Windows 10 21H2, appelé également Windows 10 November 2021 Update, est disponible dès à présent ! Si vous utilisez Windows 10 2004 ou supérieur, vous pouvez bénéficier de cette mise à jour majeure de façon simple et rapide !
Si vous êtes sur Windows 10 et que vous ne souhaitez pas passer à Windows 11 pour le moment, peut-être que cette mise à jour Windows 10 21H2 va vous intéresser.
Les nouveautés de Windows 10 21H2
Windows 10 21H2 porte le nom d'une version majeure, mais les nouveautés sont peu nombreuses, mais ça, on s'en doutait un peu suite à la sortie de Windows 11.
Au sein de cette version, Microsoft a introduit le support du protocole WPA3 H2E (Hash-to-Element) pour renforcer la sécurité de l'appareil lors de connexions à des points d'accès Wi-Fi compatibles. Cela permet de se protéger contre certaines attaques, notamment celle appelée DragonBlood en 2019 et qui pouvait permettre à l'attaquant de voler la clé Wi-Fi.
Par ailleurs, c'est Windows Subsystem for Linux qui bénéficie d'une nouveauté avec la prise en charge de la fonction "GPU Compute", qui va permettre de solliciter la puissance de son GPU pour réaliser des traitements au sein d'une distribution Linux qui tourne via WSL. D'après Microsoft, il s'agit de la fonctionnalité la plus demandée par la communauté. Cette fonctionnalité nécessite d'utiliser WSL 2 pour être utilisée.
Microsoft a également ajouté une nouvelle option dans Windows Hello for Business afin de supporter les déploiements avec de l'authentification sans mot de passe.
Installer la mise à jour Windows 10 21H2
Pour installer Windows 10 21H2, il est nécessaire d'effectuer une recherche de mise à jour sur son PC et de déclencher manuellement l'installation puisqu'elle apparaît comme une mise à jour optionnelle. Elle est nommée "Mise à jour de fonctionnalités Windows 10, version 21H2" au sein de Windows Update. Si vous êtes sous Windows 10 version 2004 ou supérieur, l'installation sera très rapide, un peu comme pour passer de Windows 10 version 2004 à la version 20H2. Par contre, pour les versions plus anciennes de Windows 10, ce passage à Windows 10 21H2 prendra des allures de grosses mises à niveau et sera un peu plus long, mais c'est tout à fait possible.
Sur le site officiel, vous pouvez télécharger l'outil de mise à niveau de Windows 10 (alternative à Windows Update), mais aussi l'outil Media Creation Tool pour générer un ISO ou une clé bootable. Ces téléchargements sont à retrouver sur cette page : Mise à niveau Windows 10
Windows 10 : support et prochaines versions
Windows 10 va continuer d'évoluer, et comme Windows 11, ce système d'exploitation va bénéficier d'une mise à jour majeure une fois par an. Concrètement, la prochaine grosse mise à jour de Windows 10 sortira au second semestre 2022.
Microsoft assure qu'il y aura au minimum une version de Windows 10 sous support jusqu'au 14 octobre 2025. Ensuite, il faudra surement laisser définitivement Windows 10 au profit de Windows 11, ou d'un autre système.
Windows 10 21H2 bénéficie de 18 mois de support pour les éditions Famille et Pro, tandis que les éditions Entreprise et Education ont le droit à 30 mois de support sur cette version. Pour rappel, Windows 10 version 2004 ne sera plus sous support à partir du mois prochain : 14 décembre 2021.
Dans ce tutoriel, nous allons voir comment chiffrer un périphérique USB (clé USB, disque externe, carte mémoire) avec BitLocker To Go sous Windows 11. Sachez que BitLocker To Go fonctionne aussi avec Windows 10 et que la procédure de configuration sera la même, mise à part les quelques changements graphiques.
