- Différence claire entre EFS, BitLocker et le chiffrement de périphérique, et quand utiliser chacun d'eux.
- Vérifications essentielles : TPM, Secure Boot, WinRE et compatibilité matérielle avant le chiffrement.
- Gestion sécurisée des clés de récupération et des protections BitLocker sur les disques et les clés USB.
- Ajustez les paramètres et options de l'algorithme/de l'intensité si vous constatez un impact sur les performances du SSD.
Protéger les données stockées sur votre PC n'est pas une option : c'est une nécessité. Windows offre plusieurs niveaux de sécurité pour empêcher tout accès non autorisé à vos données, que votre ordinateur soit volé ou qu'une personne tente d'y accéder depuis un autre système. Grâce aux outils intégrés (par exemple, vous pouvez chiffrer un dossier avec BitLocker), vous pouvez… Chiffrez des fichiers, des dossiers, des disques entiers et des périphériques externes. en quelques clics.
Ce guide vous explique comment chiffrer un dossier avec BitLocker et d'autres solutions. Vous découvrirez l'édition de Windows requise, comment vérifier la présence d'un module TPM sur votre ordinateur, comment utiliser EFS pour des éléments individuels, et bien plus encore. Comment créer et enregistrer correctement la clé de récupérationJ'explique également ce qu'il faut faire si vous ne disposez pas d'un TPM, quel algorithme et quelle longueur de clé choisir, les impacts possibles sur les performances et quelles options sont disponibles si vous recherchez quelque chose comme un conteneur/ISO protégé par mot de passe.
Quelles sont les options de chiffrement proposées par Windows et en quoi diffèrent-elles ?
Sous Windows, trois approches coexistent :
- Cifrado de dispositivoIl active automatiquement la protection si votre matériel répond à certaines exigences et associe la clé de récupération à votre compte Microsoft après votre première connexion. Il est généralement disponible même sur Windows Home, mais pas sur tous les ordinateurs.
- BitLocker, Disponible en versions Pro, Entreprise et Éducation, ce logiciel assure le chiffrement complet du disque système et des autres disques internes ou externes (BitLocker To Go). Son principal avantage réside dans la protection intégrale du volume.
- EFS (Encrypting File System), Conçu pour chiffrer des fichiers et des dossiers individuels, il est lié à votre compte utilisateur ; ainsi, seule la personne qui les chiffre peut les ouvrir depuis ce même profil. Il est idéal pour quelques documents sensibles, mais ne remplace pas BitLocker pour une protection complète.
Comment savoir si votre appareil prend en charge le chiffrement et le module TPM ?
Pour vérifier la compatibilité avec le chiffrement de l'appareil, accédez au menu Démarrer, recherchez « Informations système », cliquez avec le bouton droit et ouvrez « Exécuter en tant qu'administrateur ». Dans le « Résumé système », repérez l'entrée « Prise en charge du chiffrement de l'appareil ». Si la mention « Conforme aux prérequis » s'affiche, tout est en ordre ; si vous voyez des messages comme « Le module TPM ne peut pas être utilisé », « WinRE n’est pas configuré » ou « La liaison PCR7 n’est pas prise en charge ».Vous devrez corriger ces points (activer TPM/Secure Boot, configurer WinRE, déconnecter les stations d'accueil externes ou les cartes graphiques au démarrage, etc.).
Pour vérifier la présence d'un module TPM : appuyez sur Windows + X, ouvrez le Gestionnaire de périphériques, puis, sous « Périphériques de sécurité », recherchez « Trusted Platform Module (TPM) » version 1.2 ou ultérieure. Vous pouvez également exécuter « tpm.msc » en appuyant sur Windows + R. BitLocker fonctionne de manière optimale avec un module TPM.Mais plus bas, vous verrez comment l'activer sans cette puce.
Chiffrez les fichiers et les dossiers avec EFS (Windows Pro/Entreprise/Éducation)
Si vous souhaitez protéger uniquement un dossier ou quelques fichiers, EFS est simple et rapide. Faites un clic droit sur l'élément, sélectionnez « Propriétés », puis cliquez sur « Avancé ». Cochez la case « Chiffrer le contenu pour sécuriser les données » et confirmez. Si vous chiffrez un dossier, le système vous demandera si vous souhaitez appliquer la modification uniquement au dossier ou également à ses sous-dossiers et fichiers. Choisissez l'option qui correspond le mieux à vos besoins..
Une fois activé, un petit cadenas apparaît sur l'icône. EFS chiffre les fichiers pour l'utilisateur actuel ; si vous copiez ce fichier sur un autre ordinateur ou tentez de l'ouvrir depuis un autre compte, il sera illisible. Soyez prudent avec les fichiers temporaires (par exemple, ceux provenant d'applications comme Word ou Photoshop) : si le dossier racine n'est pas chiffré, Les miettes pourraient rester sans protection.C'est pourquoi il est recommandé de chiffrer l'intégralité du dossier contenant vos documents.
