I. Présentation

Dans ce tutoriel, nous allons apprendre à activer et configurer le chiffrement BitLocker sur des machines Windows 10 et Windows 11 à l'aide d'une stratégie de chiffrement de disque Intune. Suite à la mise en place de ce tutoriel, vous serez en mesure d'automatiser le chiffrement des disques de vos ordinateurs Windows, grâce au composant BitLocker pris en charge nativement par les systèmes d'exploitation de Microsoft.

• Cliquez ici pour regarder la vidéo sur YouTube

Cette procédure est identique pour les appareils Windows Joined et Hybrid Joined à Microsoft Entra ID. Que la machine soit jointe à Entra ID ou à l'Active Directory, elle sera capable de stocker les informations associées au chiffrement BitLocker, notamment la clé de récupération, directement dans le service de gestion des identités auquel elle appartient.

Notre objectif va être de mettre en place BitLocker en automatisant sa configuration de façon silencieuse, ce qui signifie qu'aucune interaction n'est attendue de la part de l'utilisateur. Ceci implique de faire l'impasse sur certaines fonctionnalités (la saisie d'un code PIN pour déverrouiller le lecteur "BitLocké", par exemple). Cette configuration convient aux machines équipées d'une puce TPM et elle permet de chiffrer les appareils Windows sans pour autant alourdir la charge de travail de l'équipe IT. Une alternative serait de "prompter" l'utilisateur pour qu'il configure BitLocker mais ceci implique une interaction de sa part.

En complément de ce tutoriel, vous pouvez vous référer à ces liens :

• Tutoriel - Active Directory - Configurer BitLocker par GPO
• Tutoriel - Windows 11 - Utiliser BitLocker To Go
• Microsoft Learn - BitLocker

II. Prérequis et méthodes de déploiement

A. Prérequis de BitLocker

Afin de pouvoir activer et configurer BitLocker de façon automatique et silencieuse, nous devons respecter un ensemble de prérequis.

• Si les utilisateurs finaux se connectent aux appareils en tant qu’administrateurs, l’appareil doit utiliser Windows 10 version 1803 ou ultérieure, ou Windows 11.
• Si les utilisateurs finaux se connectent aux appareils en tant qu’utilisateurs standard, l’appareil doit utiliser Windows 10 version 1809 ou ultérieure, ou Windows 11.
• L’appareil doit être intégré à Entra ID, en tant qu'appareil Microsoft Entra Joined ou Microsoft Entra Hybrid Join.
• L’appareil doit disposer d'un module TPM 1.2, ou supérieur.
• Le mode BIOS doit être défini sur UEFI natif uniquement.

Nous pouvons ajouter que le disque ne doit pas être chiffré avec une solution tierce, sinon il y aura un conflit.

• Windows : mon PC est-il équipé d'une puce TPM 2.0 ?

B. Méthodes disponibles avec Intune

Pour configurer BitLocker sur des appareils Windows à l'aide d'Intune, il y a deux possibilités :

• Créer une stratégie sous la forme d'un profil de configuration Windows et sélectionner le modèle "Endpoint Protection". Il regroupe des paramètres pour le Pare-feu Windows, Microsoft Defender SmartScreen, etc... Ainsi qu'une section "Chiffrement Windows" pour BitLocker.
• Créer une stratégie de type "Chiffrement de disque" dans la section "Sécurité du point de terminaison" d'Intune.

Nous allons utiliser cette seconde possibilité, car elle est recommandée par Microsoft et de par son positionnement dans Intune, elle me semble plus adaptée.

III. Intune : créer une stratégie BitLocker

A. Créer une stratégie de chiffrement de disque

Tout d'abord, connectez-vous sur le portail d'administration de Microsoft Intune :

• intune.microsoft.com

Quand vous êtes sur le portail, effectuez les actions suivantes :

1 - Cliquez sur "Sécurité du point de terminaison" sur la gauche

2 - Cliquez sur "Chiffrement de disque"

3 - Cliquez sur "Créer une stratégie".

Un panneau latéral va s'ouvrir sur la droite. Sélectionnez "Windows 10 et ultérieur" comme "Plateforme", puis prenez le profil "BitLocker" puisque c'est, de toute façon, le seul choix disponible actuellement.

Commencez par nommer ce profil, par exemple : "Windows - Chiffrer disques avec BitLocker".

Désormais, à l'étape "Paramètres de configuration", vous avez devant les yeux deux sections : "Modèles d'administration" et "BitLocker".

Nous allons configurer les différents paramètres présents à ces deux emplacements.

B. Activer et exiger BitLocker

Nous allons commencer par la section "BitLocker" car c'est la plus rapide à configurer. Elle est très importante, car elle va nous permettre d'exiger le chiffrement des disques sur les appareils.

• Exiger le chiffrement des appareils : sélectionnez "Activé" pour que BitLocker chiffre les données de l'appareil.
• Autoriser l'avertissement pour un autre chiffrement de disque : sélectionnez "Désactivé" pour masquer les éventuelles notifications liées au chiffrement du disque, ceci est nécessaire pour accéder à la prochaine option et activer BitLocker de façon silencieuse.
• Autoriser le chiffrement utilisateur standard : sélectionnez "Activé" pour que le chiffrement BitLocker soit activé et configuré automatiquement, même si l'utilisateur connecté à la machine n'est pas Administrateur local.
• Configurer la rotation du mot de passe de récupération : conserver "Non configuré", ce qui revient à activer cette fonctionnalité et celle-ci implique que l'appareil soit joint à Entra ID (direct ou hybride).

Passez à la suite, où nous allons passer en revue les paramètres présents dans "Modèles d'administration".

C. BitLocker sur les lecteurs de données amovibles

La section "Modèles d'administration" est découpée en plusieurs groupes de paramètres afin de pouvoir ajuster le comportement de BitLocker pour les différents types de lecteurs : amovible, système, etc. Nous allons les parcourir dans l'ordre. La première partie concerne les lecteurs de données amovibles.

1 - Control use of BitLocker on removable drives : sélectionnez "Enabled" pour autoriser le chiffrement des lecteurs amovibles (non automatique)

2 - Allow users to apply BitLocker protection on removable data drives (Device) : sélectionnez "True" pour qu'un utilisateur puisse activer BitLocker sur un périphérique de stockage amovible.

3 - Enforce drive encryption type on removable data drives : forcer la méthode de chiffrement lorsqu'un lecteur amovible est chiffré avec BitLocker.

4 - Select the encryption type : sélectionnez le type de chiffrement souhaité, si vous choisissez "Used Space Only encryption", BitLocker va chiffrer uniquement l'espace de stockage consommé actuellement pour les données. Ce mode sera plus rapide s'il y a déjà des données sur le périphérique de stockage.

5 - Allow user to suspend and decrypt BitLocker protection on removable data drives : sélectionnez "False" pour que l'utilisateur ne soit pas en mesure de désactiver BitLocker, ou de le suspendre, sur un lecteur de données amovible.

6 - Deny write access to removable drives not protected by BitLocker : ce paramètre permet de forcer l'accès en lecture seule uniquement sur tous les périphériques amovibles non protégés par BitLocker. Dans le cas présent, ce paramètre ne sera pas configuré.

