Le chiffrement de disque dur est un processus dans lequel les données du disque, ou le lecteur entier, sont converties en un code illisible à l’aide d’algorithmes mathématiques pour empêcher les utilisateurs non autorisés d’y accéder. L’utilisateur doit fournir un mot de passe, une empreinte digitale ou une carte à puce pour accéder à un lecteur chiffré. Le chiffrement peut être effectué avec des mécanismes logiciels ou matériels. Lorsque nous parlons des systèmes Client, le chiffrement logiciel est souvent le plus utilisé. Le chiffrement peut se faire au niveau du fichier ou de l’ensemble du disque dur.
La principale différence entre le chiffrement logiciel et le chiffrement matériel est que l’enregistrement de démarrage principal (Master Boot Record, MBR) ne peut pas être crypté à l’aide d’un mécanisme de chiffrement logiciel. Les ordinateurs clients Dell utilisent Wave Trusted Drive Manager dans le cadre de la suite Dell Data Protection ou Dell ControlPoint Security Manager avec la puce TPM pour le chiffrement logiciel. Les clients Grand Compte peuvent utiliser Dell Data Protection Encryption et un module DDPE Accelerator qui est utilisé dans un logement de la carte mère à l’aide de la mini-carte pour les ordinateurs portables ou d’une carte PCIe pour les ordinateurs de bureau. Le chiffrement matériel est plus sécurisé, car il isole le disque du processeur et du système d’exploitation, ce qui le rend beaucoup moins vulnérable aux attaques.
Un module TPM (Trusted Platform Module) est un microprocesseur cryptographique sur la carte mère qui stocke et authentifie les clés de chiffrement du disque, qui, à son tour, relie le disque à l’ordinateur. Cela signifie que si le disque crypté est volé sur l’ordinateur et placé sur un autre ordinateur, le lecteur ne peut pas être accessible. La puce TPM fonctionne comme une « passerelle » vers le disque. Le principal inconvénient de la puce TPM utilisée dans un schéma de chiffrement est que si la carte mère nécessite un remplacement, le lecteur peut potentiellement ne plus être accessible à l’utilisateur. Cependant, Wave Trusted Drive Manager atténue ce problème en gardant aussi les clés de chiffrement sur le disque dur. (Cela est similaire aux baies RAID qui ne sont pas perdues lorsqu’une carte mère est remplacée. Les informations de baie sont conservées sur la bande du disque dur et sur le contrôleur RAID EPROM.)
Pour plus d’informations : Comment dépanner et résoudre les principaux problèmes liés à l’utilisation d’un module TPM et de BitLocker ?
Le chiffrement complet du disque signifie simplement que l’intégralité du disque (chaque secteur) peut être chiffrée au lieu des fichiers, dossiers ou ordinateurs de fichiers. Les disques durs FDE deviennent la norme sur les ordinateurs portables en raison des risques accrus de vol ou de perte d’ordinateur. Le terme « chiffrement complet du disque » est initialement défini par Seagate, mais il s’agit désormais d’un terme sectoriel pour tous les disques durs qui peuvent être entièrement chiffrés. Les fonctionnalités de sécurité du disque dur FDE sont toujours activées et elles agissent comme un disque dur normal jusqu’à ce que les stratégies de sécurité soient mises en œuvre.
Une question courante se pose : le logiciel de chiffrement Wave Trusted Drive Manager peut-il être utilisé sur un disque dur non FDE pour sécuriser l’intégralité du disque ? La réponse est qu’aucun Wave Trusted Drive Manager ne nécessite de lecteur FDE. Les mécanismes de chiffrement logiciel, tels que Windows BitLocker, peuvent être utilisés pour chiffrer les volumes sur des disques non FDE à l’aide de la puce TPM ou d’un lecteur USB, mais pas du démarrage du système d’exploitation (secteur de démarrage) du disque dur.
Pour accéder au contenu d’un disque dur entièrement chiffré avec Wave Trusted Drive Manager, l’authentification de prédémarrage est utilisée pour que les secteurs contenant le système d’exploitation et les données utilisateur soient accessibles. Sur les ordinateurs clients utilisant DDPA, la configuration de l’authentification avant démarrage est gérée par le logiciel Wave dans DDPA\DCPSM.
