Partager via

Outils pour le chiffrement des données pour PC mobiles - Analyse de la sécurité

Chapitre 2 : BitLocker Drive Encryption

Paru le 04 avril 2007

Microsoft® BitLocker™ Drive Encryption est une nouvelle fonction de sécurité intégrale présente dans les versions Entreprise et Intégrale du système d'exploitation Windows Vista™, qui protège efficacement les données hors connexion et le système d'exploitation de votre ordinateur.

BitLocker est une technologie de chiffrement de volume complet qui permet de s'assurer que des données stockées sur un ordinateur fonctionnant sous Windows Vista restent protégées si quelqu'un tente d'accéder illégalement à l'ordinateur lorsque le système d'exploitation est hors connexion. Elle est conçue pour les systèmes équipés d'un microprocesseur de module de plate-forme sécurisée (TPM) et d'un BIOS compatibles. Si ces composants sont présents, BitLocker les utilise pour améliorer la protection de vos données et garantir l'intégrité du composant de prédémarrage. Cette fonctionnalité permet de protéger vos données contre le vol et les accès non autorisés en chiffrant le volume complet.

Le TPM est habituellement installé sur la carte mère, et utilise un bus matériel pour communiquer avec le reste de l'ordinateur. Les ordinateurs équipés d'un TPM peuvent créer des clés de chiffrement et les chiffrer afin qu'elles ne puissent être déchiffrées que par le TPM. Ce processus, souvent appelé encapsulage ou liaison d'une clé, peut aider à empêcher le "forçage" de la clé.? Chaque TPM possède une clé principale d'encapsulage, appelée clé racine de stockage (SRK) et stockée dans le TPM lui-même. La portion privée d'une paire de clés créée dans un TPM n'est jamais divulguée aux autres composants, logiciels, processus ou personnes.

BitLocker fournit deux capacités principales :

  • Il propose un chiffrement au niveau de chaque ordinateur en chiffrant le contenu du volume du système d'exploitation. Un utilisateur malveillant qui retire le volume ne pourra pas le lire à moins d'obtenir également les clés, ce qui nécessite une attaque sur l'infrastructure de récupération ou sur le TPM de l'ordinateur original.

  • Il fournit un chiffrement de volume complet en chiffrant l'intégralité du contenu des volumes protégés, y compris les fichiers utilisés par Windows Vista, le secteur de démarrage, et l'espace chutes (slack space) précédemment alloué aux fichiers en cours d'utilisation. Ce système empêche donc un utilsateur malveillant de récupérer des informations utiles en analysant une portion du disque sans récupérer la clé.

Les mécanismes de récupération existent pour les utilisateurs autorisés confrontés à des situations légitimes nécessitant une récupération. Par exemple, en cas d'échec de validation du TPM à cause d'une mise à jour nécessaire, parce que la carte mère contenant le TPM est remplacée, ou parce que le lecteur de disque dur qui contient le volume du système d'exploitation est déplacé vers un autre ordinateur, le système entre en mode de récupération et l'utilisateur doit se servir d'une clé de récupération stockée sur un périphérique USB ou dans le service d'annuaire Active Directory® pour récupérer l'accès au volume.

Le processus de récupération est identique pour tous les scénarios de BitLocker. Si la clé de récupération est physiquement séparée de l'ordinateur (et qu'elle n'est donc pas perdue avec lui), et que l'attaque n'est pas effectuée par un employé interne (comme un administrateur du domaine), les attaques contre la clé de récupération sont particulièrement complexes.

Une fois que BitLocker authentifie l'accès à un volume de système d'exploitation protégé, le pilote de filtre du système de fichiers de BitLocker utilise une clé de chiffrement de volume complet (FVEK) pour chiffrer et déchiffrer de façon transparente les secteurs de disques à mesure que des données sont lues sur le volume protégé, ou qu'elles y sont écrites. Lorsque l'ordinateur est en veille prolongée, un fichier de veille prolongée chiffré est sauvegardé sur le volume protég. Sous réserve d'une authentification d'accès, ce fichier sauvegardé est déchiffré lorsque l'ordinateur quitte le mode de veille prolongée.

BitLocker prend en charge différentes options, selon la capacité matérielle du périphérique de calcul et le niveau de sécurité souhaité. Ces options comprennent :

  • BitLocker avec TPM

  • BitLocker avec périphérique USB

  • BitLocker avec TPM et numéro d'identification personnel (PIN)

  • BitLocker avec TPM et USB

Sur cette page

Option de BitLocker : BitLocker avec TPM
Option de BitLocker : BitLocker avec un périphérique USB
Option de BitLocker : BitLocker avec TPM et PIN
Option de BitLocker : BitLocker avec TPM et périphérique USB
Analyse de risques avec BitLocker : Résumé
Plus d'informations

Option de BitLocker : BitLocker avec TPM

BitLocker avec TPM nécessite un ordinateur avec un matériel TPM version 1.2. Cette option est transparente pour l'utilisateur parce que la procédure de démarrage n'est pas du tout modifiée, et qu'aucun mot de passe ou matériel supplémentaire n'est nécessaire.

