Publicité en cours de chargement...
Chiffrer ses postes clients Windows avec BitLocker en connaissance de cause
Chiffrer les disques des postes nomades (en particulier) de nos parcs pour assurer la confidentialité de « nos » données de santé, ou plutôt, pour être plus précis, celles de nos patients, est donc une excellente idée. Pour satisfaire ce besoin sans exploser le (toujours trop) maigre budget attribué à la SSI (oui, le RSSI se plaint souvent de n’en avoir jamais assez), pourquoi ne pas utiliser BitLocker, l’outil de chiffrement intégré aux systèmes d’exploitation Windows (depuis Vista), vu que nous le payons déjà dans le prix de nos licences ou accords-cadres ?
Alors que tous les autres systèmes d’exploitation, macOS et les différentes distributions basées sur le noyau Linux, Android ou encore iOS, proposent nativement un chiffrement logiciel, Microsoft, avec sa fâcheuse manie de toujours vouloir placer le volant de la voiture à l’inverse des autres, utilise automatiquement le chiffrement matériel du disque dur par défaut, si celui-ci le propose.
Certains le justifieront en prétendant : « Utiliser le chiffrement matériel augmente la sécurité et les performances. Puisque le chiffrement n’est plus géré par la machine hôte et que la clé de chiffrement n’est pas stockée dans la mémoire vive, c’est bien mieux ! »
En réalité, en utilisant le chiffrement matériel, on ne fait que déplacer la matrice des risques, voire augmenter le risque dans le cas des périphériques externes. Placer l’intelligence dans le disque revient à donner une confiance absolue au matériel. En cas de découverte de vulnérabilités, gérer les mises à jour logicielles via le système d’exploitation s’avère beaucoup plus simple que flasher les firmwares des périphériques de stockage.
L’utilisation du chiffrement matériel n’est peut-être donc pas une si bonne idée, comme le démontre un récent rapport [1] : les chercheurs de l’université néerlandaise Radboud exposent comment ils ont réussi à contourner le chiffrement matériel et à accéder aux données sans clé de déchiffrement sur sept modèles différents de SSD du marché en modifiant le firmware ou en utilisant l’interface de débogage.
Alors, pour pallier ce problème, il est possible, via une GPO, de spécifier à l’ensemble de ses postes de ne pas utiliser le chiffrement matériel. Il suffit pour ce faire de désactiver la stratégie « Configurer l’utilisation du chiffrement au niveau matériel »pour chacun des trois types de lecteurs proposés :
Configuration ordinateur > Modèles d’administration > Composants Windows > Chiffrement de lecteur BitLocker
Même si rien ne vous empêche de flasher l’ensemble de vos SSD à chaque nouvelle vulnérabilité, l’utilisation du chiffrement logiciel me paraît nettement plus facile à gérer et, par conséquent, un peu plus rassurant. À noter également qu’il est possible d’améliorer le niveau de chiffrement BitLocker en sélectionnant la méthode AES 256 plutôt que le procédé AES 128 proposé par défaut.
Avez-vous apprécié ce contenu ?
A lire également.

La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...