BitLocker est une fonctionnalité de chiffrement de disque complet disponible sous Windows 7 et n’est disponible que dans les éditions Intégrale et Entreprise. Vous pouvez utiliser BitLocker pour aider à protéger tous les fichiers stockés sur les lecteurs de données amovibles (tels que les disques durs externes ou les lecteurs flash USB).
Contrairement à Trusted Drive Manager, ces lecteurs n’ont pas besoin d’être des disques FDE, mais BitLocker peut uniquement chiffrer les volumes, mais pas le volume de démarrage. Les disques cryptés avec BitLocker peuvent être déverrouillés via le prédémarrage à l’aide d’un mot de passe ou d’une carte à puce avec TPM. Pour que BitLocker soit accessible par un mécanisme de prédémarrage, le BIOS doit être en mesure de lire un lecteur USB au démarrage, et deux partitions doivent être présentes, la partition de disque de l’ordinateur étant d’au moins 100 Mo et définie comme partition active. La partition du système d’exploitation est chiffrée et la partition de l’ordinateur reste non chiffrée afin que votre ordinateur puisse démarrer.
Le module TPM n’est pas requis pour l’utilisation de BitLocker, mais il est fortement recommandé de prédémarrage pour une meilleure sécurité. Les mises à jour Windows ne nécessitent pas la désactivation de BitLocker, mais d’autres mises à jour peuvent nécessiter sa désactivation. Comme pour les autres applications de chiffrement, il est recommandé de stocker les clés de récupération (PIN) sur un support amovible ou sur d’autres emplacements sécurisés. Si l’utilisateur ne dispose pas du code PIN de récupération, il n’y a aucun moyen de déverrouiller le disque. Si l’ordinateur ne parvient pas à démarrer pour accéder à la console de récupération BitLocker ou si le disque dur est défaillant, l’outil de réparation BitLocker peut être téléchargé et extrait sur une clé amorçable ou un CD pour récupérer les données du disque. Vous devez avoir la clé de récupération pour pouvoir accéder aux données.
Si l’utilisateur se trouve sur un domaine à l’aide d’Active Directory et de sa configuration d’administrateur BitLocker, il est possible que la broche ait été stockée dans Active Directory. Demandez-lui donc de vérifier auprès de son service informatique.
Pour plus d’informations : Comment dépanner et résoudre les principaux problèmes liés à l’utilisation d’un module TPM et de BitLocker ?
Un disque dur 512e (4K) ou au format avancé signifie simplement que les secteurs individuels du disque sont passés de 512 à 4 096 octets. Pour ce faire, la première génération de disques durs au format avancé prend des secteurs de 8 à 512 octets et les combine dans un seul secteur de 4 096 octets. Sur les ordinateurs Dell, le terme 512e (émulation) provient de l’utilisation de mécanismes de conversion dans le micrologiciel du disque dur pour simuler l’apparence de secteur de 4 096 pour les composants et logiciels hérités qui attendent 512 octets. Toutes les lectures/écritures sur un disque dur 512e au format avancé sont effectuées par incréments de 512 octets, mais lors d’un cycle de lecture, l’intégralité des 4 096 est chargée dans la mémoire. Les disques durs 512e doivent être alignés pour cela. Si la procédure d’alignement des disques n’est pas effectuée, les performances du disque dur peuvent être gravement affectées. Les disques durs actuels achetés avec un ordinateur Dell sont déjà alignés.
Pour détecter si votre ordinateur dispose d’un disque au format avancé (512e), téléchargez l’outil de détection de disque dur au format avancé.
L’alignement des partitions est requis pour les anciens systèmes d’exploitation et est recommandé pour les nouveaux systèmes d’exploitation afin de garantir des performances de disque dur et une création d’images appropriées entre les disques durs de tailles de secteurs différentes.
L’alignement des disques peut être effectué à l’aide de plusieurs outils qui peuvent être téléchargés à partir de la section Pilotes et téléchargements du site de support Dell pour votre ordinateur, sous la section Disques SATA.
