Dans quelle mesure BitLocker et EFS peuvent-ils être sécurisés alors que les mots de passe Windows sont notoirement faciles à pirater ?


Vous parlez de 3 concepts entièrement différents.

Je ne suis pas sûr de ce que vous voulez dire par "les mots de passe Windows sont notoirement faciles à pirater".


Soit vous faites référence à des bugs avec LANMAN1 où le hachage du mot de passe était seulement aussi long que le mot de passe et était mis à zéro s'il ne faisait pas 14 caractères, ce qui le rendait plus facile à comprendre (ce qui a été corrigé il y a plus d'une décennie). Vous pouvez également faire référence à la manière dont les mots de passe sont stockés dans le système d'exploitation, dans une table de hachage. Depuis Vista, à moins que vous n'interveniez activement pour que les exigences en matière de mot de passe du système soient faibles, vous êtes tenu d'avoir un mot de passe complexe qui n'est pas terriblement vulnérable aux attaques par table de hachage et vous devez vous inquiéter d'un piratage par force brute (qui pourrait prendre un certain temps). Linux stocke les mots de passe locaux de manière similaire, avec un hachage lent salé.


Ou peut-être faites-vous référence au fait que si vous avez un accès physique à un ordinateur Windows, vous pouvez pirater le compte administrateur local en utilisant un disque BART.

Devinez quoi ? Vous pouvez faire la même chose avec Linux ! [Comment réinitialiser un mot de passe administratif perdu ?]

Si vous avez un accès physique à un ordinateur, il est grillé.

Je me documenterais un peu sur BitLocker. Le mot de passe est utilisé comme clé de cryptage... il n'est stocké nulle part.

Rappelez-vous tout le fiasco d'Apple, du cryptage de l'iPhone avec le FBI ? C'est encore un autre cas où Apple s'attribue le mérite de quelque chose que quelqu'un d'autre a fait en premier. La clé BitLocker n'est stockée nulle part sur le disque dur et il n'y a pas de porte dérobée programmée dans le système.

Les ingénieurs de Microsoft ont déclaré que les agents du FBI ont également fait pression sur eux lors de nombreuses réunions afin d'ajouter une porte dérobée, bien qu'aucune demande formelle et écrite n'ait jamais été faite ; les ingénieurs de Microsoft ont finalement suggéré au FBI que les agents devraient chercher la copie papier de la clé que le programme BitLocker suggère à ses utilisateurs de faire.

Je dirais que vous êtes d'accord avec BitLocker, tant que vous ne vous souvenez pas de votre clé, alors vous êtes fichu mais dans le bon sens... vos affaires sont en sécurité, au moins.

Le truc avec les clés de chiffrement cependant, c'est qu'elles ne changent pas. Avec suffisamment de temps, n'importe quelle clé peut être piratée par force brute. BitLocker utilise le cryptage AEP, donc si votre clé est assez bonne, cela pourrait ne pas valoir la peine pour un pirate d'essayer de la pirater. Cela vaut pour n'importe quel élément de données cryptées, pas seulement pour celles de BitLocker.

Le cryptage du système de fichiers est davantage une fonctionnalité de niveau entreprise. Alors que BitLocker fonctionne normalement avec des volumes entiers chiffrés, EFS peut être utilisé pour des fichiers uniques si nécessaire. Il utilise des certificats pour chiffrer les données, de sorte qu'un utilisateur pourrait être compromis si l'autorité de certification au niveau de la racine est compromise... La même chose s'appliquait à TOUT schéma d'authentification et de sécurité basé sur des certificats.

Il n'y a pas eu de vulnérabilités majeures signalées pour EFS depuis Windows 2000, soit il y a 4 versions majeures de systèmes d'exploitation Windows, tant du côté des serveurs que des ordinateurs de bureau.

En substance, les points à retenir de tout cela devraient être les suivants : si quelqu'un a un accès physique à votre ordinateur, il peut faire presque tout ce qu'il veut. Si vos affaires sont cryptées, cela pourrait leur prendre exponentiellement plus de temps pour accéder à ces données, s'ils y mettent vraiment du leur. Cela s'applique à tous les systèmes d'exploitation.