BitLocker et la puce TPM

BitLocker et la puce TPM
1/ Introduction
La sécurité de l’information est devenue une préoccupation principale pour les
entreprises qui ont besoin de chiffrer leurs données ainsi que pour certains utilisateurs
nomades. C’est pour cela que Microsoft a mis en place une toute nouvelle fonctionnalité
de sécurité pour les ordinateurs Windows appelé Bitlocker Drive Encryption. Il protège
notamment les données sur le disque dur, grâce à son système de cryptage. Ainsi, la
récupération des données via l’exécution d’un Live CD ou encore via le vol du disque dur
(physique). Bitlocker repose de manière facultative sur un module TPM version 1.2
(Trusted Platform Module) pour garantir une protection renforcée. Bien que maintenant de
plus en plus d’ordinateurs soient désormais équipés du module TPM, un bon nombre n’en
disposent pas. Dans ce cas-là, le module sera remplacé par une clé USB qu’il faudra
obligatoirement au démarrage de l’ordinateur.
A la Caisse d’épargne, tous les ordinateurs sont équipés de ces puces TPM et le
chiffrement des disques durs des ordinateurs devient une norme. Le chiffrement du
disque dur de l’ordinateur ne se fait pas automatiquement et est proposé à l’utilisateur à
chaque démarrage (seulement pour les ordinateurs portables) tant qu’il n’est pas effectué
(pour les postes fixes, il n’est pas activé par défaut et il n’est pas non plus demandé de le
faire à chaque démarrage). Il va devenir obligatoire et automatique dans le futur.
2/ Que se passe-t-il quand BitLocker s’active ?
Concrètement, si une modification est apportée à l’ordinateur, le système d’exploitation ne
voudra pas démarrer et un message demandera une clé pour pouvoir faire démarrer à
nouveau cet ordinateur.
!
Ainsi, si une modification du BIOS est effectuée, ou si le disque dur est déplacé, le
verrouillage se mettra en place.
La clé de déverrouillage est donnée à l’utilisateur lors du chiffrement du disque ; on lui
propose alors 3 choix :
-
Il peut sauvegarder sa clé de déverrouillage sur son compte Microsoft (en ligne)
-
Il peut sauvegarder sa clé de déverrouillage sur un fichier texte
-
Il peut imprimer sa clé de déverrouillage sur papier
Si l’ordinateur fait partie d’un domaine administré, alors la clé de déverrouillage peut-être
envoyée directement sur l’Active Directory, sans que l’utilisateur ne sache jamais laquelle
elle est. C’est le cas à la Caisse d’épargne, quand l’utilisateur active le chiffrement de son
disque dur par bitlocker, il ne lui est pas proposé de sauvegarder sa clé, et elle est
directement envoyée sur un serveur MBAM (serveur d’administration de Bitlocker).
Ainsi, seules les personnes ayant l’accès à la console de ce serveur MBAM pourront
récupérer la clé de déverrouillage Bitlocker (à savoir la hotline technique).
L’ordinateur déverrouillé à l’aide de cette clé pourra démarrer une fois, et il faudra
désactiver la protection bitlocker pour qu’il redémarre encore dans le futur (ou alors
restaurer l’ordinateur dans le stade dans lequel il était avant la modification).
Ainsi, un ordinateur protégé par Bitlocker démarre selon le scénario suivant :
-
Une partition du disque dur, utilisée pour le démarrage de Windows, n’est pas
chiffrée avec Bitlocker. C’est elle qui amorce le démarrage du système
d’exploitation.
-
Une clé est alors nécessaire pour continuer le boot de Windows normalement, et
c’est la puce TPM qui la délivre
-
La puce TPM compare alors le « hash » du système d’exploitation avec celui d’une
« snapshot » prise auparavant. Si la puce TPM détecte des changement au niveau de
ce hash (changements provoqués par une modification du bios ou autre comme vu
précédemment) alors elle ne délivrera pas la clé nécessaire au démarrage de
Windows, et le disque ne pourra pas être déchiffré.
3/ Comment ça marche ?
BitLocker est disponible depuis Windows Vista et chiffre les disques durs avec un
algorithme de chiffrement de type 128-bit AES par défaut jusqu’à Windows 8.1. Il est
possible de changer manuellement le chiffrement pour passer à du 256-bit AES. Depuis
Windows 10, bitlocker propose un autre chiffrement de type XTS-AES, mais qui n’est pas
rétro compatible avec les anciennes versions de Windows (si on branche le disque dur (en
tant que disque dur externe) chiffré avec XTS-AES sur un ordinateur qui possède un OS
inférieur à Windows 10, alors le déchiffrement sera impossible. On notera tout de même
que, via l’installation d’un package supplémentaire, on pourra utiliser bitlocker sous
Windows XP.
La puce TPM quant à elle n’est pas un élément « actif » du PC, c’est-à-dire qu'elle ne peut
pas donner d'ordre à l'ordinateur tel que bloquer le système, ou surveiller l'exécution
d'une application. Toutefois, elle permet de facilement stocker des secrets (tels que des
clefs de chiffrement), de manière sécurisée.
