Fonctionnalités de sécurité liées à  la PKI Windows

Le système de fichiers cryptés, ou EFS (Encrypting File System) existe depuis Windows 2000 pour lequel il a constitué une avance majeure dans la sécurisation des systèmes Windows.

En effet, c’est réellement la première fois que Microsoft incluait dans ses systèmes d’exploitation un ensemble d’outils permettant de préserver la confidentialité des informations stockées dans les fichiers d’un volume du système (disque dur ou d’une disquette).

L’un des meilleurs atouts du système d’encryptions de fichiers (EFS) est son intégration avec le système d’exploitation. En fait, il est si bien intégré qu’il en devient presque transparent pour les utilisateurs : une fois qu’un fichier ou un dossier est marqué comme crypté, il est inutile de le décrypter pour le lire, le modifier ou le copier. Le système s’en charge !

L’installation d’une PKI pour le support de l’EFS est quasiment obligatoire puisque l’encryptage se fait à deux niveaux : d’abord par une clé symétrique aléatoire puis par un jeu de clés asymétriques issues d’une autorité de certification. En outre, la PKI permettra de disposer d’un agent de recouvrement permettant de décrypter un fichier lorsque l’utilisateur a perdu son certificat et sa clé privée.

On regrettera tout de même que l’EFS ne supporte pas les certificats stockés sur une carte à puce (smartcard).
La raison en est purement technique : la gestion de l’EFS est intégrée dans le processus lsass.exe (qui gère également l’authentification). Ce processus tourne en tâche de fond et ne sait pas interagir avec le bureau. Comment faire alors pour demander l’insertion de la carte à puce ou la saisie d’un code PIN ?