Il y a un an, je décrivais ici même les précautions que vous pouvez prendre avant de partir en vacances l’esprit tranquille quant à vos données à la maison : faites des sauvegardes et chiffrez les données qui restent derrière vous. L’idée est que vos données soient protégées même en cas de vol du PC ou de non-redémarrage au retour de vacances. Ces conseils sont toujours d’actualités.

Aujourd’hui je vais profiter du fait que je suis en train de préparer un départ proche, pour vous faire profiter de l’utilisation de BitLocker dans Windows 7 Ultimate pour protéger les données qui restent sur place. Cette manipulation est valable pour la RC de Windows 7, et le sera à l’identique pour la version Ultimate (Intégrale) finale.

Cette machine contient deux disques internes : le disque du système et un disque de données. Comme c’est une machine de bureau et qu’elle date  un peu, elle ne dispose pas d’un TPM. Il faudra donc utiliser une clé USB pour que Windows récupère la clé BitLocker lors de son démarrage.

AVERTISSEMENT : Ne chiffrez pas votre disque à moins de comprendre le mécanisme de BitLocker, de disposer d’au moins deux clés USB formatées en FAT, et d’être certain de ne pas perdre ces deux clés. Une fois votre disque chiffré, si vous perdez la clé, personne ne pourra absolument rien pour vous, vos données seront perdues à jamais.

1. Chiffrement du disque C: (système)

Donc la première étape est de configurer BitLocker pour qu’il accepte de fonctionner dans ce mode “clé USB”, sans TPM. Pour ceci, lancez gpedit.msc, puis sélectionnez le nœud Computer Configuration – Administrative Templates – Windows Components – BitLocker Drive Encryption – Operating System Drives :

Double-cliquez sur Require additional authentication at startup :

Sélectionnez Enabled pour activer la stratégie, et cochez la case Allow BitLocker without a compatible TPM. Les explications se trouvent dans le texte de droite. Validez et fermez gpedit.

Dans l’explorateur Windows, cliquez à droite sur le Disque C et sélectionnez Turn on BitLocker.

L’assistant BitLocker démarre :

Sélectionnez Require a Startup key at every startup. Si ce n’est déjà fait, connectez la clé USB choisie pour abriter la clé de chiffrement BitLocker. L’assistant vous montre la clé USB connectée :

Sélectionnez la clé USB et cliquez sur Save.

Cette étape vous propose de faire une ou plusieurs copies du mot de passe de récupération BitLocker. Je vous conseille de faire deux choses : imprimez le mot de passe grâce à la troisième option Print the recovery key, puis sauvegardez le mot de passe sur la même clé USB que la clé BitLocker, grâce à la première option Save the recovery key to a USB flash drive.

Conservez le papier sur lequel vous avez imprimé le mot de passe en lieu sûr.

Une fois ces deux sauvegardes effectuées, cliquez sur Next.

Cette étape est très importante : elle consiste à vérifier que votre PC parvient à lire la clé USB lors du démarrage, ce qui est nécessaire pour le fonctionnement de BitLocker sans TPM. Assurez-vous que la case Run BitLocker system check est bien cochée, puis cliquez sur Continue.

Cliquez sur Restart now pour effectuer la vérification. Après le redémarrage, ouvrez une session avec le même compte utilisateur que précédemment.

Au redémarrage, en cas de problème avec la vérification, un message vous en préviendra. Arrêtez ici : il est inutile, et dangereux, de continuer plus loin. Au mieux, retentez l’opération depuis le début avec une autre clé USB.

Si aucun message ne vient vous avertir d’un problème, la vérification a réussi et le chiffrement du disque est en train de commencer. Vous verrez un icône de BitLocker dans la zone de notification de Windows 7 :

En cliquant sur l’icône vous pouvez suivre la progression du chiffrement (patience… le chiffrement de mon disque SATA2 de 500 Go a pris plusieurs heures.)

Vous remarquerez aussi que pendant le chiffrement, le disque C apparaît complètement saturé :

C’est tout à fait normal et cela ne dure que le temps du chiffrement. Pendant ce temps, vous pouvez observer le statut de BitLocker dans une ligne de commande en tant qu’administrateur, avec la commande manage-bde –status :

De même vous pouvez consulter les protecteurs de clé pour le disque C avec la commande manage-bde –protectors –get C:

Notez que cette commande vous permet d’afficher le mot de passe de récupération.