Voilà pour la première partie.

D. BitLocker sur les lecteurs de données fixes

Désormais, nous allons configurer la seconde partie dédiée aux lecteurs de données fixes, et il nous restera à configurer BitLocker pour le lecteur système.

- Enforce drive encryption type on fixed data drives : sélectionnez "Enabled" pour activer le chiffrement BitLocker sur les disques fixes (hors système d'exploitation).

- Select the encryption type : sélectionnez le type de chiffrement souhaité, si vous choisissez "Used Space Only encryption", BitLocker va chiffrer uniquement l'espace de stockage consommé actuellement pour les données. Ce mode sera plus rapide s'il y a déjà des données sur le périphérique de stockage.

- Choose how BitLocker-protected fixed drives can be recovered : activez ce paramètre pour accéder à des options complémentaires importantes.

- Do not enable BitLocker until recovery information is stored to AD DS for fixed data drives : ce paramètre doit être activé pour que BitLocker chiffre les disques fixes uniquement à partir du moment où les informations de récupération (clé de récupération) sont stockées dans l'Active Directory ou Entra ID (selon le type de jonction).

- Configure storage of BitLocker recovery information to AD DS : sélectionnez "Backup recovery passwords and key packages" pour sauvegarder la clé de récupération et la clé de déchiffrement (key packages), ce qui pourra être utile pour restaurer les données sur un lecteur BitLocker corrompu (voir cette page).

- Save BitLocker recovery information to AD DS for fixed data drives : activez ce paramètre pour stocker les informations dans Active Directory / Entra ID (c'est important de l'activer vis-à-vis du choix effectué précédemment).

- Omit recovery options from the BitLocker setup wizard : activez ce paramètre pour ne pas afficher les options de récupération lors de la mise en route initiale de BitLocker.

- Configure user storage of BitLocker recovery information : autoriser la génération d'un mot de passe de récupération de 48 chiffres (format de la future clé de récupération).

- Deny write access to fixed drives not protected by BitLocker : ce paramètre permet de forcer l'accès en lecture seule uniquement sur tous les lecteurs fixes non protégés par BitLocker. Dans le cas présent, ce paramètre ne sera pas configuré.

Voilà pour la seconde partie.

E. BitLocker sur les lecteurs de système d'exploitation

Maintenant, nous allons configurer la troisième partie dédiée au lecteur du système d'exploitation Windows. Nous retrouvons des mêmes paramètres communs vis-à-vis de la partie précédente, ainsi que des paramètres supplémentaires.

- Enforce drive encryption type on operating system drives : sélectionnez "Enabled" pour activer le chiffrement BitLocker sur le disque du système d'exploitation, c'est-à-dire le lecteur "C" de l'appareil.

- Select the encryption type : sélectionnez le type de chiffrement souhaité, si vous choisissez "Used Space Only encryption", BitLocker va chiffrer uniquement l'espace de stockage consommé actuellement pour les données. Ce mode sera plus rapide s'il y a déjà des données sur le périphérique de stockage.

- Require additional authentication at startup : activez ce paramètre pour pouvoir imposer l'utilisation du TPM à l'étape suivante (ceci permet la lecture des informations via la puce TPM). Sinon, il faut configurer un code PIN, ce qui implique une interaction de la part de l'utilisateur.

- Configure TPM startup key and PIN : conserver uniquement l'utilisation du TPM via l'option "Do not allow startup key and PIN with TPM".

- Configure TPM startup : sélectionnez "Require TPM" pour que BitLocker s'appuie sur TPM et que ce soit un "prérequis".

- Configure TPM startup PIN : sélectionnez "Do not allow startup PIN with TPM" pour ne pas permettre l'utilisation d'un code PIN à partir du moment où la puce TPM est déjà utilisée.

- Configure TPM startup key : sélectionnez "Do not allow startup key with TPM" pour ne pas permettre l'utilisation d'une clé de démarrage à partir du moment où la puce TPM est déjà utilisée. Il s'agit d'une clé USB avec les informations permettant de déverrouiller le lecteur BitLocker (alternative quand la machine est dépourvue de puce TPM).

Les autres options visibles sur l'image sont ignorées, car elles concernent les paramètres pour le code PIN.

Puis, nous devons nous intéresser à d'autres options toujours dans la même partie :

- Choose how BitLocker-protected operating system drives can be recovered : activez ce paramètre pour accéder à des options complémentaires importantes.

- Omit recovery options from the BitLocker setup wizard : activez ce paramètre pour ne pas afficher les options de récupération lors de la mise en route initiale de BitLocker.

- Configure storage of BitLocker recovery information to AD DS : sélectionnez "Backup recovery passwords and key packages" pour sauvegarder la clé de récupération et la clé de déchiffrement (key packages), ce qui pourra être utile pour restaurer les données sur un lecteur BitLocker corrompu (voir cette page).

- Do not enable BitLocker until recovery information is stored to AD DS for operating system drives : ce paramètre doit être activé pour que BitLocker chiffre le disque système uniquement à partir du moment où les informations de récupération (clé de récupération) sont stockées dans l'Active Directory ou Entra ID (selon le type de jonction).

- Save BitLocker recovery information to AD DS for operating system drives : activez ce paramètre pour stocker les informations dans Active Directory / Entra ID (c'est important de l'activer vis-à-vis du choix effectué précédemment).

- Configure user storage of BitLocker recovery information : autoriser la génération d'un mot de passe de récupération de 48 chiffres.

Voilà, vous pouvez passer à la suite : ce sera la dernière partie !

F. Personnaliser les méthodes de chiffrement

Cette dernière partie sert à préciser les méthodes de chiffrement, c'est-à-dire les algorithmes de chiffrement à utiliser pour les différents types de lecteur. Ceci permettra d'avoir une configuration homogène sur toutes les machines.

À ce sujet, Microsoft recommande d'utiliser l'algorithme XTS-AES pour les lecteurs fixes et les lecteurs de systèmes d'exploitation. Pour les disques amovibles, Microsoft recommande d'utiliser l'algorithme AES-CBC 128 bits ou AES-CBC 256 bits, si le disque est utilisé sur d'autres appareils qui ne fonctionnent pas sous Windows 10 (version 1511).

Voilà, vous venez de passer en revue la configuration de BitLocker pour les différents types de lecteur.

G. Finaliser la création de la stratégie

Vous pouvez poursuivre la configuration de la stratégie, avec notamment l'étape "Affectations" où vous devez affecter la stratégie à un ou plusieurs groupes d'appareils. Dans le cas présent, la stratégie est affectée au groupe "PC_Windows_BitLocker". Je vous encourage à tester cette stratégie sur un petit groupe d'appareils, pour commencer.

Poursuivez afin de terminer la création de la stratégie.

La stratégie de chiffrement de disque est prête, désormais, nous allons tester sur un appareil Windows.

IV. Tester la stratégie BitLocker

Sur un appareil Windows 11 membre du groupe "PC_Windows_BitLocker", la stratégie BitLocker s'applique correctement. Tout d'abord, nous pouvons constater que l'icône BitLocker est présent sur le disque local correspond au système. Si nous allons faire un tour dans les paramètres BitLocker, nous pouvons constater que BitLocker est activé et que les paramètres de sécurité sont définis par l'administrateur système, c'est-à-dire par notre stratégie.

