Lorsque vous chiffrez des données grâce à EFS, vous ne pouvez accéder au contenu des fichiers chiffrés que si c'est vous qui les avez chiffrées ou si cette personne vous a ajouté un accès à ceux-ci.
Néanmoins, si un fichier est chiffré par une personne, que c'est la seule personne qui peut accéder à ce fichier et que celle-ci perd son certificat EFS et sa clé privée, personne ne pourra récupérer les données qui ont été chiffrées.

Pour éviter ce problème, il est possible de créer un ou plusieurs agents de récupération de données (DRA) EFS.

Important : si vous comptez utiliser le chiffrement EFS en entreprise, vous devriez ajouter vos agents de récupération de données (DRA) EFS directement avant que vos utilisateurs ne chiffrent leurs données.
En effet, comme vous le verrez dans ce tutoriel, l'agent de récupération de données EFS ne pourra déchiffrer que les données qui ont été chiffrées après son ajout en tant qu'agent de récupération de données EFS, ainsi que les données chiffrées qui ont été utilisées au moins une fois après son ajout.

1. Qu'est-ce qu'un agent de récupération de données (DRA) EFS ?
2. Créer un certificat d'agent de récupération de données (DRA) EFS
3. Ajouter l'agent de récupération de données (DRA) EFS sur votre ordinateur local
4. Ajout de l'agent de récupération de données (DRA) EFS aux fichiers précédemment chiffrés
5. Importer votre certificat d'agent de récupération de données (DRA) EFS dans votre magasin de certificats personnel
6. Accès aux fichiers chiffrés

1. Qu'est-ce qu'un agent de récupération de données (DRA) EFS ?

Un agent de récupération de données EFS est une personne possédant un certificat spécial qui permet à cette personne d'accéder à toutes les données chiffrées sur un ordinateur.
La personne que vous désignerez comme agent de récupération de données EFS doit donc être une personne de confiance.

De préférence, vous créerez au minimum 2 agents de récupération de données EFS pour pouvoir récupérer les données chiffrées même si une personne désignée comme agent de récupération de données EFS n'est pas là au moment où vous avez besoin d'elle (si elle est en vacances, par exemple) ou qu'elle a perdu son PC portable où se trouvait le certificat et sa clé privée.

Attention : lorsque vous ajoutez un agent de récupération de données EFS, celui-ci ne pourra accéder qu'aux données qui ont été chiffrées après son ajout. Si des données ont été chiffrées avant l'ajout de cet agent de récupération de données EFS, il suffira à leur propriétaire d'ouvrir et de refermer simplement les fichiers souhaités pour que Windows ajoute automatiquement l'agent de récupération de données EFS pour ceux-ci.
Ce qui permettra à cet agent de récupération de données EFS de pouvoir accéder également à ces fichiers et donc de pouvoir récupérer ces fichiers dans le cas où son propriétaire perd son certificat ou sa clé privée.

2. Créer un certificat d'agent de récupération de données (DRA) EFS

Pour commencer, créez un dossier où vous stockerez votre certificat d'agent de récupération de données EFS.
Dans notre cas, nous avons créé le dossier : C:\efs-recup.

Pour créer un certificat d'agent de récupération de données EFS, utilisez la commande ci-dessous en étant connecté avec le compte d'utilisateur Windows que vous souhaitez définir en tant qu'agent de récupération de données EFS :

Batch

cipher /r:C:\efs-recup\certificat-agent

Cette commande va générer un certificat avec une clé publique, ainsi que sa clé privée.
Cette commande vous demandera donc d'indiquer un mot de passe pour protéger la clé privée qui va être stockée dans le certificat au format ".pfx".

Plain Text

Entrez le mot de passe protégeant votre fichier .PFX :
Entrez à nouveau le mot de passe pour confirmation :


Votre fichier .CER a été créé.
Votre fichier .PFX a été créé.

Comme vous pouvez le voir, cette commande va générer 2 certificats :

• un certificat au format ".cer" : celui-ci contient votre certificat et sa clé publique.
  C'est celui que vous devrez utiliser pour ajouter cet agent de récupération de données EFS sur votre ordinateur.
• un certificat au format ".pfx" : celui-ci contient votre certificat, sa clé publique, ainsi que sa clé privée.
  C'est celui qui vous permettra en tant qu'agent de récupération de données EFS de pouvoir accéder aux données chiffrées.
  Vous devez donc l'importer dans votre magasin de certificats personnel pour pouvoir accéder aux données chiffrées sur cet ordinateur et stocker ce fichier dans un emplacement sécurisé pour éviter que n'importe qui puisse accéder à votre clé privée (bien que celle-ci soit protégée par un mot de passe).

Comme vous pouvez le voir, le certificat (au format ".cer") a été délivré à et par l'utilisateur actuellement connecté.

Si vous allez dans l'onglet "Détails", vous pouvez voir que ce certificat est valable pendant environ 100 ans.

Vous pouvez également voir que ce certificat possède une clé publique.

Petit changement, vous pouvez voir que la valeur du champ "Utilisation avancée de la clé" est : Récupération de fichiers (1.3.6.1.4.1.311.10.3.4.1).

Notez que la création de ce certificat en ligne de commandes n'importe pas automatiquement le certificat dans le magasin de certificats "Personnel" de l'utilisateur.
Vous pouvez d'ailleurs le vérifier en ajoutant le composant "Certificats" pour l'utilisateur actuel dans une console "mmc".

3. Ajouter l'agent de récupération de données (DRA) EFS sur votre ordinateur local

Pour que l'agent de récupération de données EFS que vous venez de créer puisse accéder aux données que les utilisateurs chiffreront dans le futur de cet ordinateur, il faut que vous ajoutiez celui-ci via la stratégie locale de cet ordinateur.
Ainsi, chaque fois qu'un utilisateur chiffrera un fichier sur cet ordinateur, Windows ajoutera automatiquement un en-tête supplémentaire pour que l'agent de récupération de données EFS souhaité puisse déchiffrer la clé symétrique (FEK) du fichier concerné.

Pour cela, ouvrez le menu démarrer et cherchez : secpol.msc.

Vous pouvez également chercher le programme "Stratégie de sécurité locale" (qui correspond au même programme).

Dans les 2 cas, le programme "Stratégie de sécurité locale" apparaitra.

Allez dans la section "Stratégies de clé publique -> Système de fichiers EFS (Encrypting File System)" et faites un clic droit "Ajouter un agent de récupération de données" sur ce dossier.

L'assistant Ajout d'un agent de récupération apparait.
Cliquez sur Suivant.

Cliquez sur : Parcourir les dossiers.

Sélectionnez le certificat au format ".cer" de l'agent de récupération de données EFS que vous venez de créer.

Etant donné qu'il s'agit d'un certificat auto-signé, Windows vous demande si vous souhaitez vraiment ajouter ce certificat.
Cliquez sur Oui.

Le nom de l'utilisateur concerné apparait dans la colonne "Certificats".
Cliquez sur Suivant.

Cliquez sur Terminer.

Le certificat de l'agent de récupération de données EFS ajouté apparait dans la liste.
Et comme prévu, son rôle est : Récupération de fichiers.