Bitlocker et clavier azerty

[Oliewan]

Salut à vous

 

On est en train d'augmenter la sécurité de nos ordinateurs.  Une de nos pistes de reflexion nous orientent vers Bitlocker. Sauf que nos machines ont un clavier AZERTY. Oui, je sais, en France c'est étonnant mais bon...

Sauf que le map clavier lors de la saisie du mot de passe pour dévérouiller le poste est en QWERTY...

 

Après des recherches, je tombe sur ça :

 

We recommend that users set their keyboard layout to EN-US during enhanced PIN entry to avoid PIN entry failure in the pre-boot environment. If you are unable to enter an enhanced PIN from your keyboard even after setting the keyboard layout to EN-US, you must use a numeric-only PIN.

 

Ma première réaction est :

 

Ma 2ème :

 

Donc je fais appel à la Force : savez-vous comment avoir le map du clavier dans la langue qu'on veut ?

 

Merci :)

[Aloyse57]

Autrefois, sous DOS, on devait utiliser le code CP=

Il y a peut-être une piste à creuser...

Et puis un pin numérique, c'est pas la mort non plus. J'espère que ce n'est pas limité à 4 chiffres

[Oliewan]

Non mais bon, ca me sidère que MS fasse l'impasse sur le clavier quand il s'agit de concevoir un système de sécurité...

J'ai pas vu un paramètre ?

[digital-jedi]

Heu,

Je peux dire une connerie : Suffit juste d'interdire les mots de passe avec lettres différentes entre qwerty et azerty. OSEF du Q Z W, à la limite le A peut gêner.

[Oliewan]

Ca fait quand même beaucoup d'interdits. Y'a pas que les lettres, y'a aussi les caractères spéciaux. Et on a aussi des machines en clavier allemand et anglais UK...

[Aloyse57]

Et le M aussi.

 

C'est déjà la galère au Québec rien qu'en Qwerty : Canadien Français, Canadien Français multilingue, Canadien Anglais, Canadien Anglais Multilingue, US

Les caractères spéciaux ne sont pas au même endroit. Entrer un mot de passe à l'aveugle sur une machine inconnue, on oublie-ça.

[digital-jedi]

Ok, donc sans connerie :

sur MSDOS, la commande à ajouter dans l'autorun.inf était keyb fr ou keyb en. Je ne sais pas si cela a été maintenu pour Windows.

Sinon c'est peut être simplement dans les paramètres régionaux de Windows pour le clavier :

http://superuser.com/a/134351

[Aloyse57]

Ça c'est pour Windows 10, et effectivement on peut mettre tous les claviers imaginables pour entrer le mot de passe.

Mais Bitlocker il doit s'activer avant le lancement de Windows, non ?

 

Et la question que je me pose : peut-on faire un Acronis (et restaurer) un disque Bitlocké, ça mérite réflexion.

[Minikea]

je dis peut-être un connerie mais le "pre-boot" indique que tu veux chiffrer la partition système, donc tu n'aura pas le choix de l'environnement de boot, ni de pouvoir changer le clavier au boot.

donc la solution de MS n'est pas si déconnante: passer le clavier en en-us une fois quand tu créé le password puis le repasser en FR. (tu le note comme si c'était un password AZERTY sauf qu'en vrai ce seront des lettre QWERTY qui seront tapée)

lorsque tu démarre, ton clavier sera en en-us donc tu le tape normalement et tout roule, non?

si tu ne chiffres qu'une partition non système, tu t'en balances puisque le système aura déjà chargé, ton clavier sera en FR et donc tu pourra rentrer ton password en AZERTY normal, donc pas besoin de le créer en QWERTY. (c'est ce que je fais chez moi et ça marche très bien)

Et la question que je me pose : peut-on faire un Acronis (et restaurer) un disque Bitlocké, ça mérite réflexion.

je dirais oui vu que la clé est "matérielle" et stockée dans une puce de la CM. Mais je n'ai jamais testé.

[digital-jedi]

Ça c'est pour Windows 10.

Mais tu n'as jamais précisé ton Windows dans le post #1.

Mais honnêtement, quelle est la faiblesse d'un mot de passe qui n'utilise que le pavé numérique ET les caractères associés ?

Si je mets 11 caractères (genre une date de naissance entrecoupée de caractères différents - * / +), le test ci-dessous me donne 100% de solidité.

http://assiste.com/Mots_de_passe_Test_de_solidite.html

Après, je sais qu'il ne faut pas mettre de date de naissance, mais tu peux toujours ajouter en règle que les lettres hormis celles différentes du Qwerty sont utilisables.

Et après recherche, je pense que ta solution indiquée en post 1 est toujours valable et qu'ils n'ont pas corrigé le problème.

[Aloyse57]

Mais tu n'as jamais précisé ton Windows dans le post #1.

C'est pas moi, mais Oliewan

[digital-jedi]

   

[Oliewan]

C'est pas moi, mais Oliewan

Wouala

 

Mais tu n'as jamais précisé ton Windows dans le post #1.

Mais honnêtement, quelle est la faiblesse d'un mot de passe qui n'utilise que le pavé numérique ET les caractères associés ?

Si je mets 11 caractères (genre une date de naissance entrecoupée de caractères différents - * / +), le test ci-dessous me donne 100% de solidité.

http://assiste.com/Mots_de_passe_Test_de_solidite.html

Après, je sais qu'il ne faut pas mettre de date de naissance, mais tu peux toujours ajouter en règle que les lettres hormis celles différentes du Qwerty sont utilisables.

Et après recherche, je pense que ta solution indiquée en post 1 est toujours valable et qu'ils n'ont pas corrigé le problème.

Ici on est sur du Windows 10 mais la question doit se poser depuis Windows 7, Bitlocker est apparu avec ce dernier.

Mais la vraie question vient du clavier. On a du azerty, du qwerty US et du qwerty UK. Hors les caractères /, \, @ et autres sont placés différemment, et on est sur du portable parfois sans pavé numérique... Et on a aussi des Windows installés sur des machines virtuelles dans des ordinateurs portables Apple

La solution donnée par MS dans le post #1 est du foutage de tête puisqu'on te dit de paramétrer ton clavier en EN US quand tu tapes ton mot de passe.

 

Heureusement qu'on peut agir au niveau de l'AD pour déverrouiller les comptes des machines physiques sous Windows, c'est déjà ça...

[digital-jedi]

Faut mettre en place la reconnaissance digitale.

Après dans notre boite, on a le mdp session mais on a aussi le mdp de cryptage de tous les fichiers.

Ce qui m'amène à demander si vous ne pourriez pas mettre en place un cryptage des données à l'intérieur de la session ou un mdp pour accéder au réseau une fois logué.

Et tu fais sauter le mdp session puisque après une fois logué, on demande un mdp pour accéder aux données.

[Oliewan]

Bon j'ai trouvé : En fait il y a une option dans Bitlocker : valider automatiquement le mot de passe (si si). Bon faut la chercher un peu mais elle y est. Du coup le pc boote sous Windows et affiche l'invite de mot de passe du login et gère le clavier correctement. Si le mot de passe entré est le bon, la session s'ouvre et dévérouille le disque. Sinon le disque reste vérouillé. Et le reste même si on essayé de le lire depuis une autre machine.