pascals.blog

Bulletins de sécurité du 10 novembre 2009

pascals — Tue, 10 Nov 2009 18:28:39 GMT

Six nouveaux bulletins de sécurité ont été publiés aujourd’hui, dont 3 critiques et 3 importants.

Synthèse :

Détail des bulletins de ce mois :

Bulletin de sécurité Microsoft MS09-063 - Critique : Une vulnérabilité dans WSDAPI (API de services Web pour périphériques) pourrait permettre l'exécution de code à distance (973565)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans WSDAPI (API de services Web pour périphériques) sur le système d'exploitation Windows. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un système Windows affecté recevait un paquet spécialement conçu. Seuls les attaquants sur le sous-réseau local pourraient exploiter cette vulnérabilité. Cette mise à jour de sécurité est de niveau « critique » pour toutes les éditions en cours de support de Windows Vista et Windows Server 2008. Pour plus d'informations, consultez la sous-section « Logiciels concernés et non concernés » plus loin dans ce Bulletin.
Bulletin de sécurité Microsoft MS09-064 - Critique : Une vulnérabilité sur le serveur d'enregistrement de licence pourrait permettre l'exécution de code à distance (974783)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows 2000. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un attaquant envoyait un message réseau spécialement conçu à un ordinateur exécutant le serveur d'enregistrement de licence. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l'extérieur de l'entreprise.
Bulletin de sécurité Microsoft MS09-065 - Critique : Des vulnérabilités dans les pilotes kernel-mode (mode noyau) Windows pourraient permettre l'exécution de code à distance (969947)
Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans le noyau Windows. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur affichait une police Embedded OpenType (EOT) spécialement conçue. Dans le cas d'une attaque Web, l'attaquant doit héberger un site Web contenant des polices spécialement conçues destinées à exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus provenant d'utilisateurs pourraient contenir un élément malveillant susceptible d'exploiter cette vulnérabilité. Un attaquant n'aurait aucun moyen d'obliger les utilisateurs à visiter un site Web malveillant. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
Bulletin de sécurité Microsoft MS09-066 - Important : Une vulnérabilité dans Active Directory pourrait permettre un déni de service (973309)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le service d'annuaire Active Directory, Active Directory en mode application (ADAM) et Active Directory Lightweight Directory Service (AD LDS). Cette vulnérabilité pourrait permettre un déni de service si l'espace de pile était épuisé lors de l'exécution de certains types de requêtes LDAP ou LDAPS. Cette vulnérabilité n'affecte que les contrôleurs de domaine et les systèmes configurés pour exécuter ADAM ou AD LDS.
Bulletin de sécurité Microsoft MS09-067 - Important : Des vulnérabilités dans Microsoft Office Excel pourraient permettre l'exécution de code à distance (972652)
Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans Microsoft Office Excel. Ces vulnérabilités pourraient permettre l'exécution de code à distance lorsqu'un utilisateur ouvre un fichier Excel spécialement conçu. Tout attaquant parvenant à exploiter l'une de ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Bulletin de sécurité Microsoft MS09-068 - Important : Une vulnérabilité dans Microsoft Office Word pourrait permettre l'exécution de code à distance (976307)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement qui pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Word spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Par ailleurs les bulletins MS09-045 et MS09-051 ont été mis à jour.

Patchez-vous bien !

Rapport Microsoft sur les données de sécurité, volume 7

pascals — Mon, 09 Nov 2009 22:46:21 GMT

Le 7ème rapport Microsoft sur les données de sécurité a été publié il y a quelques jours :

http://www.microsoft.com/france/sir (chiffres clés, en français)
http://www.microsoft.com/sir (rapport complet, en anglais)

Parmi les recommandations énoncées (page 166) nous retrouvons notre vieille amie la gestion des mises à jour de sécurité. C’est l’occasion d’indiquer le guide : The Microsoft Security Update Guide, qui sera publié en français d’ici peu. Ce qui me rappelle… Prêts pour demain ?

La perle du week-end

pascals — Sat, 24 Oct 2009 22:41:45 GMT

Depuis que nos politiques s’intéressent à l’informatique et à l’internet, le spectacle est plutôt amusant. Mais lorsque la politique rejoint l’éducation, là, on rigole franchement. Voici donc ce que j’ai découvert aujourd’hui... Je n’en reviens toujours pas.

