Microsoft chiffre automatiquement votre nouveau périphérique Windows et stocke la clé de cryptage de périphérique Windows 10 sur OneDrive lorsque vous vous connectez à l'aide de votre compte Microsoft. Cet article explique pourquoi Microsoft fait cela. Nous verrons également comment supprimer cette clé de cryptage et générer votre propre clé, sans avoir à la partager avec Microsoft.
Clé de chiffrement de périphérique Windows 10
Si vous avez acheté un nouvel ordinateur Windows 10 et que vous vous êtes connecté à l'aide de votre compte Microsoft, votre appareil sera crypté par Windows et la clé de cryptage sera automatiquement stockée sur OneDrive. Ce n'est pas une nouveauté en fait et ce depuis maintenant Windows 8, mais certaines questions relatives à sa sécurité ont été soulevées récemment.
Pour que cette fonctionnalité soit disponible, votre matériel doit prendre en charge la veille connectée, qui répond aux exigences HCK (Windows Hardware Certification Kit) pour TPM et Démarrage sécurisé sur ConnectéStandby systèmes. Si votre appareil prend en charge cette fonctionnalité, vous verrez les paramètres sous Paramètres> Système> À propos de. Ici, vous pouvez désactiver ou activer le chiffrement de périphérique.
Chiffrement de disque ou de périphérique dans Windows 10 est une très bonne fonctionnalité qui est activée par défaut sous Windows 10. Cette fonctionnalité encrypte votre appareil, puis stocke la clé de cryptage sur OneDrive, dans votre compte Microsoft.
Le cryptage de périphérique est activé automatiquement afin que le périphérique soit toujours protégé, déclare TechNet. La liste suivante décrit la manière dont cela est accompli:
- Lorsqu'une installation propre de Windows 8.1 / 10 est terminée, l'ordinateur est préparé pour la première utilisation. Dans le cadre de cette préparation, le chiffrement de périphérique est initialisé sur le lecteur du système d'exploitation et les lecteurs de données fixes sur l'ordinateur avec une clé claire.
- Si le périphérique ne fait pas partie d'un domaine, un compte Microsoft auquel des privilèges d'administration ont été attribués est requis. Lorsque l'administrateur utilise un compte Microsoft pour se connecter, la clé vide est supprimée, une clé de récupération est téléchargée sur un compte Microsoft en ligne et le protecteur TPM est créé. Si un périphérique requiert la clé de récupération, l'utilisateur est invité à utiliser un autre périphérique et à accéder à une URL d'accès à la clé de récupération pour récupérer la clé de récupération à l'aide des informations d'identification de son compte Microsoft.
- Si l'utilisateur se connecte à l'aide d'un compte de domaine, la clé vide n'est pas supprimée tant qu'il n'a pas connecté le périphérique à un domaine et la clé de récupération est sauvegardée avec succès dans les services de domaine Active Directory.
Cela est donc différent de BitLocker, dans lequel vous devez démarrer Bitlocker et suivre une procédure, alors que tout cela est fait automatiquement, sans que les utilisateurs de l'ordinateur en soient conscients ou sans ingérence. Lorsque vous activez BitLocker, vous êtes obligé de sauvegarder votre clé de récupération, mais vous disposez de trois options: Enregistrez-le dans votre compte Microsoft, enregistrez-le sur une clé USB ou imprimez-le.
Un chercheur dit:
As soon as your recovery key leaves your computer, you have no way of knowing its fate. A hacker could have already hacked your Microsoft account and can make a copy of your recovery key before you have time to delete it. Or Microsoft itself could get hacked, or could have hired a rogue employee with access to user data. Or a law enforcement or spy agency could send Microsoft a request for all data in your account, which would legally compel it to hand over your recovery key, which it could do even if the first thing you do after setting up your computer is delete it.
En réponse, Microsoft a ceci à dire:
When a device goes into recovery mode, and the user doesn’t have access to the recovery key, the data on the drive will become permanently inaccessible. Based on the possibility of this outcome and a broad survey of customer feedback we chose to automatically backup the user recovery key. The recovery key requires physical access to the user device and is not useful without it.
Ainsi, Microsoft a décidé de sauvegarder automatiquement les clés de chiffrement sur leurs serveurs afin de garantir que les utilisateurs ne perdent pas leurs données si le périphérique passe en mode de récupération et s'ils n'ont pas accès à la clé de récupération.
Vous voyez donc que pour que cette fonctionnalité soit exploitée, un attaquant doit pouvoir accéder à la fois à la clé de chiffrement sauvegardée et à l'accès physique à votre ordinateur. Comme cela semble être une possibilité très rare, je penserais qu'il n'est pas nécessaire de devenir paranoïaque à ce sujet. Assurez-vous simplement que votre compte Microsoft est entièrement protégé et laissez les paramètres de cryptage de l'appareil à leurs valeurs par défaut.
Néanmoins, si vous souhaitez supprimer cette clé de chiffrement des serveurs de Microsoft, voici comment procéder.
Comment enlever la clé de cryptage
Il n’existe aucun moyen d’empêcher un nouveau périphérique Windows de télécharger votre clé de récupération la première fois que vous vous connectez à votre compte Microsoft. Cependant, vous pouvez supprimer la clé téléchargée.
Si vous ne voulez pas que Microsoft stocke votre clé de chiffrement dans le nuage, vous devrez visiter cette page OneDrive et supprimer la clé. Ensuite, vous devrez désactiver le cryptage de disque fonctionnalité. Si vous le faites, vous ne pourrez pas utiliser cette fonctionnalité de protection des données intégrée en cas de perte ou de vol de votre ordinateur.
Lorsque vous supprimez votre clé de récupération de votre compte sur ce site Web, elle est immédiatement supprimée et les copies stockées sur ses lecteurs de sauvegarde sont également supprimées peu de temps après.
The recovery key password is deleted right away from the customer’s online profile. As the drives that are used for failover and backup are sync’d up with the latest data the keys are removed, says Microsoft.
Comment générer votre propre clé de cryptage
Les utilisateurs de Windows 10 Pro et Enterprise peuvent générer de nouvelles clés de chiffrement qui ne sont jamais envoyées à Microsoft. Pour cela, vous devez d'abord désactiver BitLocker pour déchiffrer le disque, puis réactiver BitLocker. Ce faisant, il vous sera demandé à quel endroit vous souhaitez sauvegarder la clé de récupération du chiffrement de lecteur BitLocker. Cette clé ne sera pas partagée avec Microsoft, mais assurez-vous de la conserver en toute sécurité, car si vous la perdez, vous risquez de perdre l'accès à toutes vos données cryptées.
