TUTOS.EU

Chiffrer son disque dur sous Windows 10 avec Bitlocker

Globalement tout est indiqué sur l'article MS suivant :
https://support.microsoft.com/fr-fr/windows/activer-le-chiffrement-de-l-appareil-0c453637-bc88-5f74-5105-741561aae838

A noter que ce site m'a bien aidé pour trouver la stratégie à modifier :
https://progresser-en-informatique.com/chiffrer-ordinateur-avec-bitlocker

 

De base il est préférable d'avoir une carte mère qui a une puce TPM (Trusted Plateform Module) qui permet le chiffrement.

On en parle sur cet article de frandroid car Windows 11 la rendrait obligatoire.

 

Par exemple sur la mienne, en allant dans le BIOS j'ai vu que c'était disponible mais non actif par défaut. Je l'ai donc activé.

Il vous faut une version Pro ou entreprise de Windows 10.
Cela n'est pas pris en charge par la version familiale.
Pour connaitre votre version de Windows, lancez la commande suivante :

systeminfo
Lien vers le fichier : cliquez ici Copier le code

Ici on est bien en version pro

Aller dans les paramètres de Windows, en bas à gauche

Si vous avez un message comme quoi Windows n'est pas activé, ce n'est pas bon, il va falloir acheter une licence.
Vous pouvez quand même tenter de taper Bitlocker dans la recherche et de cliquer sur Gérer Bitlocker

Et de l'activer

Là vous pouvez avoir une erreur comme quoi TPM n'est pas activé.
Soit vous avez une carte mère compatible et il faut activer la fonctionnalité dans le bios, soit il faut aller dans la stratégie "demander une authentification supplémentaire au démarrage" et Autoriser BitLocker sans module de plateforme sécurisée compatible

Pour modifier cette stratégie, lancer la commande gpedit.msc

Et aller dans
Configuration ordinateur > Modèles d’administration > Composants Windows > Chiffrement de lecteur BitLocker > Lecteurs du système d’exploitation

A droite double cliquer sur Exiger une authentification supplémentaire au démarrage

Il faut activer la stratégie et Autoriser Bitlocker sans un module de plateforme sécurisée compatible

Valider avec Ok

De là vous pouvez de suite rententer d'activer BitLocker.
Un check de la configuration doit alors se faire

Il est conseillé de faire une sauvegarde de vos données présentent sur le disque avant d'aller plus loin.

Ceci fait, cliquer sur Suivant

C'est rappelé par un avertissement de Windows

Il est indiqué que le process de récupération via WinRE ne sera plus possible.
C'est le process qui permet de réparer Windows en bootant sur un CD ou une clé USB de Windows. C'est un peu normal car votre disque sera crypté.

Si vous n'avez pas de puce TPM activée, 2 options seront proposées : clé USB ou mot de passe.
Faites comme vous voulez. A mon niveau je n'ai pas envie d'entrer un mot de passe à chaque démarrage donc j'ai collé une petite clé USB en permanence à l'arrière de mon PC. Cependant si on vous vole votre PC avec cette clé, le chiffrement ne sert à rien.

Avec cette option le système demande d'indiquer quelle clé USB utiliser

Avec une puce TPM active, une option supplémentaire propose de déverrouiller automatiquement le lecteur, et çà c'est pratique.

Ensuite Windows va demander à ce que l'on sauvegarde la clé de récupération.
Elle permettra de déverrouiller le disque dur si jamais on paume la clé USB ou si on oublie le mot de passe de déverrouillage par exemple.

Perso j'ai choisi Enregistrer dans un fichier et j'ai stocké le fichier dans un drive (Google Drive, Syno, en pièce attachée dans un mail etc ...)

Ensuite le système va demander quoi chiffrer.
J'imagine que la seconde option permet de chiffrer le disque et non fichier par fichier, ce qui est plus sécure.

Pour le mode de chiffrement, j'ai tendance à penser que le plus récent est le mieux

Choisir la vérification du système BitLocker ?
Cela revient à vérifier la clé de récupération et de chiffrement, cela serait dommage de s'en priver

De là un message indique que le chiffrement se fera au prochain reboot.

J'ai ensuite rebooté et là je me suis fait peur avec un écran noir qui a duré de longues minutes. Pourtant j'ai le système installé sur un SSD.
Je pense que c'est le temps que les fichiers nécessaires du système soient cryptés.

Donc je suis allé faire autre chose bien 10 minutes et à mon retour ouf ! Je pouvais me connecter avec mon utilisateur, chose qui a repris bien 5 minutes.
Une icône en bas à droite indique que le chiffrement est en cours

Et cela va assez vite avec un SSD, 110Go a été traité en environ 30 minutes, et ensuite un reboot n'était que légèrement plus long, rien à voir avec les longues minutes de la première fois.

Par la suite j'ai déchiffré / rechiffré mon disque non pas avec une clé USB mais en utilisant la puce TPM et le système a démarré de suite, sans écran noir de plusieurs minutes.

La tête d'un disque crypté.
Alors attention le cryptage doit être lancé pour chaque disque, si vous voulez tout crypter.
A mon sens un disque qui n'héberge que des jeux on s'en fou, par contre là où vous mettez vos comptes, factures etc ...


2