Le mode d'authentification TPM seul fournit l'expérience utilisateur la plus transparente pour les entreprises qui ont besoin d'un niveau basique de protection de données pour répondre à leurs stratégies de sécurité. Le mode TPM seul est aussi le plus facile à déployer, à gérer et à utiliser. Ce mode pourrait également être le plus approprié pour les ordinateurs qui sont autonomes ou doivent redémarrer sans intervention.

Cependant, le mode TPM seul est la solution qui offre la plus faible protection des données. Il assure en effet une protection contre des attaques qui modifient des composants de prédémarrage, mais le niveau de protection peut être affecté par des faiblesses potentielles dans le matériel ou dans les composants de prédémarrage. Les modes d'authentification multifacteur de BitLocker peuvent limiter l'efficacité de la plupart de ces attaques.

Si certains services de votre entreprise possèdent des données extrêmement sensibles sur leurs ordinateurs mobiles, la meilleure méthode pourrait être de déployer BitLocker avec une authentification multifacteur sur ces ordinateurs. Le fait d'exiger des utilisateurs qu'ils saisissent un code PIN ou insèrent une clé USB de démarrage rend l'attaque de données sensibles plus difficile.

L'illustration suivante indique le flux logique du processus de déchiffrement dans cette option.

Figure 2.1. Processus de déchiffrement de BitLocker avec TPM

Les étapes de la séquence illustrée sont les suivantes :

  1. Le BIOS démarre et initialise le TPM. Les composants de confiance/mesurés interagissent avec le TPM pour stocker les mesures des composants dans les registres de configuration de plate-forme (PCR) du module TPM.

  2. Si les valeurs du PCR correspondent aux valeurs attendues, le TPM utilise la clé racine de stockage (SRK) pour déchiffrer la clé principale de volume (VMK).

  3. La clé FVEK chiffrée est lue à partir du volume et la clé VMK déchiffrée est utilisée pour la déchiffrer.

  4. Les secteurs du disque sont déchiffrés avec la FVEK à mesure que le système y accède.

  5. Les données en texte clair sont fournies aux applications et aux processus.

La sécurisation de la VMK est une façon indirecte de protéger les données présentes sur le volume du disque. L'ajout de la VMK permet au système de renouveler facilement une clé lorsque des clés en amont dans la chaîne de confiance sont perdues ou compromises, parce que le chiffrement et le déchiffrement de l'intégralité du volume du disque serait coûteux.

Comme décrit dans le processus précédent, BitLocker empêche le déchiffrement du volume et le chargement du système d'exploitation si la solution détecte des modifications dans le code de la partition MBR, le secteur de démarrage NTFS, le bloc de démarrage NTFS, le gestionnaire de démarrage ou d'autres composants essentiels.

Risques réduits : BitLocker avec TPM

L'option BitLocker avec TPM réduit les risques qui pèsent sur les données :

  • Découverte de la clé par une attaque hors connexion. La VMK est chiffrée à l'aide de la SRK, une clé conservée dans le matériel TPM. La VMK est ensuite utilisée pour chiffrer la FVEK. Pour déchiffrer les données sur un volume chiffré, l'utilisateur malveillant devra mener une attaque par force brute pour déterminer la valeur de la FVEK.

Notes

Par défaut, BitLocker utilise l'algorithme AES-128, complété par le diffuseur Elephant à 128 bits. (Pour plus de détails sur le rôle du diffuseur dans le renforcement de la sécurité dans BitLocker, reportez-vous au livre blanc BitLocker Drive Encryption AES-CBC + Elephant diffuser.) Vous pouvez également configurer BitLocker pour qu'il utilise AES-256 avec la version 256 bits d'Elephant, AES-128 en mode normal ou AES-256 en mode normal. Reportez-vous à la documentation de Windows Vista pour plus de détails sur la sélection de la puissance de chiffrement de BitLocker.

  • Attaques hors connexion contre le système d'exploitation. Les attaques hors connexion contre le système d'exploitation sont réduites du fait que, pour réussir son action, un utilisateur malveillant devrait parvenir à récupérer la SRK à partir du TPM, puis à l'utiliser pour déchiffrer la VMK, ou mener une attaque par force brute sur la FVEK. De plus, BitLocker configuré avec une technologie de diffuseur (activée par défaut) réduit ces attaques précisément ciblées, car de petites modifications au texte chiffré se propageraient sur une zone étendue.