À partir du moment où une clé USB, un disque externe ou une carte mémoire est protégé par BitLocker To Go, vous devez impérativement déverrouiller le périphérique pour accéder à son contenu. C'est très pratique pour protéger vos données, notamment sur ces périphériques qui sont assujettis aux vols et à la perte. Sachez que BitLocker To Go est compatible avec tous les périphériques USB qui utilisent l'un des systèmes de fichiers suivants : NTFS, FAT16, FAT32 ou exFAT.
Note : le fait d'activer BitLocker sur un périphérique de stockage externe ne nécessite pas de réaliser un formatage avant. Si vous avez des données, elles seront conservées.
Si vous souhaitez déployer BitLocker sur votre PC pour chiffrer le disque système (ou un autre disque), voici deux tutoriels :
II. Chiffrer un disque externe avec BitLocker To Go
Avant de commencer, vous devez connecter votre périphérique de stockage USB à votre PC. S'il apparaît dans l'Explorateur, c'est tout bon.
Accédez au "Panneau de configuration" en le recherchant dans le menu Démarrer de Windows.
Au sein du "Panneau de configuration", cliquez sur "Chiffrement de lecteur BitLocker" (basculez sur "Afficher par : Petites icônes" si nécessaire).
Ici, vous avez le lecteur correspondant à Windows dans la catégorie "Lecteur du système d'exploitation". Et puis, un peu plus bas sous "Lecteur de données amovibles - BitLocker To Go", votre périphérique USB doit apparaître.
Cliquez sur la petite flèche sur sa droite afin de cliquer sur "Activer BitLocker".
Configuration de BitLocker To Go
L'assistant "Chiffrement de lecteur BitLocker" va se lancer.
La première étape consiste à choisir le mode de déverrouillage du lecteur, soit via un mot de passe, soit via une carte à puce.
Note : si vous obtenez un message d'erreur "Accès refusé" dès le début, lisez la quatrième partie de ce tutoriel.
Je vous invite à prendre l'option "Utiliser un mot de passe pour déverrouiller le lecteur". Qu'est-ce que cela signifie ? Lorsque vous allez connecter votre périphérique USB sur un PC, il faudra saisir le mot de passe pour déverrouiller le lecteur et accéder à son contenu. Perso, ça me plaît bien !
Saisissez le mot de passe deux fois et cliquez sur "Suivant".
Désormais, il faut sauvegarder la clé de récupération. Comme je l'ai déjà dit dans mes précédents tutoriels au sujet de BitLocker, la clé de récupération doit être conservée en lieu sûr, car elle contient ce que l'on pourrait appeler un code de secours. Dans le cas d'un périphérique USB, si vous avez oublié votre mot de passe pour déverrouiller l'accès, vous avez la possibilité d'utiliser la clé de récupération pour déverrouiller votre périphérique.
Enregistre cette clé de récupération sur votre compte Microsoft si vous êtes connecté à un compte Microsoft sur votre session, sinon vous pouvez l'imprimer ou la sauvegarder sous la forme d'un fichier sur un lecteur non protégé par BitLocker.
Passez à l'étape suivante intitulée "Choisir dans quelle proportion chiffrer le lecteur". Si c'est une clé USB de faible capacité, disons de 4 Go à 32 Go, vous pouvez "Chiffrer tout le lecteur" même si vous avez beaucoup de données. Par contre, si c'est un disque externe d'une capacité importante, prenez plutôt l'option "Ne chiffrer que l'espace disque utilisé" : les données seront chiffrées à la volée au fur et à mesure qu'elles son ajoutées sur l'espace de stockage externe.
Sachez que dans tous les cas, toutes vos données actuelles et toutes les données futures seront chiffrées via BitLocker.
Si vous allez utiliser votre périphérique USB uniquement sur des machines sous Windows 11 ou Windows 10 (version 1511 minimum), alors choisissez l'option "Nouveau mode de chiffrement". Par contre, si vous souhaitez une compatibilité plus large, sélectionnez "Mode compatible".
