Configuration du chiffrement matériel sur un disque à chiffrement automatique Crucial^® via Bitlocker

Windows® 8.1 et les versions plus récentes prennent automatiquement en charge la gestion des clés de chiffrement des disques à chiffrement automatique grâce à une application appelée BitLocker®. Avant d’activer le chiffrement matériel avec BitLocker, les prérequis ci-dessous doivent être respectés (les logiciels de chiffrement autres que BitLocker peuvent comporter des conditions supplémentaires ou différentes).

Remarque Les étapes suivantes vous permettront d’activer le chiffrement matériel à l’aide de BitLocker sur les disques à chiffrement automatique Crucial prenant en charge Microsoft® eDrive. Tous les disques à chiffrement automatique Crucial ne prennent pas en charge Microsoft eDrive. Il est donc important de vérifier si votre disque prend en charge cette spécification avant de suivre les étapes de ce guide. Si vous suivez ces étapes sur un disque qui ne prend pas en charge Microsoft eDrive, vous ne pourrez activer le chiffrement logiciel qu’à l’aide de Bitlocker et non le chiffrement matériel. Si vous possédez un disque à chiffrement automatique Crucial série MX500 ou plus ancien, vous pouvez continuer en suivant les étapes ci-dessous. Si vous possédez un disque à chiffrement automatique Crucial M.2 NVMe, vous devrez suivre les informations fournies dans l’article Activation du chiffrement matériel pour les SSD Crucial NVMe®.

• Module TPM : BitLocker prend en charge uniquement les TPM version 1.2 et 2.0 (ou plus récent). De plus, vous devez utiliser un pilote TPM fourni par Microsoft (veuillez noter que BitLocker peut également fonctionner sans TPM, mais il aura besoin d’une clé USB à la place pour déterminer le mot de passe). Veuillez contacter le fabricant de votre système si vous avez besoin d’aide pour déterminer la version de votre TPM.
• UEFI 2.3.1 ou plus récent : l’ordinateur hôte doit disposer d’un UEFI 2.3.1 ou ultérieur, et la commande EFI_STORAGE_SECURITY_COMMAND_PROTOCOL doit y être définie. Cette dernière permet l’envoi de commandes de protocole de sécurité vers et depuis le disque à chiffrement automatique. Veuillez contacter le fabricant de votre ordinateur hôte si vous n’êtes pas sûr de respecter tous ces prérequis.
  
• Secure Boot :dans les paramètres du BIOS, l’option Secure Boot doit être activée. Elle l’est par défaut pour la plupart des systèmes Windows 8.1 et plus récents. Veuillez contacter le fabricant de votre ordinateur si vous avez besoin d’aide pour activer cette option.
  
• Prise en charge Opal 2.0 : le système doit prendre en charge les normes de sécurité Opal 2.0. La norme Opal 2.0 n’est pas rétrocompatible. Les disques à chiffrement automatique de Crucial ne sont pas compatibles avec Opal 1.0. Contactez le fabricant de votre système pour vérifier la compatibilité de votre système avec Opal.
  
• Microsoft eDrive : Spécification de sécurité utilisée par Microsoft pour activer le chiffrement matériel sur les disques à chiffrement automatique à l’aide de BitLocker ou de stratégies de groupe et basée sur les normes TCG OPAL et IEEE 1667. Cette opération est uniquement requise sur un disque à chiffrement automatique lorsque vous essayez d’activer le chiffrement matériel à l’aide de BitLocker ou de stratégies de groupe dans le système d’exploitation. Les solutions tierces ne requièrent pas nécessairement cette fonctionnalité pour activer le chiffrement matériel.
• Mode UEFI : l’ordinateur hôte doit toujours démarrer en mode UEFI. Toute option de « compatibilité », ou « legacy » (héritage), doit être désactivée. Nous vous recommandons de passer votre système en mode UEFI seulement avant d’installer le disque à chiffrement automatique Crucial. L’option CSM doit également être désactivée. Contactez le fabricant de votre système pour obtenir de l’aide avec ces paramètres. 
  
• Deux partitions (une non chiffrée) : le SSD doit contenir deux partitions (les disques contenant Windows en ont deux la plupart du temps) et la partition principale à chiffrer doit être au format NTFS. Cette seconde partition non chiffrée doit être d’au moins 1,5 Go. Cette partition est utilisée à des fins d’authentification, elle est nécessaire au bon fonctionnement du chiffrement.
  
• Disque de base : les disques dynamiques ne sont pas pris en charge par BitLocker. Les disques Windows 8 et Windows 10 sont configurés comme disques de base avec des partitions GPT, nécessaires pour utiliser le chiffrement matériel.     
  