  • Fuites de données en texte clair par le fichier de veille prolongée. BitLocker a pour objectif de protéger les données sur un volume de système d'exploitation du lecteur de disque dur lorsque l'ordinateur est éteint ou mis en mode de veille prolongée. Lorsque BitLocker est activé, le fichier de mise en veille prolongée est chiffré.

  • Fuites de données de texte chiffré par le fichier d'échange du système. Lorsque BitLocker est activé, le fichier d'échange système est chiffré.

  • Erreur commise par l'utilisateur. Étant donné que BitLocker est une technologie de chiffrement du volume complet, il chiffre tous les fichiers stockés dans le volume du système Windows Vista. Cette fonctionnalité contribue à éviter aux utilisateurs de faire de mauvais choix en matière de chiffrement (ou non) des données.

Autres risques et réduction de ces risques : BitLocker avec TPM

L'option BitLocker avec périphérique USB ne réduit pas les risques suivants sans contrôles et stratégie supplémentaires :

  • Ordinateur laissé en veille prolongée. L'état de l'ordinateur portable et les clés de chiffrement de BitLocker ne sont pas modifiés lorsque l'ordinateur portable entre en mode veille. Ce risque peut être réduit en activant le paramètre Demander un mot de passe lorsque l'ordinateur quitte la mise en veille.

  • Ordinateur laissé en mode veille. Tout comme en mode veille prolongée, l'état de l'ordinateur portable et les clés de chiffrement de BitLocker ne sont pas modifiés lorsque l'ordinateur portable entre en mode veille. Lorsqu'il en sort, la FVEK reste accessible à l'ordinateur. Ce risque peut être réduit en activant le paramètre Demander un mot de passe lorsque l'ordinateur quitte la mise en veille.

  • Ordinateur laissé connecté, avec le Bureau déverrouillé. Une fois l'ordinateur démarré et la VMK déchiffrée, toute personne ayant accès au clavier peut accéder aux données déchiffrées. Le meilleur moyen de réduire ce risque est de dispenser une formation de sensibilisation à la sécurité aux utilisateurs susceptibles de posséder des informations sensibles sur leur ordinateur.

  • Découverte du mot de passe local/de domaine. Puisque le TPM est fixé de façon permanente à l'ordinateur, il n'est pas considéré comme une seconde information d'identification pour l'authentification ou l'accès aux fichiers chiffrés. Si le mot de passe d'un utilisateur est compromis, la solution de chiffrement l'est également. Ce risque peut être réduit en formant les utilisateurs à créer des mots de passe sûrs, à ne pas les partager, ni à les écrire dans des endroits faciles d'accès. Les stratégies de mots de passe réseau forts peuvent empêcher une attaque de type dictionnaire par un pirate utilisant des outils largement répandus.

  • Le personnel interne peut lire des données chiffrées. BitLocker avec TPM n'exige pas d'informations d'authentification autres qu'un mot de passe de compte utilisateur valide pour accéder à toutes les données chiffrées sur l'ordinateur. C'est pourquoi tout compte utilisateur qui se connecte sur l'ordinateur peut accéder à certains des fichiers ou à tous les fichiers chiffrés par BitLocker comme si BitLocker n'était pas activé. Pour réduire le plus efficacement ce risque, il faut exiger un deuxième facteur d'authentification pour pouvoir utiliser l'ordinateur (ce qui est possible avec d'autres options BitLocker), ou contrôler étroitement les stratégies d'autorisation d'accès à chaque ordinateur. Un déploiement adapté d'EFS peut également réduire sensiblement ce risque.

  • Attaques en ligne contre le système d'exploitation. Cette option ne réduit pas les risques d'attaques en ligne contre le système d'exploitation. Si un utilisateur malveillant parvient à desceller le volume et provoquer un démarrage normal, le système d'exploitation pourrait être la cible de différentes attaques, comme des attaques d'élévation des privilèges ou d'exécution de code à distance.

  • Attaques de plate-forme. Un ordinateur configuré avec BitLocker dans son mode basique (TPM seul) démarre et charge le système d'exploitation jusqu'à l'interface des informations d'identification de l'utilisateur (le service Winlogon) de Microsoft Windows® sans nécessiter d'autres éléments d'authentification de BitLocker. Pour charger le système d'exploitation à partir du volume chiffré, l'ordinateur doit obtenir un accès privilégié aux clés de chiffrement. Cette procédure est sécurisée parce qu'elle s'exécute au sein d'une base de calcul de confiance (TCB) validée à l'aide du TPM. Toute attaque contre la plate-forme, comme un accès direct à la mémoire (DMA) sur le bus PCI, pourrait provoquer la divulgation des éléments de clé.