Une fois le chiffrement terminé, vérifiez que votre machine redémarre correctement : avec la clé USB connectée, le démarrage doit se dérouler normalement. Sans la clé, BitLocker doit vous inviter à connecter la clé et à taper Echap pour redémarrer. S’il y a un problème à ce niveau, il vaut mieux déchiffrer le disque :

• Utilisez le mot de passe de récupération (recovery mode) que vous avez imprimé pour démarrer le système.
• Depuis le panneau de configuration (Control Panel – System and Security – BitLocker Drive Encryption), sélectionnez Turn Off BitLocker puis Decrypt Drive.

Si tout s’est bien déroulé jusqu’ici, il est temps de faire une deuxième copie de la clé USB. Pour ce faire, cliquez à droite sur le disque C dans l’explorateur Windows, et sélectionner Manage BitLocker. Sélectionnez alors Duplicate the startup key pour sauvegarder la clé de chiffrement sur la deuxième clé USB. Puis, refaites l’opération en sélectionnant cette fois Save or Print recovery key again pour sauvegarder à nouveau le mot de passe de récupération.

2. Chiffrement d’un disque de données interne

Si vous avez tout suivi jusqu’ici, et si vous avez comme moi un deuxième disque dur interne à protéger, il reste à chiffrer celui-ci, cette fois avec un simple mot de passe.

Dans l’explorateur Windows, cliquez à droite sur le disque de données (D: dans mon cas) et sélectionnez Turn on BitLocker.

Cochez la case Use a password to unlock the drive, et entrez (deux fois) le mot de passe que vous avez choisi. Cochez également la case Automatically unlock this drive on this computer. Notez que cette dernière option permet de déverrouiller automatiquement le disque de données, mais que la clé est stockée sur le disque C qui est déjà chiffré, donc protégée. Il n’y a donc pas de risque à ce niveau.

Cliquez sur Next.

On vous demande ensuite de sauvegarder le mot de passe de récupération (recovery key) pour ce deuxième disque. La manipulation est identique à précédemment : Imprimez le mot de passe, puis sauvegardez-le une fois sur la 1ère clé USB, et une seconde fois sur la seconde clé USB.

Une fois l’impression et les sauvegardes effectuées, cliquez sur Next.

Cliquez sur Start Encrypting pour démarrer le chiffrement. Quelques heures sont encore nécessaires, pendant lesquelles le disque de données apparaîtra comme presque plein et ne disposant que de 6 Go de libre.

Reste à s’assurer que les impressions des mots de passe de récupération seront en lieu sûr, ainsi que les deux clés USB. Personnellement je les apporte en vacances, avec les sauvegardes de mes données sur un disque dur externe compact. S’il prenait l’idée à un voleur de mettre la main sur mon PC, il n’aurait qu’une machine qui ne démarre pas et deux disques illisibles…

Bonnes vacances !

Un avis de sécurité et deux nouveaux bulletins de sécurité ont été publiés ce soir. Les versions françaises de ces bulletins seront publiés exceptionnellement plus tard (surveillez la synthèse de juillet en français les jours qui viennent) :

• Microsoft Security Advisory (973882): Vulnerabilities in Microsoft Active Template Library (ATL) Could Allow Remote Code Execution
• Microsoft Security Bulletin MS09-034 - Critical: Cumulative Security Update for Internet Explorer (972260)
• Microsoft Security Bulletin MS09-035 - Moderate: Vulnerabilities in Visual Studio Active Template Library Could Allow Remote Code Execution (969706)

Synthèse et informations complémentaires :

• Synthèse en anglais : synthèse de juillet mise à jour en 2.0 pour cette publication.
• Annonce du MSRC, détaillant clairement la nature et les implications de ces vulnérabilités.
• Article de Michael Howard détaillant la cause des vulnérabilités de MS09-035.
• Article publié sur le blog du Blue Hat sur la découverte de ces vulnérabilités.

Reportez-vous en priorité à l’avis 973882 pour plus d’informations.

Il y a des choses dans Windows qui ne changent pas. Comme le SRM par exemple. Le Security Reference Monitor est cette petite chose qui contrôle tous les accès à des objets : chaque fois qu’un processus demande à accéder à un objet (un fichier par exemple), le SRM vérifie obligatoirement les permissions sur l’objet (quels utilisateurs et/ou groupes ont le droit de faire quoi) et le jeton du processus, représentant son identité (utilisateur, groupes).

Cela se corse un peu par le réseau, notamment dans un contexte de type workgroup. Dans ce contexte, si depuis une MachineA je veux lire un fichier situé sur MachineB, je dois m’authentifier avec un compte local à MachineB, et ce compte doit avoir la permission adéquate à la fois sur le partage réseau et le fichier.

