ITSkillsCenter
Cybersécurité

Chiffrer un disque avec BitLocker, VeraCrypt ou LUKS pas-à-pas — protection contre vol et perte

12 min de lecture

Un ordinateur portable volé dans un café, oublié dans un taxi, ou subtilisé pendant un voyage, c’est éventuellement un coût matériel à remplacer — mais si le disque interne n’est pas chiffré, c’est aussi tous les emails, contrats, fichiers comptables, codes sources, mots de passe enregistrés dans le navigateur et photos personnelles qui partent avec. Sans chiffrement, n’importe qui sortant le disque du boîtier ou démarrant sur une clé USB Linux accède à l’ensemble du contenu en quelques minutes. Le chiffrement intégral de disque est aujourd’hui standard et gratuit sur tous les systèmes d’exploitation. Ce tutoriel propose une démarche en huit étapes pour activer le chiffrement sur Windows (BitLocker ou VeraCrypt selon l’édition) et Linux (LUKS), avec les bonnes pratiques de sauvegarde de la clé de récupération qui font la différence entre un ordinateur perdu et un sinistre total.

Pour la vue d’ensemble cryptographie, voir le guide principal : Cryptographie pratique pour développeurs et sysadmins.

Prérequis

  • Un poste à chiffrer (Windows 10/11, ou Linux moderne)
  • Une sauvegarde complète des données importantes avant de commencer (impératif)
  • Un onduleur ou batterie chargée — une coupure pendant le chiffrement initial peut corrompre le disque
  • Un support pour stocker la clé de récupération (clé USB, papier, cloud chiffré)
  • 1 à 8 heures selon la taille du disque (peut tourner en arrière-plan)

Étape 1 — Choisir l’outil selon le système

Trois outils dominent en 2026 et ne demandent aucune connaissance technique avancée. BitLocker est intégré à Windows 10/11 Pro, Enterprise et Education. C’est l’option la plus rapide à mettre en place sur ces éditions — quelques clics dans le panneau de configuration. Sur Windows 10/11 Home, BitLocker n’est pas disponible : il faut basculer sur VeraCrypt. VeraCrypt est un outil open-source multi-plateforme dérivé de TrueCrypt. Il fonctionne sur Windows Home, Windows Pro, macOS et Linux, permet de chiffrer un disque entier ou de créer des conteneurs chiffrés sous forme de fichier. LUKS (Linux Unified Key Setup) est le standard du chiffrement de disque sous Linux, intégré à toutes les distributions modernes. Pour une nouvelle installation Linux, l’option de chiffrement est proposée à l’installation — la voie royale.

Choisir selon le matériel et le contexte. Windows Pro avec puce TPM (présente sur la majorité des PC depuis 2018) : BitLocker. Windows Home ou besoin d’inter-opérabilité : VeraCrypt. Linux nouveau : LUKS à l’installation. Linux existant non chiffré : VeraCrypt sur partition séparée ou réinstallation avec LUKS — le chiffrement après-coup d’un système Linux installé est techniquement possible mais complexe.

Étape 2 — Sauvegarder avant de commencer

Le chiffrement initial réécrit tout le disque. Une coupure de courant, un crash, ou un secteur défectueux pendant cette opération peut rendre des données inaccessibles. La sauvegarde préalable n’est pas optionnelle. Suivre la stratégie 3-2-1 décrite dans le tutoriel sauvegarde associé : copie locale sur disque externe, copie cloud, vérification que la restauration fonctionne sur un fichier test.

Vérifier aussi que le disque est sain avant le chiffrement. Sous Windows, lancer chkdsk C: /f dans une invite de commandes administrateur, suivi d’un redémarrage. Sous Linux, lancer fsck sur la partition (à faire depuis un live CD si la partition est en cours d’utilisation). Un disque avec des secteurs défectueux ne supporte pas bien le chiffrement intégral — soit on remplace le disque d’abord, soit on accepte d’augmenter le risque.

Sur un ordinateur portable, brancher l’alimentation secteur pendant toute la durée du chiffrement. Sur un poste fixe, vérifier qu’un onduleur protège l’alimentation — une coupure Sénélec ou CIE pendant la phase initiale peut être fatale.

Étape 3 — Activer BitLocker sur Windows Pro

Sur Windows 10/11 Pro, ouvrir le Panneau de configuration → Système et sécurité → Chiffrement de lecteur BitLocker. Sur le lecteur C, cliquer sur Activer BitLocker. L’assistant pose trois questions importantes.