  • Facteur d'authentification requis laissé sur l'ordinateur. Le TPM fournit une couche supplémentaire de sécurité, parce qu'il est nécessaire au déchiffrement d'un volume scellé. Cette fonctionnalité offre une protection contre les attaques qui déplacent le volume chiffré d'un ordinateur à un autre. Cependant, puisque le TMP ne peut pas être retiré de l'ordinateur, il est par définition toujours présent et ne fournit pas la même puissance qu'un facteur d'authentification complètement indépendant. Le TPM n'offre aucune protection si un utilisateur malveillant découvre des informations d'authentification supplémentaires, comme le mot de passe du compte de l'utilisateur sur l'ordinateur (pour BitLocker avec TPM seul), le jeton USB de l'utilisateur ou son PIN BitLocker.

Haut de page

Option de BitLocker : BitLocker avec un périphérique USB

BitLocker apporte une prise en charge du chiffrement de volume entier sur les ordinateurs qui ne possèdent pas de processeur TPM version 1.2. Même si cette solution ne propose pas la protection supplémentaire fournie par le TPM, plusieurs entreprises nécessitant une solution de chiffrement basique peuvent se satisfaire de l'option BitLocker avec périphérique USB lorsqu'elle est associée à des stratégies telles que l'utilisation de mots de passe utilisateur sûrs et le paramètre Demander un mot de passe lorsque l'ordinateur quitte la mise en veille ou la veille prolongée.

Puisque cette option n'inclut pas de TPM, il n'y a aucune opération de scellement/déscellement sur la VMK. Au lieu de cela, la VMK est chiffrée et déchiffrée par des mécanismes logiciels traditionnels qui utilisent une clé symétrique présente sur le périphérique USB. Une fois le périphérique USB inséré dans l'ordinateur, BitLocker récupère la clé et déchiffre la clé VMK. La VMK est ensuite utilisée pour déchiffrer la FVEK, comme le montre l'illustration suivante.

Figure 2.2. Processus de déchiffrement de BitLocker avec un périphérique USB

Les étapes de la séquence illustrée sont les suivantes :

  1. Le système d'exploitation démarre et demande à l'utilisateur d'insérer un périphérique USB qui contient la clé USB.

  2. La VMK est déchiffrée avec la clé présente sur le périphérique USB.

  3. La clé FVEK chiffrée est lue sur le volume et la clé VMK déchiffrée utilisée pour la déchiffrer.

  4. Les secteurs du disque sont déchiffrés avec la FVEK à mesure que le système y accède.

  5. Les données en texte clair sont fournies aux applications et aux processus.

Risques réduits : BitLocker avec un périphérique USB

L'option BitLocker avec un périphérique USB réduit les risques suivants d'accès aux données :

  • Ordinateur laissé en veille prolongée. Après une veille prolongée, BitLocker exigera une nouvelle authentification à l'aide du périphérique USB.

  • Découverte du mot de passe local/de domaine. BitLocker avec un périphérique USB demandera un facteur d'authentification autre qu'un mot de passe utilisateur valide pour accéder aux données chiffrées présentes sur l'ordinateur.

  • Le personnel interne peut lire des données chiffrées. Identique à l'explication précédente sur la réduction des risques.

  • Découverte de la clé par une attaque hors connexion. La VMK est chiffrée par une clé sur le périphérique USB. Si le périphérique USB n'est pas disponible, l'utilisateur malveillant devra monter une attaque par force brute pour déterminer la valeur de la FVEK.

  • Attaques hors connexion contre le système d'exploitation. La VMK est chiffrée par une clé sur le périphérique USB. Si le périphérique USB n'est pas disponible, l'utilisateur malveillant devra manipuler des milliers de secteurs qui contiennent des modules de système d'exploitation (ce qui équivaut à une attaque par force brute) pour déterminer la valeur de la FVEK. De plus, BitLocker configuré avec une technologie de diffuseur (activée par défaut) réduit les attaques précisément ciblées, car de petites modifications au texte chiffré se propageraient sur une zone étendue.

  • Fuites de données en texte clair par le fichier de veille prolongée. BitLocker a pour objectif de protéger les données du volume du système d'exploitation du lecteur de disque dur lorsque l'ordinateur est éteint ou mis en mode veille prolongée. Lorsque BitLocker est activé, le fichier de mise en veille prolongée est chiffré.

