Surprise ! (Ou pas…)

Le sujet fait parler depuis quelques jours : Microsoft a transmis aux autorités des clés BitLocker en réponse à une ordonnance judiciaire. La surprise n’est pas dans la réponse de Microsoft, mais sur le fait que des utilisateurs semblent découvrir qu’envoyer ses clés de chiffrement en clair sur le cloud de Microsoft permette à ce dernier d‘y accéder.

BitLocker est un outil de Microsoft pour chiffrer les données de votre périphérique de stockage. Il est intégré dans Windows et chiffre des volumes entiers. Microsoft présente cette fonctionnalité comme une « réponse aux menaces de vol de données ou d’exposition d’appareils perdus, volés ou mis hors service de manière inappropriée ».

BitLocker : « Microsoft a donné des clés au FBI »…

Pour résumer, si une personne dérobe un disque dur ou un SSD chiffré avec BitLocker, elle ne pourra pas accéder aux données sans la clé de déchiffrement. La fonction est pensée pour être la plus transparente possible pour les utilisateurs, notamment ceux qui disposent d’un module TPM sur leur machine. Il s’assure en effet « qu’un appareil n’a pas été falsifié pendant que le système est hors connexion » avant de déverrouiller l’accès aux données.

Dans le cas contraire, une clé de récupération BitLocker, « qui est un nombre à 48 chiffres, est utilisée pour récupérer l’accès au lecteur », explique Microsoft. Cela arrive parfois lorsque Windows « plante » pour une raison ou une autre (après une mise à jour par exemple). Si le périphérique de stockage est enlevé de l’ordinateur pour être lu depuis une autre machine, la clé BitLocker sera également nécessaire pour déchiffrer les données.

Dans un article, Forbes titre : « Microsoft a donné des clés au FBI pour déverrouiller des données chiffrées, révélant une grave faille de confidentialité ». So what ? Serions-nous presque tentés de dire, tant la situation n’est pas nouvelle. Nos confrères ajoutent d’ailleurs que Microsoft reçoit une vingtaine de demandes de clés BitLocker par an, et que l’entreprise « la fournit aux gouvernements en réponse à des ordonnances judiciaires valides ».

… car elles sont sauvegardées en ligne par défaut

Sur cette page, Microsoft rappelle que « votre clé de récupération peut se trouver à plusieurs endroits, en fonction du choix effectué lors de l’activation de BitLocker ». Le plus courant et le choix largement poussé par Microsoft (c’est celui par défaut) est le compte maison, automatiquement sauvegardé en ligne. Nous en parlions il y a déjà près de deux ans par exemple.

• Windows 11 24H2 activera par défaut BitLocker sur les nouvelles installations

Les clés BitLocker sont ainsi rattachées à votre compte Microsoft (vous pouvez les retrouver sur cette page) et donc facilement récupérables… mais aussi accessibles à Microsoft, qui peut donc les transmettre aux autorités. Afin d’éviter d’envoyer la clé sur des serveurs tiers, vous pouvez aussi l’imprimer ou la sauvegarder en local, sur une clé USB.

Microsoft rappelle que, « si vous ne trouvez pas la clé de récupération BitLocker et que vous ne parvenez pas à annuler les modifications qui en ont causé la nécessité, vous devez réinitialiser votre appareil. [Cela] entraîne la suppression de tous vos fichiers ».

Pour Microsoft, « les clients sont les mieux placés pour décider »

« Bien que la récupération de clés offre de la commodité, elle comporte aussi un risque d’accès indésirable, donc Microsoft estime que les clients sont les mieux placés pour décider… comment gérer leurs clés », explique un porte-parole de Microsoft à Forbes. Sur la vingtaine de demandes par an, l’utilisateur n’a dans « de nombreux cas », pas stocké sa clé dans le cloud de Microsoft, qui ne peut ainsi pas la transmettre aux autorités. L’entreprise ne donne pas de chiffre précis.

Sauvegarder la clé par défaut dans le cloud et la laisser accessible à Microsoft (et donc aux autorités) est un choix de Microsoft, d’autres n’ont pas fait le même. Apple, par exemple, ne peut pas accéder aux données chiffrées sur les terminaux de ses clients. Nous en avions longuement parlé avec l’iPhone retrouvé sur un terroriste après la fusillade de San Bernardino. Les autorités étaient finalement passé par une faille pour accéder aux données, au grand dam d’Apple.