Il est fortement recommandé de sauvegarder votre certificat de chiffrement. Windows vous proposera de « sauvegarder votre clé maintenant ». Suivez les instructions de l'assistant d'exportation de certificat, enregistrez la clé sur une clé USB et protégez-la avec un mot de passe robuste. Si vous réinstallez Windows ou changez d'utilisateur sans avoir exporté la clé, vous risquez de perdre l'accès..
Pour déchiffrer, répétez le processus : propriétés, avancé, Décochez la case « Chiffrer le contenu pour protéger les données ». Et cela s'applique. Le comportement sous Windows 11 est identique, la procédure étape par étape est donc la même.
Chiffrer un dossier avec BitLocker (Windows Pro/Entreprise/Éducation)
BitLocker chiffre des volumes entiers, internes ou externes. Dans l'Explorateur de fichiers, cliquez avec le bouton droit sur le lecteur à protéger et choisissez « Activer BitLocker ». Si l'option n'apparaît pas, votre version de Windows ne la prend pas en charge. Si vous recevez un avertissement concernant un module TPM manquant, Ne vous inquiétez pas, il peut être utilisé sans TPM.Cela nécessite simplement un ajustement de politique que j'expliquerai juste après.
L'assistant vous demandera comment déverrouiller le lecteur : avec un mot de passe ou une carte à puce. Il est préférable d'utiliser un mot de passe complexe (lettres majuscules, minuscules, chiffres et symboles). Choisissez ensuite où enregistrer la clé de récupération : dans votre compte Microsoft, sur une clé USB, dans un fichier ou imprimez-la. Enregistrer sur un compte Microsoft C'est très pratique (accès via onedrive.live.com/recoverykey), mais prévoyez une copie hors ligne supplémentaire.
L'étape suivante consiste à choisir entre chiffrer uniquement l'espace utilisé ou la totalité du disque. La première option est plus rapide pour les disques neufs ; pour les ordinateurs d'occasion, il est préférable de chiffrer l'intégralité du disque afin de protéger les données supprimées qui pourraient encore être récupérées. Plus de sécurité implique un délai initial plus long..
Enfin, choisissez le mode de chiffrement : « nouveau » pour les systèmes modernes ou « compatible » si vous déplacez le disque entre des PC équipés de versions plus anciennes de Windows. « Exécuter la vérification du système BitLocker » Et cela continue. S'il s'agit du disque système, l'ordinateur redémarrera et vous demandera votre mot de passe BitLocker au démarrage ; s'il s'agit d'un disque de données, le chiffrement démarrera en arrière-plan et vous pourrez continuer à travailler.
Si vous changez d'avis, dans l'Explorateur, cliquez avec le bouton droit sur le lecteur chiffré et accédez à « Gérer BitLocker » pour désactiver, modifier le mot de passe, régénérer la clé de récupération ou activer le déverrouillage automatique sur cet ordinateur. BitLocker ne fonctionne pas sans au moins une méthode d'authentification..
Utilisation de BitLocker sans TPM : options de stratégie de groupe et de démarrage
Si vous ne disposez pas d'un module TPM, ouvrez l'Éditeur de stratégie de groupe locale avec « gpedit.msc » (Windows + R) et accédez à « Configuration ordinateur » > « Modèles d'administration » > « Composants Windows » > « Chiffrement de lecteur BitLocker » > « Lecteurs du système d'exploitation ». Ouvrez « Exiger une authentification supplémentaire au démarrage » et activez-la. Cochez la case « Autoriser BitLocker sans module TPM compatible ». Appliquez les modifications et exécutez « gpupdate /target:Computer /force » pour forcer son application.
Lorsque vous lancez l'assistant BitLocker sur votre disque système, deux options s'offrent à vous : « Insérer une clé USB » (une clé de démarrage .BEK sera alors enregistrée et devra être connectée à chaque démarrage) ou « Saisir un mot de passe » (code PIN ou mot de passe de pré-démarrage). Si vous utilisez une clé USB, modifiez l'ordre de démarrage dans les paramètres BIOS/UEFI afin que votre ordinateur puisse démarrer depuis celle-ci. N'essayez pas de démarrer à partir de cette clé USB.Durant toute la procédure, ne retirez pas la clé USB avant que tout soit terminé.
Avant le chiffrement, BitLocker peut effectuer une « test système » Pour confirmer que vous pourrez accéder à la clé au démarrage, vérifiez l'ordre de démarrage et les options de sécurité (démarrage sécurisé, etc.) et réessayez. Si un message d'erreur s'affiche, réessayez.
BitLocker To Go : Protégez vos clés USB et disques durs externes
Connectez le périphérique externe, cliquez avec le bouton droit sur le lecteur dans l'Explorateur de fichiers et choisissez « Activer BitLocker ». Définissez un mot de passe et enregistrez la clé de récupération. Vous pouvez cocher « Ne plus me demander sur ce PC » pour activer le déverrouillage automatique. Sur d'autres PC, Le mot de passe vous sera demandé lors de la connexion. avant de pouvoir en lire le contenu.