  • Fuites de données de texte chiffré par le fichier d'échange du système. Lorsque BitLocker est activé, le fichier d'échange système est chiffré.

  • Erreur commise par l'utilisateur. Étant donné que BitLocker est une technologie de chiffrement du volume complet, il chiffre tous les fichiers stockés dans le volume du système Windows Vista. Cette fonctionnalité contribue à éviter aux utilisateurs de faire de mauvais choix en matière de chiffrement (ou non) des données.

Risques résiduels et réduction de ces risques : BitLocker avec un périphérique USB

L'option BitLocker avec périphérique USB ne réduit pas les risques suivants sans contrôles et stratégie supplémentaires :

  • Ordinateur laissé en mode veille. L'état de l'ordinateur portable et les clés de chiffrement de BitLocker ne sont pas modifiés lorsque l'ordinateur portable entre en mode veille. Lorsqu'il en sort, la FVEK reste accessible à l'ordinateur. Ce risque peut être réduit en activant le paramètre Demander un mot de passe lorsque l'ordinateur quitte la mise en veille.

  • Ordinateur laissé connecté, avec le Bureau déverrouillé. Une fois l'ordinateur démarré et la VMK déchiffrée, toute personne qui a accès au clavier peut accéder aux données déchiffrées. Le meilleur moyen de réduire ce risque est de dispenser une formation de sensibilisation à la sécurité aux utilisateurs susceptibles de posséder des informations sensibles sur leur ordinateur.

  • Attaques en ligne contre le système d'exploitation. Cette option ne réduit pas les risques d'attaques en ligne contre le système d'exploitation. Si un utilisateur malveillant peut provoquer un démarrage normal en fournissant le périphérique USB au moment du démarrage, le système d'exploitation peut faire l'objet de diverses attaques, comme des attaques d'élévation des privilèges ou d'exécution de code à distance.

  • Attaques de plate-forme. Un ordinateur configuré avec BitLocker et un périphérique USB démarre et charge le système d'exploitation jusqu'à l'interface des informations d'identification de l'utilisateur (le service Winlogon) en utilisant la clé contenue dans le périphérique USB. Toute attaque contre la plate-forme, comme un DMA sur le bus PCI ou via les interfaces IEEE 1394, pourrait provoquer la divulgation de l'élément de clé.

  • Facteur d'authentification requis laissé sur l'ordinateur. Le périphérique USB est un facteur d'authentification physique unique, et la solution de chiffrement en dépend. Il est possible qu'un utilisateur distrait ou non formé à la sécurité conserve le périphérique USB dans la même sacoche que le PC mobile, ce qui expose celui-ci à un vol éventuel. Le risque de perdre le périphérique USB et l'ordinateur en même temps peut être réduit à l'aide d'un deuxième facteur d'authentification (non physique), comme un PIN ou un mot de passe.

Haut de page

Option de BitLocker : BitLocker avec TPM et PIN

Un ordinateur avec un processeur TPM version 1.2 et un BIOS qui prennent en charge BitLocker peut être configuré pour exiger deux facteurs de déchiffrement pour les données précédemment chiffrées avec BitLocker. Le premier facteur est le TPM, le second est un PIN.

Notes

Pour les entreprises soucieuses de sécurité, Microsoft recommande l'utilisation de BitLocker avec TPM et PIN, parce que cette solution ne comporte aucun jeton externe risquant d'être perdu ou attaqué.

L'ajout d'une demande de PIN sur un ordinateur sur lequel BitLocker est activé augmente de façon significative la sécurité de la technologie BitLocker, aux dépens de sa facilité d'utilisation et de gestion. Dans cette option, l'utilisateur doit saisir deux mots de passe pour utiliser son ordinateur : un pour BitLocker (au démarrage) et un pour l'ordinateur ou le domaine lors de la connexion. Les deux mots de passe doivent être (et seront probablement) différents, parce que le PIN n'accepte que les caractères numériques saisis avec les touches de fonction et la plupart des stratégies de mot de passe de domaine rejettent les mots de passe entièrement numériques.

Si le PIN fournit une sécurité supplémentaire, il peut tout de même être la cible d'utilisateurs malveillants très patients et déterminés. BitLocker traite le PIN avant qu'un clavier localisé ne soit disponible : seules les touches de fonction (F0 - F9) peuvent donc être utilisées. Cette fonctionnalité limite l'entropie de la clé et rend possibles les attaques par force brute, même si elles ne sont pas très rapides. Heureusement, le mécanisme PIN du TPM est conçu pour résister aux attaques par dictionnaire. Les détails varient selon les fournisseurs, mais tous ajoutent un délai croissant lors de la saisie d'un PIN erroné avant d'autoriser une nouvelle tentative. Ce délai ralentit toute attaque potentielle par force brute, ce qui la rend inefficace. Ce délai de saisie est appelé protection anti-hammering. Les utilisateurs peuvent réduire ce risque d'attaques du PIN?par force brute en choisissant des numéros d'identification relativement sûrs, avec sept chiffres et au moins quatre valeurs uniques. Pour plus d'informations sur le choix de PIN sûrs, consultez le blog de l'équipe chargée de l'intégrité système sur MSDN.

