Comment activer BitLocker sur Windows 11 pour chiffrer son disque ?
I. Présentation
Dans ce tutoriel, nous allons voir comment activer BitLocker sur Windows 11 afin de chiffrer et protéger les données contenues sur le disque de son PC.
BitLocker est une fonctionnalité native de Windows, disponible sur Windows 11 mais aussi sur les versions précédentes de Windows depuis Windows 7. Pour protéger les données contenues sur votre PC, je vous recommande fortement d'activer le chiffrement BitLocker.
Dans un fonctionnement normal et optimal, BitLocker s'appuie sur une puce TPM pour gérer la clé de chiffrement. Dans ce tutoriel, je pars du principe que votre machine est équipée d'une puce TPM 2.0 et qu'elle est activée dans le BIOS/UEFI de votre PC. De cette façon, votre PC va respecter les prérequis de Windows 11.
Sachez qu'il y a deux manières d'utiliser BitLocker :
- BitLocker pour chiffrer des volumes locaux de votre ordinateur comme le volume système où est installé Windows
- BitLocker To Go pour chiffrer des périphériques externes comme une clé USB ou un disque dur externe
Pour chiffrer un volume avec BitLocker, vous devez être connecté en tant qu'administrateur sur la machine et utiliser Windows Pro, Éducation ou Entreprise. Sur l'édition Famille de Windows, il y a l'option "Chiffrement de l'appareil" mais ce n'est pas BitLocker.
Si ce n'est pas le cas, lisez ce tutoriel : Activer BitLocker sur Windows 11 et sans puce TPM
II. Activer BitLocker sur Windows 11
Pour activer BitLocker sur Windows 11, il y a plusieurs façons de procéder :
- Via l'explorateur de fichiers en effectuant un clic droit sur le lecteur que l'on souhaite chiffrer
- Via les paramètres de Windows 11 (Système > Stockage > Disques & volumes > Propriétés du volume > Activer BitLocker)
- Via le panneau de configuration classique au sein de la Gestion BitLocker
Pour ma part, je préfère utiliser la méthode via l'Explorateur de fichiers, je la trouve plus directe. Ouvrez l'Explorateur de fichiers, puis sur la gauche cliquez sur "Ce PC". Ensuite, effectuez un clic droit sur "Disque local (C:)" et cliquez sur "Activer BitLocker".
La première étape consiste à sauvegarder la clé de récupération. Cette clé doit être conservée en lieu sûr, car elle contient ce que l'on pourrait appeler un code de secours. Par exemple, si votre puce TPM dysfonctionne, BitLocker ne sera plus en mesure de déverrouiller l'accès à votre lecteur chiffré. Dans ce cas, il faudra s'appuyer sur la clé de récupération pour se sortir de cette situation.
Sur votre PC Windows 11, si vous êtes connecté avec un compte Microsoft, vous pouvez choisir "Enregistrer sur votre compte Microsoft". Sinon, vous pouvez imprimer la clé de récupération directement ou stocker les informations dans un fichier. Ce fichier devra être stocké sur un volume différent que celui que vous chiffrer. Cela peut être une clé USB.
Pour ma part, j'enregistre la clé de récupération sur une clé USB dans le cadre de cette démonstration. Préférez un support de stockage fiable, car on sait que les clés USB peuvent être parfois capricieuses...
Voici un exemple de fichier de récupération BitLocker. Nous avons d'une part l'identifiant unique de l'ordinateur (qu'il faudra comparer avec celui qui s'affiche à l'écran au moment de la récupération), et d'autre part la clé de récupération à saisir pour déverrouiller le disque.
Passez à l'étape suivante intitulée "Choisir dans quelle proportion chiffrer le lecteur".
En résumé, si vous venez d'installer Windows, choisissez l'option "Ne chiffrer que l'espace disque utilisé". De cette façon, BitLocker va chiffrer les données au fur et à mesure à la volée, en chiffrant bien sûr celles déjà sur votre disque.
Par contre, si vous utilisez votre PC depuis un bon moment déjà, ce qui est probablement le cas si vous avez fait une mise à niveau de Windows 10 vers Windows 11, il vaut mieux prendre l'option "Chiffrer tout le lecteur". BitLocker va chiffrer l'intégralité du disque dès à présent, alors autant vous dire que ça peut être long. Quel est l'intérêt ? Si vous utilisez votre PC déjà depuis plusieurs mois, il y a des chances pour que vous ayez déjà supprimé des données. Ces données peuvent être confidentielles et peut être que les espaces mémoires où étaient stockés ces données n'ont pas été réécrit pour le moment, donc ces espaces restent vulnérables aux outils de récupération de données. En bref, si vous chiffrez tout le disque dès maintenant, vous protégez votre machine contre la récupération de données sur des espaces mémoires pas encore réutilisés.
Sachez que dans tous les cas, toutes vos données actuelles et toutes les données futures seront chiffrées via BitLocker.
