Configuration du cryptage matériel sur un disque à cryptage automatique Crucial^® via Bitlocker

Windows® 8.1 et les versions plus récentes prennent automatiquement en charge la gestion des clés de cryptage des disques à cryptage automatique grâce à une application appelée BitLocker®. Avant d’activer le cryptage matériel avec BitLocker, les prérequis ci-dessous doivent être respectés (les logiciels de cryptage autres que BitLocker peuvent comporter des conditions supplémentaires ou différentes).

• Module TPM : BitLocker prend en charge uniquement les TPM version 1.2 et 2.0 (ou plus récent). De plus, vous devez utiliser un pilote TPM fourni par Microsoft® (veuillez noter que BitLocker peut également fonctionner sans TPM, mais il aura besoin d’une clé USB à la place pour déterminer le mot de passe). Veuillez contacter le fabricant de votre système si vous avez besoin d’aide pour déterminer la version de votre TPM.
• UEFI 2.3.1 ou plus récent : l’ordinateur hôte doit disposer d’un UEFI 2.3.1 ou ultérieur, et la commande EFI_STORAGE_SECURITY_COMMAND_PROTOCOL doit y être définie. Cette dernière permet l’envoi de commandes de protocole de sécurité vers et depuis le disque à cryptage automatique. Veuillez contacter le fabricant de votre ordinateur hôte si vous n’êtes pas sûr de respecter tous ces prérequis.
  
• Secure Boot :dans les paramètres du BIOS, l’option Secure Boot doit être activée. Elle l’est par défaut pour la plupart des systèmes Windows 8.1 et plus récents. Veuillez contacter le fabricant de votre ordinateur si vous avez besoin d’aide pour activer cette option.
  
• Prise en charge Opal 2.0 : le système doit prendre en charge les normes de sécurité Opal 2.0. La norme Opal 2.0 n’est pas rétrocompatible. Les disques à cryptage automatique de Crucial ne sont pas compatibles avec Opal 1.0. Contactez le fabricant de votre système pour vérifier la compatibilité de votre système avec Opal.
  
• Mode UEFI : l’ordinateur hôte doit toujours démarrer en mode UEFI. Toute option de « compatibilité », ou « legacy » (héritage), doit être désactivée. Nous vous recommandons de passer votre système en mode UEFI seulement avant d’installer le disque à cryptage automatique Crucial. L’option CSM doit également être désactivée. Contactez le fabricant de votre système pour obtenir de l’aide avec ces paramètres. 
  
• Deux partitions (une non cryptée) : le SSD doit contenir deux partitions (les disques contenant Windows en ont deux la plupart du temps) et la partition principale à crypter doit être au format NTFS. Cette seconde partition non cryptée doit être d’au moins 1,5 Go. Cette partition est utilisée à des fins d’authentification, elle est nécessaire au bon fonctionnement du cryptage.
  
• Disque de base : les disques dynamiques ne sont pas pris en charge par BitLocker. Les disques Windows 8 et Windows 10 sont configurés comme disques de base avec des partitions GPT, nécessaires pour utiliser le cryptage matériel.     
  

Il est préférable que l’UEFI du système hôte soit configuré pour accepter correctement le disque à cryptage automatique avant de l’installer physiquement, comme illustré dans l’exemple ci-dessous. Les détails de configuration du système varient d’un système à un autre, tout comme les noms des différentes fonctions. Elles sont toutefois suffisamment similaires pour qu’un unique exemple suffise. Pour de plus amples détails concernant des paramètres UEFI spécifiques, contactez le fabricant de votre ordinateur.

1. Activer l’option Secure Boot. L’option Microsoft Secure Boot est un prérequis pour faire fonctionner tout système Windows 8.1 ou 10. Tout ordinateur configuré en usine pour Windows 8.1/10 (indiqué par un autocollant Windows 8.1/10) aura l’option Secure Boot activée par défaut. Si le système hôte a été à l’origine configuré pour Windows 7 ou un système d’exploitation antérieur, assurez-vous que l’option Secure Boot est activée, comme indiqué ci-dessous.

2. Mode de démarrage UEFI/prise en charge CSM. L’ordinateur hôte doit être en mode UEFI seul, comme illustré ci-dessous. Généralement, l’option CSM est automatiquement désactivée en mode UEFI seul. Toutefois, prenez soin de vérifier que c’est bel et bien le cas, et désactivez-la le cas échéant.

3. Installer Windows 8.1/10. La méthode la plus simple pour mettre en œuvre le cryptage matériel consiste à réaliser une nouvelle installation du système d’exploitation. Les versions de BitLocker présentes dans les éditions Windows 8.x, 10 Entreprise et Professionnel prennent en charge le cryptage matériel par les disques à cryptage automatique. Aucune action particulière n’est requise pour cette fonction ; suivez simplement le processus d’installation classique du système d’exploitation indiqué par Microsoft.  Une fois le système d’exploitation installé, poursuivez à la section Activer BitLocker. 
   Remarque : dans les paramètres d’ordre de démarrage, le système doit démarrer votre SSD en premier, vous ne pouvez pas placer les options USB et CD avant lui.
4. Clonage du système.  Les disques à cryptage automatique Crucial prenant en charge eDrive, l’activation de BitLocker crée des partitions spécifiques nécessaires au bon fonctionnement des fonctionnalités eDrive. Lorsqu’un SSD disposant d’eDrive est cloné, ces partitions peuvent ne pas être copiées correctement sur le disque cible. Le disque cible fonctionnera peut-être alors, mais le processus ne sera pas considéré comme valide et vous constaterez peut-être des problèmes de performances. Si le disque source a été crypté par cryptage logiciel dans BitLocker, assurez-vous d’abord que BitLocker est fermé avant d’initialiser le clonage de l’image vers un disque a cryptage automatique Crucial. Si vous utilisez BitLocker en mode cryptage logiciel sur le système source, un processus de décryptage sera nécessaire pour fermer BitLocker. Celui-ci peut prendre plusieurs heures en fonction du nombre d’utilisateurs et de la quantité de données du système d’exploitation présente sur le disque.

1. Appuyez sur la touche Windows (généralement située entre <Ctrl> et <Alt>), puis saisissez Ce PC et appuyez sur Entrée.
2. Effectuez un clic droit sur l’icône du disque système puis sélectionnez Activer BitLocker à partir du menu contextuel.

3. Une fenêtre contextuelle vous confirmera ensuite que BitLocker est en cours de configuration et affichera la barre de progression de ce dernier. Cette opération peut prendre quelques minutes.
4. Sélectionnez l’une des options d’enregistrement de votre clé de sauvegarde soulignée par Microsoft. Bien que Crucial ne recommande aucune option particulière, ne négligez pas cette étape. Dans certaines circonstances, il s’agira du seul moyen de récupérer vos données depuis votre SSD. Crucial n’intègre pas de « porte dérobée » en usine permettant de récupérer des données si la clé d’authentification ou le mot de passe venaient à être perdus. Une fois la clé enregistrée, sélectionnez Suivant pour continuer.
   

5. BitLocker vous demandera Êtes-vous prêt à crypter ce disque ? Après avoir cliqué sur Continuer, un redémarrage du système sera nécessaire pour terminer le processus.

6. Une fois le redémarrage terminé, vous remarquerez une icône en forme de cadenas sur le disque système sur lequel BitLocker est activé.

La vidéo ci-dessous illustre l’intégralité du processus.