Le cryptage dans Windows

mal à déchiffrer les mots de passe des utilisateurs. Pour sécuriser encore davantage le système Windows, on peut recourir à l’utilitaire Syskey pour contrôler où est stockée la clé symétrique. Mais faites très attention avec Syskey : vous pouvez fort bien vous exclure du système sans pouvoir y rentrer, si vous stockez la clé hors du système et si vous la perdez par la suite. Windows a sa propre PKI basée sur les Certificate Services et intégrée avec l’AD et les stratégies de groupe. La PKI Windows utilise et intègre beaucoup d’autres composantes Windows également. Elle automatise aussi bon nombre des tâches laborieuses associées à la gestion de PKI, comme l’enrôlement et le renouvellement des certificats et la publication de la liste de révocation des certificats (CRL, certificate revocation list).

Il y a deux composantes Windows qui utilisent beaucoup le cryptage : IPsec et EPS (Encrytion File System). IPsec utilise le cryptage à clé symétrique et publique/privée pour protéger l’information envoyée sur le réseau. IPsec utilise des certificats pour l’authentification initiale des deux ordinateurs communiquants puis utilise DES ou Triple DES (3DES) pour le cryptage proprement dit des paquets.

EFS utilise aussi les deux types de cryptage pour protéger les fichiers sur un disque dur, dans l’éventualité où l’ordinateur ou le disque dur serait volé. Bien que le cryptage à clé publique/privée soit souvent préférable parce qu’il dispense de partager une clé de cryptage secrète, le cryptage à clé symétrique est encore très important parce que le cryptage à clé publique/privée est relativement lent. Par conséquent, pour profiter des deux, on verra souvent l’information cryptée avec une clé symétrique, qui est ensuite cryptée avec la clé publique du destinataire. EFS en est un exemple.

Pour chaque fichier crypté, EFS génère une clé de cryptage de fichier (FEK, file encryption key) symétrique et crypte le fichier en blocs en utilisant DES, 3DES ou AES. Ensuite, EFS crypte la FEK avec la clé publique du certificat EFS de l’utilisateur et stocke la FEK en même temps que le fichier sur le disque dur. Quand l’utilisateur accède au fichier par la suite, EFS décrypte la FEK avec la clé privée de l’utilisateur. Pour protéger les clés privées des certificats utilisateur, Windows a un emplacement spécial dans le registre où les clés privées et autres secrets sont cryptés. (Les clés peuvent aussi être stockées dans le système de fichiers.)

Les clés sont protégées par une clé Master, elle-même protégée par un hash du mot de passe de l’utilisateur. De sorte que le mot de passe de l’utilisateur est la pierre angulaire qui protège tout le reste : d’où l’importance des mots de passe puissants.