Nous sommes sur Windows 11 et il s'agit d'un disque système, alors nous pouvons cocher l'option "Nouveau mode de chiffrement" pour utiliser le chiffrement XTS-AES. Microsoft précise qu'il améliore la gestion de l'intégrité des données.
Cochez l'option "Exécuter la vérification du système BitLocker". De cette façon, le PC devra redémarrer avant que le chiffrement BitLocker puisse commencer. Grâce à cette vérification, Windows va vérifier qu'il accède bien aux clés de chiffrements stockées dans la puce TPM. Si tout est OK, alors BitLocker commencera à travailler. Cette vérification me semble pertinente pour éviter les mauvaises surprises. Cliquez sur "Continuer".
Une notification BitLocker va s'afficher en bas à droite de l'écran, cliquez dessus. Une fenêtre "L'ordinateur doit être redémarré" va s'afficher, je vous invite à redémarrer dès maintenant.
Suite au redémarrage et dans le cas où il n'y a pas d'erreur, le chiffrement du lecteur va débuter... Cette opération peut être très longue en fonction des performances de votre PC et de la quantité de données à chiffrer. S'il y a un problème pendant la phase de récupération, vous allez obtenir un message d'erreur à l'écran
Il est temps pour vous d'aller prendre un café le temps que Windows travaille pour vous.
Note : à tout moment vous pouvez obtenir l'état de BitLocker en ligne de commande grâce à l'utilitaire "manage-bde" et à la commande (pour le disque C) "manage-bde -status C:".
Au quotidien, l'utilisation de BitLocker est transparente, y compris lorsque vous démarrez votre PC. Grâce à la puce TPM, Windows va déverrouiller lui-même l'accès au volume chiffré puisqu'il peut accéder aux différentes clés.
III. Gérer BitLocker sous Windows 11
Pour accéder aux paramètres afin de gérer BitLocker, recherchez "BitLocker" dans la zone de recherche de Windows 11 et cliquez sur "Gérer BitLocker". Sinon, vous pouvez accéder à "Chiffrement de lecteur BitLocker" via le Panneau de configuration.
Trois options principales sont proposées :
- Suspendre la protection : plutôt que de désactiver complètement BitLocker, cette option permet de suspendre la protection sans pour autant déchiffrer le lecteur. Ceci est utile lors de certaines opérations comme la mise à jour du BIOS et évite d'avoir recours à la clé de récupération.
- Sauvegarder votre clé de récupération : si vous avez perdu le document avec votre clé de récupération ou que votre clé USB est HS, vous pouvez effectuer une nouvelle sauvegarde de votre clé de récupération.
- Désactiver BitLocker : déchiffrer votre lecteur et désactiver BitLocker. Autrement dit, retour à l'état initial.
En regardant en bas à gauche de la fenêtre, vous verrez l'option "Administration du TPM" en bas à gauche de la fenêtre pour gérer la puce TPM de votre machine.
Voilà, votre PC sous Windows 11 est désormais protégé par le chiffrement BitLocker !
C’est toujours de très bonnes vidéos !
Une vidéo complète sur le « secure boot » avec une puce TPM serait bien avec les choix PCR à faire, l’activation du DMA, etc.
Bonjour,
Excellente video
De mon côté, A mon travail, on m’a installé et configuré un nouveau PC, l’ancien devenait trop vieux
Bitlocker a été installé mais je n’ai vu cette étape de configuration et je ne connais pas le code, rien ne m’a été communiqué et je ne sais pas travailler sur mon pc, forcément
Je devrai contracté le helpdesk de mon boulot, lundi, mais si on installé le logiciel, qu’on ne le configure pas, que l’on coupe le PC. Puis qu’on le rallume et que la bitlocker key est demandée, un code par défaut est-il créé malgré tout ?
Je demande cela afin que le helpdesk ne me raconte pas des bétises
Merci
Jean (Bruxelles)
Toujours très bien fait et très intéressant.
peut être une idées pour une prochaine plus avancée ^^ j ai des PC avec Bitlocker actif (avec un code PIN de déverrouillage en préboot) la question que nous nous posons. c est que faire lorsque le PC contient un deuxième disque interne.
il est possible de bitlocker le deuxième disque (il suffit de le faire avant de faire le disque système) mais dans ce cas la on ne peut chiffrer qu’avec un mot de passe ou une clé usb.
existe t il un moyen de lier le déverrouillage du deuxième disque au PIN de préboot du disque système?
je me permets de m’auto corriger. (comme quoi il suffit de passer un peu plus de temps a chercher ^^)
il est possible de bitlocker l ensemble des disques fixes d un pc.
pour cela il est indispensable de commencer par chiffrer les disques fixes non système (avec mot de passe), puis de suivre le tuto pour chiffrer le disque OS (commencer par l OS peut faire qu il sera impossible de chiffrer les autres disques)
une fois tous les disques protégés par bitlocker, on peut activer le déverrouillage auto sur les disques fixes.