Résolution des problèmes de chiffrement du disque dur
Summary: Cet article fournit des informations sur le chiffrement du disque dur, ainsi qu’une explication de BitLocker et des étapes de dépannage pour résoudre les problèmes liés au chiffrement du disque dur sur un ordinateur Dell. ...
Instructions
Sommaire :
- Qu’est-ce que le chiffrement de disque dur ?
- Chiffrement matériel par rapport au chiffrement logiciel
- Qu’est-ce que TPM ?
- Full Disk Encryption (FDE)
- Qu’est-ce que BitLocker ?
- Chiffrement de disques durs Advanced Format 512e (4K) FDE
- Le disque dur n’est pas reconnu par le logiciel de cryptage
- Problèmes de prédémarrage
- Le système ne démarre pas après l’ajout d’un logiciel de chiffrement tiers.
- Chiffrement et réinstallation du système d’exploitation
- Mots de passe ou clé de cryptage perdus
1. Qu’est-ce que le chiffrement de disque dur ?
Le chiffrement de disque dur est un processus dans lequel les données du disque, ou le lecteur entier, sont converties en un code illisible à l’aide d’algorithmes mathématiques pour empêcher les utilisateurs non autorisés d’y accéder. L’utilisateur doit fournir un mot de passe, une empreinte digitale, ou une carte à puce pour accéder à un disque chiffré. Le chiffrement peut être effectué avec des mécanismes logiciels ou matériels. Lorsque nous parlons des systèmes Client, le chiffrement logiciel est souvent le plus utilisé. Le chiffrement peut se faire au niveau du fichier ou pour tout le disque dur.
2. Chiffrement matériel par rapport au chiffrement logiciel
La principale différence entre le chiffrement logiciel et le chiffrement matériel est que l’enregistrement de démarrage principal (Master Boot Record, MBR) ne peut pas être crypté à l’aide d’un mécanisme de chiffrement logiciel. Les ordinateurs clients Dell utilisent Wave Trusted Drive Manager dans le cadre de la suite Dell Data Protection ou Dell ControlPoint Security Manager avec la puce TPM pour le chiffrement logiciel. Les entreprises peuvent utiliser Dell Data Protection Encryption et un module DDPE Accelerator qui est utilisé dans un emplacement de la carte mère à l’aide d’une mini-carte pour les ordinateurs portables ou d’une carte PCIe pour les ordinateurs de bureau. Le chiffrement matériel est plus sécurisé puisqu’il isole le disque dur du processeur et du système d’exploitation, ce qui le rend beaucoup moins vulnérable à une attaque.
3. Qu’est-ce que TPM ?
Un module Trusted Platform Module (TPM) est un microprocesseur cryptographique sur la carte mère qui stocke et authentifie les clés de chiffrement pour le disque dur, ce qui en retour lie le disque dur à l’ordinateur. Cela signifie que si le disque chiffré est volé et placé dans un autre ordinateur, le disque ne sera pas accessible. La puce TPM fonctionne comme une « passerelle » vers le disque. Le principal inconvénient de l’utilisation d’une puce TPM dans un schéma de chiffrement est que, si la carte mère doit être remplacée, le disque dur peut potentiellement ne plus être accessible par l’utilisateur. Cependant, Wave Trusted Drive Manager atténue ce problème en gardant aussi les clés de chiffrement sur le disque dur. (Cela est similaire aux baies RAID qui ne sont pas perdues lorsqu’une carte mère est remplacée. Les informations de baie sont conservées sur la bande du disque dur et sur le contrôleur RAID EPROM.)
Pour plus d’informations : Comment dépanner et résoudre les principaux problèmes liés à l’utilisation d’un module TPM et de BitLocker ?