V. Monitoring du déploiement BitLocker

Du côté du Centre d'administration Microsoft Intune, vous pouvez également suivre le déploiement de cette stratégie. Voici l'emplacement sous lequel vous pourrez trouver des informations :

1 - Cliquez sur "Appareils".

2 - Cliquez sur "Moniteur".

3 - Cliquez sur "État du chiffrement de l'appareil" pour accéder à ce rapport prêt à l'emploi.

Ici, vous pouvez obtenir une liste de tous les appareils et, à chaque fois, vous avez des informations intéressantes sur chacun d'entre eux : le système d'exploitation, la version de la puce TPM, ainsi que l'état du chiffrement. De plus, la colonne "Préparation du chiffrement" indique si l'appareil répond aux exigences pour l'activation de BitLocker.

À partir du moment où la stratégie BitLocker est déployée et qu'elle s'est appliquée, la colonne "État du chiffrement" passe de "Non chiffré" à "Chiffré". Voici un exemple :

VI. Récupérer la clé de récupération BitLocker

Pour finir, nous allons voir comment récupérer la clé de récupération BitLocker d'un appareil à partir de Microsoft Entra ID. En effet, ici, il s'agit d'un appareil joint directement à Entra ID. Sachez que cette information est également accessible via le portail Intune et l'utilisateur propriétaire de l'appareil peut également accéder à cette clé de récupération.

Avant toute chose, sachez que sur l'appareil en local, vous pouvez consulter le journal "BitLocker-API" présent dans l'Observateur d'événements pour voir l'activité de BitLocker. Ci-dessous, l'événement avec l'ID 845 nous indique que les informations de récupération pour le lecteur C ont été sauvegardées avec succès dans Azure AD (Entra ID) ! D'ailleurs, ceci était une condition à respecter avant que le disque soit chiffré.

A. Récupérer la clé de récupération BitLocker depuis Entra ID

À partir du Centre d'administration Microsoft Entra, nous pouvons récupérer la clé de récupération BitLocker de cet appareil.

• entra.microsoft.com

Dans la section "Appareils", puis "Tous les appareils", nous pouvons cliquer sur l'appareil "PC-ITC-02" utilisé pour cette démo et accéder à "Clés BitLocker (préversion)" afin d'avoir accès aux informations BitLocker. Ici, il n'y a qu'une seule clé de récupération, car cet appareil n'a qu'un seul disque.

Si nous cliquons sur le bouton "Afficher la clé de récupération", ceci permet d'avoir la clé de récupération en clair. Ainsi, dans un scénario de recovery où l'on aurait besoin de déverrouiller ce lecteur, nous pourrions utiliser cette clé de récupération pour accéder aux données du disque.

B. Récupérer la clé de récupération BitLocker depuis Intune

La clé de récupération est également accessible via le portail Intune, via la section "Clés de récupération" d'un appareil. En fait, nous retrouvons les mêmes informations qu'avec le portail Entra ID.

C. Récupérer la clé de récupération en tant que propriétaire de l'appareil

L'utilisateur qui est propriétaire de l'appareil peut également visualiser la clé de récupération BitLocker. Par exemple, l'utilisateur Guy Mauve est propriétaire de l'appareil "PC-ITC-02". Si, à partir de son compte, j'accède à la section "Périphériques", je peux voir cet appareil et cliquer sur le bouton "Afficher les clés BitLocker" pour accéder à cette information.

• Raccourci vers "Mon compte > Périphériques"

VII. Conclusion

En suivant ce tutoriel, vous devriez être en mesure de déployer BitLocker sur vos appareils pour gérer le chiffrement du disque Windows, mais aussi des autres disques potentiellement connectés à l'appareil. Vous pouvez aussi alléger la configuration en définissant uniquement les options pour le disque système, mais c'est tout de même préférable d'avoir un déploiement homogène et complet de BitLocker. De plus, vous êtes capable de récupérer la clé de récupération d'un appareil, en cas de besoin.

Si vous avez un doute sur un paramètre de configuration, référez-vous à la documentation Microsoft puisque tout est expliqué.

• Microsoft Learn - BitLocker

The post Intune – Comment activer et configurer BitLocker sur Windows ? first appeared on IT-Connect.

Du jour au lendemain, soit après la mise à jour du BIOS, soit après le changement ou la mise à niveau d’un processeur AMD ou Intel, le système se bloque et le message suivant s’affiche à l’écran :

New CPU installed. fTPM/PSP NV corrupted or fTPM/PSP NV structure changed.
Press Y to reset fTPM. If you have Bitlocker or encryption enabled, the system will not boot without a recovery key.
Press N to keep previous fTPM record and continue system boot. fTPM will NOT enable in new CPU, you can swap back to the old CPU to recover TPM related keys and data.

Ce tutoriel contient des instructions sur la manière de corriger l’erreur “New CPU installed. fTPM NV corrupted or fTPM NV structure changed” sur un ordinateur de bureau ou portable Windows 10/11.

Qu’est-ce que ce message et que répondre ?

Le Firmware Trusted Platform Module (fTPM) est essentiellement une enclave sécurisée sur votre carte mère qui offre en autres des fonctionnalités cryptographiques.
Il existe cinq types d’implémentations de TPM : Discrete (dTPM), Software (sTPM), Integrated (iTPM), Hypervisor (hTPM) et Firmware (fTPM), qui semble être le problème ici.
Plus de détails : Qu’est-ce que TPM (Trusted Platform Module) et TPM dans Windows 10, 11

Dans Windows 10 et Windows 11, Bitlocker un système de chiffrer de lecteur de disque, utilise TPM pour stocker en toute sécurité une clé de chiffrement et de déverrouiller automatiquement un lecteur lorsque l’ordinateur démarre. L’enregistrement fTPM est lié au matériel informatique, de sorte que s’il est modifié, par exemple vous changez le processeur, il doit être effacé avant d’être réutilisé. Cela signifie également que tout stockage chiffré ne sera plus déverrouillé par le TPM au démarrage et sera potentiellement inaccessible.

En résumé, si vous avez chiffré votre stockage pendant que vous utilisiez l’ancien processeur, probablement via Bitlocker, vous devez réinstaller ce processeur et déchiffrer le stockage avant d’installer le nouveau processeur, d’effacer le TPM et de rechiffrer.

La réponse diffère selon les cas de figure :

• Répondre Y si BitLocker n’est pas utilisé. Consultez la suite de l’article pour vérifier cela, si vous ne savez pas
• Répondre N, si BitLocker est installé et que vous avez besoin d’accéder aux données présentes sur vos disques
• Si aucun système d’exploitation Windows n’est installé, vous pouvez répondre Y

Si vous ne savez pas si BitLocker est utilisé, consultez la suite de ce guide.
Enfin dans le cas où vous avez déjà répondu Y et que BitLocker est utilisé, vous aurez besoin de la clé de récupération pour accéder aux données.