Pour Wave Trusted Drive Manager, le disque dur doit être un disque dur FDE (Full Drive Encryption) et le mode SATA doit être défini sur ATA\AHCI\IRRT et non RAID On\RAID. Cela peut être le cas avec les programmes de chiffrement tiers.
Renseignez-vous auprès de votre revendeur pour tous les paramètres du BIOS.
Vérifiez l’alignement des disques durs si une image de système d’exploitation est en cours d’utilisation, en particulier pour Windows XP. Assurez-vous que toutes les mises à jour ont été appliquées à l’image avant le chiffrement.
Si un logiciel de chiffrement tiers est utilisé, contactez le fournisseur pour vous assurer que le logiciel fonctionne avec le matériel de l’ordinateur et le BIOS UEFI (Unified Extensible Firmware Interface).
Mettez l’ordinateur sous tension, puis appuyez sur la touche F12 pendant le processus de démarrage pour accéder au menu de démarrage du BIOS. Il peut être nécessaire d’appuyer plusieurs fois sur la touche pendant le processus de démarrage pour obtenir que le BIOS reconnaisse la clé au moment adéquat. Utilisez les touches fléchées haut et bas pour sélectionner <Diagnostics> dans le menu et appuyez sur la touche Entrée.
Les diagnostics ePSA (Enhanced Preboot System Assessment) sont exécutés pour s’assurer que le disque n’est pas en état d’échec et n’a signalé aucune erreur. Si vous disposez d’un disque au format avancé (512e), assurez-vous que le disque est correctement aligné avant d’effectuer le chiffrement.
Vérifiez les options de restauration auprès du fournisseur tiers. La plupart des entreprises disposent d’un utilitaire de récupération que l’utilisateur peut charger sur une clé ou un CD démarrable. Vérifiez également sur le site du fournisseur les problèmes de plate-forme informatique au cas où il y ait des problèmes avec ce logiciel particulier sur ce modèle d’ordinateur.
Si le système d’exploitation est endommagé sur un disque dur crypté et requiert une réinstallation, il se peut que le disque d’installation de Windows ne reconnaisse pas le lecteur, car le disque dur est verrouillé. Pour les disques cryptés avec Wave Trusted Drive Manager, le lecteur doit être déverrouillé avant d’effectuer la réinstallation du système d’exploitation.
Consultez les documents de support sur le site Wave qui expliquent comment déverrouiller le disque avant une réinstallation ici.
Pour les logiciels de chiffrement tiers, vérifiez auprès du fournisseur la procédure appropriée avant de tenter la réinstallation.
Si un utilisateur a perdu son mot de passe de prédémarrage, sa clé de chiffrement ou qu’un utilisateur final a quitté l’entreprise, la plupart des fournisseurs d’applications de chiffrement fournissent un mécanisme failsafe pour la récupération. En raison de règles de données conformes aux normes de l’industrie, le mécanisme de récupération doit être initié par le client. Pour ce faire, enregistrez le mot de passe\clé sur le stockage amovible ou l’emplacement réseau. Si le chiffrement complet du disque a été implémenté et que l’utilisateur a perdu son mot de passe\clé, Dell ne peut pas l’aider à récupérer le mot de passe\clé du disque. Dans ce cas, l’utilisateur a besoin d’un disque dur de remplacement. Ce problème n’entre pas dans le champ d’application de la garantie, car le chiffrement fonctionne comme prévu et protège les données contre les intrusions. Le remplacement du disque est à la charge de l’utilisateur. Wave peut vous aider à résoudre les problèmes de nom d’utilisateur. La utilisateur doit avoir son mot de passe pour Wave afin d’aider avec un nom d’utilisateur oublié. Si l’utilisateur a oublié, perdu ou n’a pas son mot de passe, malheureusement, Wave ne peut pas aider.
Si les étapes ci-dessus ne permettent pas de résoudre le problème, contactez le support technique de Dell pour obtenir de l’aide.
Voici quelques articles recommandés sur ce sujet qui peuvent vous intéresser.