Dans ma lointaine banlieue, des élèves de Seconde ont reçu dans leur lycée un cadeau de la région Île de France, sous la forme d’une magnifique boîte métallique à leur logo abritant une clé USB de 2 Go et un porte-clés, accompagnés de cette carte :

Cette clé, éditée par la société Mostick, est un “bureau mobile” : elle contient des applications en versions “portables”, exécutables sur place sans installation et sans laisser de trace sur le PC. Principe intéressant : l’utilisateur a ses applications et ses données dans sa poche, et peut y accéder sur tout PC.

Mais la dernière phrase de la carte laisse songeur : “Si vous utilisez VISTA, AUTORISEZ l’exécution des programmes”. On peut craindre le pire, et en effet, un rapide test le démontre :

Le programme start.exe dans la racine de la clé nécessite les privilèges d’administrateur :

Ce programme n’est pas signé : on doit autoriser un programme d’origine inconnue à s’exécuter avec tous les droits sur le système.

Tous les programmes qui seront à leur tour exécutés par start.exe hériteront du même contexte, donc des mêmes privilèges.

Mais ils ne s’arrêtent pas là, puisqu’ils incluent une version vulnérable de Firefox, la version 3.5.1.

Au final, nous avons affaire à un système qui nécessite que les adolescents aillent sur Internet avec tous les privilèges d’administrateur et des applications vulnérables... Bravo ! Je suppose que les auteurs exécutent Firefox 3.5.1 en tant que root sous Linux.

La société Mostick écrit dans son petit texte de présentation, qui ne manque pas d’humour : “un contenu socialement responsable issu de l’informatique éthique”. Puis “des logiciels stables, compatibles, ergonomiques et sécures”. J’en reste coi.

Format VHD et l’héritage des Mac

pascals — Thu, 22 Oct 2009 18:07:46 GMT

J’étais en train de travailler sur le format des fichiers VHD à partir de la documentation publique, lorsque je suis tombé sur un détail amusant : les nombres dans ce format sont stockés en big-endian. C’est à dire en commençant par le poids fort… C’est à dire qu’un nombre de 4 octets valant 0x12345678 est stocké de cette manière : 12 34 56 78. Alors que sur les plateformes Intel on a plutôt l’habitude de la notation little-endian, c’est à dire 78 56 34 12.

Cette singularité m’est apparue lorsque j’ai décodé la daté de création d’un VHD quelque part en 2011… Une inversion des octets m’a vite donné le bon résultat en 2009.

Ci-dessus, la date de création du VHD est à l’offset 0x0018, en nombre de secondes depuis le 1/1/2000 0:00 GMT. Je vous laisse faire le calcul (merci Excel) :-).

Après vérification, il s’avère que c’est précisé dans la documentation :

All values in the file format, unless otherwise specified, are stored in network byte order (big endian).

Je suppose que la raison de cela est que Connectix, à qui Microsoft a acheté la technologie Virtual PC et Virtual Server en 2003, a commencé par des produits sur Mac, sans doute sur processeur PowerPC.

Etonnant non ?

Sortie officielle de Windows 7

pascals — Thu, 22 Oct 2009 09:20:18 GMT

Aujourd’hui 22 octobre 2009 marque la sortie officielle de Windows 7. Pour la première fois, une version de Windows nécessite moins de capacité matérielle que son prédécesseur pour fonctionner : c’est là son aspect le plus “visible”, outre une interface utilisateur plus aboutie. Mais deux points m’importent le plus :

La sécurité de Windows 7 est bâtie sur les fondamentaux de Windows Vista, qui marquait une évolution majeure dans ce domaine. Par exemple : UAC, BitLocker, etc. ont été développés et améliorés.

La virtualisation devient un composant incontournable, en la présence de Windows Virtual PC et Windows XP Mode, qui résolvent élégamment les problèmes de compatibilité en entreprise.

