Pourquoi ne pas activer le cryptage «conforme à FIPS» sous Windows

Windows possède un paramètre masqué qui active uniquement le chiffrement «conforme à FIPS» certifié par le gouvernement. Cela peut sembler être un moyen d'améliorer la sécurité de votre PC, mais ce n'est pas le cas. Vous ne devez pas activer ce paramètre sauf si vous travaillez dans le gouvernement ou si vous devez tester le comportement des logiciels sur les ordinateurs du gouvernement..

Ce tweak va de pair avec d’autres mythes inutiles de Windows. Si vous êtes tombé sur ce paramètre dans Windows ou si vous l'avez vu mentionné ailleurs, ne l'activez pas. Si vous l'avez déjà activé sans raison valable, suivez les étapes ci-dessous pour désactiver le «mode FIPS»..

Qu'est-ce que le cryptage conforme à FIPS??

FIPS signifie «Federal Information Processing Standards» (Normes fédérales de traitement de l'information). Il s'agit d'un ensemble de normes gouvernementales qui définissent la manière dont certaines choses sont utilisées dans le gouvernement, par exemple les algorithmes de cryptage. FIPS définit certaines méthodes de chiffrement spécifiques pouvant être utilisées, ainsi que des méthodes pour générer des clés de chiffrement. Il est publié par l'Institut national des normes et de la technologie, ou NIST.

La configuration sous Windows est conforme à la norme FIPS 140 du gouvernement américain. Lorsqu'il est activé, Windows est contraint d'utiliser uniquement des schémas de chiffrement validés par FIPS et il conseille également aux applications de le faire..

Le «mode FIPS» ne rend pas Windows plus sécurisé. Il bloque simplement l'accès aux systèmes de cryptographie les plus récents qui n'ont pas encore été validés par FIPS. Cela signifie qu'il ne sera pas en mesure d'utiliser de nouveaux schémas de cryptage ou des méthodes plus rapides d'utilisation des mêmes schémas de cryptage. En d’autres termes, cela rend votre ordinateur plus lent, moins fonctionnel et sans doute Moins garantir.

Comment Windows se comporte différemment si vous activez ce paramètre

Microsoft explique ce que fait ce paramètre dans un article de blog intitulé "Pourquoi ne recommandons-nous plus le" Mode FIPS "?" Microsoft vous recommande d'utiliser le mode FIPS uniquement si vous devez le faire. Par exemple, si vous utilisez un ordinateur du gouvernement américain, cet ordinateur est censé avoir le «mode FIPS» activé conformément à la réglementation du gouvernement. Il n'y a pas de cas réel où vous voudriez l'activer sur votre ordinateur personnel, à moins que vous ne testiez le comportement de votre logiciel sur les ordinateurs du gouvernement américain avec ce paramètre activé..

Ce paramètre fait deux choses à Windows lui-même. Il force les services Windows et Windows à utiliser uniquement une cryptographie validée par FIPS. Par exemple, le service Schannel intégré à Windows ne fonctionnera pas avec les anciens protocoles SSL 2.0 et 3.0 et nécessitera au moins TLS 1.0 à la place..

Le framework .NET de Microsoft bloquera également l'accès aux algorithmes non validés par FIPS. Le framework .NET offre plusieurs algorithmes différents pour la plupart des algorithmes de cryptographie, et tous n’ont même pas été soumis à validation. À titre d'exemple, Microsoft note qu'il existe trois versions différentes de l'algorithme de hachage SHA256 dans le framework .NET. Le plus rapide n’a pas été soumis pour validation, mais devrait être tout aussi sécurisé. Donc, l'activation du mode FIPS va casser les applications .NET qui utilisent l'algorithme le plus efficace ou les obliger à utiliser l'algorithme moins efficace et être plus lent..

Outre ces deux éléments, l'activation du mode FIPS recommande aux applications d'utiliser uniquement un chiffrement validé par FIPS. Mais cela ne force rien d'autre. Les applications de bureau Windows traditionnelles peuvent choisir d'implémenter le code de cryptage de leur choix, qu'il s'agisse d'un cryptage extrêmement vulnérable ou même d'aucun cryptage. Le mode FIPS ne fait rien aux autres applications sauf si elles obéissent à ce paramètre.