La version actuelle de BitLocker ne fournit pas de prise en charge directe de la sauvegarde du PIN. Puisque l'utilisateur doit retenir deux mots de passe, il est particulièrement Important :de créer une clé de récupération de BitLocker qui servira si l'utilisateur oublie son PIN BitLocker.

L'illustration suivante décrit le flux logique du processus de déchiffrement avec l'option BitLocker avec TPM et PIN.

Figure 2.3. Processus de déchiffrement de BitLocker avec TPM et PIN

Les étapes de la séquence illustrée sont les suivantes :

  1. Le BIOS démarre et initialise le TPM. Les composants de confiance/mesurés interagissent avec le TPM pour stocker les mesures des composants dans les registres de configuration de plate-forme (PCR) du module TPM. Le système demande un PIN à l'utilisateur.

  2. La VMK est déchiffrée par le TPM à l'aide de la SRK si les valeurs du PCR correspondent aux valeurs attendues et que le PIN est correct.

  3. La clé FVEK chiffrée est lue sur le volume et la clé VMK déchiffrée est utilisée pour la déchiffrer.

  4. Les secteurs du disque sont déchiffrés avec la FVEK à mesure que le système y accède.

  5. Les données en texte clair sont fournies aux applications et aux processus.

Cette option diffère de l'option BitLocker avec TPM de base car le PIN est associé à la clé du TPM pour sceller la VMK. Une fois la clé descellée, BitLocker fonctionne de la même manière que dans l'option de base.

Risques réduits : BitLocker avec TPM et PIN

L'option BitLocker avec TPM et PIN réduit les risques d'accès aux données suivants :

  • Ordinateur laissé en veille prolongée. BitLocker avec TPM et PIN réduit ce risque, parce que l'utilisateur doit saisir le PIN lorsque l'ordinateur portable quitte le mode de veille prolongée.

  • Découverte du mot de passe local/de domaine. L'option BitLocker avec TPM et PIN possède l'avantage de proposer un autre facteur, ou information personnelle, qui doit être fourni(e) pour démarrer l'ordinateur ou quitter le mode de veille prolongée. Le bénéfice est significatif pour les utilisateurs exposés aux attaques d'ingénierie sociale ou qui utilisent leur mot de passe de Windows sur des ordinateurs non autorisés.

  • Le personnel interne peut lire des données chiffrées. Un utilisateur qui possède un compte de domaine autorisé doit se connecter à l'ordinateur, ce qui nécessite qu'il soit démarré. Un utilisateur qui dispose d'un compte de domaine autorisé mais ne possède pas le facteur d'authentification supplémentaire ne pourra pas démarrer l'ordinateur pour s'y connecter. Aucune donnée n'est accessible à partir de l'ordinateur lorsqu'un utilisateur ne connaît pas le PIN, même pour un utilisateur du domaine qui pourrait par ailleurs se connecter à l'ordinateur avec la stratégie de domaine.

  • Découverte de la clé par une attaque hors connexion. La VMK est chiffrée à l'aide d'une clé contenue dans le matériel TPM combinée à un PIN. Sans le PIN, un utilisateur malveillant devrait monter une attaque par force brute pour déterminer la valeur de la FVEK.

  • Attaques hors connexion contre le système d'exploitation. La VMK est chiffrée à l'aide d'une clé contenue dans le matériel TPM combinée à un PIN. Sans le PIN, un utilisateur malveillant devrait monter une attaque par force brute pour déterminer la valeur de la FVEK et l'utiliser pour déchiffrer le volume afin d'attaquer les fichiers du système d'exploitation.

  • Fuites de données en texte clair par le fichier de veille prolongée. L'un des principaux objectifs de BitLocker est la protection des données du volume de système d'exploitation du disque dur lorsque l'ordinateur est éteint ou mis en mode de veille prolongée. Lorsque BitLocker est activé, le fichier de mise en veille prolongée est chiffré.

  • Fuites de données de texte chiffré par le fichier d'échange du système. Lorsque BitLocker est activé, le fichier d'échange système est chiffré.

