Suite à une ordonnance judiciaire, Microsoft a communiqué aux autorités, en l’occurrence au FBI, les clés de chiffrement BitLocker d’une machine Windows. L’objectif : faire sauter le verrou BitLocker pour accéder aux données de l’utilisateur. En réalité, c’est tout sauf une surprise.
BitLocker, c’est quoi ?
Commençons par quelques mots pour rappeler ce qu’est BitLocker. Il s’agit d’une fonctionnalité intégrée à Windows qui permet de chiffrer intégralement le disque de Windows. Ainsi, BitLocker a été conçu pour protéger vos données en rendant les fichiers illisibles pour toute personne ne possédant pas la clé de chiffrement.
Cette clé ne doit pas être mémorisée par l’utilisateur, puisque BitLocker s’appuie généralement sur la puce TPM de la machine pour la gérer (d’où l’intérêt d’en avoir une). Au démarrage de la machine, elle est sollicitée pour déverrouiller le lecteur et BitLocker vérifie l’intégrité du système.
En cas de vol ou de perte de votre appareil, BitLocker empêche les pirates d’extraire les données du disque, et donc d’accéder à vos documents personnels, car elles sont chiffrées. Néanmoins, il y a une solution de secours pour déverrouiller le lecteur BitLocker : la clé de récupération. Par exemple, si le disque est connecté à une autre machine, il peut être déverrouillé via la clé de récupération (utile en cas de panne de matériel, par exemple).
Jusqu’à 20 demandes de clés BitLocker par an
Ces derniers jours, de nombreux médias ont publié un article pour relayer l’information suivante : Microsoft a communiqué des clés de chiffrement BitLocker au FBI. Il me semble que l’information ait été relayée initialement par Forbes, dans l’article “Microsoft Gave FBI Keys To Unlock Encrypted Data, Exposing Major Privacy Flaw” (“Microsoft a donné au FBI les clés pour déverrouiller les données chiffrées, exposant ainsi une faille majeure en matière de confidentialité.”)
Au tout début de l’article, voici ce que l’on peut lire : “Le géant technologique a déclaré recevoir environ 20 demandes de clés BitLocker par an et les fournir aux gouvernements en réponse à des ordonnances judiciaires valides.” – Il faut donc comprendre que ce n’est pas nouveau, mais qui sera surpris ?
Surtout, toutes les demandes n’aboutissent pas : tout dépend de l’emplacement de la clé de récupération.
Microsoft n’a pas de cheat code ou de clé magique pour déverrouiller toutes les machines Windows. La réponse à la question “Comment Microsoft peut-il déverrouiller BitLocker ?”, se situe dans votre compte Microsoft.
En effet, la fameuse clé de récupération générée lors de la configuration de BitLocker est précieuse. Cela signifie qu’elle doit être sauvegardée, car elle vous assure de pouvoir déverrouiller le lecteur chiffré à tout moment. Vous n’aurez qu’à saisir les 48 caractères de votre clé de récupération.
De ce fait, lors de la configuration, BitLocker vous propose plusieurs options pour sauvegarder cette clé de récupération : l’imprimer, la sauvegarder dans un fichier sur un autre lecteur, et la sauvegarder sur votre compte… Microsoft !
Elle est donc souvent sauvegardée sur le compte Microsoft de l’utilisateur, notamment parce que Windows 11 incite fortement à l’utilisation d’un compte en ligne. C’est un ensemble de paramètres par défaut, qui fait que la clé de récupération termine souvent sur le Cloud de Microsoft (d’autant plus que, depuis Windows 11 24H2, BitLocker est préactivé). Donc, au final, les équipes de Microsoft peuvent facilement mettre la main dessus sur demande de la justice. Pas besoin de forcer : ils n’ont qu’à saisir la clé de récupération pour accéder aux données.
Clés BitLocker stockées dans le Cloud Microsoft (vori cette page)
Dans l’article de Forbes, l’intervention de Matt Green (expert en cryptographie et professeur à l’université Johns Hopkins) est intéressante, car il estime que Microsoft a fait le choix d’être en mesure de collaborer avec les autorités. Ce qui n’est pas le cas avec d’autres systèmes, comme ceux d’Apple, où l’utilisateur a une meilleure maîtrise, en particulier quant à l’utilisation du Cloud. “Si Apple peut le faire, si Google peut le faire, alors Microsoft peut le faire. Microsoft est la seule entreprise qui ne le fait pas.”, précise-t-il.
Ce qu’il faut retenir : ne stockez pas votre clé de récupération sur votre compte Microsoft, ni sur OneDrive (à moins de chiffrer le fichier avant de l’envoyer).
Qu’en pensez-vous ?
Image d’illustration générée par IA.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.