Cela est simplifié en général par deux mécanismes. Le premier est le mode de partagé simplifié (seul disponible sur les versions Home / Familiales de Windows depuis XP), dans lequel on est systématiquement authentifié en tant qu’Invité sur la machine cible. Le second, dans cas du mode de partage standard, consiste à utiliser le même compte et le même mot de passe sur les deux machines. Ainsi si MachineA\User1 et MachineB\User1 existent et ont le même mot de passe, l’authentification sera automatique.

Un détail qui a son importance ici : un autre mécanisme a été introduit depuis Windows XP : l’interdiction par défaut d’accéder à des ressources par le réseau avec un compte sans mot de passe.

Dans WIndows 7 apparaissent ce que l’on appellent les Homegroups. L’idée est de prendre en compte le fait que, dans la famille, on rencontre de plus en plus des PC individuels : chaque membre de la famille a son PC. De plus, dans la plupart des cas, chaque PC a un seul compte (l’utilisateur), qui est administrateur (d’où l’intérêt d’UAC au passage…) et sans mot de passe. D’où des problèmes sans fin avec le partage de fichiers entre les membres de la famille.

Partant également du principe qu’en général les membres de la famille veulent partager leurs fichiers (photos, vidéos, musique), le homegroup simplifie énormément la manière de procéder :

D’abord, le homegroup est fondé sur un seul mot de passe, qui est généré par le système, et peut être copié ou imprimé pour être partagé dans la famille.

Une fois le homegroup rejoint, chacun a la possibilité de choisir quelles librairies il souhaite partager avec le reste de la famille :

On peut également filtrer fichier par fichier ce que l’on souhaite partager ou non. Chacun peut ensuite accéder aux librairies partagées sur les autres ordinateurs de la famille, sans s’occuper des comptes ou des mots de passe de chacun :

Comment cela se passe-t-il ? Étant donné que des fichiers partagés sont dans le profil de l’utilisateur, l’accès ne peut pas être anonyme, ni Invité. Les utilisateurs de partagent pas leurs mots de passe, ceux-ci peuvent d’ailleurs être vides, donc la connexion ne se fait pas au nom d’un utilisateur.

Rien de magique à cela, et l’on reste bien dans le cadre d’un partage tout à fait normal. Chaque machine dans un Homegroup a un compte d’utilisateur nommé HomeGroupUser$. Ce compte appartient à un groupe nommé HomeUsers. Lancez lusrmgr.msc pour les voir. Ce groupe a les permissions sur les répertoires et fichiers partagés via les librairies.

Le contrôle d’accès est donc fait sur le compte HomeGroupUser$ qui est utilisé pour l’authentification. Le partage utilisé s’appelle Users, et correspond au dossier C:\Users. Ce partage a comme permissions BUILTIN\Administrators:F et Everyone:F (F pour Full Control), ce qui peut sembler un peu ouvert (!), mais tout le contrôle est fait sur les permissions NTFS des répertoires et fichiers : l’utilisateur du homegroup n’aura accès qu’au fichiers sur lesquels le groupe HomeUsers a des permissions.

Illustration sur la machine cible, avec l’outil ShareWatch qui affiche les connexions actives sur la machine cible :

On voit le partage Users ouvert par HomeGroupUser$, et les répertoires ouverts dans ce partage.

Suite à l’annonce de lundi 20 sur la contribution au noyau Linux des sources des composants d’intégration Hyper-V, quelques détails ont été publiés par Hank Janssen sur le blog Port25 :

• More on the Hyper-V Linux Integration Components – quelques éléments sur l’histoire du projet.
• Introduction to the Linux Integration Components – quelques détails techniques sur l’architecture des composants publiés.

Pour référence, voir également l’annonce de Greg Kroah-Hartman à la communauté Linux, ainsi que les patches dans son arborescence de test.

Mardi 28 vers 19h seront publiés deux bulletins de sécurité hors cycle donc suffisamment urgents pour justifier un déploiement immédiat. Le préavis est publié en anglais :

http://www.microsoft.com/technet/security/Bulletin/ms09-jul-ans.mspx

Il y aura un bulletin critique pour Internet Explorer (y compris IE7 et IE8), et un modéré pour Visual Studio.

Voir également l’annonce du MSRC.

Etant en congés, je n’assurerai pas un suivi ni une analyse mardi soir… En attendant je mets à jour le calendrier des bulletins.

Patchez-vous bien !

Mise à jour : il s’agit de 2 bulletins, et ajouté l’annonce du MSRC.

J’oubliais : Windows 7 est RTM. La RC est d’une telle stabilité que j’oubliais la RTM. Donc elle est là, c’est la build 7600. La grosse différence par rapport à la RC, c’est qu’en Europe nous allons devoir installer Internet Explorer...