Premièrement, Comment voulez-vous déverrouiller votre lecteur. Trois options : utiliser un mot de passe (recommandé en l’absence de TPM ou pour ajouter une seconde authentification), utiliser une carte à puce (rarement disponible), ou laisser BitLocker se déverrouiller automatiquement via TPM (transparent à l’usage mais moins sûr en cas de vol du PC entier). Le bon compromis : exiger un PIN au démarrage, configurable par stratégie de groupe avec gpedit.msc.

Deuxièmement, Comment voulez-vous sauvegarder votre clé de récupération. Cette clé de 48 chiffres permet de récupérer l’accès si le PIN est oublié ou la puce TPM endommagée. Choix : sur le compte Microsoft, sur clé USB, dans un fichier, ou imprimée. Recommandation : combiner deux modes — sauvegarder sur le compte Microsoft et imprimer sur papier rangé dans un endroit sûr. Ne pas sauvegarder uniquement sur le PC qu’on chiffre — en cas de problème, la clé serait inaccessible.

Troisièmement, Quelle partie de votre lecteur voulez-vous chiffrer. Tout chiffrer est plus lent mais plus sûr ; Chiffrer uniquement l’espace utilisé est plus rapide mais peut laisser des traces de fichiers anciens dans l’espace libre. Pour un poste qui sert depuis longtemps, choisir tout chiffrer.

Lancer le chiffrement. Le processus tourne en arrière-plan pendant plusieurs heures selon la taille du disque (compter une heure par 100 Go environ). Le PC reste utilisable pendant ce temps mais plus lent.

Étape 4 — Utiliser VeraCrypt sur Windows Home

Sur Windows Home, télécharger VeraCrypt sur le site officiel et installer. L’application propose deux usages : créer un volume chiffré (un fichier-coffre qu’on monte comme un disque virtuel) ou chiffrer la partition système entière.

Pour chiffrer la partition système : lancer VeraCrypt → menu System → Encrypt System Partition/Drive. L’assistant guide le processus. Choisir Normal (pas Hidden sauf besoin spécifique). Type d’encryption : AES ou AES-Twofish pour double couche, AES-256 par défaut. Mot de passe : 12 caractères minimum, à stocker absolument dans Bitwarden ou KeePass. VeraCrypt génère un disque de récupération à graver sur CD ou sauvegarder sur clé USB — étape obligatoire, ne pas sauter.

Avant le chiffrement réel, VeraCrypt impose un test : redémarrer en cours d’assistant pour vérifier que le mot de passe est bien pris en compte au démarrage. Si le redémarrage échoue, on est encore en clair, on peut corriger. Une fois le test OK, lancer le chiffrement effectif. La durée est comparable à BitLocker.

Pour un usage plus simple — juste un coffre pour des fichiers sensibles — choisir Create an encrypted file container au lieu du chiffrement système. On crée un fichier (par exemple coffre.hc de 10 Go), on le monte comme un disque virtuel quand on en a besoin, on y dépose les fichiers à protéger. Le fichier-coffre peut être déposé sur Google Drive ou OneDrive sans risque pour la confidentialité.

Étape 5 — Activer LUKS sur Linux

Pour une installation Ubuntu, Debian, Fedora ou Mint neuve, l’option Chiffrer la nouvelle installation Ubuntu pour la sécurité (ou équivalent) apparaît au moment du partitionnement. Cocher cette option active LUKS sur la partition principale et demande une phrase secrète au démarrage. C’est la voie la plus simple et la plus propre.

Pour ajouter du chiffrement à un système existant sans tout réinstaller, l’option pratique est de chiffrer une partition séparée avec LUKS et d’y déplacer les données sensibles. Préparer une partition libre (sur un disque externe ou en redimensionnant le disque interne avec GParted), puis :

sudo cryptsetup luksFormat /dev/sdX
sudo cryptsetup luksOpen /dev/sdX coffre
sudo mkfs.ext4 /dev/mapper/coffre
sudo mount /dev/mapper/coffre /mnt/coffre

La première commande formate la partition en mode LUKS et demande de définir une phrase secrète. La deuxième ouvre la partition chiffrée et la rend accessible sous le nom coffre. La troisième crée un système de fichiers ext4 sur la partition déchiffrée. La quatrième la monte. À l’arrêt du système, la partition est automatiquement re-fermée. Au démarrage suivant, refaire luksOpen et mount avec la phrase.

Pour un montage automatique au démarrage avec demande de phrase, configurer /etc/crypttab et /etc/fstab — détails dans la documentation officielle de la distribution.

Étape 6 — Sauvegarder la clé de récupération

La clé de récupération est l’élément le plus critique de tout le dispositif. Si on perd la phrase secrète ou le PIN BitLocker et qu’on n’a pas la clé de récupération, les données sont définitivement perdues — il n’existe pas de back-door, aucun support technique ne peut les retrouver. Inversement, une clé de récupération qui traîne ouverte sur un papier visible annule toute la protection.

