BitLocker dans Windows 8 : support des disques avec chiffrement matériel
Une nouveauté de Windows 8 est le support natif, par BitLocker, des disques durs avec chiffrement matériel. Ce type de disque se trouve sous la dénomination « Encrypted Hard Drive » ou eDrives.
J’ai eu la chance de recevoir un eDrive SSD, le Crucial M500, en version 480 Go.
Le descriptif et la présentation de ce modèle sont disponibles en ligne.
Tout d’abord, un peu de théorie. Si l’on souhaite utiliser un eDrive comme disque principal contenant à la fois le système d’exploitation et les données, il faut respecter deux pré-requis. C'est-à-dire que pour déverrouiller, au démarrage de l’ordinateur, un volume contenant le système d’exploitation, il faut :
- Un firmware UEFI 2.3.1 ; c’est le cas pour tous les systèmes certifiés Windows 8
- Le support, par le firmware, de la commande EFI_STORAGE_SECURITY_COMMAND_PROTOCOL
Mon ordinateur portable de test est un Lenovo Twist, sur lequel j’ai monté le disque SSD Crucial M500. J’ai ensuite installé Windows 8. Avant d’activer BitLocker et afin d’être certain d’utiliser le chiffrement matériel, j’ai décidé d’appliquer un réglage très explicite :
« Ne pas utiliser le chiffrement au niveau logiciel BitLocker lorsque le chiffrement au niveau matériel n'est pas disponible. »
Pour cela, j’ai édité la stratégie de groupe locale.
- Exécuter l’éditeur de stratégie de groupe
locale :- Taper la combinaison de touches Win + R ;
- Entrer gpedit.msc et appuyer sur OK
- Dans l’éditeur de stratégie de groupe
locale :- Aller dans Configuration ordinateur > Modèles d’administration > Composants Windows > Lecteurs du système d’exploitation ;
- Ouvrir la catégorie « Configurer l'utilisation du chiffrement au niveau matériel pour les lecteurs du système d'exploitation » ;
- Décocher « Utiliser le chiffrement au niveau logiciel BitLocker lorsque le chiffrement au niveau matériel n'est pas disponible » ;
- Cliquer sur OK
- Appliquer la nouvelle stratégie :
- Taper la combinaison de touches Win + R ;
- Entrer cmd.exe et appuyer sur OK ;
- Entrer la ligne de commande suivante et valider : gpupdate /force
Ensuite, j’ai tout simplement activé la protection BitLocker sur mon disque SSD M500, en allant dans le poste de travail, en sélectionnant le disque, clic-droit puis activer la protection
BitLocker.
La magie opère et le disque de 480 GO est instantanément chiffré avec des performances au top !!!
Pour s’en convaincre, on passe en ligne de commande « manage-bde –status », et se rend compte qu’il s’agit bien du chiffrement au niveau matériel, avec un protecteur TPM.
Malheureusement, mon ordinateur de test, modèle récent Lenovo Twist, ne supporte pas la commande EFI_STORAGE_SECURITY_COMMAND_PROTOCOL.
Quand bien même j’arrive à activer instantanément le chiffrement matériel sur mon disque crucial M500, au prochain redémarrage,
le firmware n’arrive pas à déverrouiller le disque et l’ordinateur entre en mode de récupération BitLocker. Il faut alors déverrouiller manuellement le disque à l’aide d’un mot de passe de récupération BitLocker.
Heureusement, les utilisateurs n’entreront jamais dans ce cas de figure pour 2 raisons :
- Lors du chiffrement BitLocker, l’assistant propose d’exécuter une vérification des prérequis
- Si le chiffrement matériel n’est pas possible, alors BitLocker bascule automatiquement en mode chiffrement logiciel.
Il est possible de modifier ce comportement à l’aide d’une stratégie de groupe GPO en décochant le paramètre Utiliser le chiffrement au niveau logiciel BitLocker
lorsque le chiffrement au niveau matériel n'est pas disponible. (Comme détaillé au début du billet).
En conclusion, si le firmware UEFI de votre ordinateur ne dispose pas de la commande EFI_STORAGE_SECURITY_COMMAND_PROTOCOL,
alors votre ordinateur ne pourra pas démarrer automatiquement sur un disque eDrive avec du chiffrement matériel. Par contre, vous pourrez tout de même l'utiliser avec le chiffrement logiciel (BitLocker en mode classique).
Si vous souhaitez absolument tirer parti du chiffrement matériel alors il faudra utiliser votre eDrive comme un volume de données fixes.