Généralités Schémas Pratiques
courantes
Sauvegarde
et restauration
Techniques
avancées
Les agents de
récupération
En cas de
problème

Chiffrement d'un fichier par EFS

Pour pouvoir être chiffré, un fichier ou dossier doit :
  • Appartenir à une partition NTFS.
  • Ne pas avoir l'attribut lecture seule.
  • Ne pas avoir l'attribut système.
  • Être différent du répertoire racine de la partition (cas d'un dossier)
  • Ne pas être déjà chiffré par un autre compte utilisateur.

Exemple :

L'utilisateur "Homer" (simple membre du groupe Utilisateurs du domaine) a créé un document texte, nommé "Document chiffré par Homer.txt" dans une partition de type NTFS.

Dans l'explorateur de Windows, le fichier apparaît en noir, ce qui indique que c'est un fichier ni chiffré, ni compressé.

On décide alors de le chiffrer.

Depuis l'explorateur de Windows, sélectionner le fichier, clic droit, puis ouvrir les propriétés du fichier :

 

 

 

 

 

 

 

 

et appuyer sur le bouton Avancé

Une boite de dialogue apparaît :

 

 

 

Cocher la case "Crypter le contenu pour sécuriser les données"

et appuyer sur le bouton OK

Si le dossier contenant le fichier n'est pas lui-même chiffré, un avertissement apparaît, invitant à chiffrer le fichier et le dossier.

Explication :
Lors de l'ouverture d'un fichier chiffré, Windows commence par créer dans le dossier un fichier temporaire en clair, qui est chargé en mémoire par l'application, puis ce fichier est détruit.
Si le dossier n'est pas chiffré, il y a donc un risque (certes très faible) d'accès aux données en clair via ce fichier temporaire.
Si le dossier est lui-même chiffré, il n'y a aucun risque.
Dans la réalité, le dossier en tant que tel n'est pas réellement chiffré, mais si on y crée le moindre fichier, ce fichier sera automatiquement chiffré, sans qu'on le demande explicitement .

Dans cet exemple (pédagogique), on a décidé de ne chiffrer que le fichier.

Appuyer sur le bouton OK

Dans l'explorateur de Windows, le fichier apparaît désormais en vert, ce qui indique que c'est un fichier chiffré.

(pour rappel, les fichiers compressés apparaissent en bleu)
Pour chiffrer ou déchiffrer plus rapidement un fichier, il est possible d'installer un menu contextuel dans l'explorateur en ajoutant dans la clef suivante :
HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced
  
entrée "EncryptionContextMenu"
  de type REG_DWORD
  valeur 1
  On peut réaliser simplement cette modification en fusionnant ce fichier .reg :

(fermer puis rouvrir la session)
 
Suivant que le fichier sélectionné est chiffré ou non chiffré, le menu contextuel est "Décrypter" ou "Crypter"
 
Désormais, seul Homer peut ouvrir ce fichier.

Par exemple, si un autre utilisateur (ici un administrateur depuis un autre ordinateur) tente de l'ouvrir, quelle que soit l'application utilisée, un message d'erreur s'affiche :

Avec EditPlus :

Avec Hex Workshop (éditeur hexadécimal) :

Copie du fichier :

Ajout d'autre(s) utilisateur(s) pouvant accéder à un fichier ou dossier chiffré

Cette fonctionnalité est apparue seulement avec Windows XP.
Elle n'est donc pas disponible sous Windows 2000

Il possible (en dehors du ou des agents de récupération) d'ajouter un plusieurs autres utilisateurs capables d'accéder à des fichiers chiffrés d'un utilisateur donné.
La procédure est la suivante :

Depuis l'explorateur, sélectionner le fichier  déjà chiffré, afficher ses propriétés, appuyer sur le bouton avancé.

 

 

 

La boite de dialogue qui indique que ce fichier est chiffré fait apparaître un bouton Détails.

ce bouton n'existe pas sous Windows 2000

L'action sur ce bouton fait apparaître une nouvelle boite de dialogue, qui contient la liste actuelle des utilisateurs autorisés à accéder au fichier.

La liste supérieure contient les noms des comptes utilisateurs ordinaires (pour lesquels un DDF est créé dans le fichier).

la liste inférieure contient les noms des comptes spéciaux désignés comme agents de récupération (pour lesquels un DRF est créé dans le fichier).

Pour ajouter un compte ordinaire, appuyer sur le bouton Ajouter

Une boite de dialogue s'ouvre alors :

Un liste indique tous les comptes disponibles pour cette opération d'ajout.
Seuls figurent les comptes possédant déjà un certificat, qui aura été créé :

  • soit automatiquement lors du 1er chiffrement d'un fichier
  • soit volontairement (voir plus loin).

On peut éventuellement effectuer une recherche d'un autre compte par action sur le bouton Rechercher un utilisateur

 

L'action sur ce bouton ouvre une autre boite de dialogue standard de recherche d'un objet(compte, ordinateur, groupe, ...) dans un domaine ou groupe de travail.

On peut soit saisir directement le nom du compte, soit appuyer sur le bouton Avancé qui ouvre une boite dialogue de recherche avancée.

L'action sur le bouton Rechercher remplit la liste située dans la partie inférieure de la boite dialogue.

 

 

 

 

 

 

 

 

 

On sélectionne alors le compte désiré, et on appuie sur OK.

Puis on appuie sur OK
Si le compte sélectionné ne possède aucun certificat, un message d'erreur est affiché :
On reprend alors la sélection dans la boite de dialogue initiale, et on choisit un des comptes affichés

 

 

 

 

et on appuie sur OK

La liste des utilisateurs autorisés est alors actualisée :

 

Désormais, MARGE peut accéder au fichier bien qu'il soit chiffré au départ pour HOMER.

Cette autorisation porte uniquement sur le chiffrement !
Si le compte MARGE n'a pas reçu les droits NTFS nécessaires d'accès au fichier (lecture, écriture,..), l'ouverture du fichier sera refusée.

 

 

Donc il faudra veiller à accorder les droits NTFS si le compte ajouté n'est pas administrateur :

 

Cette opération d'ajout de compte ne peut être effectuée que sous le compte qui a chiffré le fichier la 1ère fois.
Par exemple, MARGE a chiffré un fichier, et a donné à HOMER le contrôle total NTFS sur ce fichier.
Malgré cela, HOMER ne peut l'ouvrir en raison du chiffrement
Si HOMER veut s'ajouter lui-même dans la liste des comptes autorisés à accéder à ce fichier chiffré, l'appui sur le bouton Détails provoque un message d'erreur émis par EFS :
Seule MARGE peut le faire (et elle seule).

Par exemple, même le compte administrateur, désigné comme agent de récupération, n'en a pas le pouvoir.
Il peut afficher la liste des comptes autorisés, mais il ne peut pas en ajouter, et dans ce cas, le message d'erreur est légèrement différent  :