Chiffrement du systme de fichiers EFS

(Encrypting File System)

a. Introduction EFS
EFS est une technologie qui permet le chiffrement de fichier et de dossier sur un
volume NTFS. Il utilise un chiffrement cl symtrique et asymtrique. Une fois
quun fichier est chiffr, le fonctionnement est alors transparent pour lutilisateur
qui peut ouvrir et fermer un fichier protg sans avoir raliser dopration
supplmentaire de chiffrement et de dchiffrement.
Le mcanisme dEFS permet de protger laccs des donnes sensibles et de
mettre en place divers scnario de rcupration pour viter les pertes de donnes.
EFS garantit que seuls les utilisateurs pour qui les documents sont chiffrs peuvent
y accder. En cas de vol, un utilisateur qui accde aux disques ne pourra pas accder
aux donnes chiffres moins de tenter une attaque de type brute force sur les cls
de chiffrement. Au sein de lentreprise, un utilisateur ou un administrateur qui se
logue sur la machine ne pourra plus accder aux donnes chiffres par un autre
utilisateur.
Beaucoup doutils se trouvant sur le Net tentent de casser le chiffrement dEFS,
celui-ci permet partir de Vista dutiliser un certificat de chiffrement EFS stock
sur carte puce. Une partie des cls de chiffrement ne sont plus stockes sur le
systme, ce qui renforce encore plus la protection des donnes.
Par dfaut EFS utilise lalgorithme de chiffrement AES 256. Il est possible de le
remplacer par les algorithmes dfinis par la norme FIPS (en activant FIPS pour
toutes les oprations de chiffrement). Cela a pour effet dutiliser Triple DES, IPSec
et dimposer TLS Internet Explorer.
Il est galement possible de ne forcer utiliser triple DES que pour EFS en se
positionnant sous : HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS
NT\CURRENT VERSION\EFS la cl de register AlgorithmID la valeur 0x6603

Puisque les fichiers chiffrs sont accessible uniquement aux utilisateurs qui ont
chiffr ou qui sont autoriss chiffrer le document, mettre en place EFS prsente
des risques de perte de donnes si lutilisateur ne peut plus accder aux cls de
chiffrement, sil quitte la compagnie sans laisser son mot de passe ou si la machine
prsente un dfaut matriel par exemple.

BOURICHE KHALID 1
EFS peut tre dsactiv au sein du domaine. Il est prfrable de lutiliser avec une
infrastructure PKI pour que seuls les utilisateurs ayant reus un certificat EFS soient
autoriss chiffrer un fichier.

b. Fonctionnement dEFS
EFS est compltement intgr au systme de fichier et Windows Explorer.
Opration de chiffrement et de dchiffrement de fichier
Pour chiffrer un dossier ou un fichier

1. Cliquez avec le bouton droit sur le dossier ou le fichier que vous souhaitez chiffrer,
puis cliquez sur Proprits.

2. Cliquez sur longlet Gnral, puis sur Avanc.

3. Activez la case cocher Chiffrer le contenu pour scuriser les donnes, cliquez
sur OK, puis cliquez nouveau sur OK.

4. Choisissez ensuite de chiffrer uniquement le fichier ou le dossier parent. Pour des

raisons de maintenabilit et dadministration, il peut tre opportun de crer un
rpertoire spcifique et y placer tous les documents devant tre chiffrs.

5. cliquez sur OK.

Remarque : Il nest pas possible dactiver la fois la compression et le chiffrement. Si

un fichier tait compress, Il est automatiquement dcompress lors du chiffrement.

BOURICHE KHALID 2
 Il est galement possible de chiffrer et de dchiffrer un fichier ou un rpertoire laide
de loutil en ligne de commande cipher.exe

Utiliser cipher /e pour chiffrer et cipher /d pour dchiffrer :

cipher /e /s: "c:\Users\khalid\Documets\fich1"

cipher /d /s: "c:\Users\khalid\Documets\fich1"

Les fichiers dont lattribut Systme est positionn ne peuvent pas tre chiffrs. De mme,
le rpertoire %SYSTERMROOT% ne peut pas tre chiffr ni le rpertoire Programme
(%PROGRAM FILES%)
Paramtrage de lexplorateur
Il peut tre intressant de paramtrer lexplorateur pour quil affiche Chiffrer et Dchiffrer
lorsque vous effectuez un clic droit laide de la souris sur un fichier et ce pour chiffrer ou
dchiffrer plus rapidement un fichier, il est possible d'installer un menu contextuel dans
l'explorateur en ajoutant dans la clef suivante :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Adv
anced ajoutez la cl "EncryptionContextMenu" de
type REG_DWORD valeur 1.
Fonctionnement
Le chiffrement EFS est bas sur une cl symtrique. Chaque fichier est chiffr avec une cl
diffrente gnre de manire alatoire. Cette cl est ensuite chiffre avec la cl prive du
certificat EFS X.509 de lutilisateur qui chiffre les donnes.
Pour fonctionner, tout utilisateur qui chiffre un document doit donc possder un certificat
X.509 qui est gnr automatiquement par le systme lors de la premire demande de
chiffrement. Dans le cas o une PKI est mise en place le systme tentera dobtenir le
certificat depuis celle-ci. Si aucune PKI nest prsente, EFS gnre un certificat autosign.
BOURICHE KHALID 3
Lorsque lutilisateur change son mot de passe la cl prive du certificat est dchiffre par
lancien mot de passe et dchiffr avec le nouveau.
Pour cette raison il est important de changer le mot de passe par le mcanisme de
changement de mot de passe, et non pas par le mcanisme de rinitialisation de mot de
passe dans lequel les cls prives des certificats ne sont pas rechiffres :

mcanisme de changement de mot de passe

BOURICHE KHALID 4
 mcanisme de rinitialisation de mot de passe

Important : Les cls prives des certificats sont stockes dans le profil utilisateur. Une
corruption de profile entraine une perte des cls des certificats X.509.

BOURICHE KHALID 5
EFS permet de partager des documents chiffrs entre plusieurs : cl symtrique de
chiffrement du fichier peut tre chiffre plusieurs fois laide de certificats X.509 de
plusieurs utilisateurs.
Pour partager un fichier chiffr, il faut afficher les proprits avances du document et
ajouter les utilisateurs autoriss accder au document chiffr :
1. Cliquez avec le bouton droit sur le fichier chiffr, puis cliquez sur Proprits.
2. Cliquez sur Avanc de longlet Gnral.
3. Cliquez sur Dtails de la fentre Attributs avancs. La liste des utilisateurs pour qui
le document est chiffr apparait.
4. Cliquez sur Ajouter. La liste des certificats utilisateurs de chiffrement EFS installs
sur lordinateur apparait
5. Choisissez les certificats qui permettront de dchiffrer la cl symtrique de
chiffrement du fichier.

BOURICHE KHALID 6
BOURICHE KHALID 7