Tout ce que vous voulez savoir sur les dates de disponibilité est ici :

When will you get Windows 7 RTM?

Pour résumer, Wndows 7 sera disponible pour les abonnés Technet et MSDN et les clients SA vers le 6 août en anglais et le 1er octobre dans les autres langues. Pour les particuliers, la date de disponibilité est le 22 octobre. Idem pour les machines préinstallées avec Windows 7.

Reste à attendre le Windows XP Mode (Windows Virtual PC) en version finale : il y aura beaucoup à dire.

La RC2 des Composants d’Intégration Linux (Linux IC’s v2 RC2) pour Hyper-V vient d’être mise à disposition sur le site Connect. Il s’agit ici de la version binaire de ces composants, pour les distributions supportées par Microsoft :

• Red Hat Enterprise Linux 5.2 (x86/x64)
• Red Hat Enterprise Linux 5.3 (x86/x64)
• SUSE Linux Enterprise Server 10 SP2 (x86/x64)
• SUSE Linux Enterprise Server 11 (x86/x64)

Ces composants en version RC2 fonctionnent pour :

• Windows Server 2008 Hyper-V
• Hyper-V Server 2008
• Windows Server 2008 R2 Hyper-V RC
• Hyper-V Server 2008 R2 RC

Cette sortie n’est pas liée à l’annonce précédente sur la mise à disposition des sources de ces composants : en attendant leur intégration dans le noyau de Linux, ces composants binaires seront maintenus pour les distributions indiquées.

Notez que le support de la souris n’est pas inclus dans ces composants. Pour cet aspect, reportez-vous au Projet Satori de Citrix.

Grande nouvelle ! Microsoft vient d’annoncer à l’occasion de l’OSCON (Open Source Convention) 2009 la mise à disposition du code source des drivers pour Linux dans l’environnement de virtualisation Hyper-V, représentant environ 20 000 lignes de code. Ces composants sont fournis sous licence GPLv2 pour compatibilité avec la licence du noyau de Linux. Outre le fait que c’est la première fois que Microsoft fournit du code sous cette licence, l’intérêt technique est que cela va permettre le fonctionnement de toute distribution Linux de façon optimisée dans Hyper-V.

Ces drivers représentent l’équivalent des composants d’intégration qui permettent aux machines virtuelles Windows d’utiliser les composants synthétiques fournis par Hyper-V : SCSI, IDE et Ethernet. Les machines virtuelles Linux pourront donc bénéficier des mêmes performances, quelle que soit leur distribution. J’attends avec impatience la mise en œuvre sur Debian et ses dérivés...

Ils sont fournis à la communauté Linux dans le cadre du Linux Driver Project, sous licence GPLv2.

Voir l’annonce.

Mise à jour 21/7/2009 : Voir également ce post pour les infos sur l’intégration de ce code dans le noyau Linux.

6 nouveaux bulletins de sécurité Microsoft ont été publiés aujourd’hui, dont 3 critiques et 3 importants. Avant cela, un nouvel avis de sécurité a été publié, indépendamment de la publication des bulletins :

• Avis de sécurité Microsoft (973472) : Une vulnérabilité dans Microsoft Office Web Components pourrait permettre l'exécution de code à distance

Synthèse :

• Synthèse en français
• Synthèse en anglais
• Annonce du MSRC, avec une vidéo sur les risques et impacts des vulnérabilités publiées

Et voici les 6 bulletins de juillet :

• Bulletin de sécurité Microsoft MS09-028 - Critique : Des vulnérabilités dans Microsoft DirectShow pourraient permettre l'exécution de code à distance (971633)
• Bulletin de sécurité Microsoft MS09-029 - Critique : Des vulnérabilités dans le moteur de polices Embedded OpenType pourraient permettre l'exécution de code à distance (961371)
• Bulletin de sécurité Microsoft MS09-030 - Important : Une vulnérabilité dans Microsoft Office Publisher pourrait permettre l’exécution de code à distance (969516)
• Bulletin de sécurité Microsoft MS09-031 - Important : Une vulnérabilité dans Microsoft ISA Server 2006 pourrait entraîner une élévation de privilèges (970953)
• Bulletin de sécurité Microsoft MS09-032 - Critique : Mise à jour de sécurité cumulative pour les kill bits ActiveX (973346) – il s’agit de la vulnérabilité concernant le contrôle ActiveX vidéo.
• Bulletin de sécurité Microsoft MS09-033 - Important : Une vulnérabilité dans Virtual PC et Virtual Server pourrait permettre une élévation de privilèges (969856)

Comme toujours, patchez-vous bien ! Même si on est un 14 juillet...