Informations sur Windows 7 :

http://www.microsoft.com/france/windows/

Téléchargement de Windows Virtual PC et Windows XP Mode :

http://www.microsoft.com/windows/virtual-pc/download.aspx

Préavis des bulletins de sécurité du 13 octobre

pascals — Thu, 08 Oct 2009 21:58:59 GMT

Grosse livraison pour ce mois d’octobre, puisque nous avons droit mardi prochain à 13 bulletins de sécurité, dont 8 critiques :

http://www.microsoft.com/technet/security/bulletin/ms09-oct.mspx

Les postes de travail et les serveurs, y compris les serveurs applicatifs, sont concernés, puisque les bulletins concernent Windows, IE, Office, Silverlight, SQL Server, les outils de développement et Forefront Client Security.

Sysinternals: Disk2vhd 1.0

pascals — Thu, 08 Oct 2009 16:30:02 GMT

Le dernier-né des outils de Sysinternals, Disk2vhd, vient d’être mis à disposition ici :

http://technet.microsoft.com/en-us/sysinternals/ee656415.aspx

Disk2vhd crée un fichier VHD à partir d’un disque physique. La particularité de Disk2vhd est qu’il peut créer une image VHD à partir d’un système en train de tourner. Pour ce faire, il utilise la fonctionnalité de Volume Snapshot, introduite avec Windows XP. Parmi les usages intéressants, on peut utiliser Disk2vhd pour créer une machine virtuelle à partir d’un système physique (P2V).

Disk2vhd fonctionne sur Windows XP SP2, Windows Server 2003 SP1, et supérieurs, en 32 et 64 bits.

Plus de détails à l’adresse ci-dessus.

Migration d’Hyper-V vers 2008 R2, et problèmes de carte réseau sur les VM Linux

pascals — Thu, 08 Oct 2009 14:45:04 GMT

J’ai finalement migré mon serveur Hyper-V, de Windows Server 2008 à Windows Server 2008 R2, pour tomber sur un problème délicat avec des machines virtuelles Linux et la disparition de leur carte réseau.

Je n’ai pas forcément pris le chemin habituel. Certains auraient simplement mis à jour le système après avoir pris soin d’arrêter les machines virtuelles. D’autres auraient exporté les VM, réinstallé le système, puis réimporté les VM. Personnellement aucune de ces deux solutions ne me convenait : je suis réticent aux upgrades de systèmes, préférant repartir à chaque fois sur une installation “propre”. Et le mécanisme d’export/import de VM change la structure de stockage des fichiers sur le disque, ce qui ne me convient pas non plus. A tord !

Bien évidemment, les problèmes que j’ai rencontrés ne me seraient pas arrivés si j’avais suivi l’une ou l’autre des solutions “normales”. J’ai donc procédé comme ceci (ce que je ne recommande donc pas si vous êtes pressé) :

Vérifier qu’aucune VM n’a de snapshot.
Eteindre toutes les VM.
Note : dans ma configuration, le système est sur un disque, les VHD sur un autre, et les sauvegardes sur un troisième.
Sauvegarder les VHD –à noter que ce sont les seuls fichiers que je conserve dans la manipulation, car j’ai l’intention de définir les nouvelles machines virtuelles avec ces mêmes VHD.
Noter la définition des VM et des réseaux virtuels.
Installer Windows Server 2008 R2 comme une nouvelle installation (en supprimant la partition existante sur le disque réservé au système). Installer les mises à jour, les comptes utilisateurs, l’adresse IP, etc.
Activer le rôle Hyper-V et utiliser le script HVremote pour mettre en place l’administration à distance.

A ce stade, j’ai donc un système 2008 R2 propre sur le disque système, Hyper-V opérationnel, et mes fichiers VHD d’origine sur le disque d’origine qui leur était dédié.

Réinitialiser les ACL sur tous les fichiers VHD (icacls *.vhd /reset), ceci principalement par souci de détail. Voir ici pour une explication des ACL qu’Hyper-V ajoute sur les VHD. Nettoyer les ACL des permissions laissées par un ancien Hyper-V n’est pas obligatoire, mais c’est une bonne idée, lorsque l’on réutilise un disque sur un nouveau système, de faire le ménage sur les ACL.
Créer les réseaux virtuels tels qu’ils existaient auparavant.
Créer chaque VM avec la même configuration qu’auparavant : mémoire, carte réseau (normale ou legacy selon les cas), VHD... Au passage, Hyper-V 2008 R2 inclut par défaut un contrôleur SCSI dans chaque nouvelle VM : on peut le supprimer si la VM n’en avait pas auparavant.

