BitLocker et la puce TPM



Documents pareils
Analyse des protections et mécanismes de chiffrement fournis par BitLocker

G. Méthodes de déploiement alternatives

Authentification à deux facteurs Cryptage portable gratuit des lecteurs USB Cryptage du disque dur

SED SELF ENCRYPTING DRIVE Disques durs chiffrant : la solution contre les pertes de données

Installer Windows 8 depuis une clé USB

Windows 7, Configuration

Windows 7 - Installation du client

La prise de conscience de la Cyber Sécurité est en hausse

Sécurité et mobilité Windows 8

Ophcrack - Windows XP/Vista

SRS Day. Attaque BitLocker par analyse de dump mémoire

Recommandations pour la protection des données et le chiffrement

qwertyuiopasdfghjklzxcvbnmqwerty uiopasdfghjklzxcvbnmqwertyuiopasd fghjklzxcvbnmqwertyuiopasdfghjklzx cvbnmqwertyuiopasdfghjklzxcvbnmq

PPE 1 : GSB. 1. Démarche Projet

BitLocker. Aurélien Bordes SSTIC juin 2011

Plan de cette matinée

Tutoriel déploiement Windows 7 via serveur Waik

Généralités sur les systèmes d Exploitation

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

Guide de mise à niveau pas à pas vers Windows 8 CONFIDENTIEL 1/53

Steganos présente Security Suite 2007, son incontournable suite de sécurité pour PC.

Retrouver de vieux programmes et jouer sur VirtualBox

Mettre à jour son ordinateur vers Windows 7

Caméra Numérique de Microscopie Couleur USB. Guide d installation

Généralités sur les systèmes d Exploitation

Tutoriel Création d une source Cydia et compilation des packages sous Linux

Découvrez notre solution Alternative Citrix / TSE

Présentation Windows 7 &

Manuel de la sécurité intégrée HP ProtectTools Ordinateurs d entreprise HP modèle dx5150

Mettre Linux sur une clé USB bootable et virtualisable

Ensuite, insérer la clé USB 3.0 compatible, et lancer l'assistant Windows To Go :

1. Installation standard sur un serveur dédié

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Démontage d'un ordinateur

La gestion du poste de travail en 2011 : Panorama des technologies

1. Introduction Avantages, fonctionnalités, limitations et configuration requise Avantages... 2

MANUELS NUMÉRIQUES PROCÉDURE DE TÉLÉCHARGEMENT

Date : NOM Prénom : TP n /5 DE WINDOWS SERVEUR

Intégrer le chiffrement et faciliter son intégration dans votre entreprise!

CommandCenter Secure Gateway

Etude d Exchange, Google Apps, Office 365 et Zimbra

INSTALL ATION D UNE D I S T RIBUTION

Table des matières. Chapitre 1 Les architectures TSE en entreprise

Cette option est aussi disponible sur les clients Windows 7 sous la forme d un cache réparti entre les différentes machines.

Boot Camp Guide d installation et de configuration

Rôles serveur Notion de Groupe de Travail Active Directory Utilisation des outils d administration Microsoft Windows Server 2008

Windows avancé7préface de SANSTABOO. Louis-Guillaume Morand. & Thomas Garcia. 2 e édition. Lucas Riedberger

Windows 8 Installation et configuration

Toshiba EasyGuard en action :

LaCieSync. Synchronization Software. getting started guide. Guide de démarrage. Guida introduttiva. Erste Schritte. Guía de inicio.

Downgrade Windows 7 FAQ. 8 mars 2013

Guide de Démarrage Rapide

Démarrer et quitter... 13

Comment protéger ses systèmes d'information légalement et à moindre coût?

Comment récupérer ses fichiers quand Windows ne démarre plus

Endpoint Protection. Guide d installation simplifié

Gestion d Active Directory à distance : MMC & Délégation

Gérard Castagnoli OSU PYTHEAS 25/06/2013 VVT2013 1

EMV, S.E.T et 3D Secure

Boot Camp Guide d installation et de configuration

Tutorial Terminal Server sous

L équipement choisit devra être nomade, il servira aux visiteurs en déplacements et sera donc sujets à des limitations de tailles et de poids.