  • Facteur d'authentification requis laissé sur l'ordinateur. Le PIN constitue un second facteur d'authentification non physique qui ne peut pas être perdu avec l'ordinateur, à moins qu'il ne soit noté quelque part (sur un morceau de papier, par exemple).

  • Erreur commise par l'utilisateur. Étant donné que BitLocker est une technologie de cryptage du volume complet, il chiffre tous les fichiers stockés sur le volume du système Windows Vista. Cette fonctionnalité contribue à éviter aux utilisateurs de faire de mauvais choix en matière de chiffrement (ou non) des données.

Risques résiduels et réduction de ces risques : BitLocker avec TPM et PIN

L'option BitLocker avec TPM et PIN ne réduit pas les risques suivants sans contrôles et stratégie supplémentaires :

  • Ordinateur laissé en mode veille. L'état de l'ordinateur portable et les clés de chiffrement de BitLocker ne sont pas modifiés lorsque l'ordinateur portable entre en mode veille. Lorsqu'il en sort, la FVEK reste accessible à l'ordinateur. Ce risque peut être réduit en activant le paramètre Demander un mot de passe lorsque l'ordinateur quitte la mise en veille.

  • Ordinateur laissé connecté, avec le Bureau déverrouillé. Une fois l'ordinateur démarré et la VMK déchiffrée, toute personne qui a accès au clavier peut accéder aux données déchiffrées. Le meilleur moyen de réduire ce risque est de dispenser une formation de sensibilisation à la sécurité aux utilisateurs susceptibles de posséder des informations sensibles sur leur ordinateur.

  • Attaques en ligne contre le système d'exploitation. Cette option ne réduit pas les risques d'attaques en ligne contre le système d'exploitation.

  • Attaques de plate-forme. Un ordinateur configuré avec BitLocker, un TPM et un PIN utilisateur démarre et charge le système d'exploitation jusqu'à l'interface des informations d'identification de l'utilisateur (le service Winlogon) de Microsoft, une fois le PIN utilisateur saisi. Tant que l'utilisateur n'a pas saisi le PIN, les attaques de plate-forme ne peuvent pas récupérer d'éléments de clé. Une fois le PIN entré, de telles attaques peuvent mener à la divulgation d'éléments de clé.

Haut de page

Option de BitLocker : BitLocker avec TPM et périphérique USB

Dans l'option précédente, BitLocker était configuré pour utiliser un PIN comme second facteur d'authentification avec le TPM. Il est également possible d'utiliser un périphérique USB comme alternative au PIN. Dans cette option, le système demande à l'utilisateur d'insérer le périphérique USB au moment du démarrage ou lorsqu'il quitte le mode de veille prolongée.

L'illustration suivante décrit le flux logique du processus de déchiffrement dans l'option BitLocker avec TMP et USB.

Figure 2.4. Processus de déchiffrement de BitLocker avec TPM et périphérique USB

Les étapes de la séquence illustrée sont les suivantes :

  1. Le BIOS démarre et initialise le TPM. Les composants de confiance/mesurés interagissent avec le TPM pour stocker les mesures des composants dans les registres de configuration de plate-forme (PCR) du module TPM.

  2. Le système demande à l'utilisateur de fournir le périphérique USB qui contient la clé de BitLocker.

  3. Une clé intermédiaire est déchiffrée par le TPM en utilisant la SRK si les valeurs du PCR correspondent aux valeurs attendues. Cette clé intermédiaire est associée à la clé du périphérique USB pour produire une autre clé intermédiaire qui est utilisée pour déchiffrer la VMK.

  4. La clé FVEK chiffrée est lue sur le volume et la clé VMK déchiffrée est utilisée pour la déchiffrer.

  5. Les secteurs du disque sont déchiffrés avec la FVEK à mesure que le système y accède.

  6. Les données en texte clair sont fournies aux applications et aux processus.

Cette option est différente des options BitLocker avec TPM de base ou BitLocker avec TPM et PIN, car l'élément de clé stocké sur USB est associé à la clé du TPM pour déchiffrer la VMK. Une fois la clé descellée, BitLocker fonctionne de la même manière que dans l'option de base.

Risques réduits : BitLocker avec TPM et périphérique USB

L'option BitLocker avec TPM et périphérique USB réduit les risques d'accès aux données suivants :

  • Ordinateur laissé en veille prolongée. Après une veille prolongée, BitLocker exigera une nouvelle authentification à l'aide du périphérique USB.

  • Découverte du mot de passe local/de domaine. Comme dans l'option précédente, le principal avantage de l'option BitLocker avec TPM et USB est qu'un autre facteur d'authentification est requis pour démarrer l'ordinateur ou le faire sortir du mode de veille prolongée.

