BitLocker et Windows 11

[Lady Pirotessa]

Bonjour,

J'ai reçu ma Surface Pro 8 avec Windows 11 Famille. J'ai choisi le modèle avec le Core i7-1185G7, 16GB de RAM et un SSD de 256GB et j'ai acheté en plus le clavier Surface Pro Signature avec le Stylet Mince 2 (français canadien).

C'est une belle machine, polyvalente et performante pour sa configuration. Quant à Windows 11, je trouve son interface un peu mieux finie que Windows 10 sur certains points. Quoique, la personnalisation du menu démarrer et de la barre des tâches est encore pas mal limité, mais ça se corrige et il faut juste attendre Microsoft qui s'attarde dessus.

Mais ma question concerne surtout BitLocker. Je sais que c'est une fonctionnalité qui est normalement réservée à l'édition professionnelle. D'ailleurs, cette page mentionne les différences entre la version Famille et la version Professionnelle.

Alors quand, j'ai remarqué dans l'explorateur Windows que l'état de BitLocker est activé pour le disque C, cela m'a rendu perplexe. On dirait que Windows 11 Famille a quand même un chiffrement de disque qui se base sur BitLocker. En allant dans les Paramètres, Confidentialité et sécurité, Chiffrement de l'appareil, on voit que BitLocker est bel et bien activé. Mais pourquoi Microsoft mentionne que BitLocker n'est disponible que sur la version Pro. Je ne comprends plus rien.

[carpediem]

Bonjour,

La seule chose que j'ai vu en regardant rapidement, c'est qu'un modérateur sur le site de Microsoft semble dire que Bitlocker serait disponible sur certains appareils munis de Windows 11 Home, en particulier sur les tablettes.

https://answers.microsoft.com/en-us/...5-865aef840159

----------------------------
Cette réponse envoie le lecteur à un document Microsoft

https://www.tenforums.com/tutorials/...dows-10-a.html

qui dit:

Device encryption is available on supported devices (ex: tablet or 2-in-1 laptop) running any Windows 10 edition. If you want to use standard BitLocker encryption instead, it is only available on supported devices running Windows 10 Pro, Enterprise, or Education. Some devices have both types of encryption. BitLocker is not available on Windows 10 Home edition.
----------------------------

Il y aurait donc une forme de cryptage disponible sur les tablettes munies de Windows Home dans le cas des tablettes.

Mais, je ne comprends pas pourquoi ce chiffrement n'est pas disponible dans la version de base de Windows. C'est un niveau de sécurité de base de plus en cas de vols de l'appareil.

Moi, ça fait plusieurs années que tous mes disques durs sont et mes clés USB sont protégées par bitlocker. Je n'ai pas vérifié récemment, mais à l'époque, le chiffrement ne semblait pas être encore facilement piratable.

[bastr]

Bonjour,

Ce tutoriel explique comment chiffrer un disque avec BitLocker sur Windows 11.

https://www.bing.com/search?q=bitloc...b40df369329b6b

https://www.malekal.com/bitlocker-ch...ue-windows-11/

bastr

[Lady Pirotessa]

@carpediem ...

C'est plus au moins ce que j'ai compris. Pour certains modèles de portables ou tablettes 2-en-1 ayant un UEFI, le Secure Boot actif et TPM 2.0 pour les clés de chiffrement, le chiffrement de l'appareil (Device encryption) est disponible sur les éditions Famille de Windows 10 et 11. C'est juste que la différence entre ce chiffrement et le BitLocker standard est ambiguë. Comme tu dis, Microsoft aurait dû permettre aux éditions Famille d'avoir BitLocker tout court. Surtout que cela devient quasiment le minimum en sécurité.

Le logiciel HWiNFO64 m'a permis de voir que la Surface Pro 8, en plus du UEFI/Secure Boot et du TPM 2.0 actif, il y a le HVCI (Hypervisor-Protected Code Integrity) ou en français, la "protection basée sur la virtualisation de l’intégrité du code". Je ne suis pas sûr que ce soit lié au chiffrement, mais bon. De plus, dans le lien que j'ai donné sur la comparaison des éditions, quand on clique sur le petit "4", on s'aperçoit que le chiffrement de l'appareil nécessite InstantGo/AOAC/HSTI-compliant. Je ne m'aventurerai pas plus loin vu qu'on tombe pas mal dans la technicité des termes. (InstantGo semble dater de l'ère Windows 8.0) Mais, j'ai cherché plus loin et trouver ceci ci-bas sur Wiki qui je crois répond pas mal à ma question.

Citation:

Device encryption
Windows Mobile 6.5, Windows RT and core editions of Windows 8.1 include device encryption, a feature-limited version of BitLocker that encrypts the whole system.[19][20][21] Logging in with a Microsoft account with administrative privileges automatically begins the encryption process. The recovery key is stored to either the Microsoft account or Active Directory, allowing it to be retrieved from any computer. While device encryption is offered on all versions of 8.1, unlike BitLocker, device encryption requires that the device meet the InstantGo (formerly Connected Standby) specifications,[21] which requires solid-state drives, non-removable RAM (to protect against cold boot attacks) and a TPM 2.0 chip.[19][22]

Starting with Windows 10 1703, the requirements for device encryption have changed, requiring a TPM 1.2 or 2.0 module with PCR 7 support, UEFI Secure Boot, and that the device meets Modern Standby requirements or HSTI validation.[23]

In September 2019 a new update was released (KB4516071[24]) changing the default setting for BitLocker when encrypting a self-encrypting hard drive. Now, the default is to use software encryption for newly encrypted drives. This is due to hardware encryption flaws and security concerns related to those issues.[25]

[Source]


Par contre, on en revient à cette idée stupide de ne pas inclure BitLocker dans les versions Home de Windows. Aussi, j'utilise parfois les politiques de groupes (GPO) sur Windows. C'était pratique pour bloquer le téléchargement des pilotes erronés dans Windows update, entre autres. Comme plusieurs ici (probablement), j'active Bitlocker (ou le chiffrement) sur mes disques.