Microsoft veut visiblement que les utilisateurs chiffrent leurs SSD et autres disques durs : la prochaine version de Windows 11, la 24H2, va activer BitLocker — la technologie de chiffrement de Microsoft — sur une partie du parc, et ce n'est pas nécessairement une bonne nouvelle.
Premier point, le problème ne va pas toucher tous les utilisateurs. Selon les Allemands de Deskmodder, il y a deux points à prendre en compte. Premièrement, l'UEFI de l'ordinateur doit intégrer un flag qui indique que le chiffrement est possible. C'est généralement le cas sur les PC portables et les PC de bureau qui viennent de grands constructeurs, mais pas sur les cartes mères que vous pouvez acheter dans le commerce pour monter votre propre PC. Deuxièmement, le chiffrement ne s'activera automatiquement que lors d'une réinstallation de l'OS, et pas avec une simple mise à jour. Mais une fois l'option activée, une (ré)installation pour une raison quelconque1 va donc chiffrer le périphérique de stockage principal et tous les autres disques internes. Par ailleurs, et c'est une nouveauté, tant les versions professionnelles de Windows 11 que la version familiale (Home) sont touchées.
Les dangers de BitLocker
BitLocker a le défaut de ne pas être aussi bien intégré que le chiffrement d'Apple (FileVault). Comme Apple contrôle le logiciel et le matériel, le chiffrement s'effectue de manière fluide et l'impact sur les performances est faible ou inexistant, en fonction du type de Mac. Dans les modèles Apple Silicon ou ceux équipés d'une puce T2, les composants Apple prennent en charge le chiffrement et dans les Mac précédents, l'accélération fournie par le CPU (notamment avec les instructions AES-NI) permet de réduire les pertes de performances.
Pour BitLocker, deux problèmes existent. Le premier est simple : un utilisateur lambda ne va pas nécessairement se rendre compte que ses données sont chiffrées et les risques de perdre des données en cas de soucis sont donc plus élevés. BitLocker dépend en partie de la puce TPM qui est normalement obligatoire avec Windows 11 et Microsoft propose un système de clés de récupération pour éviter les problèmes. Pour rappel, elles sont normalement disponibles sur le compte Microsoft (si vous en utilisez un) mais peuvent aussi être imprimées, sauvées sur une clé USB, etc. Mais si vous n'avez pas la clé pour une raison quelconque, les données seront perdues, même sur des disques secondaires.
Deuxièmement, et contrairement à macOS, BitLocker a un impact parfois très visible sur les performances. Windows 11 active en effet par défaut un chiffrement logiciel, comme le montre cet article de Tom's Hardware, même si le SSD dispose des fonctions nécessaires pour un chiffrement matériel (OPAL). Et avec le chiffrement logiciel, les performances du SSD sont très affectées.
Enfin, il faut aussi le souligner, le chiffrement de Microsoft n'est pas sans faille. Si la solution est globalement résistante aux attaques, il existe quelques cas où un simple Raspberry Pi Pico permet le déchiffrement d'un SSD chiffré en quelques secondes.
BitLocker, le FileVault de Microsoft, cassé en moins de 45 secondes avec un Raspberry Pi Pico
Notons qu'il est possible de désactiver le chiffrement lors d'une réinstallation de Windows 11, par exemple en créant un média d'installation avec Rufus. Le programme dispose de quelques options pour passer outre les contraintes imposées par Microsoft.
Pour terminer, entendons-nous bien : chiffrer le stockage d'un ordinateur est généralement une bonne idée si vous stockez des données importantes et peut permettre de mieux protéger vos informations en cas de vol ou de perte, mais il faut bien prendre en compte les défauts et les contraintes, ce qui n'est pas nécessairement le cas si le système d'exploitation active le chiffrement sans prévenir.
-
« Dans le doute, reboot, si ça rate, formate ». ↩︎