Il est préférable que l’UEFI du système hôte soit configuré pour accepter correctement le disque à chiffrement automatique avant de l’installer physiquement, comme illustré dans l’exemple ci-dessous. Les détails de configuration du système varient d’un système à un autre, tout comme les noms des différentes fonctions. Elles sont toutefois suffisamment similaires pour qu’un unique exemple suffise. Pour de plus amples détails concernant des paramètres UEFI spécifiques, contactez le fabricant de votre ordinateur.

1. Activer l’option Secure Boot. L’option Microsoft Secure Boot est un prérequis pour faire fonctionner tout système Windows 8.1 ou plus récent. Tout ordinateur configuré en usine pour Windows 8.1/10/11 (indiqué par un autocollant Windows 8/10/11) aura l’option Secure Boot activée par défaut. Si le système hôte a été à l’origine configuré pour Windows 7 ou un système d’exploitation antérieur, assurez-vous que l’option Secure Boot est activée, comme indiqué ci-dessous.

2. Mode de démarrage UEFI/prise en charge CSM. L’ordinateur hôte doit être en mode UEFI seul, comme illustré ci-dessous. Généralement, l’option CSM est automatiquement désactivée en mode UEFI seul. Toutefois, prenez soin de vérifier que c’est bel et bien le cas, et désactivez-la le cas échéant.

3. Installer Windows 8.1/10/11. La méthode la plus simple pour mettre en œuvre le chiffrement matériel consiste à réaliser une nouvelle installation du système d’exploitation. Les versions de BitLocker présentes dans les éditions Windows 8.x, 10 et 11 Entreprise et Professionnel prennent en charge le chiffrement matériel par les disques à chiffrement automatique. Aucune action particulière n’est requise pour cette fonction ; suivez simplement le processus d’installation classique du système d’exploitation indiqué par Microsoft.  Une fois le système d’exploitation installé, poursuivez à la section Activer BitLocker. 
   Remarque : dans les paramètres d’ordre de démarrage, le système doit démarrer votre SSD en premier, vous ne pouvez pas placer les options USB et CD avant lui.
4. Clonage du système.  Les disques à chiffrement automatique Crucial prenant en charge eDrive, l’activation de BitLocker crée des partitions spécifiques nécessaires au bon fonctionnement des fonctionnalités eDrive. Lorsqu’un SSD disposant d’eDrive est cloné, ces partitions peuvent ne pas être copiées correctement sur le disque cible. Le disque cible fonctionnera peut-être alors, mais le processus ne sera pas considéré comme valide et vous constaterez peut-être des problèmes de performances. Si le disque source a été chiffré par chiffrement logiciel dans BitLocker, assurez-vous d’abord que BitLocker est fermé avant d’initialiser le clonage de l’image vers un disque à chiffrement automatique Crucial. Si vous utilisez BitLocker en mode chiffrement logiciel sur le système source, un processus de déchiffrement sera nécessaire pour désactiver BitLocker. Celui-ci peut prendre plusieurs heures en fonction du nombre d’utilisateurs et de la quantité de données du système d’exploitation présente sur le disque.

1. Appuyez sur la touche Windows (généralement située entre <Ctrl> et <Alt>), puis saisissez Ce PC et appuyez sur Entrée.
2. Effectuez un clic droit sur l’icône du disque système puis sélectionnez Activer BitLocker à partir du menu contextuel.

3. Une fenêtre contextuelle vous confirmera ensuite que BitLocker est en cours de configuration et affichera la barre de progression de ce dernier. Cette opération peut prendre quelques minutes.
4. Sélectionnez l’une des options d’enregistrement de votre clé de sauvegarde suggérée par Microsoft. Bien que Crucial ne recommande aucune option particulière, ne négligez pas cette étape. Dans certaines circonstances, il s’agira du seul moyen de récupérer vos données depuis votre SSD. Crucial n’intègre pas de « porte dérobée » en usine permettant de récupérer des données si la clé d’authentification ou le mot de passe venaient à être perdus. Une fois la clé enregistrée, sélectionnez Suivant pour continuer.
   

5. BitLocker vous demandera Êtes-vous prêt à chiffrer ce disque ? Après avoir cliqué sur Continuer, un redémarrage du système sera nécessaire pour terminer le processus.

6. Une fois le redémarrage terminé, vous remarquerez une icône en forme de cadenas sur le disque système sur lequel BitLocker est activé.

La vidéo ci-dessous illustre l’intégralité du processus.