Les choix de conception de Microsoft en matière de gestion des clés de chiffrement BitLocker ont été remis en question en ligne.
Ce mois-ci, un débat sur Twitter et StackOverflow a eu lieu sur la manière dont les clés de chiffrement BitLocker sont stockées avant que les utilisateurs ne se connectent avec un compte Microsoft.
Dans un Fil Twitter lancé par l’utilisateur @atomicthumbs, le question C’est pourquoi, lorsqu’une installation de Microsoft Windows 11 avec un compte local a lieu, le lecteur sera toujours chiffré avec BitLocker – « mais il conserve la clé sur le lecteur… en texte clair… jusqu’à ce que vous vous connectiez avec un Compte microsoft ».
Consultant et développeur de logiciels Stephen Schmidt intervint avec son avis sur la raison pour laquelle les clés sont stockées de cette manière.
Selon Schmidt, alors que il y a une « petite quantité d’exposition », vous auriez toujours besoin d’un accès pour profiter de cette étape du processus – donc, en théorie, vous pourriez simplement balayer les données stockées sur une machine cible.
Hôte local
Lorsqu’un compte Microsoft est utilisé, une clé de récupération est ensuite téléchargée sur le compte dans le cloud. Comme expliqué par le développeur, si seul un compte local est utilisé, alors « il n’y a pas d’endroit pour stocker la clé de récupération ».
La fonctionnalité n’est pas nouvelle et a été introduite par conception et existait avant Windows 11.
Les machines Windows ne peuvent activer BitLocker que si elles contiennent un Trusted Platform Module (TMP) et que la protection UEFI Secure Boot, Platform Secure Boot et Direct memory access (DMA) est activée.
Le chiffrement BitLocker commence hors de la boîte, mais la protection est suspendue jusqu’à ce qu’une machine soit liée à un compte Microsoft ou à un compte Azure Active Directory. Microsoft a veillé à ce que ce soit le cas pour éviter la perte de données causée par des problèmes matériels.
Une fois qu’un utilisateur se connecte, un mot de passe de récupération est généré et téléchargé sur son compte cloud qui peut être utilisé en cas de panne matérielle.
« Le chiffrement automatique des appareils BitLocker n’est pas activé avec les comptes locaux, auquel cas BitLocker peut être activé manuellement à l’aide du panneau de configuration BitLocker », explique Microsoft.
DES ARCHIVES La vulnérabilité du mode veille de BitLocker peut contourner le chiffrement complet du disque de Windows