Décomposons les éléments de la question et répondons-y individuellement.
Je me déconnecte, et je suis le seul admin. Quelqu’un peut-il entrer ou accéder à mes données ?
Oui et non. Il faudrait que votre portable soit joint à un domaine, avec un accès à l’Active Directory pour pouvoir être administrateur de domaine ou créer un utilisateur sur le domaine et se connecter ainsi.
Étant donné que vous mentionnez que votre portable est dans votre bureau, il est raisonnable pour moi de supposer que vous avez au moins un serveur de fichiers d’une sorte, et qu’une entreprise qui a un serveur de fichiers a généralement une forme de domaine avec Active Directory. Cela dit, il est également possible de travailler entièrement dans le cloud, en utilisant OneDrive et Microsoft 365 sans serveur du tout, dans ce cas, le fait que votre disque soit chiffré est une protection suffisante.
J’ai BitLocker activé. Quand déchiffre-t-il et quelle est la sécurité ?
Quand BitLocker est activé, il stocke sa clé de chiffrement quelque part. Avec Windows 11 qui exige un TPM, c’est presque toujours là que la clé est stockée.
Cela signifie qu’une fois que vous allumez l’ordinateur, la partition de démarrage (qui n’est pas chiffrée, sinon vous ne pourriez pas démarrer) détectera que votre partition principale est chiffrée. Elle obtiendra la clé du TPM et déchiffrera la partition afin que vous puissiez démarrer Windows.
Cela ne se produira que lorsque vous tentez de démarrer depuis Windows.
Une fois le processus de démarrage terminé, oui, le disque est déverrouillé, mais vous arrivez à l’écran de connexion, et sans compte, vous ne pouvez pas entrer. Voir la première partie de cette réponse pour ce que cela signifie.
Maintenant, il existe des moyens de créer un utilisateur sur n’importe quel système en utilisant des astuces. Ne peuvent-ils pas simplement faire cela ?
Non. Et c’est la vraie puissance de BitLocker. Si vous ne tentez pas de démarrer depuis la partition Windows, la partition principale reste chiffrée. Pour qu’un processus externe puisse créer/modifier les données sur votre disque principal, comme créer un utilisateur local pour s’y connecter ou simplement copier les données, il faut que le disque soit déchiffré d’abord, et quand vous accédez au disque depuis, par exemple, un live CD Linux, le disque est chiffré et en tant que tel, ils ne peuvent rien en faire.
La même chose s’applique quand vous voulez démarrer depuis un CD/clé USB avec un programme de sauvegarde. Le programme de sauvegarde détecte que le disque est chiffré et ne peut pas faire de sauvegarde.
Quand un programme détecte le chiffrement, il peut demander à l’utilisateur quelle est la clé de chiffrement, et si la bonne clé est saisie, le disque est déchiffré normalement aussi. Si vous avez votre clé de déchiffrement BitLocker sur une clé USB dans votre tiroir, n’importe qui peut entrer de cette façon. Si vous la stockez dans un autre endroit accessible, c’est un moyen d’entrer.
Mais que se passe-t-il s’ils retirent le disque et le mettent dans un autre ordinateur ?
Puisque la clé est stockée dans le TPM et que l’autre ordinateur n’a pas la clé dans son TPM, cet autre ordinateur ne peut pas décoder le chiffrement. Il peut, comme dans la partie précédente, demander la clé de déchiffrement, et si celle-ci est stockée dans un endroit facilement accessible, le disque peut tout de même être décodé.
Donc, en résumé :
Si vous activez BitLocker sur votre disque et que vous suivez les méthodes de protection correctes, il n’y a aucun moyen pour quiconque d’entrer dans votre PC et d’accéder à vos données. Mais si votre appareil est sur un domaine, ou si vous avez stocké la clé BitLocker dans un emplacement accessible, alors quelqu’un pourrait potentiellement accéder à vos fichiers.
Également, si vous êtes connecté en tant qu’administrateur local et que vous quittez votre ordinateur, quelqu’un pourrait exécuter un script qui change la clé BitLocker en un code numérique qu’il peut mémoriser. Vous pourriez ne pas savoir que ce changement s’est produit, mais il dispose maintenant d’un moyen de déchiffrer votre disque en votre absence. Gardez à l’esprit qu’une personne allant aussi loin serait certainement licenciée, sauf si c’est votre patron, mais celui-ci pourrait probablement simplement vous demander de lui donner les fichiers et vous ne pourriez pas refuser.
Dans presque tous les cas, si vous avez BitLocker activé, vous pouvez avoir confiance que c’est suffisamment sécurisé. Avec les informations de cette réponse, vous savez maintenant avec certitude si c’est le cas.