Windows 11 va activer le chiffrement Bitlocker (presque) partout et ce n'est pas nécessairement positif
Microsoft veut visiblement que les utilisateurs chiffrent leurs SSD et autres disques durs : la prochaine version de Windows 11, la 24H2, va activer BitLocker — la technologie de chiffrement de Microsoft — sur une partie du parc, et ce n'est pas nécessairement une bonne nouvelle.
Premier point, le problème ne va pas toucher tous les utilisateurs. Selon les Allemands de Deskmodder, il y a deux points à prendre en compte. Premièrement, l'UEFI de l'ordinateur doit intégrer un flag qui indique que le chiffrement est possible. C'est généralement le cas sur les PC portables et les PC de bureau qui viennent de grands constructeurs, mais pas sur les cartes mères que vous pouvez acheter dans le commerce pour monter votre propre PC. Deuxièmement, le chiffrement ne s'activera automatiquement que lors d'une réinstallation de l'OS, et pas avec une simple mise à jour. Mais une fois l'option activée, une (ré)installation pour une raison quelconque1 va donc chiffrer le périphérique de stockage principal et tous les autres disques internes. Par ailleurs, et c'est une nouveauté, tant les versions professionnelles de Windows 11 que la version familiale (Home) sont touchées.
Les dangers de BitLocker
BitLocker a le défaut de ne pas être aussi bien intégré que le chiffrement d'Apple (FileVault). Comme Apple contrôle le logiciel et le matériel, le chiffrement s'effectue de manière fluide et l'impact sur les performances est faible ou inexistant, en fonction du type de Mac. Dans les modèles Apple Silicon ou ceux équipés d'une puce T2, les composants Apple prennent en charge le chiffrement et dans les Mac précédents, l'accélération fournie par le CPU (notamment avec les instructions AES-NI) permet de réduire les pertes de performances.
Pour BitLocker, deux problèmes existent. Le premier est simple : un utilisateur lambda ne va pas nécessairement se rendre compte que ses données sont chiffrées et les risques de perdre des données en cas de soucis sont donc plus élevés. BitLocker dépend en partie de la puce TPM qui est normalement obligatoire avec Windows 11 et Microsoft propose un système de clés de récupération pour éviter les problèmes. Pour rappel, elles sont normalement disponibles sur le compte Microsoft (si vous en utilisez un) mais peuvent aussi être imprimées, sauvées sur une clé USB, etc. Mais si vous n'avez pas la clé pour une raison quelconque, les données seront perdues, même sur des disques secondaires.
Deuxièmement, et contrairement à macOS, BitLocker a un impact parfois très visible sur les performances. Windows 11 active en effet par défaut un chiffrement logiciel, comme le montre cet article de Tom's Hardware, même si le SSD dispose des fonctions nécessaires pour un chiffrement matériel (OPAL). Et avec le chiffrement logiciel, les performances du SSD sont très affectées.
Enfin, il faut aussi le souligner, le chiffrement de Microsoft n'est pas sans faille. Si la solution est globalement résistante aux attaques, il existe quelques cas où un simple Raspberry Pi Pico permet le déchiffrement d'un SSD chiffré en quelques secondes.
BitLocker, le FileVault de Microsoft, cassé en moins de 45 secondes avec un Raspberry Pi Pico
Notons qu'il est possible de désactiver le chiffrement lors d'une réinstallation de Windows 11, par exemple en créant un média d'installation avec Rufus. Le programme dispose de quelques options pour passer outre les contraintes imposées par Microsoft.
Pour terminer, entendons-nous bien : chiffrer le stockage d'un ordinateur est généralement une bonne idée si vous stockez des données importantes et peut permettre de mieux protéger vos informations en cas de vol ou de perte, mais il faut bien prendre en compte les défauts et les contraintes, ce qui n'est pas nécessairement le cas si le système d'exploitation active le chiffrement sans prévenir.
-
« Dans le doute, reboot, si ça rate, formate ». ↩︎
L’éternelle stratégie de Microsoft, toujours plus de pas assez.
@radeon
Et pour déchiffrer les SSD, ils demandent une rançon chez MS ?
@roccoyop
Je sais pas, la règle chez moi c’est pas de données sous Windows
Comme d'hab' avec Microsoft, c'est le bordel!
Et pour les Windows 11 en machine virtuelle ?
Quelqu’un connaît une bonne alternative à bitcracker qui tournerait sans gpu nvidia ? Et donc potentiellement sur macOS et puce Mx ?