4. Full Disk Encryption (FDE)
Le chiffrement complet du disque signifie simplement que le disque entier (chaque secteur) peut être chiffré et non pas les fichiers, les dossiers ou les ordinateurs de fichiers. Les disques durs FDE deviennent la norme pour les ordinateurs portables en raison de la possibilité accrue de vol ou de perte de l’ordinateur. Le terme « chiffrement de disque complet » a été initialement inventé par Seagate, mais c’est maintenant un terme de l’industrie pour tous les disques durs qui peuvent être entièrement chiffrés. Les fonctionnalités de sécurité du disque dur FDE sont toujours activées et elles agissent comme un disque dur normal jusqu’à ce que les stratégies de sécurité soient mises en œuvre.
Une question courante est de savoir si le logiciel de chiffrement Wave Trusted Drive Manager peut être utilisé sur un disque dur non FDE pour sécuriser tout le disque. La réponse est non. Wave Trusted Drive Manager nécessite un disque dur FDE. Les mécanismes de chiffrement logiciel, tels que Windows BitLocker, peuvent être utilisés pour chiffrer les volumes sur les lecteurs non FDE à l’aide de la puce TPM ou d’une clé USB, mais pas pour le démarrage (secteur de démarrage) du système d’exploitation du disque dur.
Pour accéder au contenu d’un disque dur entièrement chiffré avec Wave Trusted Drive Manager, l’authentification de prédémarrage est utilisée pour que les secteurs contenant le système d’exploitation et les données utilisateur soient accessibles. Sur les ordinateurs Client utilisant DDPA, la configuration d’authentification de prédémarrage est gérée par le logiciel Wave dans DDPA\DCPSM.
5. Qu’est-ce que BitLocker ?
BitLocker est une fonctionnalité de chiffrement de disque complet disponible sous Windows 7 et n’est disponible que dans les éditions Intégrale et Entreprise. Vous pouvez utiliser BitLocker pour aider à protéger tous les fichiers stockés sur les lecteurs de données amovibles (tels que les disques durs externes ou les lecteurs flash USB).
Contrairement à Trusted Drive Manager, ces disques ne doivent pas être FDE, BitLocker peut chiffrer uniquement les volumes, mais pas le volume de démarrage. Les disques durs chiffrés avec BitLocker peuvent être déverrouillés via le prédémarrage à l’aide d’un mot de passe ou d’une carte à puce et TPM. Pour que BitLocker soit accessible par un mécanisme de prédémarrage, le BIOS doit pouvoir lire une clé USB au démarrage. Deux partitions doivent être présentes avec la partition du disque dur de l’ordinateur étant d’au moins 100 Mo et défini comme la partition active. La partition du système d’exploitation sera chiffrée et la partition d’ordinateur reste non chiffrée pour que l’ordinateur puisse démarrer.
TPM n’est pas requis pour l’utilisation de BitLocker, mais il est vivement conseillé pour le prédémarrage pour une meilleure sécurité. Windows Update ne requiert pas la désactivation de BitLocker, mais cela peut être le cas pour d’autres mises à jour. Comme les autres applications de chiffrement, il est recommandé de stocker les codes PIN (clés de récupération) sur un support amovible ou dans d’autres endroits sûrs. Si l’utilisateur ne dispose pas du code PIN de récupération, il n’y a aucun moyen de déverrouiller le disque. Si l’ordinateur ne peut pas démarrer pour accéder à la console de récupération BitLocker ou le disque dur a échoué, l’outil de réparation BitLocker 
peut être téléchargé et extrait sur un CD ou une clé de démarrage pour récupérer les données sur le disque dur. Vous devez avoir la clé de récupération pour pouvoir accéder aux données.
Si l’utilisateur est enregistré sur un domaine utilisant Active Directory et que son administrateur a configuré BitLocker, il est possible que le code PIN ait été stocké dans Active Directory. Demandez à votre service IT de vérifier.
Pour plus d’informations : Comment dépanner et résoudre les principaux problèmes liés à l’utilisation d’un module TPM et de BitLocker ?