Si vous êtes prêt à activer BitLocker sur votre périphérique USB, cliquez sur "Démarrer le chiffrement".
Le chiffrement va démarrer, ne déconnectez pas votre périphérique USB du PC pour le moment. Pour ma part, c'est une clé USB de 8 Go qui est vierge donc l'opération est super rapide.
Une fois le chiffrement terminé, un message de confirmation s'affiche à l'écran. Voilà, votre périphérique USB est protégé par BitLocker !
III. Déverrouiller un périphérique BitLocker To Go
Je vous invite à déconnecter votre périphérique USB de votre PC et à le reconnecter. Ensuite, une notification va s'afficher en bas à droite de l'écran avec le message "Déverrouiller le lecteur D:" : cliquez dessus.
En haut à droite, une fenêtre "BitLocker" avec le message "Entrez le mot de passe pour déverrouiller ce lecteur" s'affiche. C'est le moment de saisir votre mot de passe pour déverrouiller votre clé USB et accéder à son contenu !
Note : dans le cas où vous avez oublié votre mot de passe, cliquez sur "Plus d'options" puis sur "Entrer la clé de récupération" afin d'utiliser la clé de récupération pour déverrouiller l'accès à votre clé USB.
Déverrouiller un périphérique USB BitLocker To Go
Si vous n'avez pas vu la notification, ce n'est pas grave. Ouvrez l'Explorateur de fichiers, et vous allez retrouver votre périphérique dans "Ce PC". Tout le temps qu'il n'est pas déverrouillé, vous ne pouvez pas voir son nom ni sa capacité. Pour déverrouiller le périphérique, il suffit de double-cliquer dessus et de saisir le mot de passe.
Périphérique protégé par BitLocker To Go
À chaque fois que vous allez déconnecter et reconnecter ce périphérique USB sur un PC, même si c'est celui que vous utilisez tous les jours, il faudra saisir le mot de passe accéder au contenu. Pour protéger le contenu des périphériques USB, je trouve cela très pertinent ! D'autant plus que ce sont des périphériques que l'on peut perdre facilement ou qui peuvent être volés.
Néanmoins, si vous souhaitez bénéficier du déverrouillage automatique sur le PC que vous utilisez au quotidien, c'est possible. Après avoir connecté et déverrouillé votre périphérique USB, retournez dans le panneau de configuration puis dans la gestion BitLocker. Au niveau de votre périphérique USB, cliquez sur "Activer le déverrouillage automatique" et voilà le tour est joué ! Pour désactiver, c'est pareil (le bouton change de nom). Cela va s'appliquer uniquement sur le PC local, car sur un autre PC il faudra continuer à saisir le mot de passe.
IV. Troubleshooting BitLocker To Go - Accès refusé
Au moment de démarrer l'assistant BitLocker, si vous obtenez le message "Accès refusé" comme sur l'image ci-dessous, ne paniquez pas nous allons corriger le problème. En fait, j'ai eu ce problème sur mon poste, car j'ai essayé d'activer BitLocker sur une clé USB en étant connecté en Bureau à distance (RDP) sur le PC où était connectée la clé USB. Et ça visiblement, Windows n'aime pas trop.
BitLocker To Go : accès refusé, que faire ?
Effectuez un clic droit sur le menu Démarrer et cliquez sur "Exécuter". Ensuite, saisissez "gpedit.msc" pour ouvrir l'éditeur de stratégie de groupe locale.
Parcourez les paramètres comme ceci :
Configuration ordinateur > Modèles d'administration > Système > Accès au stockage amovible
À cet endroit, vous allez trouver un paramètre nommé "Tout stockage amovible : permet l'accès direct pendant des sessions à distance".
Il faut modifier ce paramètre pour le basculer sur l'état "Activé". Ensuite, validez et fermez les différentes fenêtres. Il ne vous reste plus qu'à redémarrer votre PC.