Raspberry Toujours dans les mauvais coup 😁👍🏻
franchement, la baisse de performances va impacter majoritairement ceux qui ignorent son existence, et justement, on peut facilement imaginer que M$ a ses stats: l'utilisateur lambda fait du office, un peu de photos et beaucoup de web (un utilisateur d'iPad d'avant Mx donc)
je prend le risque d'avancer qu'ils ne s'en apercevront pas. Pour les professionnels et les autres un peu avertis, ils trouveront ou s'en rendront compte. Evidement M$ ne peut pas dire "j'active un circuit d'encryption" car.. ben le parc est immense et hétérogène
@raoolito
Et puis au pire, ils rachèteront un nouveau Pc avec une nouvelle licence. J’imagine que ça fait aussi parti des dommages collatéraux entendus par Microsoft.
Dans le monde Windows, c’est très largement entendu par le grand public qu’avec le temps la machine devient très lente et qu’il faut changer.
@pumk1n:
"Dans le monde Windows, c’est très largement entendu par le grand public qu’avec le temps la machine devient très lente et qu’il faut changer."
Alors que dans le monde Mac, mon mbp n'est pas devenu un veau total en passant à Monterey, ne met pas 50% de temps en plus pour s'allumer, n'a pas tout le temps les ventilateurs activé, et n'a pas perdu 50% de sa batterie... Retour a Mojave, et au miracle, il a retrouvé sa batterie, ne mouline plus des ventilos et s'allume en moins de 20 secondes....
Et je n'ai pas exactement la même expérience sur absolument tous mes macs depuis 25 ans, au point ou je ne fait plus de mise à jour N+1....
Dans le mon Windows c'est entendu, dans le monde mac, les gens changent avant, ou ils ont un rideau de croyance devant les yeux?
Sinon, je peux te parler de mon iMac 2009 qui est juste inutilisable avec le système MacOs, mais parfaitement avec Windows...
@ debione
"Sinon, je peux te parler de mon iMac 2009 qui est juste inutilisable avec le système MacOs..."
Ah bon, ben alors je fais comment moi avec mes 2 MacPro de 2006 sous 10.7 que j'utilise tous les jours ?
@claude72
Et tu arrives encore à trouver des navigateurs qui sont compatibles avec une version aussi vieille de MacOS ? Et qui te permettent de naviguer correctement sur internet ? 🤔
Sachant que même sur un MacOS 10.12 ça commence à devenir tendu pour accéder à certains sites vu que Safari est aux fraises et qu'il n'y a plus de navigateurs compatibles avec cet OS ?
@loupgarou22:
C'est exactement cela. Plus aucun soft mis à jour... Gros problèmes de compatibilité...
Pas de ça avec Windows, je l'utilise avec tout à jour. Ca marcherait aussi avec Linux remarque. Il n'y a qu'avec Apple qu'il n'y a pas ce support longue durée.
Déjà intégrer un antivirus de qualité et un pare-feu de qualité de base à Windows au lieu de crypter à tout va serait à mon sens une bonne solution !
Defender (de base) est correct... Mais sans plus.
Le firewall de Windows est très très bon, déjà dans sa configuration de base, et bien meilleur que celui de macOS qui est, il faut le dire, une vaste blague. Et vous pouvez l'affiner à coup de GPO pour standardiser sa configuration en entreprise.
"Le firewall de Windows est très très bon, déjà dans sa configuration de base, et bien meilleur que celui de macOS qui est, il faut le dire, une vaste blague.”
oki, alors à ce point de certitude il va falloir un poil plus de sources que votre simple avis :)
@Korell
Windows Defender fournit un antivirus de très bonne qualité, les tests montrent qu’il n’est pas moins bon que de nombreuses solutions payantes et que son impact sur les performances est bien moindre.
Je préfère largement Windows Defender à un Norton360 qui devient une plaie difficile à virer de l’ordinateur…
Un certain nombre d’entreprises activent le chiffrement BitLocker par défaut qui est du coup aussi un élément de validation pour pouvoir accéder aux ressources internes de celles-ci via la gestion des profils dans Ms365. Toutefois, l’utilisateur peut toujours retrouver la clef de récupération BitLocker dans son compte MS365 entreprise.
Par contre, pour le privé, le jour où le pc demande la clef de récupération, on verra comment cela va se passer.
Dans mon expérience, on voit nettement un ralentissement du PC surtout au premier chiffrement, ensuite c’est moins visible. Le problème étant qu’avec OneDrive actif, cela n’aide pas .
