Sécurité et facilité d’usage ne font pas toujours bon ménage. Microsoft vient de le prouver en faisant naître une nouvelle polémique autour de son outil de chiffrement des données BitLocker. Intégré nativement à Windows, ce logiciel est censé protéger vos données en les rendant inaccessibles à toute personne qui ne possède pas votre clé de déchiffrement.
Malheureusement, cela n’inclut pas Microsoft ou le FBI dévoile un récent article du magazine Forbes. L’éditeur de logiciel a en effet collaboré avec les autorités en leur donnant l’accès aux données d’un ordinateur pourtant chiffré.
Stockée en clair chez Microsoft
Par défaut, la clé de déchiffrement BitLocker est en effet liée à votre compte Microsoft et stockée, en clair, sur le cloud de l’entreprise. Lorsque la firme est sommée de collaborer avec les autorités, elle peut donc livrer cette clé qui donne accès à toutes les données présentes sur un ordinateur. Une conception assez bancale de la cybersécurité.
Si l’entreprise qui fournit une solution de chiffrement a aussi accès aux clés de déchiffrement, alors vos données ne sont pas vraiment à l’abri. Cette même entreprise peut y accéder, tout comme les gouvernements un peu trop curieux ou même des pirates qui mettraient la main sur les serveurs de la firme. Pour Microsoft, il s’agit d’un compromis fait au nom de la facilité d’usage.
Pour aller plus loin
Pourquoi il ne faut pas utiliser le mot « crypter »
« Si la fonctionnalité de récupération des clés de chiffrement peut être pratique, elle fait aussi courir le risque d’un accès non désiré », explique l’entreprise à Forbes. Il existe pourtant des méthodes, comme le chiffrement côté serveur et l’architecture « zero-knowledge », qui permettent de stocker des clés dans le cloud sans les rendre pour autant accessibles aux fournisseurs de logiciels derrière. C’est d’ailleurs la méthode employée par beaucoup de géants du Net pour éviter de rompre la sacro-sainte promesse du chiffrement.
Un problème de méthode
L’approche de Microsoft est d’autant plus difficile à justifier qu’il existe un précédent important dans le domaine. L’affaire de San Bernardino en 2015 a montré que la seule manière de réellement protéger les données de ses utilisateurs était de créer un système où même les entreprises n’ont pas accès aux données de leurs clients. Autrement, c’est la porte ouverte aux abus en tout genre.
Pour aller plus loin
Le Sénat veut rendre vos discussions WhatsApp et Signal plus facilement accessibles aux forces de l’ordre
En attendant que Microsoft trouve un meilleur moyen pour stocker ces clés de chiffrement, vous pouvez aller vérifier sur le site de Microsoft si l’entreprise a une copie de votre clé et la supprimer si vous le souhaitez. Pensez bien à la noter avant dans un endroit sûr, sinon vous ne pourrez pas récupérer l’accès à votre disque dur en cas de problème.
Téléchargez notre application Android et iOS ! Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.