Sous Windows 10 et 11, vous avez la possibilité de protéger facilement l'accès à vos données (fichiers et dossiers) grâce au système EFS présent nativement sous Windows.

  1. Qu'est-ce qu'EFS ?
  2. Chiffrement des fichiers avec EFS
  3. Gérer les certificats sous Windows
  4. Chiffrer un fichier
  5. Notification pour l'exportation de votre clé de chiffrement de fichiers
  6. Certificat EFS généré pour l'utilisateur actuel
  7. Test en tant qu'administrateur
  8. Exporter manuellement le certificat EFS et sa clé privée associée
  9. Ajouter l'option de chiffrement / déchiffrement dans le menu contextuel de Windows
  10. Réimporter le certificat EFS

1. Qu'est-ce qu'EFS ?

EFS (Encrypting File System) est un système permettant de chiffrer des fichiers pour les rendre illisibles sans la clé associée.
En effet, lorsque vous possédez un ordinateur portable dans une entreprise, il peut arriver que vous emportiez celui-ci à l'extérieur (chez un client, dans un café, ...).
En cas de vol ou d'accès non autorisé à votre PC portable, un utilisateur non autorisé ne pourra donc pas accéder à ces données (lire leur contenu).

Grâce à EFS, vous pouvez chiffrer des données pour que celles-ci soient lisibles uniquement par un ou plusieurs utilisateurs spécifiques sans pour autant devoir divulguer la clé qui a été utilisée par le 1er utilisateur pour que le 2ème utilisateur puisse y accéder.

Pour qu'un utilisateur puisse utiliser EFS, celui-ci doit disposer d'un certificat personnel (qui contient une clé publique), ainsi que d'une clé privée associée.
Ces clés publiques et privées lui permettront de chiffrer et déchiffrer les données qu'il souhaite protéger.
Notez que ce certificat et sa clé privée associée seront générés automatiquement par Windows lorsque l'utilisateur souhaitera chiffrer un fichier pour la 1ère fois.

EFS utilise 2 types de certificats :

  • Certificat EFS : l'utilisateur possédant un certificat EFS peut chiffrer et déchiffrer ses données.
    Le champ "Utilisation de la clé améliorée" de ce certificat aura pour valeur : Système de fichiers EFS (Encrypting File System) (1.3.6.1.4.1.311.10.3.4).
  • Certificats de récupération de fichier : les utilisateurs possédant un certificat de récupération de fichier pourront accéder aux données chiffrées par d'autres utilisateurs d'un domaine ou projet.
    Néanmoins, seuls des personnes de confiance (nommée : Agents de récupération des données) ou les administrateurs de domaine devraient posséder ce type de certificat.
    Le champ "Utilisation de clé améliorée" de ce certificat aura pour valeur : Récupération de fichier (1.3.6.1.4.1.311.10.3.4.1).

Important :

  • EFS nécessite l'utilisation du système de fichiers NTFS sur la partition souhaitée.
    Vous ne pourrez donc pas utiliser EFS sur une partition formatée en FAT, FAT32 ou ExFAT.
  • vous ne pouvez pas chiffrer des fichiers ayant pour attribut "compressé". Autrement dit, les fichiers qui sont compressés par Windows pour économiser de l'espace disque ou ceux pour lesquels vous avez activé l'option de compression dans les propriétés du fichier concernée. Si vous tentez de chiffrer un fichier compressé, celui-ci sera automatiquement décompressé avant d'être chiffré.
    Notez que cela n'a rien avoir avec les fichiers compressés au format zip, rar, 7z, ...
  • vous ne pouvez pas chiffrer des fichiers ayant l'attribut "système", ainsi que les fichiers présents dans le dossier "systemroot".

Source : Protection des données avec le système EFS (Encrypting File System).

Pour en savoir plus sur le chiffrement de données, référez-vous à notre article : A quoi sert et comment fonctionne le chiffrement ?

2. Chiffrement des fichiers avec EFS

Lorsque vous chiffrez des données grâce à EFS, Windows génère une clé symétrique (aussi appelée FEK pour File Encryption Key) aléatoire de façon transparente et chiffre le contenu du fichier à l'aide de celle-ci.
L'avantage de cette clé symétrique est que le chiffrement et le déchiffrement des données sont beaucoup plus rapides pour les grandes quantités de données que si on utilisait un chiffrement asymétrique.