Sur Mac j’ai toujours eu FileVault et jusqu’à présent ça n’a affecté en rien mon usage. Sur ma tour PC j’ai activé bitlocker: déjà faut farfouillé dans l‘UEFi de la carte mère pour activer les sécurités (je me souviens que j’avais même du flasher la carte graphique pour être compatible), après quand c’est activé il faut savoir le désactiver pour faire certains update. Enfin après 6 mois où tout était ok, je reboot et boom rentrer la clé de je sais plus quoi qu’on trouve sur son compte ms. Bon ben ça a dégagé de tous mes PC, ce qui est vrai est un réel problème au niveau de confidentialité des données.
@Glop0606
Il faut voir si c'était un vrai tpm
La grosse stupeur quand j'ai vu que ma nouvelle carte b650 possède un tpm 2.0 du cpu (fTPM) avec les broches pour mettre un vrai discrète tpm sur la carte mere
A chaque maj de bios j'ai une corruption tpm et la fameuse clé + le mdp de session à refaire aussi
Depuis que j'ai mis un discrete tpm ces problèmes là ont disparu
@djgreg13
Merci pour votre partage d’expérience. Je tenterai sur ma B450 si ça résoud le problème. Mais vous en conviendrez que notre discution parle à une ultra minorité et que donc bitlocker est vraiment pas grand public, d‘où mon étonnement que MS veuille pousser à son usage.
@Glop0606
C'est sur par contre les éditions pro le font déjà apparemment j'ai un thinkpad perso avec Windows 10 pro et bitlocker est déjà activé
Oui les tpm emulés s'effacent avec un reset de bios ou mise à jour mais ça je pense pas que Microsoft a réfléchi à ça et du coup
Hop update et clé de 25 caractères
Bordeliser l’espace pour garder le contrôle.
Et surtout ne rien garantir.
Comme une vieille habitude !
Franchement... 🙄
"un utilisateur lambda ne va pas nécessairement se rendre compte que ses données sont chiffrées et les risques de perdre des données en cas de soucis sont donc plus élevés"
Alors qu'un utilisateur lambda sur Mac est bien entendu au courant de l'existence de filevault mais oui...
"Pour rappel, elles sont normalement disponibles sur le compte Microsoft (si vous en utilisez un) mais peuvent aussi être imprimées, sauvées sur une clé USB, etc"
Exactement tout pile comme sur Mac finalement. La clé est stockée sur icloud si vous l'utilisez sinon c'est bien à l'utilisateur de s'en souvenir (à la différence que l'utilisateur est quand même censé connaître son mot de passe de session on est d'accord). C'est exactement ce que la doc indique : https://support.apple.com/fr-fr/guide/mac-help/mh11785/mac
"il existe quelques cas où un simple Raspberry Pi Pico permet le déchiffrement d'un SSD chiffré"
Surtout ne rappelons pas que c'était grâce à la présence d'un connecteur de débug donc le problème vient du constructeur (Lenovo en l'occurrence) et pas vraiment de Bitlocker.
Le problème semble similaire mais il me semble que FileVault ne s’impose pas à l’utilisateur. J’ai toujours refusé d’utiliser cette option par précaution (même si en fait cela aurait été transparent). Les avertissements sont clairs à l’installation de macOS il me semble. Le fait que cela soit imposé sans que les utilisateurs le sache est un peu problématique, non ?
La différence est la suivante :
- sur MacOS, FileVault est transparent et léger. J’ai imprimé mon mot de passe (physique), mais je ne m’en suis jamais servi. Et, à l’usage, je ne me rend pas compte que mon Mac est crypté.
- sur Windows, Bitlocker est lourd et ne se fait pas oublier. (Peut-être que ce dernier point a été amélioré puisqu’ils veulent l’activer par défaut.) L’ordinateur est plus lent, et ça se sent, cela a un impact sur la «qualité de vie». De plus, les deux fois où je l’ai activé, je me suis retrouvé au plus mauvais moment avec un ordinateur inaccessible car je devais entrer mon sésame Bitlocker sans préavis ni raison.
Sinon, c’est pareil !
@LoossSS
Enfin quelqu’un qui soit s’y connaît.
Je suis toujours bien étonné de macge et du cooo de l’article de @pierre qui pourtant j’aime bien car la qualité de ses articles est bonne.
De prime abord, la volonté de Microsoft est dorénavant de ne pas laisser une install de Windows sans compte Microsoft, donc si de base des sites techniques n’apprenaient pas aux utilisateurs à contourner les règles (comme ici dans l’artifice) pour by-pass les pré requis nous n’en serions là.
Comme pour iCloud, la clé bitlocker d’un pc se retrouve mais alors très aisément dans la page infos de son compte ms.