Journées MATHRICE "Dijon-Besançon" DIJON mars Projet MySafeKey Authentification par clé USB

Guide de configuration. Logiciel de courriel

À propos de cette page Recommandations pour le mot de passe... 26

Adonya Sarl Organisme de Formation Professionnelle 75 Avenue Niel PARIS, France

Chi rement des postes PC / MAC / LINUX

Architecture Technique

Boot Camp Guide d installation et de configuration

User Manual Version 3.6 Manuel de l Utilisateur Version

DESKTOP Internal Drive. Guide d installation

IN SYSTEM. Préconisations techniques pour Sage 100 Windows, MAC/OS, et pour Sage 100 pour SQL Server V16. Objectif :

MOBILITE. Nomadio, le dialer d entreprise. Datasheet

Réparer un disque dur passé en RAW

Séquencer une application

Connecteur Zimbra pour Outlook 2007 et 2010 (ZCO) w

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse

SUJET EPREUVE ECRITE. JURY ASI Bap E Gestionnaire de parc informatique et Télécom.

COSWIN MOBILE SERVEUR DE SYNCHRONISATION GUIDE D INSTALLATION

Offres en cartes et clés 3G+ Internet illimité

Félicitations pour l'achat de votre Notebook GIGABYTE.

Configurer un réseau domestique. Partager ses fichiers, ses dossiers et ses imprimantes sur tous ses PC.

Sauvegarder automatiquement sa clé USB

Fonctionnement de Windows XP Mode avec Windows Virtual PC

D. Déploiement par le réseau

JetClouding Installation

TAI049 Utiliser la virtualisation en assistance et en dépannage informatique TABLE DES MATIERES

Suite logicielle ZOOM version 7.1 Guide d installation 94ZM-ZMJ1F-712

Configuration Routeur DSL pour Xbox LIVE ou PlayStation-Network

ndv access point : Installation par clé USB

INSTALLATION MICRO-SESAME

cc.region.beaujeu@wanadoo.fr Site Internet Actuellement nous trouvons ce schéma réseau :

Cahier Technique Envoi par à partir des logiciels V7.00

Backup Exec 2010 vs. BackupAssist V6

ClariLog - Asset View Suite

Manuel d installation et d utilisation du logiciel GigaRunner

Virtualisation CITRIX, MICROSOFT, VMWARE OLIVIER D.

Transcription:

BitLocker et la puce TPM 1/ Introduction La sécurité de l information est devenue une préoccupation principale pour les entreprises qui ont besoin de chiffrer leurs données ainsi que pour certains utilisateurs nomades. C est pour cela que Microsoft a mis en place une toute nouvelle fonctionnalité de sécurité pour les ordinateurs Windows appelé Bitlocker Drive Encryption. Il protège notamment les données sur le disque dur, grâce à son système de cryptage. Ainsi, la récupération des données via l exécution d un Live CD ou encore via le vol du disque dur (physique). Bitlocker repose de manière facultative sur un module TPM version 1.2 (Trusted Platform Module) pour garantir une protection renforcée. Bien que maintenant de plus en plus d ordinateurs soient désormais équipés du module TPM, un bon nombre n en disposent pas. Dans ce cas-là, le module sera remplacé par une clé USB qu il faudra obligatoirement au démarrage de l ordinateur. A la Caisse d épargne, tous les ordinateurs sont équipés de ces puces TPM et le chiffrement des disques durs des ordinateurs devient une norme. Le chiffrement du disque dur de l ordinateur ne se fait pas automatiquement et est proposé à l utilisateur à chaque démarrage (seulement pour les ordinateurs portables) tant qu il n est pas effectué (pour les postes fixes, il n est pas activé par défaut et il n est pas non plus demandé de le faire à chaque démarrage). Il va devenir obligatoire et automatique dans le futur. 2/ Que se passe-t-il quand BitLocker s active? Concrètement, si une modification est apportée à l ordinateur, le système d exploitation ne voudra pas démarrer et un message demandera une clé pour pouvoir faire démarrer à nouveau cet ordinateur.

