Un code confidentiel préalable au démarrage empêche le chargement automatique de la clé de chiffrement dans la mémoire système pendant le processus de démarrage, ce qui protège contre les attaques par accès direct à la mémoire (DMA) sur les systèmes comportant du matériel vulnérable. La documentation de Microsoft explique cela plus en détail.
Première étape: activez BitLocker (si vous ne l’avez pas déjà fait)
Notez que si vous vous efforcez d'activer BitLocker sur un ordinateur sans TPM, vous serez invité à créer un mot de passe de démarrage utilisé à la place du TPM. Les étapes ci-dessous ne sont nécessaires que lorsque vous activez BitLocker sur des ordinateurs dotés de TPM, comme le sont la plupart des ordinateurs modernes.
Si vous avez une version Home de Windows, vous ne pourrez pas utiliser BitLocker. Vous pouvez utiliser la fonctionnalité de chiffrement de périphérique à la place, mais cela fonctionne différemment de BitLocker et ne vous permet pas de fournir une clé de démarrage.
Étape 2: Activer le code PIN de démarrage dans l'éditeur de stratégie de groupe
Une fois que vous avez activé BitLocker, vous devez tout mettre en œuvre pour activer un code PIN. Cela nécessite une modification des paramètres de stratégie de groupe. Pour ouvrir l'éditeur de stratégie de groupe, appuyez sur Windows + R, tapez «gpedit.msc» dans la boîte de dialogue Exécuter, puis appuyez sur Entrée.
Allez dans Configuration ordinateur> Modèles d'administration> Composants Windows> Cryptage de lecteur BitLocker> Lecteurs de système d'exploitation dans la fenêtre Stratégie de groupe.
Double-cliquez sur l'option «Requérir une authentification supplémentaire au démarrage» dans le volet de droite.
Troisième étape: ajouter un code PIN à votre lecteur
Vous pouvez maintenant utiliser le
manage-bde
commande pour ajouter le code confidentiel à votre lecteur chiffré par BitLocker.
Pour ce faire, lancez une fenêtre d'invite de commande en tant qu'administrateur. Sous Windows 10 ou 8, cliquez avec le bouton droit de la souris sur le bouton Démarrer et sélectionnez «Invite de commandes (Admin)». Sous Windows 7, recherchez le raccourci «Invite de commandes» dans le menu Démarrer, cliquez dessus avec le bouton droit de la souris et sélectionnez «Exécuter en tant qu'administrateur».
Exécutez la commande suivante. La commande ci-dessous fonctionne sur votre lecteur C: si vous souhaitez exiger une clé de démarrage pour un autre lecteur, entrez sa lettre de lecteur au lieu de
c:
manage-bde -protectors -add c: -TPMAndPIN
Vous serez invité à entrer votre code PIN ici. La prochaine fois que vous démarrez, on vous demandera ce code PIN.
manage-bde -status
(Le protecteur de clé «Mot de passe numérique» affiché ici est votre clé de récupération.)
Comment changer votre code PIN BitLocker
Pour changer le code PIN ultérieurement, ouvrez une fenêtre d'invite de commande en tant qu'administrateur et exécutez la commande suivante:
manage-bde -changepin c:
Vous devrez taper et confirmer votre nouveau code PIN avant de continuer.
Comment supprimer le code PIN requis
Si vous changez d'avis et que vous souhaitez arrêter d'utiliser le code PIN ultérieurement, vous pouvez annuler cette modification.
Vous devez d’abord accéder à la fenêtre Stratégie de groupe et redéfinir l’option sur «Autoriser le code PIN de démarrage avec le TPM». Vous ne pouvez pas laisser l’option définie sur «Exiger un code PIN de démarrage avec TPM» ou Windows ne vous autorisera pas à supprimer le code PIN.
manage-bde -protectors -add c: -TPM
Cela remplacera l'exigence «TPMandPIN» par une exigence «TPM», à savoir la suppression du code PIN. Votre lecteur BitLocker sera automatiquement déverrouillé via le TPM de votre ordinateur lorsque vous démarrez.
manage-bde -status c:
Si vous oubliez le code PIN, vous devez fournir le code de récupération BitLocker que vous auriez dû enregistrer dans un endroit sûr lorsque vous avez activé BitLocker pour votre lecteur système.