Aussi la fameuse faille bitlocker que je crois que même @Pierre avait écrit dessus n’en était pas trop puisqu’il s’agit en grande partie de Lenovo qui a laissé des connecteurs physiques sur sa carte mère et l’on pouvait intercepter les conversations entre la puce tpm et le système au démarrage. Cette faille, oui car Microsoft n’a pas tenu a sécurisé « une conversation secrète » n’aurait jamais existé si Lenovo…
Quant à la vitesse d’un disque ssd après chiffrement … même sur le graphique il s’agirait de 600 points perdus. Je travaille comme qui dirait de manière pro sur mes pc et ma foi, c’est bien la première fois que je lise que ça dérangeait autant.
Je pense au 1 qu’en tant qu’utilisateur de mac, on a parfois tendance à espérer que tout autre système DOIT fonctionner comme sur mac et donc si ce n’est le cas, c’est soit mal, un bug ou mal pensé, mais au deux je me pose d’autres question genre la mauvaise foi de clasher ce qui l’est parfois pas ou juste de se conforter dans notre choix mais je juge l’article moyen car ce qui est fait, se fait sur mac, autrement certes mais se fait.
Rien ne m’attire vers ce Windows 11 et le peu que je lis me fait penser que je n’y passerai pas. C’est dommage, de mes premiers pas en informatique et jusqu’à maintenant, je n’ai pas eu à me plaindre de MS. Les PCs que j’ai eu et qui ne fonctionnent plus, étaient des premiers prix ou sont aujourd’hui des dinosaures. Usage basique avec un peu de bureautique, qq retouches photos et surtout du surf. Le dernier PC est sous W10, a 12 ans et fonctionne parfaitement. Il passera sous Linux, si il le faut.
@2ni
+1000.
Je ne suis pas passé sur W11 de mon côté aussi. Je reste sur W10 et j'ai commencé à passer certains de mes PC sur Linux.
Et je pense qu'à terme j'aurais juste 2 PC sur Windows 10 pour certains logiciels, et tout le reste sera sur Linux.
Cela n’impacte réellement que les possesseurs de vieil hardware. Et c’est une bonne décision pour la sécurité.
Pour ajouter une couche de sécurité à Windows Defender, ajouter un firewall complémentaire avec un outil comme Tinywall qui est gratuit.
Cela permet un contrôle plus poussé des entrées sorties avec le Web.
Voilà un bon moyen de s’affranchir d’une solution de protection payante qui, pour beaucoup d’entre-elles, alourdit le fonctionnement de l’OS.
https://tinywall.pados.hu/
Les quelques fois que j’entends parler de Windows, que ce soit ici ou au travers des difficultés que peuvent rencontrer les gens de mon entourage qui l’utilisent, renforcent le plaisir que j’ai à ne plus du tout l’utiliser depuis près de 10 ans 😊
On parle quand même d'un 990 pro et des débits, même en bitlocker software bien supérieurs a n'importe quel mac.
Donc la supériorité d'Apple avec ses disques lents ok ...
Beaucoup de gamers sont aussi sous Windows parce qu’ils n’ont pas le choix.
Faire baisser les perfs avec ces sécurités qui n’ont vraiment d’usage que pour les PC portables pro, va vraiment être embêtant.
Sans compter la fin de support Windows 10 et l’obligation de passer sous un Windows 11 qui n’est pas réputé pour ses perfs…
Bref, encore une idée à la noix qui va conduire certains à changer de matériel. C’est super pour la planète, continuons comme ça !
mmh pour l'avoir eu en entreprise je n'ai pas noté de différence flagrante (W10) avec ou sans. Par contre un jour le redémarrage a foiré un truc et j'ai du contacter notre support pour avoir la clé bitlocker, je vous raconte pas la galère sur le moment :/
Sur un Mac de bureau Apple Silicon tout soudé je ne vois pas l’intérêt d’activer FileVault par rapport aux pertes de performances et pertes irrémédiables de données en cas de problème. Mais je n’ai peut être pas bien compris le
Message d’Apple lors du premier démarrage !
@TheRV
De toutes façons si une puce NAND du Mac lâche tu perds les données.
@ TheRV : « Sur un Mac de bureau Apple Silicon tout soudé je ne vois pas l’intérêt d’activer FileVault par rapport aux pertes de performances et pertes irrémédiables de données en cas de problème. »
Si j’ai bien compris le fonctionnement de FileVault sur ces machines, il n’y a pas de perte de performances : les données sont chiffrées quoi qu’il arrive, c’est juste la clef de chiffrement qui est librement accessible ou non.
