Tout est donc parfait... ou presque
...pour faire simple, disons qu'avec des moyens rudimentaires il ne faut que quelques minutes pour contourner le mot de passe et dérober les données d'un ordinateur volé/perdu au bureau, dans le train...
Plutôt que de vous demander ce qu'il arrivera à vos dossiers clients quand vous vous ferez voler votre portable en terrasse comme votre collègue Michel la semaine dernière, je vous propose de continuer notre programme.
- Les Mots de passe
- Sécuriser son ordinateur et ses données
- Stocker et échanger des données de façon sécurisée
N'hésitez pas m'indiquer si vous souhaitez que j'aborde d'autres thèmes.
Sécuriser son ordinateur et ses données
Pour démarrer votre ordinateur, certes il faudra votre mot de passe, mais rien n'empêchera le pirate d'extraire votre disque dur et d'accéder à vos données comme s'il s'agissait d'un vulgaire disque externe.
Il existe une solution simple : crypter le disque... Pour accéder aux données, soit il faut suivre la logique du système et fournir le mot de passe, soit il faut chercher à casser le chiffrement. La solution devient alors beaucoup moins évidente pour qui veut accéder à vos données.
Il existe plusieurs logiciels de chiffrement. Cela va du bricolage le plus sommaire au logiciel certifié par l'Etat. Je vous propose un juste milieu qui vous tend les bras : BitLocker intégré en standard dans Windows (je pars du principe que nos amis Linuxiens sont suffisamment avancés pour ne pas avoir besoin de cet article et de mes lumières).
Notons toutefois que BitLocker n'est pas validé par l'ANSSI, cette solution n'a donc pas vocation à protéger des données à caractère stratégiques pour une entreprise (le prochain article abordera ce thème plus en détail, même nous restons, encore une fois, dans une démarche de vulgarisation).
Et maintenant cliquons 😁
- Cliquez avec le bouton droit sur C:
- Cliquer sur Activer BitLocker
Cliquez simplement sur Suivant
... et encore sur Suivant
Je recommande vivement de sélectionner Exécuter la vérification du système BitLocker.
Cela permet notamment au système de vérifier que votre puce TPM fonctionne correctement.
Cliquer sur Continuer
Selon les options choisies, le poste pourra demander redémarrer avant de lancer le chiffrement du disque.
On peut suivre l'état du chiffrement de la machine dans Panneau de configuration > Système et sécurité > Chiffrement de lecteur BitLocker.
Vous noterez dans l'explorateur qu'un petit cadenas est apparu, indiquant que votre volume est désormais chiffré.
Et les clés USB, les disques externes ?!
Cette démarche permet également de protéger vos clés USB et autres disques durs internes ou externes. La protection pourra reposer sur un mot de passe voire même une carte à puce.
Si vous devez connecter vos clé USB à un ordinateur sous Linux ou sur une vieille version de Windows, vous risquez effectivement d'avoir de difficulté à accéder aux données de vos clés. A part ce cas (assez rare), je ne vois aucune raison valable de ne pas chiffrer ses clés USB.
En configurant le déverrouillage automatique (dans le propriétés de BitLocker), on peut facilement protéger ses données tout en gardant une expérience utilisateur extrêmement fluide.
Conclusion
Votre disque (et même vos clés USB) étant maintenant chiffré(s), vous n'êtes plus vulnérables à la plupart des attaques directes contre votre disque dur : réinitialisation des mots de passe, accès direct aux données...
Cette protection comporte néanmoins plusieurs grosses limites :
- Cette solution ne protège pas vos données en cas d'attaque de votre poste (virus, vol de données depuis le réseau...) ;
- Cette solution ne protège pas vos données en transite, ailleurs sur votre poste : serveur externe, cloud, messagerie...
Nous verrons dans un prochain article comment protéger de façon plus sûres les données.
Pour aller plus loin :
Pour protéger le système avec BitLocker, il existe plusieurs protections en complément de la puce TPM. Selon la version de votre système, il ne sera pas toujours possible d'y accéder depuis l'assistant. Il me semble cependant pertinent de présenter des différents scénarios de protection :
- TPM seule : Le déchiffrement du poste est transparent si et seulement si l'utilisateur démarre normalement l'ordinateur (pas de démarrage par clé USB, pas de modification matérielle bizarre...).
- TPM + Code PIN : En plus des conditions précédentes, l'utilisateur doit entrer un code. Cette configuration est particulièrement recommandée si vous voulez la certitude que vos données resteront hermétiquement cryptées sans votre code. Cette configuration est particulièrement adaptée pour des portables avec des données potentiellement importantes.
- TPM + USB : En plus des conditions imposées par la puce TPM, il est nécessaire de connecter une clé USB configurée lors du chiffrement du poste. Chez le particulier, je trouve cette configuration particulièrement utile, par exemple pour l'ordinateur du salon : le démarrage est transparent pour tout le monde et la session peut même s'ouvrir automatiquement. En revanche, si vous partez en vacances, il suffit de mettre la clé USB en lieu pour être certain qu'un cambrioleur par exemple ne partira pas avec votre ordinateur et surtout les mots de passe des comptes bancaires familiaux.
Les plus parano pourront même faire du TPM + PIN + USB.