Finie la récré pour les SSD, Microsoft impose BitLocker par défaut sous Windows 10 |
————— 01 Octobre 2019 à 07h11 —— 54111 vues
Jusqu'à ce jour, l'outil de chiffrement de Windows nommé BitLocker (disponible avec W10 Pro et Entreprise uniquement, ne concerne pas la version Famille/Home) avait l'habitude de donner carte blanche à tout SSD s'identifiant comme gérant le chiffrement matériellement par eux-mêmes et leur faisait donc confiance pour s'occuper correctement leur propre sécurité. Le problème vient en partie du fait que tous les constructeurs n'appliquent pas tous le même sérieux dans la conception et l'implémentation de leur méthode de chiffrement (souvent propriétaire et au code source fermé).
En novembre dernier, un rapport des chercheurs d'une université aux Pays-Bas établissait qu'il était souvent relativement aisé de contourner le chiffrement de certains SSD sans en connaître ni le mot passe ni avoir en main la clé appropriée, et d'avoir ensuite accès à la totalité des données stockées... Contrairement à ce qu'on aurait pu penser, cette découverte impliquait précisément plusieurs SSD de fabricants majeurs de renoms tels que Crucial et Samsung, ce qui peut en dire long sur le marché de manière générale. Matthew Green, un cryptographe et spécialiste en sécurité avait d'ailleurs même publiquement qualifié de "stupide" la confiance accordée par Microsoft aux SSD pour assurer leur chiffrement. Mais ça, c'était avant !
Microsoft gives up on SSD manufacturers: Windows will no longer trust drives that say they can encrypt themselves, BitLocker will default to CPU-accelerated AES encryption instead. This is after an exposé on broad issues with firmware-powered encryption.https://t.co/6B357jzv46 pic.twitter.com/fP7F9BGzdD
— SwiftOnSecurity (@SwiftOnSecurity) September 27, 2019
Visiblement, Microsoft avait bien pris la chose au sérieux et planché sur le sujet depuis, et avec la mise à jour KB4516071 a officiellement mis fin à l'accord de confiance envers les constructeurs de SSD. La mise à jour remonte déjà au 24 septembre, mais le changement en question est probablement passé inaperçu pour beaucoup et ceux qui n'ont pas forcement l'habitude de lire les changelogs, d'autant plus que la modification du paramètre par défaut de BitLocker n'affecte pas les supports de stockage existants déjà chiffrés :
Changes the default setting for BitLocker when encrypting a self-encrypting hard drive. Now, the default is to use software encryption for newly encrypted drives. For existing drives, the type of encryption will not change.
Bien sûr, l'utilisateur concerné peut toujours choisir de désactiver BitLocker et laisser le matériel embarqué du SSD gérer le chiffrement comme avant, surtout si celui-ci fait en fin de compte son travail correctement, mais le paramètre par défaut imposera la protection software de Microsoft pour les versions Pro et Entreprise de l'OS, quelles que soient les caractéristiques et l'origine du support. Si ce n'est pas forcément la solution idéale pour tous les cas de figure et en matière de performance, c'est certainement mieux que rien; un minimum bienvenu qui permettra aussi de limiter les faux sentiments de sécurité et les déceptions face aux promesses tantôt creuses des fabricants. Reste à souhaiter que ces derniers s'engagent à leur tour à corriger le tir !