Corriger “New CPU installed. fTPM/PSP NV corrupted or fTPM/PSP NV structure changed”

Vérifier si BitLocker est utilisé

Si vous ne savez pas si BitLocker est actif sur votre PC, vous pouvez le vérifier.
Vous pouvez faire cela depuis l’invite de commandes directement dans Windows ou depuis les options de récupération et de dépannage dans le cas où le chargement de Windows ne va pas au bout.

• Ouvrez une invite de commandes :
  • Comment ouvrir une invite de commandes sur Windows 10
  • Comment ouvrir Windows Terminal sur Windows 11

• Puis saisissez la commande suivante :

manage-bde -status

• Vérifiez ensuite la ligne État de la Protection. Lorsque BitLocker n’est pas actif, vous obtenez Protection désactivée. Lorsque le disque est chiffré par BitLocker, Protection activée s’affiche. La méthode de chiffrement est indiquée, ici avec XTS-AES 128

Dans le cas où la protection BitLocker est désactivée, vous pouvez répondre Y pour réinitialiser le fTPM afin que le message au démarrage du PC ne s’affiche plus.

Que faire si Windows ne démarre pas

Si, après avoir appuyé sur la touche N, vous ne pouvez pas vous connecter à Windows à l’aide de votre code PIN ou de votre mot de passe, ou si Windows ne démarre pas, désactivez la protection BitLocker à partir de l’environnement de récupération Windows (WinRE). Pour ce faire, suivez les étapes ci-dessous :

Pour désactiver la protection BitLocker, vous devez posséder la clé de récupération BitLocker. Si vous ne possédez pas la clé BitLocker, essayez de la trouver à l’un des endroits suivants :

• Sur une impression où a été sauvegardée la clé BitLocker, lors de l’activation de BitLocker sur votre système.
• Sur une clé USB sur laquelle a été enregistrée la clé BitLocker lors de l’activation de BitLocker sur votre système.
• Sur la page de la clé de récupération de votre compte Microsoft.
• Sur votre compte Azure si vous vous connectez avec un compte Azure Active Directory

Vous pouvez consulter ces deux guides :

• BitLocker : utiliser une clé de récupération
• Comment désactiver BitLocker sur Windows 10/11

Désactiver TPM de votre PC

Si vous avez monté ou acheté un nouvel ordinateur/portable sans système d’exploitation et que vous voyez le message “fTPM corrompu-structure modifiée”, appuyez sur la touche Y pour réinitialiser le fTPM et poursuivre l’installation de Windows.
Dans tout autre situation, ne désactivez pas TPM car il est utile pour Windows ou vos applications.

Si vous pouvez vous connecter à Windows mais que vous continuez à recevoir le message, vous pouvez essayer de désactiver la fonction fTPM via le BIOS.

• Accédez au BIOS en appuyant sur F8, F10, F12, Del, Esc ou un autre bouton lorsque le système démarre. Plus de détails : Comment accéder au BIOS de son PC
• Une fois à l’intérieur, allez dans la section Paramètres avancés/Configuration de l’unité centrale.
• Recherchez les sections telles que Security Device Support ou simplement fTPM

Par fabricant :

• Asrock : Configuration du processeur > Commutateur AMD fTPM > Désactiver
• Gigabyte : Advanced Mode > Settings > Miscellaneous (or “Peripherals) > AMD CPU fTPM > set to Disabled.
• MSI : Advanced > Trusted Computing > Security Device Support : Désactiver

L’article Corriger “New CPU installed. fTPM/PSP NV corrupted or fTPM/PSP NV structure changed” est apparu en premier sur malekal.com.

Source

Source

Source

43 secondes. C'est le temps qu'il faut pour casser le chiffrement BitLocker de Windows à l'aide d'un simple Raspberry Pi Pico. Comment est-ce possible ? Réponse dans cet article !

Sur Windows, les utilisateurs peuvent chiffrer le disque de leur machine grâce à BitLocker, un système de chiffrement mis au point par Microsoft et qui a plutôt une bonne réputation. Sur les machines récentes, BitLocker s'appuie sur la puce TPM pour le chiffrement des données. Toutefois, le Youtuber stacksmashing, chercheur en sécurité, est parvenu à casser le chiffrement de BitLocker en moins d'une minute.

• Comment chiffrer Windows 11 avec BitLocker ?

Il a exploité une faiblesse dans le fonctionnement de certains ordinateurs, notamment au niveau de la voie de communication entre le processeur et la puce TPM. En effet, celle-ci n'est pas protégée ! Ce qui n'arrange pas les choses, c'est que sur certaines cartes mères, un connecteur donne accès à la lecture de ces informations.

Le Youtuber stacksmashing a mis au point une technique basée sur un Raspberry Pi Pico, vendu moins de 6 euros en France, et un circuit imprimé. Au total, il y en a pour 10 dollars de matériel, d'après lui. Grâce à son équipement, il a pu se connecter sur le fameux connecteur de la carte mère afin de voler la clé de chiffrement de BitLocker.

43 secondes, c'est le temps qu'il lui faut pour démonter le châssis du laptop qu'il utilise pour la démo et connecter son Raspberry Pi Pico à la carte mère afin de récupérer la master key de BitLocker via la lecture des bits. Il n'y a pas besoin de soudure ou de modifier le matériel de l'ordinateur. Une fois que l'on est en possession de cette clé BitLocker, il est possible de déchiffrer les données sur un autre ordinateur.

Voici une vidéo de démonstration :

Cette attaque ne fonctionnera pas sur tous les ordinateurs. En fait, sur les ordinateurs récents, la puce TPM est intégrée dans le CPU, donc ce canal de communication, même s'il n'est pas suffisamment protégé, n'est pas accessible de cette façon. Ici, c'est une faiblesse dans la conception matérielle qui met à mal le chiffrement BitLocker, bien que la machine dispose d'une puce TPM.

Si vous jetez un vieil ordinateur où le disque est chiffré par BitLocker, pensez à prendre vos précautions malgré tout... Car cette attaque montre que les données pourraient être récupérées.

Source

The post En 43 secondes, il casse le chiffrement BitLocker de Windows avec un Raspberry Pi Pico ! first appeared on IT-Connect.

BitLocker est une fonctionnalité qui vise à protéger les données sur les ordinateurs et disques amovibles en cas de perte ou de vol, en chiffrant l’intégralité des données. Le chiffrement des données permet de protéger vos données sensibles et confidentielles. Un atout majeur quand on travaille sur PC !

OK, BitLocker chiffre les disques, mais comment cela fonctionne concrètement ?

• ☞ Quel chiffrement utilise BitLocker ?
• ☞ Pourquoi a-t-il besoin d’une puce TPM ? Et qu’est-ce que c’est d’ailleurs ?
• ☞ Qu’est-ce qui déclenche BitLocker ?
• ☞ Est-ce que BitLocker est fiable ?

Autant de questions pour lesquelles nous essayons d’apporter des réponses pour comprendre comment fonctionne BitLocker.

BitLocker : c’est quoi et pourquoi l’utiliser ?

Qu’est-ce que BitLocker ?

BitLocker est une technologie de chiffrement intégrée dans certaines versions de Windows. Le premier service de chiffrement des données BitLocker est apparu avec Windows Vista pour professionnels et entreprises. Aujourd’hui encore, ce service de chiffrement est automatiquement proposé avec les versions pros de Windows. Mais, il existe également une version allégée pour les possesseurs de PC équipés d’une puce TPM 1.2 ou 2.0.