  • Le personnel interne peut lire des données chiffrées. Puisque cette option ajoute un facteur d'authentification, elle réduit le risque qu'un utilisateur non autorisé possédant un compte valide puisse démarrer l'ordinateur, se connecter et lire des données chiffrées.

  • Découverte de la clé par une attaque hors connexion. Sans le périphérique USB, un utilisateur malveillant devra monter une attaque par force brute contre la clé conservée sur le périphérique USB pour déterminer la valeur de la FVEK.

  • Attaques hors connexion contre le système d'exploitation. Sans le périphérique USB, un utilisateur malveillant devra monter une attaque par force brute contre la clé conservée sur le périphérique USB pour parvenir à attaquer le système d'exploitation.

  • Fuites de données de texte en clair par le fichier de mise en veille prolongée. L'un des principaux objectifs de BitLocker est la protection des données du volume du système d'exploitation du disque dur lorsque l'ordinateur est éteint ou mis en mode de veille prolongée. Lorsque BitLocker est activé, le fichier de mise en veille prolongée est chiffré.

  • Fuites de données de texte chiffré par le fichier d'échange du système. Sous Windows Vista, le fichier d'échange est chiffré à l'aide d'une clé symétrique temporaire générée au moment du démarrage mais qui n'est jamais écrite sur le disque. Une fois le système éteint, cette clé disparaît : la récupération de données à partir de ce fichier d'échange nécessiterait une attaque par force brute pour trouver la clé symétrique utilisée pour crypter le fichier d'échange.

  • Erreur commise par l'utilisateur. Étant donné que BitLocker est une technologie de cryptage du volume complet, il chiffre tous les fichiers stockés dans le volume du système Windows Vista. Cette fonctionnalité contribue à éviter aux utilisateurs de faire de mauvais choix en matière de chiffrement (ou non) des données.

Risques résiduels et réduction de ces risques : BitLocker avec TPM et périphérique USB

L'option BitLocker avec TPM et périphérique USB ne réduit pas les risques suivants sans contrôles et stratégie supplémentaires :

  • Ordinateur laissé en mode veille. L'état de l'ordinateur portable et les clés de chiffrement de BitLocker ne sont pas modifiés lorsque l'ordinateur portable entre en mode veille. Lorsqu'il en sort, la FVEK reste accessible à l'ordinateur. Ce risque peut être réduit en activant le paramètre Demander un mot de passe lorsque l'ordinateur quitte la mise en veille.

  • Ordinateur laissé connecté, avec le Bureau déverrouillé. Une fois l'ordinateur démarré et la VMK déchiffrée, toute personne qui a accès au clavier peut accéder aux données déchiffrées. Le meilleur moyen de réduire ce risque est de dispenser une formation de sensibilisation à la sécurité aux utilisateurs susceptibles de posséder des informations sensibles sur leur ordinateur.

  • Attaques en ligne contre le système d'exploitation. Un utilisateur malveillant qui pourrait provoquer un démarrage normal en fournissant le périphérique USB dans le cadre du processus de démarrage pourrait monter diverses attaques, comme des attaques d'élévation des privilèges ou des attaques qui pourraient être exploitées à distance.

  • Attaques de plate-forme. Un ordinateur configuré avec BitLocker, un TPM et un périphérique USB démarre et charge le système d'exploitation jusqu'à l'interface des informations d'identification de l'utilisateur (le service Winlogon). Des attaques de plate-forme pourraient provoquer une divulgation de l'élément de clé.

  • Facteur d'authentification requis laissé sur l'ordinateur. Le périphérique USB est un facteur d'authentification physique unique, et la solution de chiffrement en dépend. Le risque de perdre l'ordinateur et le périphérique USB en même temps peut être réduit en exigeant un deuxième facteur d'authentification comme un PIN ou un mot de passe.

Haut de page

Analyse de risques avec BitLocker : Résumé

Le tableau suivant dresse la liste des risques d'accès aux données et indique dans quelle mesure les différentes options de BitLocker permettent (ou non) de les réduire. Les risques réduits pour certaines options sont marqués de la lettre Y. Les tirets - indiquent des risques pour lesquels l'option offre peu ou aucune réduction.

Tableau 2.1. Réduction des risques avec BitLocker


Haut de page

Plus d'informations

Télécharger

Obtenir les Outils pour le chiffrement des données pour PC mobiles

Participez

Inscrivez-vous pour participer au programme Data Encryption Toolkit version Bêta

Notifications de mise à jour

Abonnez-vous aux mises à jour et aux nouvelles versions

Commentaires

Envoyez-nous vos commentaires et vos suggestions.

Haut de page