Désactiver le chiffrement BitLocker matériel sur les SSD vulnérables

Hier, une vulnérabilité a été découverte dans le chiffrement matériel mis en œuvre par certains SSD. Malheureusement, BitLocker dans Windows 10 (et éventuellement Windows 8.1 également) délègue le devoir de chiffrer et de protéger en toute sécurité les données de l'utilisateur sur le lecteur fabricant. Lorsque le cryptage matériel est disponible, il ne vérifie pas si le cryptage est infaillible et désactive son propre cryptage logiciel, ce qui rend vos données vulnérables. Voici une solution de contournement que vous pouvez appliquer.

Même si vous activez le chiffrement BitLocker sur un système, Windows 10 peut ne pas chiffrer réellement vos données avec son cryptage logiciel si le lecteur indique au système d'exploitation qu'il utilise du matériel chiffrement. Même si votre lecteur de disque prend en charge le cryptage, il peut être facilement cassé en raison de l'utilisation d'une phrase secrète vierge.

Une récente étudier montre que les produits Crucial et Samsung ont beaucoup de problèmes avec leurs SSD. Par exemple, certains modèles Crucial ont un mot de passe maître vide, permettant d'accéder aux clés de chiffrement. Il est tout à fait possible que le micrologiciel utilisé dans d'autres matériels par divers fournisseurs présente également des problèmes similaires.

Pour contourner le problème, Microsoft suggère désactiver le cryptage matériel et passer au cryptage logiciel de BitLocker si vous avez des données vraiment sensibles et importantes.

Tout d'abord, vous devez vérifier quel type de cryptage votre système utilise actuellement.

Vérifier l'état du chiffrement de lecteur BitLocker pour Drive dans Windows 10

1. Ouvrir un invite de commande élevée.
2. Tapez ou copiez-collez la commande suivante :

   manage-bde.exe -status

3. Voir la ligne 'Méthode de cryptage'. S'il contient « Cryptage matériel », BitLocker s'appuie sur le cryptage matériel. Sinon, il utilise un cryptage logiciel.

Voici comment passer du chiffrement matériel au chiffrement logiciel avec BitLocker.

Désactiver le chiffrement BitLocker matériel

1. Désactivez complètement BitLocker pour déchiffrer le lecteur.
2. Ouvert PowerShell en tant qu'administrateur.
3. Émettez la commande: Enable-BitLocker -HardwareEncryption:$False
4. Activez à nouveau BitLocker.

Si vous êtes un administrateur système, activez et déployez la stratégie « Configurer l'utilisation du chiffrement matériel pour les lecteurs du système d'exploitation ».

Désactiver le chiffrement BitLocker matériel avec la stratégie de groupe

Si vous utilisez Windows 10 Pro, Entreprise ou Éducation édition, vous pouvez utiliser l'application Éditeur de stratégie de groupe local pour configurer les options mentionnées ci-dessus avec une interface graphique.

1. presse Gagner + R touches ensemble sur votre clavier et tapez :

   gpedit.msc

   Appuyez sur Entrée.

2. L'éditeur de stratégie de groupe s'ouvrira. Aller à Configuration de l'ordinateur\Modèles d'administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteurs du système d'exploitation. Définir l'option de stratégieConfigurer l'utilisation du chiffrement matériel pour les lecteurs du système d'exploitation à Désactivée.

Alternativement, vous pouvez appliquer un ajustement du Registre.

Désactiver le chiffrement BitLocker matériel avec Registry Tweak

1. Ouvert Éditeur de registre.
2. Accédez à la clé de registre suivante :

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

   Astuce: voir comment accéder à la clé de registre souhaitée en un clic.

   Si vous n'avez pas une telle clé, créez-la simplement.

3. Ici, créez une nouvelle valeur DWORD 32 bits OSAutoriséHardwareEncryptionAlgorithms. Remarque: même si vous êtes sous Windows 64 bits, vous devez toujours utiliser un DWORD 32 bits comme type de valeur.
   Laissez ses données de valeur à 0.
4. Pour que les modifications apportées par le réglage du Registre prennent effet, redémarrer Windows 10.

C'est ça.