Cette puce est utilisée sur le système Next Generation Secure Computing Base (NGSCB)
créé par Microsoft (intégré dans Windows). Le principe de NGSCB est d’inclure la
cryptographie au sein même du système d’exploitation afin de sécuriser les transactions
entre les processus et la mémoire vive, le disque dur, les périphériques d’entrée-sortie, etc.
Finalement, il s’agit de mettre Windows dans un environnement dit « de confiance ».1
La puce TPM est installée par défaut sur beaucoup d’ordinateurs portables aujourd’hui, en
particulier ceux destinés aux professionnels. Elle a commencée à être commercialisée dans
certains PC à partir de 2006, et elle est passée en version 2.0 très récemment, en décembre
2015. La puce 2.0 intègre certaines nouveautés comparée à la version 1.2 (celle qui est la
plus courante actuellement). Les voici :
-
Support de plus d’algorithmes de chiffrement
-
La capacité d’utiliser des algorithmes « spécifiques » à certaines entreprises ou
entités.
-
L’amélioration de la disponibilité de cette puce pour les applications.
-
Des services de chiffrements additionnels pour améliorer la sécurité des services de
plateforme.
On notera que bitlocker ne fonctionne pas avec une puce TPM inférieur à la version 1.2.
Par défaut, à l’installation de Windows, le chiffrement du disque n’est pas fait et
l’utilisateur doit l’effectuer lui-même après l’installation du système d’exploitation. La
puce TPM de l’ordinateur n’est d’ailleurs pas forcément active sur l’ordinateur, et
l’utilisateur doit l’activer par le BIOS. Cette activation se déroule en 3 étapes :
1/ Enable : l’activation électrique de la puce TPM
2/ Activate : qui définit logiciellement la puce
3/ Ownership : qui définit un mot de passe propriétaire (que l’on peut lui aussi
sauvegarder sur un serveur MBAM).2
4/ La puce TPM, qu’est-ce que c’est ?
La puce TPM est un microcontrôleur, c’est-à-dire un circuit intégré qui rassemble les
éléments essentiels d’un ordinateur : processeur, mémoire, interfaces entrée-sortie.
Elle possède dans sa mémoire morte des moteurs de cryptage RSA et SHA-1, un
générateur de nombres aléatoires, un générateur de clé. Finalement, on peut considérer
cette puce comme un mini-ordinateur dédié au cryptage. Cette clé n’est pas seulement compatible avec Bitlocker, elle prend en charge les opérations
1
Source: Site Web de iTPro
2
Source: Site Web de Microsoft
de cryptage à la place du processeur de l’ordinateur (elle allège donc un peu la charge de
travail du processeur).3
5/ La CEPAL et BitLocker
On a vu auparavant que la CEPAL utilise BitLocker et que tous leurs ordinateurs sont
équipés d’une puce TPM. Mais alors, quand un utilisateur bloque son ordinateur,
comment cela se passe-t-il ?
L’utilisateur se retrouve coincé devant un écran noir comme celui-ci :
Il lui est demandé de rentrer une clé de récupération pour continuer.
Il faut alors appeler la hotline technique de la CEPAL pour qu’ils lui fournissent cette clé.
3
Source: Site Web de Wikipédia
Eux vont se connecter sur leur serveur MBAM, qui possède toutes les clés BitLocker des
ordinateurs du réseau. (En effet lors du chiffrement du disque dur la clé de récupération
est envoyée directement au serveur MBAM et sans la montrer à l’utilisateur).
Il leur faudra rentrer le nom du domaine (CEPAL-SIRIS) puis l’identifiant de l’utilisateur
ainsi que l’identifiant de la clé.
On notera que si l’utilisateur ne correspond pas à l’ordinateur qu’il doit débloquer (l’ID de
la clé correspond à un poste qui correspond à un utilisateur dans l’outil perso de la
CEPAL) alors le serveur MBAM refusera de donner la clé et signalera que l’utilisateur n’est
pas le bon. Dans le cas contraire, il donnera la clé que le hotliner transmettra par oral à l’utilisateur.
Ainsi, le poste démarrera (on notera que à cet état là le poste redemandera la clé BitLocker
à chaque redémarrage.) et le hotliner ouvrira une session à distance en TSE pour
désactiver puis réactiver la protection BitLocker ce qui aura pour effet de changer la clé de
récupération (ainsi si l’utilisateur l’a gardé il ne pourra plus s’en servir à l’avenir) mais
aussi de débloquer l’ordinateur (l’utilisateur n’aura plus à taper la clé de récupération au
démarrage).
On notera donc que cette clé est à usage unique dans notre situation. On pourra ajouter
que même si BitLocker bloque le démarrage de Windows après un changement de disque
dur-PC, et même si on échoue dans la frappe de la clé de récupération, si on remet le
disque dur dans le PC original, alors le démarrage se fera de manière transparente.