Jusqu’ici tout va bien, il ne reste plus qu’à démarrer les VM.

Premier déboire : un Windows XP nécessite une réactivation, à cause du changement de matériel. Puis, après mise à jour des composants d’intégration, la carte réseau est vue comme une nouvelle carte, paramétrée par défaut en DHCP. Si une adresse fixe est nécessaire, il faut la redéfinir, ce qui produit un avertissement classique :

Ce qui aurait dû me mettre la puce à l’oreille pour le problème des machines Linux...

Venons-en donc à une machine virtuelle Linux, plus exactement un Debian 4.0 (etch). L’erreur est immédiatement visible au boot :

et à la commande ifconfig :

Plus de carte réseau... alors que la commande dmesg montre que le driver Tulip (la carte Legacy network adapter n’a pas changé entre les versions d’Hyper-V) est bien chargé et reconnait bien la carte et sa nouvelle adresse MAC :

Après quelques recherches et essais divers, il s’avère que la nouvelle carte est bien présente, mais le noyau l’a nommé eth1 au lieu de eth0 :

Pour remettre les choses en place, trois solutions sont possibles :

Première possibilité, dans le fichier /etc/network/interfaces, remplacer eth0 par eth1. C’est le plus simple, le plus rapide.

Deuxième possibilité, si l’on souhaite appeler eth0 la nouvelle carte, il faut savoir que Linux maintient une correspondance entre les adresses MAC et les noms d’interfaces. Ce fichier se trouve dans /etc/udev/rules.d. Sur un de mes systèmes il s’appelle 70-persistent-net.rules, sur un autre : z25-persistent-net.rules. La règle semble être que le fichier s’appelle <préfixe>-persistent-net.rules :

On voit bien dans ce fichier l’historique des adresses MAC rencontrées par le système, et comment la nouvelle a été numérotée eth1.

Il suffit alors d’éditer ce fichier pour attribuer le nom eth0 à la nouvelle adresse MAC :

Troisième possibilité : dans Hyper-V, configurer la machine virtuelle pour donner à la carte réseau la même adresse MAC que l’ancienne machine virtuelle... Ce qui explique pourquoi il aurait été judicieux de faire un export et un import de la VM, et conserver l’adresse MAC d’origine.

J’espère que cela évitera des déboires à certains, et dépannera ceux qui perdent leur carte réseau.

Et je remercie mon collègue Youssef, et Bing pour avoir trouvé le fichier 70-persistent-net.rules à la vitesse de l’éclair !

Windows Virtual PC pour les abonnés Technet et MSDN

pascals — Thu, 08 Oct 2009 12:41:18 GMT

Ben Armstrong l’annonçait hier : Windows Virtual PC et Windows XP Mode sont désormais disponibles en téléchargement pour les abonnés Technet et MSDN :

Comme annoncé la semaine dernière, il sera disponible pour tout le monde le 22 octobre, en même temps que Windows 7.

Pour rappel, Windows Virtual PC est la nouvelle version de Virtual PC pour Windows 7, et Windows XP Mode est une machine virtuelle Windows XP prête à l’emploi pour Windows Virtual PC. Windows Virtual PC fonctionne sur toutes les versions de Windows 7, Windows XP Mode est réservé à Windows 7 Professionnel, Entreprise et Ultimate. L’objectif de Windows XP Mode est de résoudre les derniers problèmes de compatibilité avec des applications métier anciennes.

Bing!

pascals — Thu, 01 Oct 2009 18:32:22 GMT

Pour ceux qui lisent ce blog –ou les autres sur Technet et MSDN- directement à la source : vous avez peut-être remarqué une nouvelle boîte de recherche avec un bouton orange, à droite de la page. Dorénavant, vous ne cherchez plus, vous binguez dans ce blog ! Essayez, cela fonctionne. Sérieusement.