Tout stockage amovible : permet l'accès direct pendant des sessions à distance
Une fois que votre PC a redémarré, vous pouvez relancer l'activation de BitLocker sur votre périphérique USB. Cette fois-ci, cela devrait fonctionner !
Intel a dévoilé deux failles de sécurité critiques qui touchent une grande majorité de ses familles de processeurs, ce qui pourrait permettre aux attaquants d'obtenir des privilèges élevés sur la machine locale.
Avec un joli score CVSS v3 de 8,2 sur 10, les deux vulnérabilités découvertes par les équipes de SentinelOne ne sont pas à prendre à la légère. Ces deux vulnérabilités sont associées aux références CVE suivantes : CVE-2021-0157 et CVE-2021-0158.
La première vulnérabilité concerne une mauvaise gestion du flux de contrôle dans le firmware du BIOS de certains processeurs Intel, alors que la seconde vulnérabilité correspond à une validation incorrecte des données en entrée. Résultat, l'attaquant peut obtenir des privilèges élevés sur la machine locale, mais il doit avoir accès physiquement à la machine, ce qui complique l'attaque.
D'après les informations publiées par Intel au sein du bulletin de sécurité INTEL-SA-00562, voici les familles de processeurs touchées :
Intel Xeon E
Intel Xeon E3 v6
Intel Xeon W
3ème Génération Intel Xeon Scalable
11ème Génération Intel Core
10ème Génération Intel Core
7ème Génération Intel Core
Intel Core X
Intel Celeron N
Intel Pentium Silver
Ce n'est pas Intel qui propose le correctif directement, mais ce sont les fabricants qui intègrent les puces Intel à leur machine. Maintenant, il faut regarder du côté du support de votre machine pour vérifier s'il y a une mise à jour à installer, au niveau du BIOS. Pour les machines avec un processeur Intel Core de 10ème ou 11ème génération, vous devriez trouver, mais pour une machine avec un processeur en 7ème génération, c'est moins sûr. S'il n'y a pas de mise à jour disponible, il est recommandé de protéger l'accès au BIOS par un mot de passe fort.
Au sein du bulletin de sécurité INTEL-SA-00528, Intel a publié des informations au sujet d'une autre faille de sécurité, un peu moins importante.
Suite à l'installation des mises à jour de novembre sur Windows Server, des utilisateurs se plaignent de rencontrer des problèmes d'authentification, dans des cas spécifiques. Microsoft a publié des mises à jour en urgence pour vous permettre de réparer l'authentification.
Ce problème d'authentification touche Kerberos et peut empêcher la connexion à certaines applications qui s'appuie sur l'Active Directory pour authentifier les utilisateurs, ou alors pour utiliser le SSO. Que ce soit sur une infrastructure totalement on-premise ou hybride avec Azure Active Directory, le problème peut être rencontré.
Pour rappel, comme je le disais dans mon premier article à ce sujet, d'après les informations collectées par Microsoft, ce problème d'authentification peut se produire lors de l'utilisation des outils suivants :
Azure Active Directory (AAD) Application Proxy avec l'authentification Windows (IWA) en utilisant la délégation Kerberos contrainte (KCD).
Web Application Proxy (WAP) avec l'authentification Windows (IWA) pour le SSO
Active Directory Federated Services (ADFS)
Microsoft SQL Server
Internet Information Services (IIS) avec l'authentification Windows intégrée (IWA)
D'autres périphériques qui utilisent la délégation d'authentification via les contrôleurs de domaine
De nombreuses versions de Windows Server sont touchées (Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1, et Windows Server 2008 SP2). Microsoft a publié des mises à jour pour l'ensemble de ces versions, voici la liste :
Cette mise à jour doit être installée sur l'ensemble de vos contrôleurs de domaine. Elle ne sera pas disponible par Windows Update directement. Ce que vous pouvez faire, c'est télécharger la mise à jour depuis le Microsoft Catalog puis l'importer dans votre serveur WSUS. Cela va vous permettre de la diffuser facilement sur vos serveurs qui en ont besoin. Bien sûr, l'installation manuelle et locale sur un serveur est possible.
