Microsoft et la communauté ont signalé une vulnérabilité dans le chiffrement matériel de certains disques pré-chiffrés (Self-Encrypting Drives). Le problème concerne les disques eux-mêmes mais impactent BitLocker.
Sur les machines Windows équipés de disques pré-chiffrés, BitLocker Drive Encryption gère le chiffrement et utilise le chiffrement matériel par défaut. Du fait que ces disques n’ont pas l’auto-chiffrement adéquat, le chiffrement par BitLocker n’est pas effectif. C’est le cas pour :
- Crucial (Micron) MX100, MX200 et MX300.
- Samsung T3 et T5 USB.
- Samsung 840 EVO et 850 EVO.
D’autres références peuvent être concernées. Plus d’infos
Les entreprises doivent donc pour ces disques, forcer le chiffrement logiciel sur les machines équipées de disques pré-chiffrés. Ceci peut être réalisé en déployant une stratégie de groupe pour remplacer le comportement par défaut. Il est à noter que Windows appliquer le chiffrement logiciel uniquement au moment de l'activation de BitLocker.
Afin de vérifier si vos machines sont impactées par ce problème, vous devez utiliser la procédure suivante :
- Via une invite de commande, exécuter managed-bde.exe -status
- Si les disques ne renvoient pas Hardware Encryption pour le champ Encryption Method, alors vous le chiffrement logiciel est utilisé et vous n’êtes pas affectés par les vulnérabilités.
De manière industrielle, vous pouvez utiliser le script suivant :
$BitlockerVolume = Get-BitLockerVolume | select encryptionmethod,mountpoint,VolumeType,ProtectionStatus |? { $_.VolumeType -eq "OperatingSystem" -and $_.ProtectionStatus -eq "On" }
switch ($BitlockerVolume.encryptionmethod) {
Aes128 { $true }
Aes256 { $true }
Aes128Diffuser { $true }
Aes256Diffuser { $true }
XtsAes128 { $true }
XtsAes256 { $true }
Default { $false }
}
Pour les disques qui sont chiffrés à l'aide d'une forme vulnérable de chiffrement matériel, vous pouvez atténuer la vulnérabilité en passant au chiffrement logiciel à l'aide de Bitlocker avec une stratégie de groupe.
Notez qu’après qu'un lecteur ait été chiffré à l'aide du chiffrement matériel, le passage au chiffrement logiciel sur ce lecteur nécessitera que le lecteur soit d'abord déchiffré, puis réchiffré à l'aide du chiffrement logiciel. Si vous utilisez BitLocker, il ne suffit pas seulement de modifier la valeur de la stratégie de groupe pour appliquer le chiffrement logiciel afin de chiffrer à nouveau les données existantes.
Pour ce faire :
- Configurez et déployez une stratégie de groupe pour activer le chiffrement logiciel forcé avec les paramétrages
- Désactivez complètement BitLocker pour déchiffrer le lecteur avec le paramétrage : Configure use of hardware-based encryption for fixed data drives/operating system drives à Disabled
- Activez à nouveau BitLocker
IMPORTANT : Il n’est pas nécessaire de reformater le lecteur ou de réinstaller des applications après avoir modifié les paramètres de BitLocker.
Plus d’informations sur : ADV180028 | Guidance for configuring BitLocker to enforce software encryption