• iPhone (dé)verrouillé : résumé et épilogue de l’imbroglio San Bernardino

« Si Apple peut le faire, si Google peut le faire, alors Microsoft peut le faire. Microsoft est la seule entreprise qui ne fait pas cela », explique Matt Green, expert en cryptographie et professeur à l’université Johns Hopkins, à nos confrères. Microsoft propose cette fonctionnalité, mais par défaut les clés sont envoyées sur le cloud lié à votre compte Microsoft, il faut donc une action de l’utilisateur, là où c’est le comportement par défaut sur Apple. De plus, Microsoft restreint toujours plus la possibilité de créer et d’utiliser un compte local sur Windows.

Pour protéger vos données, n’envoyez jamais la clé en clair sur un « cloud »

Bref, rien de vraiment nouveau dans cette histoire de BitLocker, si ce n’est la confirmation de la transmission des clés par Microsoft sur demande d’une autorité judiciaire, et l’accès aux données par les autorités. En termes de cybersécurité de toute façon, laisser ses clés accessibles à un tiers signifie qu’il peut accéder à vos données.

BitLocker reste une protection contre le vol d’un périphérique de stockage – Microsoft ne va pas donner les clés à n’importe qui –, mais n’est pas une protection absolue contre l’accès d’un tiers et notamment les autorités… mais on le sait déjà depuis des années. Si tel est votre besoin, il ne faut JAMAIS envoyer les clés en clair sur un cloud.

Microsoft rappelle aussi que, « en plus du TPM, BitLocker peut verrouiller le processus de démarrage normal jusqu’à ce que l’utilisateur fournisse un numéro d’identification personnel (PIN) ou insère un appareil amovible contenant une clé de démarrage. Ces mesures de sécurité fournissent une authentification multifacteur et l’assurance que l’appareil ne peut pas démarrer ou reprendre sa mise en veille prolongée tant que le code confidentiel ou la clé de démarrage approprié n’est pas présenté ».

Cette annonce a été faite par Lip-Bu Tan, le CEO d’Intel, pendant la conférence de présentation des résultats de l’entreprise (une retranscription est disponible sur Seeking Alpha). Il revient évidemment sur le lancement de Panther Lake (Core Ultra Series 3) avec les premières machines attendues dès le 27 janvier.

• Intel lance 14 processeurs Core Ultra Series 3 (Panther Lake), les premiers gravés en 18A

Mais il annonce surtout la couleur pour la suite : « Avec l’arrivée de notre processeur Nova Lake de nouvelle génération fin 2026, nous disposons désormais d’une feuille de route client qui allie performances de pointe et solutions optimisées en termes de coûts ».

Nova Lake sera donc la gamme des processeurs Core Ultra Series 4 pour les ordinateurs fixes et portables, sur un nouveau socket LGA 1954. Selon les dernières rumeurs reprises par Videocardz, cette famille de CPU pourrait intégrer jusqu’à 52 cœurs (16 cœurs performances, 32 cœurs efficacité et 4 cœurs basse consommation).

Il serait aussi question de nouvelles architectures Coyote Cove pour les P-cores et Arctic Wolf pour les E-cores. Un NPU de nouvelle génération est aussi annoncé, avec toujours plus de puissance de calcul pour des IA locales.

Nous devrions donc avoir deux générations de CPU cette année, alors que 2025 était une année « blanche ». Les Core Ultra Series 3 ont en effet été annoncés en septembre 2024. Intel est, pour rappel, revenu à une gravure maison pour ses Core Ultra Series 3 avec la technologie 18A.

La suite arrive avec la technologie 14A, dont « le développement est en bonne voie », affirme Lip-Bu Tan. Il ajoute que les premières puces devraient arriver en 2027, tandis que la production en volume est prévue pour 2028, bien après les Core Ultra Series 3 donc (qui seront en Intel 18A).

• #Nextquick : la finesse de gravure en nm ne veut plus rien dire, c’est juste du marketing

2,14 milliards de colis par seconde !

Trois semaines après une cyberattaque d’envergure, La Poste revient sur le sujet. À défaut d’un post-mortem technique, l’entreprise distille quelques chiffres et affirme aussi qu’« aucune entreprise française n’a subi, à ce jour, une cyberattaque en déni de services d’une telle intensité ». Dans le monde, il y a déjà eu bien pire.

