Depuis Windows 2000, le système d’exploitation dispose d’un système de cryptage de fichiers pour les supports de données NTFS : l’Encrypted File System, ou EFS. Cette fonctionnalité reste largement inutilisée. Et si elle est utilisée, la frustration est grande lorsqu’on ne peut plus accéder à ses données cryptées après une réinstallation. Cet article donne un aperçu de l’EFS et de l’utilisation de cette fonctionnalité.
Table des matières
EFS pour qui et quoi ?
Avec Windows 2000, Microsoft a introduit une nouvelle fonction pour les supports de données NTFS, que Microsoft appelle Encrypted File System (EFS). Avec ce système, les fichiers sont cryptés à la demande et ne peuvent être lus que par leur propriétaire et d’autres utilisateurs autorisés.
Le nom EFS est toutefois quelque peu trompeur. Il ne s’agit pas d’un système de fichiers en soi, mais simplement d’un ajout au système de fichiers NTFS. EFS ne fonctionne donc pas sur les supports de données FAT.
EFS peut crypter des fichiers individuels ou des dossiers entiers. Seul le contenu des fichiers est crypté. Les fichiers eux-mêmes existent toujours et sont visibles dans le système comme tout autre fichier et ne sont pas cachés. Par conséquent, si le nom du fichier doit déjà être considéré comme une information sensible, le fichier doit être caché ou renommé par d’autres moyens.
EFS travaille pour l’utilisateur en arrière-plan et sans intervention de sa part. Si l’on définit le cryptage pour un fichier ou un dossier et que l’on accède ensuite à des fichiers cryptés, ceux-ci sont ouverts décryptés sans autre intervention de l’utilisateur et cryptés à nouveau lors de leur enregistrement. Si l’on enregistre un nouveau fichier dans un dossier défini comme étant crypté, le nouveau fichier est automatiquement crypté.
Certains lecteurs se demanderont certainement à quoi sert le cryptage dans ce cas, si le fichier est automatiquement décrypté sans intervention de l’utilisateur. La solution est très simple : seul le compte d’utilisateur du propriétaire est en mesure de décrypter le fichier.
Pour ce faire, l’EFS utilise le cryptage asymétrique, comme on le connaît déjà avec PGP. Le fichier est crypté à l’aide de la clé publique de l’utilisateur. La clé privée permet de décrypter le fichier. Le système d’exploitation crée les deux clés individuellement dans un certificat pour l’utilisateur.
Si un utilisateur accède au fichier sans la clé privée correspondante, ce que les paramètres de sécurité du volume NTFS peuvent même lui permettre, il ne peut toutefois pas décrypter le fichier. L’utilisateur ou son application ne voit qu’un chaos de données.
La force de la clé est de 128 bits. Depuis Windows XP SP1, l’EFS utilise l’algorithme Advanced Encryption Standard (AES) et remplace la méthode DESX introduite avec Windows 2000 et XP (sans SP).
EFS pour qui ?
EFS ne convient que pour les fichiers qui se trouvent sur des supports de données NTFS. Windows XP Home ne propose pas EFS. Dans ce cas, il est nécessaire d’utiliser des outils tiers.
Si un système est utilisé par plusieurs utilisateurs, il est donc possible de crypter les fichiers sensibles au niveau de l’utilisateur. Même si tous les utilisateurs avaient accès au fichier, ils ne pourraient pas en déchiffrer le contenu en raison de l’absence de clés.
Les propriétaires d’ordinateurs portables peuvent crypter l’ensemble du contenu de leurs données. Les voleurs n’ont ainsi aucune possibilité d’accéder aux données, car il manque le mot de passe de l’utilisateur. Même si le voleur essayait d’attribuer un nouveau mot de passe à l’administrateur via un outil tiers et de donner ainsi une nouvelle valeur aux mots de passe des autres utilisateurs, cela ne supprimerait pas le cryptage (voir le point sur la sécurité des clés).
Si l’on monte un support de données NTFS avec d’autres systèmes ou outils qui contournent les paramètres de sécurité de NTFS, il n’est cependant pas possible de consulter ou d’éditer les fichiers cryptés, car les clés correspondantes manquent.
Même un administrateur ne peut en principe rien faire avec les données.