6. Chiffrement de disques durs Advanced Format 512e (4K) FDE.
Un disque dur 512e (4K), ou format avancé, signifie simplement que chacun des secteurs du lecteur est passé de 512 à 4 096 octets. La première génération de disques durs au format avancé accomplit cela en prenant des secteurs de 8 à 512 octets et en les combinant en un seul secteur de 4 096 octets. Sur les ordinateurs Dell, le terme 512e (émulation) vient de l’utilisation de mécanismes de conversion dans le firmware du disque dur pour simuler un secteur 4 096 pour les composants et logiciels hérités qui s’attendent à des secteurs de 512 octets. Toutes les lectures/écritures faites sur les disques durs 512e au format avancé sont effectuées par incréments de 512 octets, mais dans un cycle de lecture, les 4 096 octets sont chargés dans la mémoire. Les disques durs 512e doivent être alignés pour cela. Si la procédure d’alignement des disques n’est pas effectuée, les performances du disque dur peuvent être gravement affectées. Les disques durs achetés avec un ordinateur Dell sont déjà alignés.
Pour savoir si votre ordinateur est doté d’un disque dur au format avancé (512e), téléchargez l’outil de détection de disques durs au format avancé.
L’alignement de partition est requis pour les systèmes d’exploitation antérieurs, et il est recommandé pour les nouveaux systèmes d’exploitation afin d’assurer des performances de disque dur et une imagerie correctes entre des disques durs de différentes tailles de secteur.
L’alignement des disques durs peut être effectué à l’aide d’un certain nombre d’outils qui peuvent être téléchargés depuis le site de support Pilotes et téléchargements de Dell pour votre ordinateur sous la section Lecteurs SATA.
7. Le disque dur n’est pas reconnu par le logiciel de chiffrement.
Pour Wave Trusted Drive Manager, le disque dur doit être un disque dur FDE (Full Drive Encryption) et le mode SATA doit être défini sur ATA\AHCI\IRRT et non RAID On\RAID. Les programmes de chiffrement tiers peuvent requérir ces paramètres.
Renseignez-vous auprès de votre revendeur pour tous les paramètres du BIOS.
Vérifiez l’alignement des disques durs si une image de système d’exploitation est en cours d’utilisation, en particulier pour Windows XP. Assurez-vous que toutes les mises à jour ont été appliquées à l’image avant le chiffrement.
Si vous avez un logiciel de chiffrement tiers, vérifiez auprès du revendeur pour vous assurer que le logiciel fonctionne avec le matériel de l’ordinateur, ainsi que le BIOS Unified Extensible Firmware Interface (UEFI).
8. Problèmes de prédémarrage.
- Si l’utilisateur rencontre des problèmes avec l’authentification de prédémarrage, vérifiez quel mécanisme d’authentification est utilisé : mot de passe, empreinte digitale ou carte à puce
- Pour les mots de passe, assurez-vous qu’il utilise le mot de passe correct et vérifiez si les touches Verr. Maj et Verr. Num sont correctement définies.
- Pour les empreintes digitales, assurez-vous que le client utilise le doigt approprié et qu’il ne le fait pas glisser trop vite. Trois glissements non valides doivent déclencher l’invite de mot de passe.
- Pour les cartes à puce, assurez-vous que la carte appropriée est utilisée, qu’elle est insérée correctement et vérifiez qu’elle n’est pas abîmée. Essayez une autre carte si possible.
- Sur un domaine, assurez-vous que le client n’est pas passé à une connexion locale. Le client doit utiliser les mêmes informations de connexion que celles utilisées lors du chiffrement.
- Si l’utilisateur indique que l’authentification de prédémarrage ne fonctionne pas dans le cas d’un redémarrage, vérifiez le BIOS pour vous assurer que le contournement du mot de passe n’est pas activé. Cette fonctionnalité ne fonctionnait pas dans les premières versions du BIOS, mais le problème a depuis été résolu. Assurez-vous que le client utilise la dernière version du BIOS.
