Sécurité accrue du cryptage Bitlocker pour la protection contre les attaques par démarrage à froid.
Bitlocker est le système de cryptage standard pour les systèmes Windows et Microsoft tente ici de trouver un équilibre entre sécurité et commodité. En règle générale, l’ordinateur dispose d’une puce TPM, celle-ci fournit la clé et Windows démarre normalement. Les données sont certes cryptées, mais l’utilisateur n’a pas besoin d’entrer un mot de passe supplémentaire au démarrage.
Ce qui est pratique, c’est que le cryptage peut être contourné au moyen de attaques de démarrage à froid et de logiciels spéciaux. Pour y remédier, il suffit de saisir un code PIN avant le démarrage de Windows.
Activer Bitlocker et crypter le disque dur
Si ce n’est pas déjà fait, nous activons d’abord le cryptage Bitlocker. Pour ce faire, nous cliquons avec le bouton droit de la souris sur le lecteur système et cliquons sur « Activer BitLocker ». Remarque : Bitlocker n’est disponible que dans les versions Professional et Enterprise de Windows.
Dans la première étape, nous devons enregistrer la clé de restauration, nous pouvons le faire par exemple dans le compte Microsoft, sinon nous pouvons aussi imprimer la clé ou l’enregistrer dans un fichier texte. Cliquez ensuite sur « Suivant ». Exécutez l’assistant jusqu’à la fin et attendez ensuite le cryptage du disque dur.
Activer le pin de démarrage dans les stratégies de groupe
Une fois Bitlocker activé, nous devons activer le pin de démarrage dans les stratégies de groupe. Pour ce faire, nous appuyons sur la touche Windows + R et saisissons ensuite « gpedit.msc » et confirmons avec Entrée.
Ici, nous allons maintenant dans « Configuration de l’ordinateur – Modèles d’administration – Composants Windows – Chiffrement des lecteurs BitLocker – Lecteurs du système d’exploitation ». Sur le côté droit, nous trouvons l’entrée « Demander une authentification supplémentaire au démarrage ».
Dans les paramètres, nous activons l’option et réglons le paramètre « Configurer le code PIN de démarrage du système TPM » sur « Code PIN de démarrage requis pour TPM ». Nous validons le réglage en cliquant sur OK.
Par défaut, seuls les codes PIN numériques sont acceptés. Ceux qui souhaitent utiliser un mot de passe alphanumérique peuvent également le définir dans l’éditeur de stratégie de groupe.
Définir le code PIN du lecteur
Il ne reste plus qu’à définir le code PIN ou le mot de passe. Nous pouvons le définir à l’invite de commande avec la commande « manage-bde ». Nous ouvrons une invite de commande avec des droits d’administrateur.
Ensuite, nous tapons la commande suivante :
manage-bde -protectors -add c : -TPMAndPIN
Nous pouvons maintenant entrer un PIN et le confirmer. Si une erreur apparaît, indiquant qu’aucun clavier pré-boot n’a été trouvé : « ERREUR : Une erreur est survenue (code 0x803100b5) : »
Avec « manage-bde -status », nous pouvons vérifier si tout a bien fonctionné. Ici devrait apparaître « Mot de passe numérique ».
Changer le code Bitlocker
Il est également possible de modifier le code PIN dans l’invite de commande. Pour cela, il suffit d’entrer la commande suivante :
manage-bde -changepin c :
Redémarrage et saisie du code PIN
Vient maintenant le moment de l’attente, nous testons si tout fonctionne. Pour cela, nous redémarrons l’ordinateur. Au démarrage, nous sommes appelés à saisir le code PIN :
Windows ne sera chargé qu’après la saisie du code PIN.
Supprimer le code PIN du Bitlocker
Bien entendu, nous pouvons également supprimer la saisie du code PIN. Tout d’abord, nous ouvrons à nouveau l’éditeur de stratégies de groupe, où nous réinitialisons le paramètre « Demander une authentification supplémentaire au démarrage ».
Maintenant, nous ouvrons à nouveau une invite de commande avec des droits d’administrateur et saisissons la commande suivante :
manage-bde -protectors -add c : -TPM
Ensuite, l’ordinateur redémarre comme avant, sans entrer le PIN de démarrage, et charge la clé de la puce TPM.