Ce que l’EFS ne peut pas faire
- EFS ne crypte que le contenu des fichiers. Toutefois, le nom d’un fichier peut déjà en dire long sur son contenu. Ceux qui souhaitent également masquer ce dernier doivent s’aider d’autres outils, que nous présenterons dans un article ultérieur. Les fichiers de l’image sont tous cryptés (noms de fichiers verts). Mais le nom à lui seul pourrait déjà susciter l’intérêt et l’imagination des autres collaborateurs.
Fichiers cryptés - EFS ne crypte pas les fichiers temporaires que les programmes d’application créent éventuellement à un autre endroit. Vous devez chiffrer ces dossiers en complément afin d’obtenir une sécurité maximale.
- EFS ne fonctionne pas sur les supports de données FAT, comme par exemple les clés USB et autres supports de stockage mobiles. Dans ce cas également, il est préférable d’utiliser d’autres outils.
- En raison d’une erreur de conception, l’EFS de Windows 2000 n’est pas considéré comme sûr par les spécialistes. Il existe sur Internet des programmes qui permettent d’extraire les clés EFS d’un système Windows 2000 et d’accéder ainsi aux fichiers cryptés.
- EFS ne convient pas pour l’échange de fichiers cryptés entre utilisateurs. Il est certes possible d’autoriser en principe d’autres utilisateurs du système à accéder aux fichiers avec leur propre certificat, mais l’ensemble est très compliqué. De plus, le destinataire avec le certificat pourrait lire tous les fichiers de l’utilisateur. Pour échanger facilement des fichiers cryptés, il existe de meilleures solutions qui utilisent par exemple un cryptage symétrique (même mot de passe pour le cryptage et le décryptage).
Dans l’article suivant Cryptage de fichiers – possibilités et programmes, nous présentons des programmes et des possibilités de contourner les restrictions de l’EFS.
EFS coûte cher en termes de performance
Nous aimerions encore souligner ici que l’utilisation d’EFS coûte globalement en performance. Selon l’équipement de l’ordinateur, les performances de lecture et d’écriture du système peuvent chuter jusqu’à 50 % pour les fichiers cryptés. Tant que seuls des fichiers Office, etc. sont traités, le décryptage et le cryptage ne se remarquent guère. Pour les fichiers plus volumineux, comme ceux utilisés pour le traitement vidéo, l’EFS est toutefois très gênant. Dans l’idéal, il ne faudrait donc crypter que les fichiers qui nécessitent vraiment une protection accrue.
EFS dans la pratique
L’utilisation de la fonction EFS est très simple. Vous pouvez afficher la boîte de dialogue« Attributs étendus » via le menu contextuel -> Propriétés -> Avancé.
 |
| Dialogue pour le cryptage |
Ici, vous pouvez activer le cryptage pour l’objet.
Si l’on sélectionne un fichier dans un dossier non crypté et que l’on active ici le cryptage, le système affiche un message d’avertissement et propose l’option de crypter le dossier et le fichier.
 |
| Dialogue de cryptage pour les dossiers |
Le système crypte automatiquement les fichiers qui sont créés ou copiés dans un dossier crypté. Si vous souhaitez décrypter les fichiers, il suffit de décocher la case dans les attributs avancés.
Si un utilisateur accède à un fichier crypté pour lequel il dispose des droits nécessaires, mais pas du fichier clé correspondant, il reçoit uniquement un message d’erreur :
 |
| Fichier crypté non lisible par des utilisateurs étrangers |
Il est également possible de crypter et de décrypter des fichiers via la ligne de commande. Cela peut être utile pour les commandes par lots, etc.
cipher /e /s : « C:\Documents et réglages\Michael\Documents\Secret ».
crypte par exemple tous les fichiers du dossier « secret » La commande de décryptage est cipher /d. La référence complète de la commande peut être affichée via cipher / ?
Couleur pour EFS
Pour que les fichiers cryptés soient reconnaissables en tant que tels, il convient d’activer l’option correspondante dans l’explorateur sous Outils -> Options des dossiers -> Affichage :
 |
| Rendre les fichiers cryptés reconnaissables |
La valeur de couleur standard « vert » peut être modifiée via le registre sous HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrent\Version\Explorer par une nouvelle valeur binaire nommée AltEncryptionColor. Comme valeur, indiquez la couleur souhaitée directement en hexadécimal, le quatrième chiffre doit toujours être 00.
