Regardons l’EFS de plus près

Microsoft a présenté EFS pour la première fois conjointement à Windows 2000 et, depuis, n’a cessé de l’améliorer dans ses déclinaisons Windows XP et Windows Server 2003. EFS permet aux utilisateurs de crypter n’importe quel fichier ou dossier sur lequel ils ont des permissions Read et Write. Une fois le cryptage validé, la ressource est décryptée à la volée chaque fois que l’intervenant légitime a besoin d’y accéder. Les utilisateurs qui tentent d’accéder à un fichier ou à un dossier protégé sans posséder les permissions EFS appropriées peuvent bien sûr visualiser le nom du fichier ou du dossier, mais ne peuvent pas l’ouvrir, le modifier, le copier, l’imprimer, l’envoyer par courriel ou le déplacer. Notons au passage que si les utilisateurs ont les permissions NTFS pour supprimer un fichier protégé par EFS, ils peuvent le supprimer bien qu’ils ne puissent pas le lire. Comme la plupart des produits de cryptage, EFS protège la confidentialité, mais ne fait rien pour empêcher la perte de données. Si EFS empêche un utilisateur non autorisé de voir des données sous quelque forme que ce soit, il a rempli sa mission. Certains vont même jusqu’à critiquer Windows parce qu’il permet de voir le nom d’un fichier ou d’un dossier protégé.

En outre, il n’est pas nécessaire d’avoir la possession ou des permissions Full Control sur un fichier ou un dossier, pour le crypter. Les permissions Read et Write suffisent. Ce sont d’ailleurs les mêmes qu’il faut pour accéder à la ressource. Dès lors qu’un fichier ou un dossier est protégé, seul l’utilisateur qui l’a crypté (et les autres utilisateurs avec lesquels celui-ci veut partager la ressource) peuvent y accéder. La seule exception commune est l’agent de reprise des données (DRA, Data Recovery Agent). Par défaut (le plus souvent), Windows fait de l’administrateur un DRA, afin qu’il ou elle puisse accéder à tout fichier ou dossier crypté par EFS. Dans un environnement de domaines, le DRA est l’administrateur de domaines ; dans un environnement non domaine, le DRA est l’administrateur local. (Nous reviendrons sur les DRA un peu plus loin).

La possibilité de crypter un fichier ou un dossier est validée par défaut, mais il faut sélectionner chaque fichier ou dossier séparément (ou indirectement en suivant les règles d’héritage normales). Pour qu’EFS fonctionne, le fichier ou le dossier doit se trouver dans une partition disque NTFS. Ensuite, pour protéger un fichier ou un dossier, il suffit de faire un clic droit sur la ressource dans Windows Explorer, de choisir Properties puis de choisir Advanced sur l’onglet General. (Remarque : Ne cliquez pas sur Advanced sur l’onglet Security.) Enfin, cochez la case Encrypt contents to secure data.

Si vous sélectionnez un ou plusieurs fichiers (plutôt qu’un dossier), EFS vous demandera si vous voulez crypter simplement le(s) fichier(s) ou crypter le dossier parent et le(s) fichier(s) courant(s). Si vous faites ce dernier choix, EFS marquera le dossier comme un dossier crypté. Tous les fichiers ajoutés ultérieurement à celui-ci seront cryptés par défaut, et tout fichier existant dans le dossier non sélectionné pendant l’opération d’EFS restera non crypté. Dans bien des cas, il sera préférable de crypter tout le dossier au lieu des fichiers individuels, particulièrement parce que beaucoup d’applications (comme Microsoft Word) créent des fichiers temporaires dans le même dossier pendant qu’un fichier est ouvert. Les fichiers temporaires sont souvent laissés à la traîne (par exemple, en cas de réinitialisation chaotique) et en texte clair, c’est-à-dire mûr pour une reprise non autorisée.

Par défaut, dans XP Professional et produits ultérieurs, EFS met en évidence les fichiers cryptés en vert, mais vous pouvez contrarier cela en choisissant Tools, Folder Options dans Windows Explorer, puis en décochant la case Show encrypted or compressed NTFS files in color sur l’onglet View. Si la colonne Attributes est sélectionnée dans la vue Details de Windows Explorer, les fichiers compressés contiendront une marque d’attribut E conjointement à l’attribut Archive (A) normal, ce qui se traduira par un attribut AE. A noter que vous ne pouvez pas utiliser les mécanismes intégrés de Windows pour crypter et compresser un fichier en même temps, mais que vous pouvez utiliser un utilitaire tiers comme WinZip ou PKZIP pour compresser un fichier, puis crypter le fichier compressé résultant.