Si l'utilisateur ne possède pas encore de certificat personnel, Windows lui génère automatiquement un certificat EFS avec une combinaison : clé publique / clé privée.

Ensuite, Windows chiffre la clé symétrique utilisée grâce à la clé publique de l'utilisateur pour qu'il puisse la déchiffrer plus tard grâce à sa clé privée.
En effet, avec le chiffrement asymétrique, les données chiffrées avec la clé publique (que tout le monde peut connaitre) ne peuvent être déchiffrées qu'avec la clé privée.

Pour finir, cette clé symétrique (FEK) chiffrée est stockée dans un en-tête chiffré.

Pour déchiffrer un fichier, Windows utilisera la clé privée de l'utilisateur pour déchiffrer l'en-tête du fichier pour obtenir la clé symétrique (FEK) ayant servi à chiffrer les données.
Comme le fichier a été chiffré avec un chiffrement symétrique, la clé FEK récupérée permet également de déchiffrer les données (le contenu du fichier).

Bien entendu, étant donné que le chiffrement et le déchiffrement du fichier au niveau du système de fichiers de votre ordinateur, l'utilisateur ne voit pas tout ce processus.
Par contre, si un autre utilisateur tente d'accéder à votre fichier chiffré, il verra simplement un message "Accès refusé".

3. Gérer les certificats sous Windows

Pour gérer les certificats sous Windows, vous devrez utiliser une console "mmc".
Pour cela, ouvrez le menu démarrer et tapez "mmc".

Dans la console "mmc" qui apparait, allez dans : Fichier -> Ajouter/Supprimer un composant logiciel enfichable.

Sélectionnez le composant "Certificats" et cliquez sur "Ajouter".

Si vous avez un compte utilisateur Windows de type "Administrateur", une fenêtre vous demandera de choisir entre :

  • Mon compte d'utilisateur
  • Un compte de service
  • Un compte d'ordinateur

Sélectionnez "Mon compte d'utilisateur" et cliquez sur Terminer.

Si vous avez un compte utilisateur Windows de type "Standard", cette fenêtre n'apparaitra pas et le choix "Mon compte d'utilisateur" sera utilisé automatiquement.

Comme vous pouvez le voir, le composant "Certificats" sera ajouté pour l'utilisateur actuel.
Cliquez sur OK.

Si vous le souhaitez, vous pouvez aussi l'ajouter pour l'ordinateur local.
Néanmoins, vous verrez qu'aucun certificat ne sera créé pour celui-ci lorsque vous utilisez EFS.

Pour cela, sélectionnez à nouveau le composant "Certificats" et cliquez sur "Ajouter".

Sélectionnez "Un compte d'ordinateur" et cliquez sur Suivant.

Rappel : ceci n'est possible que si vous avez les droits administrateur sur votre ordinateur.

Sélectionnez "L'ordinateur local ..." et cliquez sur Terminer.

Comme vous pouvez le voir, le composant "Certificats" sera ajouté pour l'utilisateur actuel, ainsi que pour l'ordinateur local.

Les composants "Certificats - Utilisateur actuel" et "Certificats (ordinateur local)" apparaissent dans la console "mmc".

Comme vous pouvez le voir dans la section "Personnel" de "Certificats - Utilisateur actuel", vous ne possédez pas encore de certificat utilisateur personnel.

Dans la section "Personnel" de "Certificats (ordinateur local)", vous pourrez voir qu'il n'y a pas non plus de certificat associé à votre ordinateur.

Enregistrer les paramètres de cette console "mmc" pour pouvoir la réouvrir tel quelle dans le futur.
Pour cela, allez dans : Fichier -> Enregistrer sous.

Enregistrez la console sous le nom que vous souhaitez.
Par exemple : gestion certificats.

Ensuite, fermez cette console "mmc" et cliquez sur "Oui" pour enregistrer les paramètres.
Notez que la console "mmc" se souviendra également de quel élément est actuellement sélectionné ici.

A voir également

Commentaires

Vous devez être connecté pour pouvoir poster un commentaire

Donnez-nous votre avis

Contenu épinglé

InformatiWeb Pro

Contact

® InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.