- Si l’utilisateur a perdu son mot de passe ou ne fait plus partie des employés, Dell n’a aucun moyen de récupérer le mot de passe de chiffrement pour Trusted Drive Manager Encryption. Pour les applications tierces, contactez le fournisseur pour obtenir une assistance.
9. Le système ne démarre pas après l’ajout d’un logiciel de chiffrement tiers.
Mettez l’ordinateur sous tension, puis appuyez sur la touche F12 pendant le processus de démarrage pour accéder au menu de démarrage du BIOS. Il peut être nécessaire d’appuyer plusieurs fois sur la touche pendant le processus de démarrage pour obtenir que le BIOS reconnaisse la clé au moment adéquat. Utilisez les touches vers le haut et vers le bas pour sélectionner <Diagnostics> dans le menu et appuyez sur la touche Entrée.
Les diagnostics Enhanced Pre-boot System Assessment (ePSA) sont exécutés pour vérifier que le lecteur n’est pas défectueux et n’a pas indiqué d’erreurs. Si vous disposez d’un disque dur au format avancé (512e), assurez-vous qu’il est aligné correctement avant d’effectuer le chiffrement.
Renseignez-vous auprès du fournisseur pour les options de restauration. La plupart des entreprises disposent d’un utilitaire de récupération que l’utilisateur peut charger sur une clé ou un CD démarrable. Vérifiez également le site du fournisseur pour faire une recherche sur les problèmes de la plate-forme de l’ordinateur au cas où il n’y aurait pas de problèmes avec ce logiciel particulier sur ce modèle d’ordinateur.
10 Chiffrement et réinstallation du système d’exploitation
Si le système d’exploitation est endommagé sur un disque dur crypté et requiert une réinstallation, il se peut que le disque d’installation de Windows ne reconnaisse pas le lecteur, car le disque dur est verrouillé. Pour les disques cryptés avec Wave Trusted Drive Manager, le lecteur doit être déverrouillé avant d’effectuer la réinstallation du système d’exploitation.
Reportez-vous aux documents d’assistance du site Wave qui expliquent ici comment déverrouiller le disque avant de procéder à une réinstallation.
Pour le chiffrement logiciel tiers, consultez votre fournisseur pour obtenir la procédure appropriée avant d’effectuer la réinstallation.
11 Mots de passe ou clé de chiffrement perdus
Si un utilisateur a perdu son mot de passe de prédémarrage ou leur clé de chiffrement ou si un utilisateur final a quitté la société, la plupart des fournisseurs d’application de chiffrement fournissent un mécanisme de sécurité intégrée pour la récupération. En raison des règles relatives aux données standard de l’industrie, le mécanisme de récupération doit être initié par le client. Cette opération est effectuée en enregistrant le mot de passe/la clé sur l’emplacement réseau ou sur un support de stockage amovible. Si le chiffrement de disque complet a été mis en œuvre et si l’utilisateur a perdu son mot de passe/la clé, Dell ne peut pas l’aider à récupérer le mot de passe/la clé pour le disque dur. Dans cette situation, il faut remplacer le disque dur de l’utilisateur. Ce problème n’est pas couvert par la garantie, étant donné que le chiffrement fonctionne normalement et protège les données contre les intrusions. Le remplacement du disque est à la charge de l’utilisateur. Wave peut vous aider à résoudre les problèmes de nom d’utilisateur. Le client doit avoir son mot de passe pour Wave afin d’aider à la récupération des noms d’utilisateur perdus. Si l’utilisateur a oublié, perdu, ou ne dispose pas de son mot de passe, Wave ne peut malheureusement pas l’aider.
Si les étapes ci-dessus ne permettent pas de résoudre le problème, contactez le support technique de Dell pour obtenir de l’aide.
Additional Information
Articles recommandés
Voici quelques articles recommandés sur ce sujet qui peuvent vous intéresser.