! Ainsi, si une modification du BIOS est effectuée, ou si le disque dur est déplacé, le verrouillage se mettra en place. La clé de déverrouillage est donnée à l utilisateur lors du chiffrement du disque ; on lui propose alors 3 choix : - Il peut sauvegarder sa clé de déverrouillage sur son compte Microsoft (en ligne) - Il peut sauvegarder sa clé de déverrouillage sur un fichier texte - Il peut imprimer sa clé de déverrouillage sur papier Si l ordinateur fait partie d un domaine administré, alors la clé de déverrouillage peut-être envoyée directement sur l Active Directory, sans que l utilisateur ne sache jamais laquelle elle est. C est le cas à la Caisse d épargne, quand l utilisateur active le chiffrement de son disque dur par bitlocker, il ne lui est pas proposé de sauvegarder sa clé, et elle est directement envoyée sur un serveur MBAM (serveur d administration de Bitlocker). Ainsi, seules les personnes ayant l accès à la console de ce serveur MBAM pourront récupérer la clé de déverrouillage Bitlocker (à savoir la hotline technique). L ordinateur déverrouillé à l aide de cette clé pourra démarrer une fois, et il faudra désactiver la protection bitlocker pour qu il redémarre encore dans le futur (ou alors restaurer l ordinateur dans le stade dans lequel il était avant la modification). Ainsi, un ordinateur protégé par Bitlocker démarre selon le scénario suivant : - Une partition du disque dur, utilisée pour le démarrage de Windows, n est pas chiffrée avec Bitlocker. C est elle qui amorce le démarrage du système d exploitation. - Une clé est alors nécessaire pour continuer le boot de Windows normalement, et c est la puce TPM qui la délivre - La puce TPM compare alors le «hash» du système d exploitation avec celui d une «snapshot» prise auparavant. Si la puce TPM détecte des changement au niveau de ce hash (changements provoqués par une modification du bios ou autre comme vu

précédemment) alors elle ne délivrera pas la clé nécessaire au démarrage de Windows, et le disque ne pourra pas être déchiffré. 3/ Comment ça marche? BitLocker est disponible depuis Windows Vista et chiffre les disques durs avec un algorithme de chiffrement de type 128-bit AES par défaut jusqu à Windows 8.1. Il est possible de changer manuellement le chiffrement pour passer à du 256-bit AES. Depuis Windows 10, bitlocker propose un autre chiffrement de type XTS-AES, mais qui n est pas rétro compatible avec les anciennes versions de Windows (si on branche le disque dur (en tant que disque dur externe) chiffré avec XTS-AES sur un ordinateur qui possède un OS inférieur à Windows 10, alors le déchiffrement sera impossible. On notera tout de même que, via l installation d un package supplémentaire, on pourra utiliser bitlocker sous Windows XP. La puce TPM quant à elle n est pas un élément «actif» du PC, c est-à-dire qu'elle ne peut pas donner d'ordre à l'ordinateur tel que bloquer le système, ou surveiller l'exécution d'une application. Toutefois, elle permet de facilement stocker des secrets (tels que des clefs de chiffrement), de manière sécurisée. Cette puce est utilisée sur le système Next Generation Secure Computing Base (NGSCB) créé par Microsoft (intégré dans Windows). Le principe de NGSCB est d inclure la cryptographie au sein même du système d exploitation afin de sécuriser les transactions