Sur les systèmes très anciens (Windows XP/Vista), le déverrouillage n'est pas pris en charge nativement, mais Microsoft a publié « BitLocker To Go Reader » pour un accès en lecture seule aux disques formatés en FAT. Si vous prévoyez une compatibilité ascendante, envisagez d'utiliser… mode de chiffrement « compatible » dans l'assistant.
Algorithme et robustesse du chiffrement, et leur impact sur les performances
Par défaut, BitLocker utilise le chiffrement XTS-AES avec une clé de 128 bits pour les disques internes et AES-CBC 128 pour les disques externes. Vous pouvez augmenter le niveau de chiffrement à 256 bits ou ajuster l'algorithme dans les paramètres : « Chiffrement de lecteur BitLocker » > « Choisir la méthode et la force de chiffrement… ». Selon la version de Windows, ces options varient selon le type de disque (démarrage, données, amovible). XTS-AES est le modèle recommandé. pour la robustesse et la performance.
Avec les processeurs modernes (AES-NI), l'impact est généralement minime, mais il arrive que les performances chutent, notamment sur certains SSD sous Windows 11 Pro lorsque BitLocker est activé par logiciel sur des disques dotés d'un chiffrement matériel. Une baisse de performances allant jusqu'à 45 % a été mesurée en lecture aléatoire sur certains modèles (par exemple, le Samsung 990 Pro 4 To). Si vous constatez une dégradation importante, vous pouvez : 1) Désactiver BitLocker dans ce volume (en sacrifiant la sécurité) ou 2) réinstaller et forcer le chiffrement matériel du SSD lui-même s'il est fiable (processus plus complexe et dépendant du fabricant).
N'oubliez pas qu'un chiffrement plus fort (256 bits) signifie une charge légèrement plus élevée, mais sur les équipements actuels, la différence est généralement gérable. Donner la priorité à la sécurité si vous traitez des données sensibles ou réglementées.
Clés de récupération : où les stocker et comment les utiliser
Créez et enregistrez systématiquement une clé de récupération lorsque vous activez BitLocker. Options disponibles : « Enregistrer dans votre compte Microsoft » (accès centralisé), « Enregistrer sur une clé USB », « Enregistrer dans un fichier » ou « Imprimer la clé ». Cette clé est un code à 48 chiffres qui vous permet de déverrouiller votre compte si vous oubliez votre mot de passe ou si vous avez oublié votre compte. si BitLocker détecte une anomalie de démarrage sur l'unité centrale.
Si vous chiffrez plusieurs disques, chaque clé aura un identifiant unique. Le nom du fichier de clé inclut généralement un GUID que BitLocker vous demandera lors de la récupération. Pour consulter les clés enregistrées sur votre compte Microsoft, connectez-vous à onedrive.live.com/recoverykey. Évitez de stocker les clés sur le même disque chiffré et conservez des copies hors ligne.
BitLocker intègre un console de gestion Vous pouvez y modifier le mot de passe, ajouter ou supprimer des mesures de sécurité (mot de passe, code PIN+TPM, carte à puce), régénérer la clé de récupération et désactiver le chiffrement lorsque vous n'en avez plus besoin.
Images ISO protégées par mot de passe : des alternatives fiables sous Windows 11
Windows ne propose pas d'ISO nativement protégée par mot de passe. Certains utilitaires convertissent les fichiers dans leurs propres formats (comme « .DAA » dans PowerISO), ce qui n'est pas idéal si vous souhaitez conserver le fichier « .ISO ». Il est donc préférable de créer un fichier ISO protégé par mot de passe. conteneur chiffré avec VeraCrypt et le monter à la demande : il fonctionne comme un « lecteur virtuel » protégé par mot de passe et est portable.
Si vous souhaitez un fichier léger à partager, les logiciels d'archivage modernes permettent le chiffrement AES : créez une archive « .zip » ou « .7z » protégée par mot de passe à l'aide d'outils comme 7-Zip ou WinRAR et sélectionnez l'option de chiffrement des noms de fichiers. Pour les disques externes, BitLocker To Go est la méthode recommandée sous Windows Professionnel ; sous Windows Familial, VeraCrypt remplit parfaitement sa fonction..
Avec tout ce qui précède, vous pouvez choisir de chiffrer un dossier avec EFS, un disque entier avec BitLocker ou de créer un conteneur avec VeraCryptL'essentiel est de choisir la méthode adaptée à votre édition de Windows et à votre matériel, de conserver la clé de récupération en lieu sûr et d'ajuster l'algorithme/la durée en fonction de vos priorités. En prenant soin de ces trois points, vos données seront protégées sans que cela ne complique votre vie..
Rédacteur spécialisé dans les problématiques technologiques et Internet avec plus de dix ans d'expérience dans différents médias numériques. J'ai travaillé comme éditeur et créateur de contenu pour des sociétés de commerce électronique, de communication, de marketing en ligne et de publicité. J'ai également écrit sur des sites Web d'économie, de finance et d'autres secteurs. Mon travail est aussi ma passion. Maintenant, à travers mes articles dans Tecnobits, j'essaie d'explorer toutes les actualités et les nouvelles opportunités que le monde de la technologie nous offre chaque jour pour améliorer nos vies.