Comment désactiver le mode FIPS (ou l'activer, le cas échéant)

Vous ne devez pas activer ce paramètre sauf si vous utilisez un ordinateur du gouvernement et que vous y êtes obligé. Si vous activez ce paramètre, certaines applications clientes peuvent vous demander de désactiver le mode FIPS pour pouvoir fonctionner correctement..

Si vous devez activer ou désactiver le mode FIPS (peut-être avez-vous vu un message d'erreur après l'avoir activé), vous devez tester le comportement de votre logiciel sur un ordinateur avec le mode FIPS activé ou utiliser un ordinateur gouvernemental et pour l'activer, vous pouvez le faire de plusieurs manières. Le mode FIPS ne peut être activé que lorsque vous êtes connecté à un réseau spécifique ou via un paramètre système qui s'appliquera toujours.

Pour activer le mode FIPS uniquement lorsque vous êtes connecté à un réseau spécifique, procédez comme suit:

1. Ouvrez la fenêtre du panneau de configuration..
2. Cliquez sur "Afficher l'état et les tâches du réseau" sous Réseau et Internet..
3. Cliquez sur "Modifier les paramètres de l'adaptateur".
4. Cliquez-droit sur le réseau pour lequel vous souhaitez activer FIPS et sélectionnez «Statut».
5. Cliquez sur le bouton «Propriétés sans fil» dans la fenêtre État Wi-Fi..
6. Cliquez sur l'onglet «Sécurité» dans la fenêtre des propriétés du réseau..
7. Cliquez sur le bouton "Paramètres avancés".
8. Basculez l'option «Activer la conformité FIPS (Federal Information Processing Standards) pour ce réseau» dans les paramètres 802.11..

Ce paramètre peut également être modifié à l'échelle du système dans l'éditeur de stratégie de groupe. Cet outil est uniquement disponible sur les versions Professional, Enterprise et Education des versions Windows et non résidentielle. Vous ne pouvez utiliser l'éditeur de stratégie de groupe local pour modifier cet outil que si vous êtes sur un ordinateur qui n'est pas joint à un domaine qui gère pour vous les paramètres de stratégie de groupe de votre ordinateur. Si votre ordinateur est associé à un domaine et que les paramètres de stratégie de groupe sont gérés de manière centralisée par votre organisation, vous ne pourrez pas le modifier vous-même. Pour modifier ce paramètre dans la stratégie de groupe:

1. Appuyez sur les touches Windows + R pour ouvrir la boîte de dialogue Exécuter..
2. Tapez "gpedit.msc" dans la boîte de dialogue Exécuter (sans les guillemets) et appuyez sur Entrée..
3. Accédez à «Configuration ordinateur \ Paramètres Windows \ Paramètres de sécurité \ Stratégies locales \ Options de sécurité» dans l'éditeur de stratégie de groupe..
4. Recherchez le paramètre «Cryptographie système: utiliser des algorithmes conformes à FIPS pour le chiffrement, le hachage et la signature» dans le volet de droite et double-cliquez dessus..
5. Définissez le paramètre sur «Désactivé» et cliquez sur «OK».
6. Redémarrer le PC.

Sur les versions domestiques de Windows, vous pouvez toujours activer ou désactiver le paramètre FIPS via un paramètre de registre. Pour vérifier si FIPS est activé ou désactivé dans le registre, procédez comme suit:

1. Appuyez sur les touches Windows + R pour ouvrir la boîte de dialogue Exécuter..
2. Tapez «regedit» dans la boîte de dialogue Exécuter (sans les guillemets) et appuyez sur Entrée..
3. Accédez à «HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \»..
4. Regardez la valeur "Enabled" dans le volet de droite. S'il est réglé sur “0”, le mode FIPS est désactivé. S'il est réglé sur «1», le mode FIPS est activé. Pour modifier le paramètre, double-cliquez sur la valeur «Activé» et réglez-la sur «0» ou «1»..
5. Redémarrer le PC.

Merci à @SwiftOnSecurity sur Twitter pour avoir inspiré ce post!