Cette technologie est conçue pour offrir une sécurité accrue des données. Son rôle principal est de protéger les informations stockées sur les disques durs des ordinateurs contre les accès non autorisés. BitLocker protège ainsi les PC contre la perte ou le vol de l’appareil, mais aussi contre les connexions à distance non autorisées.

BitLocker utilise ainsi des algorithmes de chiffrement pour rendre illisibles les données d’un disque dur (ou d’une clé USB d’ailleurs).

Pourquoi utiliser BitLocker ?

Nous vivons dans un monde où les données numériques sont de plus en plus nombreuses. L’utilisation de l’ordinateur est devenue monnaie courante dans la plupart des professions. Sans oublier tous ces nouveaux métiers issus de l’Internet et du monde numérique. Par conséquent, au fur et à mesure de l’utilisation de technologies liées à l’Internet (ordinateurs et autres objets connectés ou IoT), la quantité de données grossit exponentiellement. Le big data est même devenu le nouvel or noir, le nouvel Eldorado autant pour les sociétés exploitant ces données que pour les hackers.

La sécurité des données est ainsi de plus en plus menacée. Avec la montée des cyberattaques et le risque accru de vols d’appareils, sécuriser les informations sensibles est devenu une priorité pour les personnes et les entreprises. Les pare-feu et les antivirus ne suffisent pas à empêcher le vol de données. Une fois ceux-ci franchis, le pirate a libre accès aux données si elles ne sont pas cryptées. BitLocker répond à ce besoin en fournissant une couche supplémentaire de sécurité grâce au chiffrement du disque dur.

Son utilisation est particulièrement recommandée pour sécuriser des informations sensibles et pour se conformer aux diverses réglementations en matière de protection des données.

Les prérequis et la compatibilité de BitLocker

Quel Windows pour utiliser BitLocker ?

La version complète de BitLocker (rappelez-vous, il existe une version allégée) est une fonctionnalité exclusive aux éditions professionnelle, entreprise et éducation de Windows depuis Windows Vista. Windows 10 Pro et Windows 11 Pro profitent donc de BitLocker et de son service de chiffrement. Toutes les fonctionnalités de l’application sont accessibles. Vous pourrez choisir le type de chiffrement (que nous expliquons plus bas) ou le fait de protéger la clé de récupération sur une clé USB, par exemple.

Windows Famille (Windows Home) propose cependant une version allégée de BitLocker nommée « chiffrement de l’appareil ». Pour cette version, il n’existe aucune option, hormis le fait de choisir de crypter ou non le disque dur. Mais il s’agit bien de BitLocker comme l’atteste l’utilisation de la commande « manage-bde » (pour BitLocker Drive Encryption) pour le gérer depuis l’Invite de commandes Windows. Toutefois, cette version plus légère nécessite obligatoirement une puce TPM 1.2 ou 2.0.

Le rôle du TPM dans l’utilisation de BitLocker

Depuis la sortie de BitLocker avec Windows Vista Pro, il est recommandé d’utiliser un module TPM 1.2 (sorti en 2006) ou une version plus récente. Le TPM (pour Trusted Platform Module, Module de plateforme fiable) est une puce de sécurité intégrée à la carte mère de l’ordinateur. Il gère les clés de chiffrement de manière sécurisée. Il ajoute une couche de sécurité supplémentaire en s’assurant que le chiffrement et le déchiffrement des données se font de manière transparente et sûre.

Le TPM a aussi pour rôle de vérifier l’intégrité du système. En cas de modification qualifiée d’anormal du système, le module de sécurité bloque la délivrance de la clé de chiffrement. Les données du disque dur crypté sont ainsi préservées. Les modifications anormales peuvent par exemple être :

• le changement de carte mère ;
• le changement de système d’exploitation ;
• la modification de l’ordre des périphériques de démarrage, etc.

Si aucun TPM n’est présent, BitLocker (version pro) peut toujours être utilisé, mais avec des méthodes alternatives pour la gestion des clés.

Pas de TPM dans votre PC ?

Dans les systèmes sans TPM, BitLocker offre la possibilité de démarrer avec une clé de démarrage stockée sur une clé USB ou d’utiliser un mot de passe au démarrage. Ces méthodes garantissent que le chiffrement reste efficace, bien qu’elles puissent être légèrement moins pratiques que l’utilisation d’un TPM.

Ces options sont proposées au moment d’activer BitLocker sur votre PC.

Le processus de chiffrement avec BitLocker

Vous souhaitez comprendre le fonctionnement interne de BitLocker la solution de chiffrement de disque intégrée de Microsoft ? Découvrez les algorithmes utilisés, la méthode de chiffrement des disques et les étapes initiales de configuration et d’activation.

Les algorithmes de chiffrement utilisés par BitLocker

AES : le standard de chiffrement utilisé

BitLocker utilise AES (Advanced Encryption Standard, Standard de chiffrement avancé) comme algorithme de chiffrement. Il est reconnu pour sa robustesse et est largement utilisé dans diverses applications de sécurité dans le monde entier. AES est disponible en deux variantes de longueur de clé : 128 bits et 256 bits. Les VPN et autres systèmes de sécurité, comme les gestionnaires de mots de passe, utilisent les AES-128 et AES-256.

Avec BitLocker, le paramètre de chiffrement par défaut est AES-128, mais les options sont configurables à l’aide des paramètres de stratégie (indisponibles dans la version allégée pour Windows Home).

Mode de chiffrement BitLocker

Avec BitLocker, vous allez le choix entre le mode CBC-AES et le mode XTS-AES.

• CBC-AES (Cipher Block Chaining-AES) est considéré comme sûr, mais peut être vulnérable à certaines attaques, comme les attaques par padding oracle, en cas de mise en œuvre incorrecte. Ce mode de chiffrement est plutôt apprécié pour des données en transit, comme les données envoyées sur Internet.
• XTS-AES (XEX-based Tweaked CodeBook mode with Ciphertext Stealing-AES) est spécialement conçu pour le chiffrement de disques ou de support de stockage. Il chiffre les données par blocs, mais utilise un « tweak » (une sorte de paramètre ajusté) pour chaque bloc, rendant le chiffrement de chaque bloc unique même si les données sont identiques. Ce mode est considéré comme le plus sûr pour le chiffrement de disques. BitLocker, TrueCrypt ou VeraCrypt utilise essentiellement ce mode de chiffrement.

Vous l’avez compris, au moment de choisir le mode de chiffrement de votre disque dur, choisissez XTS-AES !

Comment BitLocker chiffre-t-il un disque ?

Le processus de chiffrement

Lorsque BitLocker est activé sur un disque, il chiffre chaque bloc de données individuellement. Ce processus commence par la conversion des données en un format crypté, rendant les données illisibles sans la clé de chiffrement appropriée. BitLocker travaille en arrière-plan, permettant aux utilisateurs de continuer à utiliser leur système pendant le chiffrement.

Chiffrement des données et des fichiers système

Quand il s’agit de chiffrer un disque système, BitLocker chiffre non seulement les fichiers de l’utilisateur, mais aussi les fichiers système. Cela garantit ainsi une sécurité complète du disque. Pour les disques de données, BitLocker chiffre l’intégralité du disque, protégeant ainsi toutes les données stockées.