Le 22 décembre, La Poste était la cible d’une cyberattaque d’ampleur qui a rendu indisponibles ses services en ligne pendant plusieurs jours. Le 24 décembre, le groupe annonçait un retour partiel à la normale, puis les choses allaient de mieux en mieux après Noël. Le 1ᵉʳ janvier, rebelote avec de nouveau des services indisponibles à cause d’une cyberattaque DDoS.

Dans tous les cas, aucune fuite de données n’a eu lieu, affirme l’entreprise. Le but de ce genre d’attaques par déni de service n’est pas de pénétrer les systèmes pour récupérer des données, mais de les rendre indisponibles en les bombardant de requêtes pour complètement les submerger. Sur ce point, c’était gagné.

« Inédite par sa sophistication technique »

Trois semaines plus tard, Philippe Bertrand, directeur de la sécurité globale du groupe, revient sur cette période compliquée dans un jeu de questions et réponses réalisé en interne. Une manière de mener une « interview » mais de pouvoir choisir aussi bien les questions que les réponses et donc de parfaitement maitriser la communication.

Il affirme que cette cyberattaque est « inédite par sa sophistication technique », sans entrer dans les détails. Il assure qu’elle « s’est révélée d’une grande complexité car nos assaillants s’adaptaient en permanence aux réponses défensives que nous mettions en place ».

Cette cyberattaque serait aussi « inédite aussi par son intensité […] Pour vous donner une idée du volume massif de requêtes dirigés vers nos services en ligne, nous avons enregistré jusqu’à 2,5 milliards de paquets de données par seconde ».

Pour rappel, en octobre 2024, Cloudflare annonçait une attaque DDoS record avec 2,14 milliards de paquets par seconde, et un pic de trafic à 3,8 Tb/s. Ces « records » sont toujours éphémères et rapidement de nouvelles attaques encore plus puissantes sont lancées. Un an plus tard, en septembre 2025, le géant américain explosait les compteurs avec 22,2 Tb/s en pointe et jusqu’à 10,6 milliards de paquets par seconde.

Il n’en reste pas moins que 2,5 milliards de paquets par seconde est une attaque extrêmement massive. D’ailleurs, le groupe français affirme qu’« aucune autre entreprise en France n’a subi, à ce jour, une cyberattaque en DDoS d’une telle intensité ».

La puissance des pirates augmente de jour en jour

Il ajoute que cette cyberattaque est aussi « inédite par sa durée car elle a commencé le 22 décembre et a perduré jusqu’à début janvier ». Selon le patron de la cybersécurité, « il y a deux ans, une attaque de cette ampleur n’était techniquement pas envisageable. À mesure que la puissance informatique progresse, les acteurs malveillants deviennent aussi plus dangereux ».

En France, cela fait maintenant plus d’un an que les cyberattaques et fuites de données s’enchainent à vitesse grand V. De très nombreuses enseignes et associations sont touchées, mais aussi des institutions officielles.

Sur la question de l’augmentation de la puissance des attaquants, nous parlions récemment du cas des pirates qui se lancent dans la pêche au chalut quand une nouvelle faille est identifiée : ils scannent tout Internet. Ce n’était pas aussi facile et abordable il y a quelques années.

• Quels sont les risques liés aux multiples fuites de vos données personnelles ?

Quoi qu’il en soit, La Poste rappelle à juste titre que, peu importe « les moyens mis en place, aucune organisation ne peut empêcher les cyberattaques ». La Poste se félicite au passage de n’avoir « jamais été à l’arrêt » : ses sites industriels et bureaux de poste « ont continué leur activité ». Le groupe affirme avoir distribué pas moins de 180 millions de colis pendant les fêtes

Dans son interview maison, La Poste évite soigneusement plusieurs sujets, notamment la provenance de la cyberattaque et d’éventuelles demandes ou rançons qui auraient pu lui être adressées par les pirates. Le groupe se contente en effet de rappeler des généralités : « Nous ne sommes plus face à des hackers isolés à la recherche d’un coup d’éclat mais à des organisations criminelles de plus en plus structurées, parfois diligentées par des États, qui disposent de moyens colossaux ».

L’attaque a été revendiquée par le groupe NoName057(016), mais la prudence est toujours de mise face à ce genre de communication. Les pincettes sont toujours de rigueur dans ce genre de situation, mais encore plus cette fois-ci puisque le groupe pro-russe n’avait revendiqué l’attaque que le lendemain.