Du coup, ça implique aussi qu’il ne faut pas trop espérer pouvoir récupérer des données en cas de problème.
@Pierre Dandumont
Franchement avant de dénigrer autant Windows, il faudrait peut être l’utiliser un peu et pas juste aller récupérer des « infos » vite fait à gauche et à droite et en faire un article…
C’est rigolo mais personnellement j’ai reformaté plus de fois mon ancien iMac (01/2011 à 02/2024) que le Dell que j’avais quasi sur la même période.
Concernant plus précisément BitLocker, dans mon ancien taf, nous étions 2 + 1 apprenti a gérer ~600 pc sous Windows 10 (sur un parc total d’environ 6000 machines avec 95% Win et 5% Mac) et mise à part au début sur les machines déjà en production, nous n’avons pas rencontré autant de problèmes que ce que vous laissez entendre, loin de là. 🤔
Sur les machines neuves, le chiffrement était transparent (sauf pour quelques très gros utilisateurs).
Et aujourd’hui chez Apple, aucun besoin de chiffrement avec le tout soudé et cas de défaut matériel pas besoin d’avoir un code à rallonge, tu le prends et tu le jettes car tu ne pourras pas récupérer tes données.
L’on va sûrement me dire, oui mais la sauvegarde… que nenni, la majorité des gens n’en n’ont pas que ce soit sur Mac ou Pc.
J’adore mon nouveau mbp 14 pro m1 mais en cas de pépin avec il est jetable (j’ai des sauvegardes perso sur 2 sites distants 😅) mais en cas de soucis avec mon Dell (de 2022 et sauvegardé également sur 2 sites distants) avec son BitLocker d’activé en cas de problème matériel, je démonte le ssd et je le branche dans un lecteur externe pour accéder à mes données.
Chaque crémerie a du bon et du moins bon mais faut vraiment que vous arrêtiez de dire n’importe quoi 🤦🏻♂️
Pour bosser dans la maintenance informatique auprès de particuliers :
La plupart n'ont aucune conscience d'avoir un compte MS sur leur PC, ils ont juste rentré leur adresse mail au premier démarrage parce qu'on leur demandais, mis un mot de passe bidon, et pire ils ont activé l'ouverture de la session par un code numérique parce que MS pousse à le faire, ce qui fait qu'au bout d'un moment ils ne se souviennent même plus du mot de passe de leur compte MS (que bien évidemment ils n'ont pas noté...). 🤦🏻♂️
Je sens venir les galères le jour où Bitlocker sera activé par défaut et que Windows va méchamment planter... Et qu'il faudra récupérer les photos hyper importantes (mais évidemment jamais sauvegardées, comme d'hab). 🤦🏻♂️
-> les gens auront oublié le mot de passe de leur compte MS, et vu la difficulté pour changer les infos de sécurité (l'attente de 30 jours avant qu'une nouvelle info soit prise en compte, etc...), infos que parfois ils n'ont même pas rentré au départ ce qui rendra encore plus compliqué le changement du mot de passe... Bref autant dire que c'est mort et qu'il sera impossible de récupérer quoi que ce soit. 🤦🏻♂️
J'en ai ras le q des co...ries de MS. 🤦🏻♂️🤦🏻♂️
@loupgarou22:
A vous écoutez, Microsoft est tellement mauvais que cela vous donne plein de travail...
Ok, mais pourquoi vous plaignez-vous? Si Microsoft était parfait vous pointeriez au chômage...
Pourquoi donc en avez vous plein le Q de gagner de l'argent?
@debione
J'en ai plein le q de devoir gérer leurs co...ries, et galérer parce que comme je le disais, le fait qu'ils activent Bitlocker par défaut à des gens qui n'ont même pas conscience d'avoir un compte MS et qui auront perdu leur mot de passe, ça va conduire à des situations très problématiques en cas de gros plantage de l'OS.
Toi tu n'as visiblement jamais bossé pour des particuliers, on est pas dans le cadre d'une entreprise où tout est géré en amont par un service qui aura fait les choses bien au départ...
J'ai plus envie de m'emm...der avec tout ça parce que MS prend des décisions à la mord moi le noeud, j'ai passé l'âge.
Si les gens réfléchissaient une seconde de plus (et liraient les messages d’avertissement des pops up), avant de cliquer rapidement sur n’importe quoi, il y aurait peut être moins de décisions aussi «extrêmes », prisent par les responsables sécu. des OS ( et pas que sur Windows) !Mais ça mettrait beaucoup de personnes mal intentionnées au chômage.