Microsoft Security Essentials

pascals — Tue, 29 Sep 2009 19:10:03 GMT

Microsoft Security Essentials (ex-Morro), logiciel anti-malware grand public gratuit, est désormais disponible à partir d’aujourd’hui à l’adresse :

http://www.microsoft.com/security_essentials/

Il supporte Windows XP SP2 et SP3, Windows Vista Gold, SP1 et SP2 (x86 et x64), ainsi que Windows 7 (x86 et x64).

Logiciels non désirés d’Apple, toujours et encore

pascals — Mon, 28 Sep 2009 10:03:09 GMT

Ce n’est pas nouveau : Apple se fait une spécialité d’installer ce qui les chantent sur tous les PC équipés d’iTunes. N’oublions pas que l’immense majorité des possesseurs d’iPods et d’iPhones sont en fait des utilisateurs de Windows, et sont condamnés à iTunes. Ce matin cet article m’a fait bondir : les PC équipés d’iTunes, même installé de façon minimale, se voient proposer par défaut l’installation d’un utilitaire de configuration d’iPhone. Outil d’entreprise qui inclut le serveur Apache !

Il s’agit de l’outil permettant de configurer un iPhone pour l’utilisation du protocole Exchange ActiveSync. Outil nécessaire (bien que d’une conception étrange, embarquant un serveur web), mais uniquement pour les possesseurs d’iPhones et ayant besoin d’une connexion sécurisée à Exchange. Ce qui ne court pas les rues parmi les utilisateurs d’iTunes sous Windows.

Décidemment, les choses ne changent pas.

Avis 975497 - Vulnérabilité SMBv2 dans Windows Vista et Windows Server 2008

pascals — Fri, 18 Sep 2009 16:24:40 GMT

Une vulnérabilité fait la une ces jours-ci, la vulnérabilité sur le protocole SMBv2. Je conseille la lecture attentive de l’avis suivant, publié le 8 septembre et mis à jour le 17 :

Avis de sécurité Microsoft (975497) : Des vulnérabilités dans SMB pourraient permettre l'exécution de code à distance

Cette vulnérabilité (CVE-2009-3103) affecte Windows Vista RTM, SP1 et SP2, ainsi que Windows Server 2008 RTM et SP2, en versions 32 et 64 bits. Elle est significative car elle permet une exécution de code à distance qui a déjà été démontrée. Cela dit, bien qu’un correctif ne soit pas encore disponible à ce jour, l’avis ci-dessus est très clair sur les solutions de contournement qui existent :

Désactiver SMBv2, soit par le registre comme indiqué dans l’avis (smb2 [DWORD] = 0 dans HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters, puis redémarrer le service server), soit par le “Fix it” (solution en un clic) de l’article KB975497.
Bloquer les ports TCP 139 et 445.

Mon avis est que la première solution de contournement est la plus simple et la moins impactante, en attendant un correctif. SMBv2 n’est utilisé qu’entre des systèmes Vista et 2008. : si vous avez des clients XP ou des serveurs 2003, SMBv2 n’est de toutes manières pas utilisé. Voir cet article pour plus d’informations sur SMBv2, voire les spécifications si vous avez le courage.

[En attendant que ma contribution bloguesque reprenne un rythme plus régulier, sachez que je commets quelques tweets occasionnels sur http://twitter.com/psauliere]

Rentrée virtuelle

pascals — Sun, 30 Aug 2009 18:45:36 GMT

La rentrée est riche sur le front de la virtualisation !

Du coté client :

Windows 7 RTM est disponible pour les abonnés Technet et MSDN.
Windows Virtual PC RC. Ce n’est pas encore la version finale, mais cela s’en rapproche. En téléchargement gratuit pour Windows 7 Home Basic, Home Premium, Professional, Enterprise et Ultimate. Voir également le site et le blog. Pour situer le produit : Windows Virtual PC est le successeur de Virtual PC. Il ne fonctionne que sous Windows 7 et bénéficie de nouveautés que j’aborderai plus tard.
Windows XP Mode RC. Pour Windows 7 Professional, Enterprise en Ultimate, une machine virtuelle Windows XP prête à l’emploi, pour en finir avec les problèmes de compatibilité en entreprise.

