Souvereneté des données : Microsoft Fournit des Clés BitLocker au FBI

Contexte de l'Affaire

Dans une enquête sur un détournement de fonds Covid à Guam, le FBI a obtenu un mandat pour trois laptops chiffrés BitLocker ; Microsoft, disposant des clés de récupération sauvegardées sur ses serveurs, les a fournies. La société reçoit environ 20 telles demandes par an mais ne peut aider que si les clés sont cloud-storées, un comportement par défaut dans les déploiements d'entreprise.

Mécanisme Technique de BitLocker

BitLocker chiffre les disques entiers mais les clés de récupération (48 chiffres) sont auto-sauvegardées sur Microsoft Entra ID (ex-Azure AD) pour éviter les lockouts, exposant ainsi les données à des requêtes légales via le CLOUD Act américain. Contrairement à Apple ou Signal (zero-knowledge), Microsoft détient potentiellement l'accès, même si l'encryption reste robuste contre les attaques directes.

Inquiétudes pour les Entreprises

Les CISO craignent un "windfall data" : un mandat sur un laptop donne accès à tout le disque (docs pros, secrets, code source), au-delà du scope investigué, violant potentiellement GDPR ou CMMC. Le sénateur Wyden dénonce cette "irresponsabilité" facilitant la surveillance massive via ICE ou FBI. Les hackers compromettant le cloud Microsoft pourraient aussi exploiter ces clés.

Mesures de Protection Recommandées

Désactivez les backups cloud via gpedit.msc > Système > BitLocker > Clés de récupération stockées ou PowerShell (Disable-BitLockerAutoUnlock), stockez localement sur USB chiffré et auditez via manage-bde -protectors -get C:. Pour l'entreprise, passez à VeraCrypt ou Azure Disk Encryption avec HSM dédié, et migrez vers self-hosted keys. Microsoft suggère de choisir lors du setup mais les déploiements pros nécessitent une politique stricte.