La mise à jour de Windows 11, connue sous le nom de 24H2 ou mise à jour 2024, est diffusée depuis le mois de juin et introduit le chiffrement des disques BitLocker par défaut pendant le processus d'installation des PC Windows 11 configurés avec un compte Microsoft. BitLocker n’est pas activé par défaut pour les ordinateurs configurés avec un compte local. La gestion de la clé de chiffrement constitue un motif d’inquiétude pour les utilisateurs étant donné qu’elle est stockée sur les serveurs de Microsoft dans le cas de l’utilisation d’un compte local.BitLocker est une fonction de chiffrement de volume complet incluse dans les versions de Microsoft Windows à partir de Windows Vista. Elle est conçue pour protéger les données en chiffrant des volumes entiers. Par défaut, BitLocker utilise l'algorithme AES (Advanced Encryption Standard) en mode CBC (cipher block chaining) ou en mode XTS (xor-encrypt-xor)[1] avec une clé de 128 ou 256 bits. Le mode CBC n'est pas utilisé sur l'ensemble du disque ; il est appliqué à chaque secteur individuel.
BitLocker soulève néanmoins des inquiétudes quant aux performances, même si son intégration marque un bon dans la sécurisation des donnnées des utilisateurs. Il a été constaté que le chiffrement BitLocker basé sur le logiciel par défaut, utilisant XTS-AES 128, a potentiellement un impact sur les performances des lecteurs de données à grande vitesse, y compris les disques SSD NVMe PCIe Gen4. Cette implication suggère que les utilisateurs pourraient subir une diminution des vitesses d'accès aux données, un facteur qui mérite d'être pris en compte pour ceux qui s'appuient sur des solutions de stockage rapides.
La gestion de la clé de chiffrement constitue un motif d’inquiétude pour les utilisateurs
La note d’information de Microsoft y relative suggère en effet que la clé de chiffrement est stockée sur les serveurs de Microsoft pour les utilisateurs qui ont configuré un compte Microsoft. C’est un motif d’inquiétude pour les utilisateurs étant donné que Microsoft multiplie les stratagèmes pour empêcher l’utilisation du compte local. Au mois de juin, des rapports ont fait état du blocage par Microsoft d’une mesure de contournement qui permet de créer un compte local. La décision de l’entreprise concernait jusqu’ici Windows 11 Home uniquement et Windows 11 Pro en était exempté. Changement de direction au premier trimestre de l’année 2022 : Windows 11 Pro requiert une connexion à Internet et un compte Microsoft pour entamer le processus initial d’installation.
Le chiffrement BitLocker peut céder face aux assauts d’un système architecturé autour d’un Raspberry Pi à moins de 10 dollars
Le YouTubeur stacksmashing a révélé une vulnérabilité majeure dans le système de chiffrement BitLocker, utilisé pour protéger les données sous Windows 10 Pro et Windows 11 Pro. En exploitant une faille de conception dans les systèmes équipés d'un Trusted Platform Module (TPM) externe, nécessaire à BitLocker dans certaines configurations, il a réussi à contourner la sécurité en moins d'une minute à l'aide d'un Raspberry Pi Pico bon marché.
Le défaut découvert réside dans l'absence de chiffrement sur les voies de communication (bus LPC) entre le CPU et le TPM externe au démarrage, permettant ainsi à un pirate de sniffer et de voler les clés de chiffrement. Bien que cette faille ne concerne apparemment que les TPM discrets, les utilisateurs de processeurs intégrant un TPM interne semblent à l’abri de cette menace, car les communications du TPM restent sécurisées à l'intérieur du processeur.
Pour une sécurité optimale, BitLocker s'associe au Trusted Platform Module (TPM), un composant matériel couramment intégré aux appareils Windows. Le TPM collabore avec BitLocker pour assurer l'intégrité de l'appareil lorsqu'il est hors ligne.
En complément du TPM, BitLocker peut imposer un verrouillage sur le processus de démarrage normal, exigeant de l'utilisateur qu'il fournisse un numéro d'identification personnel (PIN) ou qu'il insère un périphérique amovible contenant une clé de démarrage. Ces mesures de sécurité permettent une authentification multifactorielle, assurant que l'appareil ne peut démarrer ou sortir de l'hibernation qu'après la présentation du bon code PIN ou de la clé de démarrage appropriée.
Le Module de Plateforme de Confiance (TPM) est une norme internationale définissant un cryptoprocesseur sécurisé, c'est-à-dire un microcontrôleur dédié conçu pour renforcer la sécurité matérielle grâce à l'intégration de clés cryptographiques. Le terme peut également faire référence à une puce conforme à la norme ISO/IEC 11889. Dans le contexte du système d'exploitation Windows 11, l'implémentation du TPM 2.0 est une exigence. Microsoft a affirmé que cette mesure vise à renforcer la sécurité en prévenant les attaques de microprogrammes.
Le processus d'exploitation de la faille a révélé que les voies de communication, connues sous le nom de bus LPC, entre le CPU et le TPM externe ne sont pas chiffrées au démarrage. Stacksmashing a ainsi pu intercepter les données cruciales lors de leur transfert entre les deux unités, permettant de voler les clés de chiffrement en seulement 43 secondes. Cette découverte soulève des préoccupations légitimes quant à la robustesse de BitLocker et à la protection des données sensibles.
Un point notable mis en avant par les avis est que cette vulnérabilité semble affecter principalement les TPM externes, tandis que les TPM intégrés dans les processeurs modernes d'Intel et d'AMD semblent offrir une meilleure sécurité en maintenant les communications du TPM à l'intérieur du processeur. Cela souligne l'importance de la distinction entre les différentes configurations matérielles dans l'évaluation des risques liés à BitLocker.
La révélation du YouTubeur stacksmashing souligne l'impératif pour les utilisateurs et les professionnels de la sécurité informatique de rester vigilants face aux vulnérabilités potentielles de leurs systèmes de chiffrement. La diversité des préoccupations et des approches adoptées par les utilisateurs dans la gestion de la sécurité de leurs données, souligne l'importance continue de l'éducation et de la sensibilisation aux meilleures pratiques en matière de sécurité informatique.
Source : Microsoft
Et vous ?
Quel est votre avis sur le sujet ?Voir aussi :
Le chiffrement BitLocker, une fonction de sécurité intégrée à Windows, cassé en 43 secondes avec un Raspberry Pi Pico à moins de 10 dollars défaut de chiffrement sur les voies (bus LPC) CPU-TPM Windows 11 devient officiellement un logiciel publicitaire : Microsoft intègre des publicités dans le menu Démarrer, les publicités sont désormais disponibles pour tout le monde 
Envoyé par floyer