La couleur peut être facilement adaptée via TweakUi.
 |
| Adapter la couleur via TweakUI |
EFS dans le menu contextuel
Vous pouvez également afficher des entrées pour le cryptage et le décryptage de fichiers et de dossiers dans le menu contextuel en intervenant dans le registre.
Pour ce faire, naviguez avec Regedit dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Explorer\Advanced (créez des sous-chemins si nécessaire) et créez ici une nouvelle entrée DWORD avec le nom EncryptionContextMenu et la valeur 1. Après un redémarrage, vous trouverez le cryptage et le décryptage dans le menu contextuel. Cette astuce est également disponible dans les archives d’astuces de WinTotal.
Sauvegarde des clés
Sauvegarder les clés immédiatement
Dès que vous utilisez la fonctionnalité EFS, veuillez sauvegarder immédiatement votre clé (certificat) sur un support de données sécurisé.
Si le système est endommagé et ne démarre plus, il se peut que vous ne puissiez plus accéder à vos données. Même si vous réinstallez Windows et que vous créez un utilisateur identique (nom et mot de passe), les certificats ne correspondent toujours pas au décryptage.
Si l’administrateur modifie le mot de passe de l’utilisateur, il n’est plus possible non plus d’accéder aux fichiers cryptés. En revanche, si l’utilisateur modifie lui-même son mot de passe, il n’y a aucun risque. Le système décrypte avec l’ancien mot de passe et enregistre ensuite les fichiers avec le nouveau mot de passe.
Si vous utilisez un logiciel d’image comme Acronis True Image, n’oubliez pas que les clés EFS ne sont incluses dans l’image que si la fonctionnalité a déjà été utilisée par l’utilisateur. Par sécurité, il convient donc de sauvegarder les clés de manière autonome.
Sauvegarde des clés en détail
Afin de pouvoir accéder à vos données même si le compte ou le système est endommagé et doit être reconstruit, vous devez sauvegarder les clés.
Consultez également notre conseil : Exporter et importer des clés EFS.
La sauvegarde des clés peut se faire de 2 manières.
a.) Variante via Internet Explorer
Dans Internet Explorer, il faut aller dans les options Internet, puis dans l’onglet Contenu et cliquer sur le bouton Certificats.
 |
| Bouton Certificats dans Internet Explorer |
Dans le dialogue suivant, les propres certificats sont listés.
 |
| Exporter les certificats |
En cliquant sur le bouton Exporter, on démarre l’assistant d’exportation de certificats :
 |
| Assistant d’exportation de certificats |
On choisit ici d’exporter la clé privée et on attribue ensuite un mot de passe d’exportation ainsi que le chemin d’enregistrement du certificat. Sans la clé privée, il n’est plus possible de décrypter les fichiers.
 |
| Exporter la clé privée ! |
L’assistant enregistre ensuite le fichier de clé PFX à l’endroit indiqué.
Conservez ce fichier dans un endroit sûr et supprimez-le ensuite du système.
b.) Variante via la console de gestion Microsoft
Au lieu d’utiliser Internet Explorer, vous pouvez également utiliser la console de gestion Microsoft pour lancer l’assistant d’exportation de certificats. Pour ce faire, saisissez sous Démarrer -> Exécuter : certmgr.msc.
Vous trouverez le certificat sous Mes certificats. Vous pouvez démarrer l’assistant d’exportation de certificats via Action -> Toutes les tâches. Pour le reste, ce qui a été dit plus haut est valable.
 |
| certmgr.msc |
Réintroduire la clé
Avec la clé sauvegardée dans le fichier PFX, vous êtes en mesure d’accéder aux fichiers que vous avez cryptés, même si vous réinstallez le système ou changez de nom d’utilisateur.
Dans l’exemple suivant, nous nous appelons « Erich » et souhaitons accéder à nos fichiers cryptés sous « Michael ».
Pour cela, « Erich » n’a besoin que du fichier PFX et du mot de passe d’exportation qui lui est demandé lorsqu’il double-clique sur le fichier. Cela déclenche l’assistant d’importation de certificats.
 |
| Importation de certificats |
Dans la boîte de dialogue suivante, vous devez saisir le mot de passe d’exportation. Les autres options s’expliquent d’elles-mêmes.
 |
| Saisie du mot de passe d’exportation |
Comme destination du certificat, sélectionnez Mes certificats.
 |
| Mes certificats comme destination |
Dès que l’importation du certificat est terminée, on a accès aux fichiers cryptés de l’utilisateur dont provient le certificat. Si l' »importateur » est le nouveau compte, il est préférable de décrypter d’abord tous les fichiers et de réactiver ensuite le cryptage. Ainsi, le certificat principal de l’utilisateur est utilisé.
Veuillez noter que tout utilisateur auquel vous confiez votre clé privée peut automatiquement consulter vos fichiers cryptés.
Accès général pour l’administrateur – l’agent de récupération
En complément de la sauvegarde des clés pour chaque utilisateur, il est également possible de mettre en place un agent de récupération des données (Recovery Agent). Il s’agit ici d’un compte spécialement autorisé qui peut, en cas d’urgence, décrypter les fichiers cryptés des utilisateurs. Cela n’est toutefois possible que si Windows est encore en état de marche. L’agent de restauration ne remplace donc pas la sauvegarde des certificats.
Dans Windows 2000, l’administrateur est automatiquement l’agent de récupération. Sous Windows XP et suivants, il doit d’abord être créé manuellement.
La manière la plus simple de le faire est d’utiliser la commande cipher /r nom de fichier. « nom de fichier » est le nom avant le suffixe des deux fichiers que chiper crée automatiquement.
 |
| cipher /r:nom de fichier |
Après avoir attribué les mots de passe, cipher enregistre un fichier PFX (fichier de clé privée) et un fichier CER (fichier de certificat public). Sauvegardez les deux fichiers dans un endroit sûr.
Pour définir maintenant un compte comme agent de récupération des données, connectez-vous avec le compte en question. Démarrez ensuite la gestion des stratégies de sécurité locales via secpol.msc.
 |
| Agent de récupération des données |
Sous « Politiques de clé publique » -> « Le système de fichiers est chiffré », lancez via le menu contextuel la boîte de dialogue pour l’ajout de l’agent de récupération des données.
 |
| Agent de récupération de données |
Sélectionnez maintenant le fichier CER, qui a été créé précédemment avec cipher/r.
 |
| Agent de récupération de données – Sélection de l’utilisateur |
Une fois l’assistant terminé, l’utilisateur sélectionné est l’agent de récupération de données.
 |
| Agent de récupération de données |
À partir de là, un nouveau fichier est toujours doublement crypté – d’une part avec la clé publique de l’utilisateur exécutant et d’autre part avec la clé publique de l’agent de récupération. Il dispose ainsi d’une deuxième clé pour chaque fichier.
Agent de récupération en action
Si l’agent de récupération doit être utilisé à un moment donné, par exemple parce qu’un compte d’utilisateur a été supprimé, mais que les fichiers sont encore cryptés, il faut procéder comme suit :
- Connectez-vous avec le compte de l’agent de récupération.
- Importez la clé privée de l’agent via le fichier PFX créé avec cipher/r en double-cliquant dessus.
Vous pouvez ensuite décrypter les fichiers cryptés des autres utilisateurs.
Désactiver complètement l’EFS
Comme beaucoup d’autres choses, il est possible de désactiver complètement EFS via le registre :
Sous HKEY_LOCAL_MACHINE\NSOFTWARE\Microsoft\NWindows NT\CurrentVersion\Efs, on crée une nouvelle valeur DWORD avec le nom EfsConfiguration et la valeur 1. Ainsi, EFS est désactivé localement. Vers l’astuce « Désactiver EFS ».
Vous pouvez également désactiver EFS pour certains répertoires. Pour ce faire, placez un fichier nommé DESKTOP.INI dans le répertoire et ajoutez
[Encryption]
Disable=1
comme contenu.
Conclusion
L’EFS est une mesure de sécurité idéale pour protéger ses propres fichiers des regards extérieurs. Même un administrateur n’a pas la possibilité de voir les fichiers. Les inconvénients et les restrictions de l’EFS ont été expliqués dans l’article. Dans tous les cas, l’utilisateur devrait exporter son certificat afin de pouvoir le réinstaller en cas d’urgence. Les fichiers cryptés pour lesquels il n’y a plus de certificat sont irrémédiablement perdus.
Liens Internet complémentaires
Microsoft :
Le système de fichiers de cryptage
KB329741 : Les fichiers du système de fichiers de chiffrement (EFS) apparaissent corrompus lorsque vous les ouvrez.
Utilisation du système de fichiers cryptographique (EFS) dans Windows Server 2003