Chiffrement de lecteur BitLocker NON sécurisé contre le mappage de lecteur sur le réseau
J'ai une clé USB chiffrée avec BitLocker Drive Encryption. Chaque fois que j'insère le lecteur dans mon port USB, il fonctionne comme prévu, nécessite que j'entre le mot de passe.
Peut-être que le chiffrement de lecteur BitLocker est mal configuré ou quelque chose de pas sûr mais, après avoir inséré la clé USB et entré mon mot de passe, je peux aller sur un PC complètement différent avec un ID de réseau différent, etc. sur le même réseau, je peux tout voir sur ma clé USB. Non seulement je peux tout voir des autres PC, je peux y écrire, supprimer, etc.
Quelqu'un peut-il expliquer pourquoi d'autres PC peuvent mapper sur mon lecteur crypté et avoir un accès complet à tout?
Vous ne comprenez pas ce que BitLocker est censé protéger. Le but de BitLocker est de protéger vos données contre les attaques de démarrage à froid (comme expliqué dans une entrée de blog Technet ).
Lorsque vous déverrouillez un volume protégé par BitLocker, le système accède aux clés nécessaires pour déchiffrer le lecteur et se comporte comme s'il s'agissait d'un lecteur normal.
Cela est nécessaire pour rendre le système compatible avec toutes les applications (et pilotes) sans leur demander de connaître BitLocker. (C'est pourquoi cela s'appelle le chiffrement de disque transparent: les applications et les pilotes ne le voient pas.)
Cela signifie que vous êtes libre de partager le volume sur le réseau et, si vous appliquez négligemment aucune sorte de restriction ACL à qui peut accéder aux données, alors tout le monde peut y accéder librement.
Une fois que vous avez entré votre mot de passe, le lecteur se comporte comme tout autre lecteur non crypté, car le cryptage devient transparent pour le système d'exploitation.
Si vous partagez votre lecteur et que d'autres utilisateurs/ordinateurs disposent des autorisations nécessaires pour y accéder, ils pourront le faire et ne sauront même pas que le lecteur a été chiffré.
Le chiffrement intégral du disque est conçu pour protéger contre les attaques hors ligne sur le support de stockage lui-même, s'il est volé par exemple. Il n'est pas conçu pour empêcher une machine d'y accéder une fois qu'il a obtenu le mot de passe, à ce stade, il est de la responsabilité de la machine de restreindre l'accès au lecteur en fonction de ses autorisations et de ses paramètres de partage réseau.