L’initialisation de BitLocker

Activer BitLocker

L’activation de BitLocker peut se faire depuis le Panneau de configuration, les Paramètres de Windows ou encore en utilisant des commandes spécifiques via PowerShell ou Invite de commandes (CMD). Lors de l’activation, BitLocker vérifie la configuration du système pour s’assurer qu’il répond aux exigences nécessaires, comme la présence d’un TPM.

BitLocker : chiffrer un disque sur Windows

Activer BitLocker sur Windows 10 (chiffrement)

Configuration et choix des options de sécurité

Durant la configuration du chiffrement de l’appareil, vous avez la possibilité de configurer les paramètres de sécurité :

• le mode d’authentification (TPM, mot de passe ou clé USB) ;
• la force du chiffrement (de CBC-AES-128 à XTS-AES-256).

BitLocker initialise ensuite le processus de chiffrement du disque.

Génération de la clé de récupération

Durant cette initialisation, une clé de récupération est générée. Cette clé est cruciale pour accéder au disque en cas de perte du mot de passe, de blocage du PC par BitLocker ou de défaillance de ce dernier. Il est fortement recommandé de sauvegarder cette clé en lieu sûr. Si vous possédez un compte Microsoft, celui-ci sauvegarde la clé de récupération. Sinon, pensez à l’impression papier ou à la sauvegarde sur un disque externe.

BitLocker : utiliser une clé de récupération pour déverrouiller un lecteur

Modes d’authentification et clés de sécurité

L’efficacité de BitLocker repose non seulement sur son robuste processus de chiffrement, mais aussi sur ses méthodes d’authentification et de gestion des clés de sécurité.

Utilisation du TPM

Le TPM est un composant matériel qui offre une sécurité accrue pour le stockage des clés de chiffrement. Utilisé à BitLocker, le TPM stocke la clé de chiffrement et la libère uniquement si les conditions de démarrage n’ont pas été altérées. Cela signifie que si un attaquant tente de démarrer l’ordinateur avec un disque dur différent ou après avoir modifié le logiciel de démarrage, le TPM ne libérera pas la clé. Ce qui empêche l’accès aux données chiffrées.

C’est la raison pour laquelle, sur un ordinateur en dual boot, par exemple, vous ne pourrez pas lire les données cryptées d’un disque système depuis un autre système d’exploitation.

Authentifications de BitLocker sans TPM

• Mots de passe au démarrage. Si aucun TPM n’est disponible, BitLocker propose l’utilisation d’un mot de passe (code PIN) au démarrage. Le mot de passe doit donc être entré à chaque démarrage du PC. Il ne remplace pas le mot de passe d’ouverture de session Windows.
• Clé USB de déverrouillage. Une clé USB peut être spécialement utilisée pour déverrouiller BitLocker grâce à la clé de démarrage. Le système d’exploitation ne peut pas se charger sans cette clé USB et l’accès au disque est refusé.

Gestion des clés de récupération BitLocker

Lorsque vous activez BitLocker pour la première fois, une clé de récupération est automatiquement générée. Cette clé est essentielle pour décrypter le chiffrement du disque protégé en cas d’oubli du mot de passe (code PIN), de la perte de la clé USB de déverrouillage ou de blocage du PC par le TPM.

! pensez à bien sauvegarder la clé de récupération dans un endroit sûr et accessible. L’une des meilleures options reste d’utiliser le compte Microsoft qui sauvegardera votre clé de récupération. Si vous utilisez plusieurs clés de récupération (plusieurs PC), c’est l’ID de clé de récupération qui vous permettra de retrouver la bonne clé de récupération BitLocker.

BitLocker en utilisation quotidienne

Sachez tout d’abord qu’à l’utilisation au quotidien, BitLocker est complètement invisible et n’entrave en rien votre travail. Et au niveau performances ? Voyons cela en détail.

L’accès aux données chiffrées

L’expérience utilisateur et l’accès aux données pour l’utilisateur autorisé sont complètement transparents. Une fois que le disque crypté est déverrouillé (TPM, clé USB, mot de passe), l’accès aux données enregistrées sur le disque se fait naturellement, de la même manière que pour un disque non chiffré. BitLocker déchiffre les données à la volée lorsqu’elles sont lues puis les chiffre à nouveau lorsqu’elles sont écrites (crées ou modifiées), sans intervention manuelle de l’utilisateur.

Le partage et la collaboration fonctionnent aussi comme d’habitude. Les fichiers peuvent être copiés ou déplacés vers d’autres emplacements. Et, lorsqu’ils sont transférés hors du disque chiffré, BitLocker les déchiffre automatiquement.

L’impact sur les performances informatiques

Avec les avancées matérielles, notamment les processeurs de nouvelle génération et les disques SSD, l’impact de BitLocker sur les performances est généralement minime. Il est imperceptible. La plupart des utilisateurs ne remarquent pas de différence significative dans les temps de démarrage ou lors de l’accès aux fichiers.

En revanche, sur des systèmes plus anciens ou peu puissants, l’utilisation de BitLocker peut entraîner une légère diminution des performances. Ceci notamment lors de tâches exigeant beaucoup de lecture et d’écriture sur le disque (comme la lecture de films en 4K par exemple). Cependant, selon plusieurs utilisateurs le ralentissement serait de l’ordre de 1 à 2 %, ce qui est imperceptible pour nous, même sur un vieux Intel Celeron®.

La gestion de BitLocker dans un environnement d’entreprise

L’implémentation de BitLocker dans un cadre d’entreprise nécessite une approche structurée pour assurer à la fois la sécurité des données et la gestion efficace des ressources. Voici quelques éléments clés pour gérer BitLocker dans un environnement professionnel.

Politiques de chiffrement centralisées

Votre entreprise doit établir une politique claire concernant le niveau de chiffrement requis, en choisissant entre :

• un chiffrement AES 128 ou 256 bits ;
• un mode CBC ou XTS ;
• une authentification par mot de passe, clé USB ou TPM.

Cette politique doit être appliquée de manière cohérente à travers l’organisation pour maintenir un standard de sécurité uniforme.

Aussi, les administrateurs système peuvent utiliser Group Policy (Éditeur de stratégie de groupe locale) dans Windows pour configurer les paramètres de BitLocker sur plusieurs machines. Cela permet de définir des politiques de chiffrement, des méthodes d’authentification et des stratégies de sauvegarde des clés de récupération de manière centralisée.

Gestion des clés de récupération

Dans un environnement d’entreprise, il est crucial de stocker les clés de récupération de manière sécurisée, tout en garantissant que les administrateurs autorisés puissent y accéder en cas de besoin. Les solutions peuvent inclure l’intégration avec Active Directory, où les clés de récupération peuvent être stockées de manière centralisée et sécurisée.

Pensez également à mettre en place des procédures d’audit pour suivre l’utilisation et l’accès aux clés de récupération. Cela permettra de se conformer aux réglementations en matière de protection des données et de sécurité informatique.