Dans ce tutoriel, nous allons voir comment activer BitLocker sur Windows 11 afin de chiffrer et protéger les données contenues sur le disque de son PC.
BitLocker est une fonctionnalité native de Windows, disponible sur Windows 11 mais aussi sur les versions précédentes de Windows depuis Windows 7. Pour protéger les données contenues sur votre PC, je vous recommande fortement d'activer le chiffrement BitLocker.
Dans un fonctionnement normal et optimal, BitLocker s'appuie sur une puce TPM pour gérer la clé de chiffrement. Dans ce tutoriel, je pars du principe que votre machine est équipée d'une puce TPM 2.0 et qu'elle est activée dans le BIOS/UEFI de votre PC. De cette façon, votre PC va respecter les prérequis de Windows 11.
Sachez qu'il y a deux manières d'utiliser BitLocker :
BitLocker pour chiffrer des volumes locaux de votre ordinateur comme le volume système où est installé Windows
BitLocker To Go pour chiffrer des périphériques externes comme une clé USB ou un disque dur externe
Pour chiffrer un volume avec BitLocker, vous devez être connecté en tant qu'administrateur sur la machine et utiliser Windows Pro, Éducation ou Entreprise. Sur l'édition Famille de Windows, il y a l'option "Chiffrement de l'appareil" mais ce n'est pas BitLocker.
Pour activer BitLocker sur Windows 11, il y a plusieurs façons de procéder :
Via l'explorateur de fichiers en effectuant un clic droit sur le lecteur que l'on souhaite chiffrer
Via les paramètres de Windows 11 (Système > Stockage > Disques & volumes > Propriétés du volume > Activer BitLocker)
Via le panneau de configuration classique au sein de la Gestion BitLocker
Pour ma part, je préfère utiliser la méthode via l'Explorateur de fichiers, je la trouve plus directe. Ouvrez l'Explorateur de fichiers, puis sur la gauche cliquez sur "Ce PC". Ensuite, effectuez un clic droit sur "Disque local (C:)" et cliquez sur "Activer BitLocker".
La première étape consiste à sauvegarder la clé de récupération. Cette clé doit être conservée en lieu sûr, car elle contient ce que l'on pourrait appeler un code de secours. Par exemple, si votre puce TPM dysfonctionne, BitLocker ne sera plus en mesure de déverrouiller l'accès à votre lecteur chiffré. Dans ce cas, il faudra s'appuyer sur la clé de récupération pour se sortir de cette situation.
Sur votre PC Windows 11, si vous êtes connecté avec un compte Microsoft, vous pouvez choisir "Enregistrer sur votre compte Microsoft". Sinon, vous pouvez imprimer la clé de récupération directement ou stocker les informations dans un fichier. Ce fichier devra être stocké sur un volume différent que celui que vous chiffrer. Cela peut être une clé USB.
Pour ma part, j'enregistre la clé de récupération sur une clé USB dans le cadre de cette démonstration. Préférez un support de stockage fiable, car on sait que les clés USB peuvent être parfois capricieuses...
Voici un exemple de fichier de récupération BitLocker. Nous avons d'une part l'identifiant unique de l'ordinateur (qu'il faudra comparer avec celui qui s'affiche à l'écran au moment de la récupération), et d'autre part la clé de récupération à saisir pour déverrouiller le disque.
Passez à l'étape suivante intitulée "Choisir dans quelle proportion chiffrer le lecteur".
En résumé, si vous venez d'installer Windows, choisissez l'option "Ne chiffrer que l'espace disque utilisé". De cette façon, BitLocker va chiffrer les données au fur et à mesure à la volée, en chiffrant bien sûr celles déjà sur votre disque.