Du coté serveur :

Windows Server 2008 R2 RTM est disponible pour les abonnés Technet et MSDN. Des VHD d’évaluation sont en téléchargement en version Enterprise et Enterprise Core.
Hyper-V Server 2008 R2. L’hyperviseur est disponible en téléchargement gratuit.
Linux Integration Components for Windows Server 2008 Hyper-V R2. Ces composants sont disponibles en version 2.0 finale pour SUSE Linux Enterprise Server 10 SP2 et 11, x86 et x64. Ils supportent Windows Server 2008 (et 2008 R2) Hyper-V, ainsi que Hyper-V Server 2008 (et 2008 R2).
Remote Server Administration Tools (RSAT) for Windows 7. Ces outils d’administration à distance sont nécessaires pour administrer un serveur Hyper-V depuis un poste Windows 7.
HVRemote. Ce script est indispensable pour l’administration distante d’Hyper-V dans un environnement workgroup ou mixte.
System Center Virtual Machine Manager (SCVMM) 2008 R2. Le produit d’administration est RTM est disponible en version d’évaluation.

Pour tout savoir :

Toutes les questions techniques sont abordées dans ces deux blogs :

Mise à jour 31/8/2009 : RSAT, HVRemote et le Microsoft Virtualization Team Blog.

Vacances tranquilles 2 : Windows 7 et BitLocker sans TPM

pascals — Thu, 30 Jul 2009 00:23:35 GMT

Il y a un an, je décrivais ici même les précautions que vous pouvez prendre avant de partir en vacances l’esprit tranquille quant à vos données à la maison : faites des sauvegardes et chiffrez les données qui restent derrière vous. L’idée est que vos données soient protégées même en cas de vol du PC ou de non-redémarrage au retour de vacances. Ces conseils sont toujours d’actualités.

Aujourd’hui je vais profiter du fait que je suis en train de préparer un départ proche, pour vous faire profiter de l’utilisation de BitLocker dans Windows 7 Ultimate pour protéger les données qui restent sur place. Cette manipulation est valable pour la RC de Windows 7, et le sera à l’identique pour la version Ultimate (Intégrale) finale.

Cette machine contient deux disques internes : le disque du système et un disque de données. Comme c’est une machine de bureau et qu’elle date un peu, elle ne dispose pas d’un TPM. Il faudra donc utiliser une clé USB pour que Windows récupère la clé BitLocker lors de son démarrage.

AVERTISSEMENT : Ne chiffrez pas votre disque à moins de comprendre le mécanisme de BitLocker, de disposer d’au moins deux clés USB formatées en FAT, et d’être certain de ne pas perdre ces deux clés. Une fois votre disque chiffré, si vous perdez la clé, personne ne pourra absolument rien pour vous, vos données seront perdues à jamais.

1. Chiffrement du disque C: (système)

Donc la première étape est de configurer BitLocker pour qu’il accepte de fonctionner dans ce mode “clé USB”, sans TPM. Pour ceci, lancez gpedit.msc, puis sélectionnez le nœud Computer Configuration – Administrative Templates – Windows Components – BitLocker Drive Encryption – Operating System Drives :

Double-cliquez sur Require additional authentication at startup :

Sélectionnez Enabled pour activer la stratégie, et cochez la case Allow BitLocker without a compatible TPM. Les explications se trouvent dans le texte de droite. Validez et fermez gpedit.

Dans l’explorateur Windows, cliquez à droite sur le Disque C et sélectionnez Turn on BitLocker.

L’assistant BitLocker démarre :

Sélectionnez Require a Startup key at every startup. Si ce n’est déjà fait, connectez la clé USB choisie pour abriter la clé de chiffrement BitLocker. L’assistant vous montre la clé USB connectée :

Sélectionnez la clé USB et cliquez sur Save.

Cette étape vous propose de faire une ou plusieurs copies du mot de passe de récupération BitLocker. Je vous conseille de faire deux choses : imprimez le mot de passe grâce à la troisième option Print the recovery key, puis sauvegardez le mot de passe sur la même clé USB que la clé BitLocker, grâce à la première option Save the recovery key to a USB flash drive.

Conservez le papier sur lequel vous avez imprimé le mot de passe en lieu sûr.

Une fois ces deux sauvegardes effectuées, cliquez sur Next.

Cette étape est très importante : elle consiste à vérifier que votre PC parvient à lire la clé USB lors du démarrage, ce qui est nécessaire pour le fonctionnement de BitLocker sans TPM. Assurez-vous que la case Run BitLocker system check est bien cochée, puis cliquez sur Continue.