entre les processus et la mémoire vive, le disque dur, les périphériques d entrée-sortie, etc. Finalement, il s agit de mettre Windows dans un environnement dit «de confiance». 1 La puce TPM est installée par défaut sur beaucoup d ordinateurs portables aujourd hui, en particulier ceux destinés aux professionnels. Elle a commencée à être commercialisée dans certains PC à partir de 2006, et elle est passée en version 2.0 très récemment, en décembre 2015. La puce 2.0 intègre certaines nouveautés comparée à la version 1.2 (celle qui est la plus courante actuellement). Les voici : - Support de plus d algorithmes de chiffrement - La capacité d utiliser des algorithmes «spécifiques» à certaines entreprises ou entités. - L amélioration de la disponibilité de cette puce pour les applications. - Des services de chiffrements additionnels pour améliorer la sécurité des services de plateforme. On notera que bitlocker ne fonctionne pas avec une puce TPM inférieur à la version 1.2. Par défaut, à l installation de Windows, le chiffrement du disque n est pas fait et l utilisateur doit l effectuer lui-même après l installation du système d exploitation. La puce TPM de l ordinateur n est d ailleurs pas forcément active sur l ordinateur, et l utilisateur doit l activer par le BIOS. Cette activation se déroule en 3 étapes : 1/ Enable : l activation électrique de la puce TPM 2/ Activate : qui définit logiciellement la puce 3/ Ownership : qui définit un mot de passe propriétaire (que l on peut lui aussi sauvegarder sur un serveur MBAM). 2 4/ La puce TPM, qu est-ce que c est? La puce TPM est un microcontrôleur, c est-à-dire un circuit intégré qui rassemble les éléments essentiels d un ordinateur : processeur, mémoire, interfaces entrée-sortie. Elle possède dans sa mémoire morte des moteurs de cryptage RSA et SHA-1, un générateur de nombres aléatoires, un générateur de clé. Finalement, on peut considérer cette puce comme un mini-ordinateur dédié au cryptage. Cette clé n est pas seulement compatible avec Bitlocker, elle prend en charge les opérations 1 2 Source: Site Web de itpro Source: Site Web de Microsoft

de cryptage à la place du processeur de l ordinateur (elle allège donc un peu la charge de travail du processeur). 3 5/ La CEPAL et BitLocker On a vu auparavant que la CEPAL utilise BitLocker et que tous leurs ordinateurs sont équipés d une puce TPM. Mais alors, quand un utilisateur bloque son ordinateur, comment cela se passe-t-il? L utilisateur se retrouve coincé devant un écran noir comme celui-ci : Il lui est demandé de rentrer une clé de récupération pour continuer. Il faut alors appeler la hotline technique de la CEPAL pour qu ils lui fournissent cette clé. 3 Source: Site Web de Wikipédia

Eux vont se connecter sur leur serveur MBAM, qui possède toutes les clés BitLocker des ordinateurs du réseau. (En effet lors du chiffrement du disque dur la clé de récupération est envoyée directement au serveur MBAM et sans la montrer à l utilisateur). Il leur faudra rentrer le nom du domaine (CEPAL-SIRIS) puis l identifiant de l utilisateur ainsi que l identifiant de la clé. On notera que si l utilisateur ne correspond pas à l ordinateur qu il doit débloquer (l ID de la clé correspond à un poste qui correspond à un utilisateur dans l outil perso de la CEPAL) alors le serveur MBAM refusera de donner la clé et signalera que l utilisateur n est pas le bon. Dans le cas contraire, il donnera la clé que le hotliner transmettra par oral à l utilisateur.

Ainsi, le poste démarrera (on notera que à cet état là le poste redemandera la clé BitLocker à chaque redémarrage.) et le hotliner ouvrira une session à distance en TSE pour désactiver puis réactiver la protection BitLocker ce qui aura pour effet de changer la clé de récupération (ainsi si l utilisateur l a gardé il ne pourra plus s en servir à l avenir) mais aussi de débloquer l ordinateur (l utilisateur n aura plus à taper la clé de récupération au démarrage). On notera donc que cette clé est à usage unique dans notre situation. On pourra ajouter que même si BitLocker bloque le démarrage de Windows après un changement de disque dur-pc, et même si on échoue dans la frappe de la clé de récupération, si on remet le disque dur dans le PC original, alors le démarrage se fera de manière transparente.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back