Par contre, si vous utilisez votre PC depuis un bon moment déjà, ce qui est probablement le cas si vous avez fait une mise à niveau de Windows 10 vers Windows 11, il vaut mieux prendre l'option "Chiffrer tout le lecteur". BitLocker va chiffrer l'intégralité du disque dès à présent, alors autant vous dire que ça peut être long. Quel est l'intérêt ? Si vous utilisez votre PC déjà depuis plusieurs mois, il y a des chances pour que vous ayez déjà supprimé des données. Ces données peuvent être confidentielles et peut être que les espaces mémoires où étaient stockés ces données n'ont pas été réécrit pour le moment, donc ces espaces restent vulnérables aux outils de récupération de données. En bref, si vous chiffrez tout le disque dès maintenant, vous protégez votre machine contre la récupération de données sur des espaces mémoires pas encore réutilisés.
Sachez que dans tous les cas, toutes vos données actuelles et toutes les données futures seront chiffrées via BitLocker.
Nous sommes sur Windows 11 et il s'agit d'un disque système, alors nous pouvons cocher l'option "Nouveau mode de chiffrement" pour utiliser le chiffrement XTS-AES. Microsoft précise qu'il améliore la gestion de l'intégrité des données.
Cochez l'option "Exécuter la vérification du système BitLocker". De cette façon, le PC devra redémarrer avant que le chiffrement BitLocker puisse commencer. Grâce à cette vérification, Windows va vérifier qu'il accède bien aux clés de chiffrements stockées dans la puce TPM. Si tout est OK, alors BitLocker commencera à travailler. Cette vérification me semble pertinente pour éviter les mauvaises surprises. Cliquez sur "Continuer".
Une notification BitLocker va s'afficher en bas à droite de l'écran, cliquez dessus. Une fenêtre "L'ordinateur doit être redémarré" va s'afficher, je vous invite à redémarrer dès maintenant.
Suite au redémarrage et dans le cas où il n'y a pas d'erreur, le chiffrement du lecteur va débuter... Cette opération peut être très longue en fonction des performances de votre PC et de la quantité de données à chiffrer. S'il y a un problème pendant la phase de récupération, vous allez obtenir un message d'erreur à l'écran
Il est temps pour vous d'aller prendre un café le temps que Windows travaille pour vous.
Note : à tout moment vous pouvez obtenir l'état de BitLocker en ligne de commande grâce à l'utilitaire "manage-bde" et à la commande (pour le disque C) "manage-bde -status C:".
Au quotidien, l'utilisation de BitLocker est transparente, y compris lorsque vous démarrez votre PC. Grâce à la puce TPM, Windows va déverrouiller lui-même l'accès au volume chiffré puisqu'il peut accéder aux différentes clés.
III. Gérer BitLocker sous Windows 11
Pour accéder aux paramètres afin de gérer BitLocker, recherchez "BitLocker" dans la zone de recherche de Windows 11 et cliquez sur "Gérer BitLocker". Sinon, vous pouvez accéder à "Chiffrement de lecteur BitLocker" via le Panneau de configuration.
Trois options principales sont proposées :
Suspendre la protection : plutôt que de désactiver complètement BitLocker, cette option permet de suspendre la protection sans pour autant déchiffrer le lecteur. Ceci est utile lors de certaines opérations comme la mise à jour du BIOS et évite d'avoir recours à la clé de récupération.
Sauvegarder votre clé de récupération : si vous avez perdu le document avec votre clé de récupération ou que votre clé USB est HS, vous pouvez effectuer une nouvelle sauvegarde de votre clé de récupération.
Désactiver BitLocker : déchiffrer votre lecteur et désactiver BitLocker. Autrement dit, retour à l'état initial.
En regardant en bas à gauche de la fenêtre, vous verrez l'option "Administration du TPM" en bas à gauche de la fenêtre pour gérer la puce TPM de votre machine.
Voilà, votre PC sous Windows 11 est désormais protégé par le chiffrement BitLocker !