Cliquez sur Restart now pour effectuer la vérification. Après le redémarrage, ouvrez une session avec le même compte utilisateur que précédemment.

Au redémarrage, en cas de problème avec la vérification, un message vous en préviendra. Arrêtez ici : il est inutile, et dangereux, de continuer plus loin. Au mieux, retentez l’opération depuis le début avec une autre clé USB.

Si aucun message ne vient vous avertir d’un problème, la vérification a réussi et le chiffrement du disque est en train de commencer. Vous verrez un icône de BitLocker dans la zone de notification de Windows 7 :

En cliquant sur l’icône vous pouvez suivre la progression du chiffrement (patience… le chiffrement de mon disque SATA2 de 500 Go a pris plusieurs heures.)

Vous remarquerez aussi que pendant le chiffrement, le disque C apparaît complètement saturé :

C’est tout à fait normal et cela ne dure que le temps du chiffrement. Pendant ce temps, vous pouvez observer le statut de BitLocker dans une ligne de commande en tant qu’administrateur, avec la commande manage-bde –status :

De même vous pouvez consulter les protecteurs de clé pour le disque C avec la commande manage-bde –protectors –get C:

Notez que cette commande vous permet d’afficher le mot de passe de récupération.

Une fois le chiffrement terminé, vérifiez que votre machine redémarre correctement : avec la clé USB connectée, le démarrage doit se dérouler normalement. Sans la clé, BitLocker doit vous inviter à connecter la clé et à taper Echap pour redémarrer. S’il y a un problème à ce niveau, il vaut mieux déchiffrer le disque :

Utilisez le mot de passe de récupération (recovery mode) que vous avez imprimé pour démarrer le système.
Depuis le panneau de configuration (Control Panel – System and Security – BitLocker Drive Encryption), sélectionnez Turn Off BitLocker puis Decrypt Drive.

Si tout s’est bien déroulé jusqu’ici, il est temps de faire une deuxième copie de la clé USB. Pour ce faire, cliquez à droite sur le disque C dans l’explorateur Windows, et sélectionner Manage BitLocker. Sélectionnez alors Duplicate the startup key pour sauvegarder la clé de chiffrement sur la deuxième clé USB. Puis, refaites l’opération en sélectionnant cette fois Save or Print recovery key again pour sauvegarder à nouveau le mot de passe de récupération.

2. Chiffrement d’un disque de données interne

Si vous avez tout suivi jusqu’ici, et si vous avez comme moi un deuxième disque dur interne à protéger, il reste à chiffrer celui-ci, cette fois avec un simple mot de passe.

Dans l’explorateur Windows, cliquez à droite sur le disque de données (D: dans mon cas) et sélectionnez Turn on BitLocker.

Cochez la case Use a password to unlock the drive, et entrez (deux fois) le mot de passe que vous avez choisi. Cochez également la case Automatically unlock this drive on this computer. Notez que cette dernière option permet de déverrouiller automatiquement le disque de données, mais que la clé est stockée sur le disque C qui est déjà chiffré, donc protégée. Il n’y a donc pas de risque à ce niveau.

Cliquez sur Next.

On vous demande ensuite de sauvegarder le mot de passe de récupération (recovery key) pour ce deuxième disque. La manipulation est identique à précédemment : Imprimez le mot de passe, puis sauvegardez-le une fois sur la 1ère clé USB, et une seconde fois sur la seconde clé USB.

Une fois l’impression et les sauvegardes effectuées, cliquez sur Next.

Cliquez sur Start Encrypting pour démarrer le chiffrement. Quelques heures sont encore nécessaires, pendant lesquelles le disque de données apparaîtra comme presque plein et ne disposant que de 6 Go de libre.

Reste à s’assurer que les impressions des mots de passe de récupération seront en lieu sûr, ainsi que les deux clés USB. Personnellement je les apporte en vacances, avec les sauvegardes de mes données sur un disque dur externe compact. S’il prenait l’idée à un voleur de mettre la main sur mon PC, il n’aurait qu’une machine qui ne démarre pas et deux disques illisibles…

Bonnes vacances !