L’une des solutions pour réduire les risques de vol de données et améliorer leur sécurité consiste à chiffrer les fichiers sensibles avec le système EFS (Encrypting File System). 

Pour ma part je l’utilise parce que je travaille dans un environnement toxique où mes collègues sysadmin comme moi sont largement beaucoup trop « curieux » (ou malveillants).

EFS vs BitLocker

Il existe des différences notables entre ces deux fonctionnalités de chiffrement dans Windows 10. EFS a la capacité d’effectuer un chiffrement plus granulaire que BitLocker. EFS peut chiffrer des fichiers individuellement, alors que BitLocker ne peut chiffrer que des lecteurs entiers. EFS n’est pas aussi sécurisé que BitLocker, parce qu’avec EFS, la clé publique est attachée à l’utilisateur et les informations chiffrées peuvent fuir dans les fichiers temporaires du système. Si vous souhaitez chiffrer des fichiers individuellement et que vous manquez de temps (rappelez-vous, mille fois plus rapide), EFS est donc un choix judicieux.

EFS fait appel à deux types de certificats :

• Certificats EFS. Les titulaires de ces certificats peuvent utiliser EFS pour crypter et décrypter des données. Les utilisateurs EFS disposent généralement de ce type de certificat. Le champ Utilisation de la clé améliorée de ce type de certificats (visible dans le composant enfichable Certificats de la console MMC) a pour valeur Système de fichiers EFS (Encrypting File System) (1.3.6.1.4.1.311.10.3.4).
• Certificats de récupération de fichier. Les titulaires de ces certificats peuvent récupérer des fichiers et dossiers cryptés d’un domaine ou projet, quelle que soit la personne les ayant cryptés. Seuls les administrateurs de domaines ou des personnes de confiance nommées Agents de récupération des données doivent disposer de ce type de certificat. Le champ Utilisation de clé améliorée de ce type de certificats (visible dans le composant enfichable Certificats de la console MMC) a pour valeur Récupération de fichier (1.3.6.1.4.1.311.10.3.4.1). Ces certificats sont généralement nommés les certificats EFS d’agent de récupération des données.

Pour autoriser une personne à lire vos données cryptées, vous pouvez lui communiquer votre clé privée ou en faire un agent de récupération des données. Il peut alors décrypter tous les fichiers EFS du domaine ou de l’unité organisationnelle dans son rayon d’action. Ce document fournit des instructions pas à pas pour réaliser les principales tâches liées au système EFS dans l’environnement d’une PME, et recense les méthodes recommandées les plus importantes pour bien utiliser EFS. cf https://learn.microsoft.com/fr-fr/security-updates/security/20200345

Génération et sauvegarde d’une clé de récupération

Tout comme pour BitLocker ou tout autre logiciel de chiffrement. Il faut sauvegarder en lieu sûr la clé de récupération de secours. Sachez que la clé de récupération permet de récupérer les données même si l’utilisateur titulaire du certificat de cryptage EFS n’est pas ne mesure de le faire.

Tout d’abord, il faut disposer de certains fichiers chiffrés avec EFS avant d’essayer de sauvegarder une clé pour celui-ci.

Vous ouvrez l’explorateur puis click droit sur le fichier ou le répertoire à chiffrer.Un menu apparait.

Clickez sur propriétés

Clickez sur le bouton « Avancé« 

Cochez la case : « Chiffrer le contenu pour sécuriser les données« 

Utiliser le gestionnaire de certificats

Ouvrez le gestionnaire de certificats. Utilisez la combinaison WINDOWS KEY + R pour lancer le démarrage et tapez certmgr.msc .

Dans le volet gauche du gestionnaire de certificats, développez le dossier intitulé Personnel. Cliquez sur le dossier appelé Certificats. Maintenant, sur le panneau de droite, vous verrez le certificats sur cet ordinateur. Faites un clic droit sur celui émis sur votre compte.

Une autre fenêtre s’ouvre avec l’assistant d’exportation de certificat. Cliquez sur Suivant pour continuer.

Clickez sur « Exporter la clé privée« 

Sélectionnez Échange d’informations personnelles

Saisissez un mot de passe et confirmez le pour protéger votre fichier de sauvegarde.

Définissez l’endroit où doit être sauvegardé le fichier

Vous avez le résumé de l’opération

La sauvegarde a réussi par l’affichage d’une fenêtre Pop-up.

Utilisation de l’invite de commande

Comment activer ou désactiver EFS à l’aide de l’invite de commande

L’invite de commande est un outil Windows essentiel que vous pouvez utiliser à diverses fins. Vous pouvez l’utiliser pour configurer divers paramètres ou résoudre des problèmes système.

Voyons comment l’invite de commande peut vous aider à activer l’outil EFS : Appuyez sur Win + R pour ouvrir la boîte de dialogue Exécuter la commande. Tapez CMD et appuyez sur Ctrl + Maj + Entrée pour ouvrir une invite de commande élevée. Pour activer la fonctionnalité EFS, saisissez la commande suivante et appuyez sur Entrée :

fsutil behavior set disableencryption 0

Si vous souhaitez désactiver cet outil, tapez la commande suivante et appuyez sur Entrée :

fsutil behavior set disableencryption 1

Comment sauvegarder la clé de chiffrement EFS

Faites la combinaison de touches Window key + X ,exécuter en tant qu’administrateur CMD. Pour obtenir une sauvegarde d’une clé d’un fichier crypté à l’aide d’EFS, on tape la commande suivante

cipher /x "%UserProfile%\Desktop\EFSCertificates"

Vous aurez une invite confirmant si vous êtes sûr de vouloir sauvegarder les certificats associés à vos fichiers chiffrés avec le chiffrement EFS. Cliquez sur OK.

Cela demandera d’entrer un mot de passe pour protéger votre fichier .PRX des utilisateurs non autorisés. Saisissez le mot de passe et appuyez sur Entrée, puis confirmez le mot de passe.

Learn Mmicrosoft