Formation et sensibilisation des utilisateurs

La formation de vos employés sur les bonnes pratiques de cyberdéfense est cruciale. Il en est de même pour une formation sur l’utilisation correcte de BitLocker. Cela inclut la sensibilisation à l’importance de la sécurité des mots de passe et à la gestion des clés USB de démarrage, le cas échéant.

Découvrez nos autres articles autour de BitLocker pour apprendre à le maîtriser parfaitement. 👇

Autres liens sur le fonctionnement de BitLocker

• Chiffrement BitLocker c’est quoi ? Guide Ultime
• Désactiver BitLocker dans le BIOS : possible ?
• Désactiver BitLocker avec CMD sur Windows [10, 11]

Source

BitLocker est une fonctionnalité de Microsoft qui permet de chiffrer un disque de manière efficace et sécurisée. Cela permet de protéger vos données les plus sensibles et les plus importantes contre toute tentative malveillante. Mais que faire en cas de perte de la clé de récupération ou d’oubli du mot de passe BitLocker ?

Peut-on déverrouiller BitLocker sans clé de récupération ? La réponse n’est pas si simple. On pourrait dire que non, puisque c’est la base même de la protection de BitLocker, mais cela dépend du contexte. Nous allons donc d’abord détailler les trois scénarios (contextes) principaux, puis vous expliquer pourquoi les outils de récupération ne sont pas si fiables et comment déverrouiller un disque sans clé de récupération (spoiler alert : il y aura des malheureux !).

Déverrouiller BitLocker : différents scénarios

Tout d’abord, qu’entend-on par « déverrouiller BitLocker » ? Est-ce en cas de blocage au démarrage du PC ? Est-ce pour désactiver BitLocker après l’ouverture de Windows ? Ce sont deux situations complètement différentes, lisez ceci pour savoir dans quel contexte vous êtes.

BitLocker bloque votre PC au démarrage

Si vous êtes dans une situation critique où BitLocker bloque votre PC au démarrage de Windows, il vous faudra obligatoirement retrouver votre clé de récupération constituée de 48 chiffres. En effet, en cas de détection de modification matérielle ou autre par la puce TPM, celle-ci déclenche une sécurité qui demande la clé de récupération. Et oubliez toute tentative de désactiver BitLocker dans le BIOS (UEFI), c’est impossible pour la simple et bonne raison que BitLocker est un programme tournant sous Windows et non sous BIOS/UEFI.

Le seul moyen alors de déverrouiller BitLocker ou votre disque est d’utiliser la clé de récupération qui vous a été donnée lors de l’activation de BitLocker et du cryptage de votre disque. Suivez ce guide pour :

Retrouver la clé de récupération de BitLocker

Vous avez oublié le mot de passe (PIN) de BitLocker

BitLocker permet, sur les versions professionnelles de Windows, d’imposer un mot de passe, un code PIN, une clé de démarrage ou même une combinaison de ces méthodes pour déverrouiller BitLocker. Si vous avez oublié votre mot de passe ou votre code PIN, la situation n’est pas sans issue. En effet, BitLocker fournit une clé de récupération au moment où vous chiffrez votre lecteur pour la première fois.

Par conséquent, pour déverrouiller BitLocker en cas d’oubli de mot de passe vous pouvez utiliser la clé de récupération que vous pouvez retrouver grâce à l’ID ou au fichier texte enregistré ou imprimé. Sinon cliquez sur le lien juste au-dessus pour retrouver la clé de récupération.

Vous accédez à Windows

BitLocker ne bloque pas votre PC et vous parvenez à ouvrir votre session Windows comme d’habitude ? Alors dans ce cas, quand vous dites « déverrouiller BitLocker », vous pensez certainement à désactiver BitLocker ou à déchiffrer le disque. Pour cela, il existe différents moyens que nous avons énumérés dans les tutoriels suivants :

Comment désactiver BitLocker sur Windows [11, 10] ?

Désactiver BitLocker avec CMD sur Windows [10, 11]

Les outils de récupération de clé BitLocker sont-ils fiables ?

Là, on touche un sujet délicat. Vous allez vite comprendre deux choses : BitLocker est solide et toute tentative de récupération de clé (hors voie normale) relève du piratage informatique. Et si vous faites appel à un service professionnel de récupération de données, sachez que cela peut être coûteux et que le résultat n’est pas garanti.

BitLocker dispose d’un haut niveau de sécurité

Premièrement, BitLocker est spécialement conçu pour être très sécurisé, et en principe, sans le mot de passe ou la clé de récupération, il devrait être pratiquement impossible de déchiffrer les données. On parle quand même d’un chiffrement AES 128 bits, voire 256 bits, ce qui est costaud. Ensuite, le mot de passe et la clé de récupération sont précieusement gardés par le module TPM 2.0 qui ne les délivre que lorsqu’il constate que tout est dans la normalité (pas de changement de carte mère ou d’autres éléments comme l’ordre des périphériques de démarrage). Le niveau de protection est par conséquent très élevé.

Oubliez les services de récupération gratuits

Deuxièmement, BitLocker protège si bien ses données chiffrées que vous ne pourrez évidemment pas compter sur des services ou des outils de récupération gratuits. Ils sont trop légers. De toute manière, généralement le gratuit se paie sur votre dos. À moins d’avoir affaire à un service totalement bénévole (ce qui n’est presque jamais le cas), les services gratuits exploitent d’autres ressources pour subvenir à leurs besoins, notamment vos données d’utilisation et vos données personnelles.

Comme dit dans l’introduction de cette partie, vous pouvez faire appel à des professionnelles de récupération de données, mais attendez-vous à ce que cela soit coûteux et comprenez que le résultat n’est pas garanti.

Attention aux techniques de hacking

Troisièmement, toute tentative de retrouver la clé de récupération en dehors des méthodes normales (récupération par ID par exemple) signifie employer des méthodes de hacking. C’est ce que font les outils et services qui prétendent pouvoir récupérer les mots de passe BitLocker ou déverrouiller les lecteurs chiffrés sans eux. On peut citer par exemple :

• BitCracker ;
• Thegrideon ;
• BitLocker Password ;
• Elcomsoft Distributed Password Recovery ;
• Passware Kit.

Ils utilisent différentes techniques de piratage informatique, comme l’attaque par dictionnaire, l’attaque par force brute, les attaques mixtes avancées, etc.

Ne basculez pas dans le côté obscur

Il semble exister un moyen d’extraire la clé de récupération du TPM, mais cela nécessite des connaissances pointues sur le sujet. Et surtout, cela peut vite relever du piratage informatique. Aussi, faire appel aux meilleurs dans le domaine du craquage de données est fortement déconseillé. Non seulement vous encourrez des peines et autres sanctions pénales, mais vous risquez d’ouvrir une porte extrêmement dangereuse pour vos données.

Formater pour déverrouiller BitLocker sans clé ni mot de passe ?

Je pense que vous l’avez compris. Il est impossible de déverrouiller BitLocker sans clé de récupération tout en sauvegardant vos données. Sauf si vous faites allusion à la désactivation de BitLocker après l’ouverture de Windows. La clé de récupération est le Saint-Graal, le mot magique pour ouvrir la caverne d’Ali Baba. Sans elle, la seule solution qui reste (à moins de sortir de la légalité et de prendre de grands risques) pour déverrouiller BitLocker sans clé de récupération est de formater votre disque dur chiffré.

