Comment utiliser une clé USB pour déverrouiller un PC crypté par BitLocker
Activez le cryptage BitLocker et Windows déverrouille automatiquement votre lecteur chaque fois que vous démarrez votre ordinateur à l'aide du TPM intégré à la plupart des ordinateurs modernes. Mais vous pouvez configurer n'importe quelle clé USB en tant que “clé de démarrage” qui doit être présente au démarrage avant que votre ordinateur ne puisse déchiffrer sa clé et démarrer Windows..
Cela ajoute effectivement une authentification à deux facteurs au chiffrement BitLocker. Chaque fois que vous démarrez votre ordinateur, vous devez fournir la clé USB avant de la déchiffrer. Cela serait particulièrement utile avec un petit lecteur USB que vous emportez sur un trousseau.
Première étape: Activer BitLocker (si vous ne l'avez pas déjà)
Cela nécessite évidemment le chiffrement de lecteur BitLocker, ce qui signifie que cela ne fonctionne que sur les éditions Professionnelle et Entreprise de Windows. Avant de pouvoir suivre l'une des étapes ci-dessous, vous devez activer le cryptage BitLocker sur votre lecteur système à partir du Panneau de configuration..
Si vous vous efforcez d'activer BitLocker sur un PC sans TPM, vous pouvez choisir de créer une clé de démarrage USB dans le cadre du processus d'installation. Ceci sera utilisé à la place du TPM. Les étapes ci-dessous ne sont nécessaires que lorsque vous activez BitLocker sur des ordinateurs dotés de TPM, comme le font la plupart des ordinateurs.
Si vous avez une version familiale de Windows, vous ne pourrez pas utiliser BitLocker. Vous pouvez avoir la fonctionnalité de chiffrement de périphérique à la place, mais cela fonctionne différemment de BitLocker et ne vous permet pas de fournir une clé de démarrage..
Étape 2: Activer la clé de démarrage dans l'éditeur de stratégie de groupe
Une fois BitLocker activé, vous devez activer la configuration requise pour la clé de démarrage dans la stratégie de groupe de Windows. Pour ouvrir l’éditeur de stratégie de groupe, appuyez sur Windows + R sur votre clavier, tapez «gpedit.msc» dans la boîte de dialogue Exécuter, puis appuyez sur Entrée..
Allez dans Configuration ordinateur> Modèles d'administration> Composants Windows> Cryptage de lecteur BitLocker> Lecteurs de système d'exploitation dans la fenêtre Stratégie de groupe..
Double-cliquez sur l'option «Requérir une authentification supplémentaire au démarrage» dans le volet de droite..
Sélectionnez «Activé» en haut de la fenêtre ici. Cliquez ensuite sur la case «Configurer la clé de démarrage du TPM» et sélectionnez l’option «Requérir une clé de démarrage avec le TPM». Cliquez sur «OK» pour enregistrer vos modifications..
Troisième étape: configurer une clé de démarrage pour votre lecteur
Vous pouvez maintenant utiliser le gérer-bde
commande pour configurer un lecteur USB pour votre lecteur chiffré par BitLocker.
Commencez par insérer un lecteur USB dans votre ordinateur. Notez la lettre de lecteur de la clé USB-D: dans la capture d'écran ci-dessous. Windows enregistre un petit fichier .bek sur le lecteur et devient ainsi votre clé de démarrage..
Ensuite, lancez une fenêtre d'invite de commande en tant qu'administrateur. Sous Windows 10 ou 8, cliquez avec le bouton droit de la souris sur le bouton Démarrer et sélectionnez «Invite de commandes (Admin)». Sous Windows 7, recherchez le raccourci «Invite de commandes» dans le menu Démarrer, cliquez dessus avec le bouton droit de la souris et sélectionnez «Exécuter en tant qu'administrateur».
Exécutez la commande suivante. La commande ci-dessous fonctionne sur votre lecteur C: si vous souhaitez demander une clé de démarrage pour un autre lecteur, entrez sa lettre de lecteur au lieu de c:
. Vous devez également saisir la lettre du lecteur USB connecté que vous souhaitez utiliser comme clé de démarrage au lieu de X:
.
manage-bde -protectors -add c: -TPMAndStartupKey x:
La clé sera enregistrée sur le lecteur USB en tant que fichier caché avec l'extension de fichier .bek. Vous pouvez le voir si vous montrez des fichiers cachés.
Vous serez invité à insérer le lecteur USB lors du prochain démarrage de votre ordinateur. Soyez prudent avec la clé: une personne qui copie la clé de votre clé USB peut utiliser cette copie pour déverrouiller votre clé cryptée BitLocker..
Pour vérifier si le protecteur TPMAndStartupKey a été ajouté correctement, vous pouvez exécuter la commande suivante:
manage-bde -status
(Le protecteur de clé «Mot de passe numérique» affiché ici est votre clé de récupération.)
Comment supprimer l'exigence de clé de démarrage
Si vous changez d'avis et souhaitez ne plus avoir besoin de la clé de démarrage ultérieurement, vous pouvez annuler cette modification. Tout d'abord, revenez dans l'éditeur de stratégie de groupe et remplacez l'option par «Autoriser la clé de démarrage avec le TPM». Vous ne pouvez pas laisser l'option définie sur «Requérir une clé de démarrage avec TPM», sinon Windows ne vous autorisera pas à supprimer la clé de démarrage requise du lecteur..
Ensuite, ouvrez une fenêtre d'invite de commande en tant qu'administrateur et exécutez la commande suivante (encore une fois, en remplaçant c:
si vous utilisez un lecteur différent):
manage-bde -protectors -add c: -TPM
Cela remplacera l'exigence «TPMandStartupKey» par l'exigence «TPM», à savoir la suppression du code PIN. Votre lecteur BitLocker sera automatiquement déverrouillé via le TPM de votre ordinateur lorsque vous démarrez..
Pour vérifier que cela s'est bien déroulé, exécutez à nouveau la commande status:
manage-bde -status c:
Essayez de redémarrer votre ordinateur en premier. Si tout fonctionne correctement et que votre ordinateur n'a pas besoin du lecteur USB pour démarrer, vous pouvez formater le lecteur ou simplement supprimer le fichier BEK. Vous pouvez également le laisser sur votre lecteur, ce fichier ne fera plus rien.
Si vous perdez la clé de démarrage ou supprimez le fichier .bek du lecteur, vous devez fournir le code de récupération BitLocker pour votre lecteur système. Vous devriez avoir sauvegardé quelque part en toute sécurité lorsque vous avez activé BitLocker pour votre lecteur système.
Crédit d'image: Tony Austin / Flickr