Chiffrer des données grâce au système de fichiers EFS (Encrypting File System) sous Windows 10 et 11

4. Chiffrer un fichier

Pour tester la protection des données grâce au chiffrement EFS, nous allons créer et chiffrer un fichier depuis notre compte utilisateur "InformatiWeb".

Créez un fichier et faites un clic droit "Propriétés" sur celui-ci.

Cliquez sur le bouton : Avancé.

Cochez la case "Chiffrer le contenu pour sécuriser les données" et cliquez sur OK.

Cliquez sur OK dans la fenêtre de propriétés du fichier souhaité.

Sélectionnez "Chiffrer le fichier uniquement" et cliquez sur OK.

Important : comme Windows vous l'indique, il arrive que certains programmes créent une copie temporaire du fichier lorsque vous modifiez celui-ci.
Ce qui signifie que si cette copie n'est pas effacée automatiquement par ce programme et que vous avez choisi "Chiffrer le fichier uniquement", il pourra potentiellement y avoir une copie non chiffrée à côté de son équivalent chiffré.
L'autre cas concerne la récupération de données, étant donné qu'une copie temporaire a été écrite sur le disque dur, même si cette copie est rapidement effacée, celle-ci pourrait être potentiellement récupérée grâce à un logiciel de récupération de données.
Si les données chiffrées sont confidentielles (ce qui est certainement le cas), vous devriez plutôt sélectionner "Chiffrer le fichier et son dossier parent (recommandé)".
Dans notre cas, nous avons choisi "Chiffrer le fichier uniquement" pour simplifier la réalisation de ce tutoriel.

Le fichier souhaité a été chiffré.

Dans notre cas, il s'agit d'un simple fichier texte.

5. Notification pour l'exportation de votre clé de chiffrement de fichiers

Lorsque vous chiffrerez votre 1er fichier, Windows vous affichera une notification "Sauvegarde de votre clé de chiffrement de fichiers".

Si vous cliquez sur cette notification, une fenêtre "Système de fichiers EFS (Encrypting File System)" apparaitra pour vous permettre de sauvegarder vos clé et certificat de chiffrement de fichiers.
En effet, lorsque vous chiffrez des données, celles-ci deviennent illisibles sans le certificat et la clé privée associée.

Pour vous éviter de perdre vos données dans le cas de la perte de ce certificat ou de la clé privée associée ou lors d'un formatage, Windows vous propose de sauvegarder une copie de ce certificat et de cette clé associée sur une clé USB ou autre part.
Ainsi, vous pourrez réimporter ceci sur votre ordinateur dans le futur (par exemple : après un formatage de votre ordinateur) pour pouvoir réaccéder à vos fichiers chiffrés.

Cliquez sur : Sauvegarder maintenant (recommandé).

Note : il est apparemment impossible de réaccéder à cette fenêtre manuellement si vous ne l'avez pas fait depuis cette notification Windows.
Si vous n'avez pas accès à cette fenêtre, référez-vous à l'étape 8 de ce tutoriel pour exporter manuellement le certificat EFS et sa clé privée associée.

L'assistant "Exportation du certificat" apparait.
Cliquez sur Suivant.

Comme vous pouvez le voir, l'assistant est déjà pré-configuré pour exporter votre certificat au format ".PFX".
Qui est un format permettant d'exporter un certificat et sa clé privée associée dans un même fichier.

Indiquez un mot de passe pour sécuriser la clé privée qui va être exportée avec le certificat.
Ainsi, même si quelqu'un récupère le fichier ".pfx" exporté, il ne pourra pas obtenir facilement la clé privée.
Il lui faudra d'abord trouver le bon mot de passe.

Pour le chiffrement, laissez l'option "TripleDES-SHA1" qui est l'algorithme utilisé actuellement par le système de fichiers EFS sous Windows 10 et 11.

Cliquez sur "Parcourir" pour choisir où vous souhaitez exporter votre certificat au format ".pfx".

Exportez celui-ci sur une clé USB ou à un endroit sécurisé.

Ensuite, cliquez sur Suivant.

Cliquez sur Terminer.

Le message "L'exportation a réussi" apparait.

Comme vous pouvez le voir, le certificat a été exporté au format ".pfx" (Echange d'informations personnelles).

6. Certificat EFS généré pour l'utilisateur actuel

Si vous réouvrez votre console "mmc" grâce à la console sauvegardée précédemment (dans notre cas, sous le nom : gestion certificats), vous pourrez voir qu'un nouveau certificat a apparu dans la section : Certificats - Utilisateur actuel -> Personnel -> Certificats.

Si vous faites un double-clic sur celui-ci, vous pourrez voir que ce certificat est conçu pour les rôles suivants :

• Permet aux données sur le disque d'être chiffrées
• Toutes les stratégies d'émissions

Vous verrez également :

• qu'il s'agit d'un certificat auto-signé étant donné qu'il a été délivré à et par vous même.
• que vous possédez aussi la clé privée correspondant à ce certificat.

Pour la validité, Windows 10 et 11 n'affichent que les 2 derniers chiffres de l'année. Or, la validité est d'environ 100 ans, ce qui peut vous induire en erreur si vous regardez la période de validité dans l'onglet "Général".

Si vous allez dans l'onglet "Détails" de ce certificat, vous pourrez voir que la clé publique est lisible et qu'il s'agit d'une clé de 2048 bits.
Ce qui est normal étant donné que des clés de grandes tailles sont utilisées lorsque vous utilisez du chiffrement asymétrique (clé publique / clé privée).

Vous pourrez également voir que le certificat EFS est valide pendant environ 100 ans grâce aux champs "Valide à partir du" et "Valide jusqu'au" de ce certificat.

Dans le champ "Utilisation avancée de la clé", vous pourrez voir qu'il s'agit d'un certificat EFS : Système de fichiers EFS (Encrypting File System) (1.3.6.1.4.1.311.10.3.4).

Etant donné qu'il s'agit d'un certificat auto-signé, aucun certificat parent n'apparaitra dans l'onglet "Chemin d'accès de certification".

Comme vous pouvez le voir, aucun certificat ne sera créé pour l'ordinateur local.

Fermez la console "mmc" et cliquez sur "Non" pour ne pas modifier sa configuration.