Cela a pour conséquence la perte totale de vos données, mais au moins vous pourrez réutiliser votre disque ou votre clé USB comme vous le souhaitez. Consultez notre tutoriel très complet pour :

Formater un disque (disque dur, SSD, clé USB) sur Windows

Autres liens sur BitLocker

• Chiffrement BitLocker c’est quoi ? Guide Ultime
• Activer BitLocker sur Windows 10 (chiffrement)
• manage-bde : Bitlocker en ligne de commande

Source

BitLocker est une technologie de chiffrement de disque mise au point par Microsoft et incluse dans ses systèmes d’exploitation depuis Windows Vista. La version complète de BitLocker (avec chiffrement 256 bits) est cependant réservée aux versions professionnelles de Windows 11 et Windows 10 (Pro, Entreprise, Éducation). Néanmoins, il existe une version allégée de BitLocker pour les versions Home (Famille) appelée « chiffrement de l’appareil », à condition que votre PC soit équipé d’une puce TPM 2.0. Mais qu’arrive-t-il lorsque cette sécurité devient un obstacle plutôt qu’une aide ?

• ☞ Vous êtes un gamer et le chiffrement peut parfois ralentir votre système.
• ☞ Vous rencontrez peut-être des incompatibilités logicielles à cause de BitLocker.
• ☞ Vous utilisez un logiciel de chiffrement plus performant.

En désactivant le chiffrement par BitLocker, vous pouvez régler ce type de problème. Dans ce tutoriel, nous vous expliquons comment désactiver BitLocker sur Windows 11 et 10.

Désactiver BitLocker sur Windows 11 et Windows 10

Vous possédez la version allégée de BitLocker ? Vous ne trouvez pas « Gérer BitLocker » ? Voici les autres solutions pour désactiver BitLocker sur Windows 11 !

via Chiffrement de l’appareil (Win 11)

Cette méthode est réservée à Windows 11.

1. Ouvrez les Paramètres et cliquez sur Confidentialité et sécurité.
   
2. Allez ensuite dans Chiffrement de l’appareil.
   
3. Cliquez sur le bouton à côté de Activé pour désactiver BitLocker sur Windows 11.
   
4. Faites Désactiver pour valider la désactivation du chiffrement de l’appareil.
   
5. Le déchiffrement est en cours, cela peut prendre plusieurs dizaines de minutes en fonction de la taille et de la nature de votre disque dur (HDD ou SSD). Vous pouvez continuer à utiliser votre appareil pendant ce temps.
   

via Chiffrement des données (Win 11)

Cette méthode est aussi réservée à Windows 11.

1. Ouvrez le menu Démarrer ou dans la barre de recherche Windows, tapez Chiffrement de données et cliquez sur Ouvrir.
   
2. Entrez maintenant dans Gérer le chiffrement de l’appareil.
   
3. Désactivez le chiffrement de l’appareil.
   
4. Validez le déchiffrement en cliquant sur Désactiver.
   
5. Plusieurs minutes sont nécessaires au déchiffrement du disque.
   

via Services de Windows (services.msc)

Cette méthode est valable sur Windows 11 et Windows 10 pour désactiver BitLocker.

1. Ouvrez Exécuter, tapez « services.msc » et faites OK.
   
2. Dans la fenêtre Services de Windows, descendez à la ligne Service de chiffrement de lecteur BitLocker et faites un double-clic.
   
3. Dans l’onglet Général au niveau de Type de démarrage, déroulez et sélectionnez Désactivé.
   
4. Cliquez sur Appliquer et faites OK pour valider le changement.
   
5. Vous devez redémarrer votre ordinateur pour appliquer les modifications.

via Configuration du système (msconfig)

Cette méthode fonctionne aussi si bien sur Windows 11 que sur Windows 10.

1. Depuis la commande Exécuter, tapez « msconfig » et faites OK pour ouvrir la Configuration du système.
   
2. Allez dans l’onglet Services et décochez la ligne Service de chiffrement de lecteur BitLocker.
   
3. Faites ensuite Appliquer puis OK pour valider et fermer la boîte de dialogue.
   
4. Le chiffrement BitLocker se désactivera au prochain démarrage.

via l’Éditeur du Registre (regedit)

Méthode valable également sur Windows 10.

1. Ouvrez Exécuter, tapez « regedit » et cliquez sur OK.
   
2. Entrez le chemin d’accès suivant et faites Entrée⏎ :

   Ordinateur\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker

   

3. Si la valeur PreventDeviceEncryption est déjà là, allez directement à l’étape 5. Sinon, faites un clic droit dans la zone blanche à droite puis Nouveau et Valeur DWORD 32 bits.
   
4. Maintenant, nommez la valeur « PreventDeviceEncryption » et faites Entrée⏎ pour valider.
   
5. Faites un double clic sur PreventDeviceEncryption et donnez une valeur 1 dans Données de la valeur. Faites OK pour valider.
   
6. La prise en compte de la désactivation nécessite un redémarrage de l’ordinateur.

via l’Éditeur de stratégie de groupe (PolicyPlus)

L’Éditeur de stratégie de groupe (gpedit.msc) est réservé aux versions professionnelles de Windows. Mais, vous pouvez utiliser Policy Plus comme Éditeur de stratégie de groupe sur les versions Home (Famille) de Windows. C’est ce que nous faisons ici.

1. Après avoir installé Policy Plus, ouvrez l’application depuis le menu Démarrer.
   
2. Développez Composants Windows puis Chiffrement de lecteur BitLocker.
   
   i Info : dans gpedit.msc, le chemin est le suivant Configuration ordinateur > Modèles d’administration > Composants Windows > Chiffrement de lecteur BitLocker.
3. Faites un double-clic sur Lecteurs de données amovibles.
   
4. De même sur Contrôler l’utilisation de BitLocker sur les lecteurs amovibles.
   
5. Sélectionnez Disabled (Désactivé) puis faites Apply (Appliquer) suivi de OK.
   
6. Un redémarrage du système est nécessaire pour appliquer la désactivation.

via Paramètres (Win 10)

En plus des méthodes précédentes qui fonctionnent aussi sur Windows 10, vous pouvez désactiver BitLocker sur Windows 10 via les Paramètres de cette façon :

1. Ouvrez les Paramètres et allez dans Mise à jour et sécurité.
   
2. Cliquez sur Chiffrement de l’appareil.
   
3. Faites Désactiver.
   
4. Puis, confirmez en cliquant sur Désactiver.
   

Désactiver BitLocker via l’Invite de commandes (CMD)

Vous pouvez également désactiver BitLocker sur Windows 11 ou Windows 10 via l’Invite de commandes (CMD) ou PowerShell :

Désactiver BitLocker avec CMD sur Windows [10, 11]

Nos autres articles sur BitLocker

• BitLocker bloque mon PC : notre solution
• Chiffrement BitLocker c’est quoi ? Guide Ultime
• Retrouver la clé de récupération de BitLocker
• Activer BitLocker sur Windows 10 (chiffrement)
• Désactiver BitLocker dans le BIOS : possible ?
• manage-bde : Bitlocker en ligne de commande

Source