Bonne pratique en deux mouvements. Premier mouvement : copie numérique chiffrée. Stocker la clé dans Bitwarden ou KeePass comme note sécurisée, ou dans un coffre Cryptomator synchronisé sur un cloud. La clé est protégée par le mot de passe maître du gestionnaire. Deuxième mouvement : copie physique hors-site. Imprimer la clé sur papier, la ranger dans un coffre-fort, chez un proche de confiance, ou dans le coffre d’une banque. Cette double sauvegarde résout deux scénarios : oubli du mot de passe maître Bitwarden (on récupère via la copie papier), et perte de la copie papier (on récupère via Bitwarden).

Ne jamais laisser la clé de récupération en clair sur le disque chiffré qu’elle protège — en cas de perte d’accès, elle est inaccessible avec lui.

Étape 7 — Tester le déverrouillage et la récupération

Une fois le chiffrement terminé, redémarrer le poste. Vérifier que la phrase secrète ou le PIN est bien demandé au démarrage et que le système boote normalement. Cela confirme que l’authentification de chiffrement fonctionne.

Tester aussi la récupération avec la clé de récupération. Sous BitLocker, redémarrer en appuyant sur Échap au prompt de PIN — l’écran propose de saisir la clé de récupération à 48 chiffres. Saisir la clé sauvegardée, vérifier que le système ouvre. Cela confirme que la clé est correcte et que la sauvegarde est utilisable. Sous VeraCrypt, le test équivalent passe par le démarrage depuis le disque de récupération créé pendant l’assistant. Sous LUKS, on peut ajouter une seconde phrase secrète avec cryptsetup luksAddKey et tester qu’elle ouvre aussi le volume.

Étape 8 — Maintenir le dispositif

Le chiffrement n’est pas une opération à oublier après mise en place. Trois habitudes à conserver. Mettre à jour le système régulièrement — les correctifs Windows, Linux et VeraCrypt incluent parfois des améliorations de sécurité du chiffrement. Renouveler la phrase secrète tous les un à deux ans, surtout si la liste des personnes qui la connaissaient évolue (employé qui quitte, technicien qui est intervenu). Vérifier l’état du chiffrement après une mise à jour majeure du système — il arrive qu’une mise à niveau Windows feature update perturbe BitLocker, ou qu’une mise à jour Linux casse temporairement le démarrage chiffré. La sauvegarde permanente protège de ces incidents.

Vérification du livrable

  • Le disque système est chiffré (BitLocker, VeraCrypt ou LUKS)
  • Une phrase secrète robuste protège l’accès
  • La clé de récupération est sauvegardée en double : numérique chiffrée + papier hors-site
  • Le déverrouillage normal et la récupération ont été testés
  • Une sauvegarde des données reste à jour selon la stratégie 3-2-1

Erreurs fréquentes

ErreurConséquenceSolution
Pas de sauvegarde avant chiffrementÉchec = perte totaleStratégie 3-2-1 obligatoire
Clé de récupération perdueSi phrase oubliée, données irrécupérablesDouble sauvegarde : Bitwarden + papier hors-site
Phrase secrète faibleBrute force possible sur image disque volée12 caractères minimum, mots non liés
Test de récupération sautéDécouverte d’un problème au moment crucialTester la clé de récupération immédiatement
Chiffrement sans onduleurCoupure pendant l’opération initialeOnduleur ou batterie chargée + secteur
Clé en clair sur le disque chiffréInaccessible quand on en a besoinStockage hors du poste obligatoire

Laptop volé en taxi à Dakar : ce que le chiffrement change

Trois pratiques pertinentes localement. La protection contre les coupures est encore plus critique que sous d’autres climats : un onduleur qui couvre la phase de chiffrement initial évite des sinistres difficiles à diagnostiquer si Sénélec lâche en cours d’opération. Le stockage hors-site de la clé papier peut passer par un parent ou un associé éloigné géographiquement — pas dans le même bureau ni le même quartier que le poste protégé, pour résister à un incendie ou à un cambriolage groupé qui frappe parfois des immeubles entiers. Et le chiffrement des sauvegardes externes elles-mêmes : un disque dur de sauvegarde qui contient les mêmes données que le poste chiffré doit être chiffré aussi avec VeraCrypt, sinon il devient le maillon faible — un coursier qui transporte un disque entre deux bureaux Sandaga-Plateau peut le perdre.

Tutoriels frères

Pour aller plus loin

Sources et références

#cluster-satellite
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 250.000 FCFA
Parlons de Votre Projet
Publicité

Articles Similaires