptées permettra t'il de decrypter les données ??? En d'autres termes, outre la clé de protection utilisateur (privée), le cryptage a t'il un lien avec l'OS et le materiel ? Merci à la future réponse :)Anonymous
March 16, 2011
Bonsoir, je suis sous windows 7 et, je souhaite savoir si, bitlocker installé sur le disque système, en mode usb, permet d'empecher la prise de contrôle à distance non voulue d'un ordinateur, si les défenses de types pare-feu et antivirus sont HS Merçi du temps pass& pour ma réponse, bonne soiréeAnonymous
October 20, 2014
Des réponse quelques années plus tard :)
Damien : La clef de protection est liée à la machine. Soit à la TPM soit à la clef USB. Dans tous les cas tu as une clef de récupération qui elle n'est pas liée à la machine et te permet de déchiffrer ton disque même si la machine est en panne ou volée.
Antho : Non. Bitlocker adresse le cas du vol de matériel. Quand ton ordinateur est allumé (et bitlocker déverouillé), c'est comme si bitlocker n'existait pas.