La mise jour de Windows 11, connue sous le nom de 24H2 ou mise jour 2024, est diffuse depuis le mois de juin et introduit le chiffrement des disques BitLocker par dfaut pendant le processus d’installation des PC Windows 11 configurs avec un compte Microsoft. BitLocker nest pas activ par dfaut pour les ordinateurs configurs avec un compte local. La gestion de la cl de chiffrement constitue un motif dinquitude pour les utilisateurs tant donn quelle est stocke sur les serveurs de Microsoft dans le cas de lutilisation dun compte local.
BitLocker est une fonction de chiffrement de volume complet incluse dans les versions de Microsoft Windows partir de Windows Vista. Elle est conue pour protger les donnes en chiffrant des volumes entiers. Par dfaut, BitLocker utilise l’algorithme AES (Advanced Encryption Standard) en mode CBC (cipher block chaining) ou en mode XTS (xor-encrypt-xor)[1] avec une cl de 128 ou 256 bits. Le mode CBC n’est pas utilis sur l’ensemble du disque ; il est appliqu chaque secteur individuel.
BitLocker soulve nanmoins des inquitudes quant aux performances, mme si son intgration marque un bon dans la scurisation des donnnes des utilisateurs. Il a t constat que le chiffrement BitLocker bas sur le logiciel par dfaut, utilisant XTS-AES 128, a potentiellement un impact sur les performances des lecteurs de donnes grande vitesse, y compris les disques SSD NVMe PCIe Gen4. Cette implication suggre que les utilisateurs pourraient subir une diminution des vitesses d’accs aux donnes, un facteur qui mrite d’tre pris en compte pour ceux qui s’appuient sur des solutions de stockage rapides.
La gestion de la cl de chiffrement constitue un motif dinquitude pour les utilisateurs
La note dinformation de Microsoft y relative suggre en effet que la cl de chiffrement est stocke sur les serveurs de Microsoft pour les utilisateurs qui ont configur un compte Microsoft. Cest un motif dinquitude pour les utilisateurs tant donn que Microsoft multiplie les stratagmes pour empcher lutilisation du compte local. Au mois de juin, des rapports ont fait tat du blocage par Microsoft dune mesure de contournement qui permet de crer un compte local. La dcision de lentreprise concernait jusquici Windows 11 Home uniquement et Windows 11 Pro en tait exempt. Changement de direction au premier trimestre de lanne 2022 : Windows 11 Pro requiert une connexion Internet et un compte Microsoft pour entamer le processus initial dinstallation.
Le chiffrement BitLocker peut cder face aux assauts dun systme architectur autour dun Raspberry Pi moins de 10 dollars
Le YouTubeur stacksmashing a rvl une vulnrabilit majeure dans le systme de chiffrement BitLocker, utilis pour protger les donnes sous Windows 10 Pro et Windows 11 Pro. En exploitant une faille de conception dans les systmes quips d’un Trusted Platform Module (TPM) externe, ncessaire BitLocker dans certaines configurations, il a russi contourner la scurit en moins d’une minute l’aide d’un Raspberry Pi Pico bon march.
Le dfaut dcouvert rside dans l’absence de chiffrement sur les voies de communication (bus LPC) entre le CPU et le TPM externe au dmarrage, permettant ainsi un pirate de sniffer et de voler les cls de chiffrement. Bien que cette faille ne concerne apparemment que les TPM discrets, les utilisateurs de processeurs intgrant un TPM interne semblent labri de cette menace, car les communications du TPM restent scurises l’intrieur du processeur.
Pour une scurit optimale, BitLocker s’associe au Trusted Platform Module (TPM), un composant matriel couramment intgr aux appareils Windows. Le TPM collabore avec BitLocker pour assurer l’intgrit de l’appareil lorsqu’il est hors ligne.
En complment du TPM, BitLocker peut imposer un verrouillage sur le processus de dmarrage normal, exigeant de l’utilisateur qu’il fournisse un numro d’identification personnel (PIN) ou qu’il insre un priphrique amovible contenant une cl de dmarrage. Ces mesures de scurit permettent une authentification multifactorielle, assurant que l’appareil ne peut dmarrer ou sortir de l’hibernation qu’aprs la prsentation du bon code PIN ou de la cl de dmarrage approprie.
Le Module de Plateforme de Confiance (TPM) est une norme internationale dfinissant un cryptoprocesseur scuris, c’est–dire un microcontrleur ddi conu pour renforcer la scurit matrielle grce l’intgration de cls cryptographiques. Le terme peut galement faire rfrence une puce conforme la norme ISO/IEC 11889. Dans le contexte du systme d’exploitation Windows 11, l’implmentation du TPM 2.0 est une exigence. Microsoft a affirm que cette mesure vise renforcer la scurit en prvenant les attaques de microprogrammes.
Le processus d’exploitation de la faille a rvl que les voies de communication, connues sous le nom de bus LPC, entre le CPU et le TPM externe ne sont pas chiffres au dmarrage. Stacksmashing a ainsi pu intercepter les donnes cruciales lors de leur transfert entre les deux units, permettant de voler les cls de chiffrement en seulement 43 secondes. Cette dcouverte soulve des proccupations lgitimes quant la robustesse de BitLocker et la protection des donnes sensibles.
Un point notable mis en avant par les avis est que cette vulnrabilit semble affecter principalement les TPM externes, tandis que les TPM intgrs dans les processeurs modernes d’Intel et d’AMD semblent offrir une meilleure scurit en maintenant les communications du TPM l’intrieur du processeur. Cela souligne l’importance de la distinction entre les diffrentes configurations matrielles dans l’valuation des risques lis BitLocker.
La rvlation du YouTubeur stacksmashing souligne l’impratif pour les utilisateurs et les professionnels de la scurit informatique de rester vigilants face aux vulnrabilits potentielles de leurs systmes de chiffrement. La diversit des proccupations et des approches adoptes par les utilisateurs dans la gestion de la scurit de leurs donnes, souligne l’importance continue de l’ducation et de la sensibilisation aux meilleures pratiques en matire de scurit informatique.
Source : Microsoft
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :