- Windows
- Windows 10, Windows 11
- 01 décembre 2023 à 20:30
-
- 1/4
Sous Windows 10 et 11, vous avez la possibilité de protéger facilement l'accès à vos données (fichiers et dossiers) grâce au système EFS présent nativement sous Windows.
- Qu'est-ce qu'EFS ?
- Chiffrement des fichiers avec EFS
- Gérer les certificats sous Windows
- Chiffrer un fichier
- Notification pour l'exportation de votre clé de chiffrement de fichiers
- Certificat EFS généré pour l'utilisateur actuel
- Test en tant qu'administrateur
- Exporter manuellement le certificat EFS et sa clé privée associée
- Ajouter l'option de chiffrement / déchiffrement dans le menu contextuel de Windows
- Réimporter le certificat EFS
1. Qu'est-ce qu'EFS ?
EFS (Encrypting File System) est un système permettant de chiffrer des fichiers pour les rendre illisibles sans la clé associée.
En effet, lorsque vous possédez un ordinateur portable dans une entreprise, il peut arriver que vous emportiez celui-ci à l'extérieur (chez un client, dans un café, ...).
En cas de vol ou d'accès non autorisé à votre PC portable, un utilisateur non autorisé ne pourra donc pas accéder à ces données (lire leur contenu).
Grâce à EFS, vous pouvez chiffrer des données pour que celles-ci soient lisibles uniquement par un ou plusieurs utilisateurs spécifiques sans pour autant devoir divulguer la clé qui a été utilisée par le 1er utilisateur pour que le 2ème utilisateur puisse y accéder.
Pour qu'un utilisateur puisse utiliser EFS, celui-ci doit disposer d'un certificat personnel (qui contient une clé publique), ainsi que d'une clé privée associée.
Ces clés publiques et privées lui permettront de chiffrer et déchiffrer les données qu'il souhaite protéger.
Notez que ce certificat et sa clé privée associée seront générés automatiquement par Windows lorsque l'utilisateur souhaitera chiffrer un fichier pour la 1ère fois.
EFS utilise 2 types de certificats :
- Certificat EFS : l'utilisateur possédant un certificat EFS peut chiffrer et déchiffrer ses données.
Le champ "Utilisation de la clé améliorée" de ce certificat aura pour valeur : Système de fichiers EFS (Encrypting File System) (1.3.6.1.4.1.311.10.3.4). - Certificats de récupération de fichier : les utilisateurs possédant un certificat de récupération de fichier pourront accéder aux données chiffrées par d'autres utilisateurs d'un domaine ou projet.
Néanmoins, seuls des personnes de confiance (nommée : Agents de récupération des données) ou les administrateurs de domaine devraient posséder ce type de certificat.
Le champ "Utilisation de clé améliorée" de ce certificat aura pour valeur : Récupération de fichier (1.3.6.1.4.1.311.10.3.4.1).
Important :
- EFS nécessite l'utilisation du système de fichiers NTFS sur la partition souhaitée.
Vous ne pourrez donc pas utiliser EFS sur une partition formatée en FAT, FAT32 ou ExFAT. - vous ne pouvez pas chiffrer des fichiers ayant pour attribut "compressé". Autrement dit, les fichiers qui sont compressés par Windows pour économiser de l'espace disque ou ceux pour lesquels vous avez activé l'option de compression dans les propriétés du fichier concernée. Si vous tentez de chiffrer un fichier compressé, celui-ci sera automatiquement décompressé avant d'être chiffré.
Notez que cela n'a rien avoir avec les fichiers compressés au format zip, rar, 7z, ... - vous ne pouvez pas chiffrer des fichiers ayant l'attribut "système", ainsi que les fichiers présents dans le dossier "systemroot".
Source : Protection des données avec le système EFS (Encrypting File System).
Pour en savoir plus sur le chiffrement de données, référez-vous à notre article : A quoi sert et comment fonctionne le chiffrement ?
2. Chiffrement des fichiers avec EFS
Lorsque vous chiffrez des données grâce à EFS, Windows génère une clé symétrique (aussi appelée FEK pour File Encryption Key) aléatoire de façon transparente et chiffre le contenu du fichier à l'aide de celle-ci.
L'avantage de cette clé symétrique est que le chiffrement et le déchiffrement des données sont beaucoup plus rapides pour les grandes quantités de données que si on utilisait un chiffrement asymétrique.
Si l'utilisateur ne possède pas encore de certificat personnel, Windows lui génère automatiquement un certificat EFS avec une combinaison : clé publique / clé privée.
Ensuite, Windows chiffre la clé symétrique utilisée grâce à la clé publique de l'utilisateur pour qu'il puisse la déchiffrer plus tard grâce à sa clé privée.
En effet, avec le chiffrement asymétrique, les données chiffrées avec la clé publique (que tout le monde peut connaitre) ne peuvent être déchiffrées qu'avec la clé privée.
Pour finir, cette clé symétrique (FEK) chiffrée est stockée dans un en-tête chiffré.
Pour déchiffrer un fichier, Windows utilisera la clé privée de l'utilisateur pour déchiffrer l'en-tête du fichier pour obtenir la clé symétrique (FEK) ayant servi à chiffrer les données.
Comme le fichier a été chiffré avec un chiffrement symétrique, la clé FEK récupérée permet également de déchiffrer les données (le contenu du fichier).
Bien entendu, étant donné que le chiffrement et le déchiffrement du fichier au niveau du système de fichiers de votre ordinateur, l'utilisateur ne voit pas tout ce processus.
Par contre, si un autre utilisateur tente d'accéder à votre fichier chiffré, il verra simplement un message "Accès refusé".
3. Gérer les certificats sous Windows
Pour gérer les certificats sous Windows, vous devrez utiliser une console "mmc".
Pour cela, ouvrez le menu démarrer et tapez "mmc".
Dans la console "mmc" qui apparait, allez dans : Fichier -> Ajouter/Supprimer un composant logiciel enfichable.
Sélectionnez le composant "Certificats" et cliquez sur "Ajouter".
Si vous avez un compte utilisateur Windows de type "Administrateur", une fenêtre vous demandera de choisir entre :
- Mon compte d'utilisateur
- Un compte de service
- Un compte d'ordinateur
Sélectionnez "Mon compte d'utilisateur" et cliquez sur Terminer.
Si vous avez un compte utilisateur Windows de type "Standard", cette fenêtre n'apparaitra pas et le choix "Mon compte d'utilisateur" sera utilisé automatiquement.
Comme vous pouvez le voir, le composant "Certificats" sera ajouté pour l'utilisateur actuel.
Cliquez sur OK.
Si vous le souhaitez, vous pouvez aussi l'ajouter pour l'ordinateur local.
Néanmoins, vous verrez qu'aucun certificat ne sera créé pour celui-ci lorsque vous utilisez EFS.
Pour cela, sélectionnez à nouveau le composant "Certificats" et cliquez sur "Ajouter".
Sélectionnez "Un compte d'ordinateur" et cliquez sur Suivant.
Rappel : ceci n'est possible que si vous avez les droits administrateur sur votre ordinateur.
Sélectionnez "L'ordinateur local ..." et cliquez sur Terminer.
Comme vous pouvez le voir, le composant "Certificats" sera ajouté pour l'utilisateur actuel, ainsi que pour l'ordinateur local.
Les composants "Certificats - Utilisateur actuel" et "Certificats (ordinateur local)" apparaissent dans la console "mmc".
Comme vous pouvez le voir dans la section "Personnel" de "Certificats - Utilisateur actuel", vous ne possédez pas encore de certificat utilisateur personnel.
Dans la section "Personnel" de "Certificats (ordinateur local)", vous pourrez voir qu'il n'y a pas non plus de certificat associé à votre ordinateur.
Enregistrer les paramètres de cette console "mmc" pour pouvoir la réouvrir tel quelle dans le futur.
Pour cela, allez dans : Fichier -> Enregistrer sous.
Enregistrez la console sous le nom que vous souhaitez.
Par exemple : gestion certificats.
Ensuite, fermez cette console "mmc" et cliquez sur "Oui" pour enregistrer les paramètres.
Notez que la console "mmc" se souviendra également de quel élément est actuellement sélectionné ici.
Partager ce tutoriel
A voir également
-
Windows 22/3/2022
Mise à niveau de Windows 10 vers Windows 11 (matériel non compatible / méthode officielle)
-
Windows 17/12/2012
Nettoyer Windows sans risques
-
Windows 29/3/2022
Windows 11 - Changer le mot de passe d'un utilisateur
-
Windows 31/3/2025
Windows 11 / 10 / 8.1 / 8 - Réparer un espace de stockage miroir triple (RAID 11 logiciel)
Vous devez être connecté pour pouvoir poster un commentaire