Ceci est le dernier article de ma série dédiée à Windows to go en environnement virtuel :

• Introduction
• VmWare
• Hyper-V

BitLocker et Windows to go

Dans le contexte Windows To Go, BitLocker ne peut s'appuyer sur une puce TPM. Ceci est tout à fait logique, le matériel destiné à recevoir votre périphérique Windows To Go changeant régulièrement, vous ne pouvez pas vous appuyer sur celui-ci. Au démarrage, un périphérique Windows To Go a donc besoin que l'on saisisse un mot de passe pour déverrouiller celui-ci.

Concernant la mise en place, le plus sécurisant est bien évidemment de mettre en place le cryptage BitLocker lors de la préparation du périphérique. Le faire faire après ne peut vous garantir à 100% que les données qui étaient déjà présentes sur le périphérique seront sécurisées (ex : utilisation d'utilitaires de récupération de partitions).

La mise en place lors de la préparation du Windows To Go est aussi la plus pratique. Lors de mes tests, il m'est arrivé de ne pas pouvoir activer BitLocker sur un Windows To Go. Il s'agissait d'une version préliminaire de la mise à jour 1511 de Windows 10, je n'ai donc pas cherché plus loin. L'aventure ne m'a cependant pas rassuré sur la fiabilité de l'activation post déploiement. J'ai aussi rencontré un cas où Windows affichait continuellement une icône Warning sur le disque. BitLocker n'a jamais fini de crypter l'intégralité de la donnée. Dans ma grande bonté, je lui ai laissé un bon mois pour faire le job. Cela n'a pas résolu le problème. Sur le même matériel, avec BitLocker configuré lors de la préparation de Windows To Go, tout fonctionnait parfaitement.

Contexte des tests

Pour mes tests, j'ai utilisé 3 versions de Windows To Go :

• Windows 8.1
• Windows 10 RTM
• Windows 10 avec la mise à jour 1511

J'ai utilisé deux versions de Windows 10 car Bitlocker a évolué entre la RTM et 1511. Il me semblait donc nécessaire de voir ci cela y avait un impact dans un environnement virtuel. Comme pour mes précédents tests, j'ai utilisé VmWare Player (en version 12 gratuite et payante sur Windows 7), Hyper-V (sur Windows 8.1 et 10)… et j'ai à nouveau donné sa chance à VirtualBox.

Concernant le matériel utilisé, j'ai testé un ensemble varié de clés et disques USB 3. Des matériels tout à fait classiques, sans cryptage matériel (faute de moyens L). Cependant, il m'a été remonté, que ceux-ci n'étaient pas utilisables en VM (merci à Shmuel et Damien)

Résultats

Les résultats ont été simples à analyser. Je m'attendais à faire un comparatif des performances entre les différentes solutions. Puis je me suis orienté vers un tableau « Marche » et « Ne marche pas ». Au fur et à mesure de mes tests, je me suis rendu compte que celui-ci devenait totalement futile. Mes tests ont fini par se traduire en une seule et simple phrase :

« Windows To Go avec BitLocker n'a en fait été utilisable que sur Hyper-V »

Au boot, VmWare affiche bien le prompt pour la demande du mot de passe, mais il s'arrête là. Après saisie de celui-ci, VmWare n'arrive plus à utilise le disque. Je ne m'attarderai pas trop sur VirtualBox qui n'aime toujours pas booter sur un disque physique.

Moralité, si l'on ne dispose pas d'un Hyper-V sur son PC, on ne peut pas profiter de l'OS de son PC et du Windows To Go sécurisé en même temps. Il faudra inévitablement booter sur le Windows To Go.