Pourquoi vous ne devriez pas activer le chiffrement «compatible FIPS» sur Windows

• Chris Hoffman

  @chrisbhoffman

• Mis à jour en juillet 12, 2017, 11h34 HAE

Windows dispose d’un paramètre caché qui n’activera que le cryptage certifié conforme à la norme FIPS par le gouvernement. Cela peut sembler être un moyen d’améliorer la sécurité de votre PC, mais ce n’est pas le cas. Vous ne devriez pas activer ce paramètre à moins que vous ne travailliez au gouvernement ou que vous ayez besoin de tester le comportement des logiciels sur les PC du gouvernement.

Ce réglage correspond parfaitement à d’autres mythes inutiles sur les ajustements de Windows. Si vous vous êtes tombé sur ce paramètre dans Windows ou vous l’avez vu mentionné ailleurs, ne l’activez pas. Si vous l’avez déjà activé sans raison valable, suivez les étapes ci-dessous pour désactiver le « mode FIPS ».

Quoi Le chiffrement est-il conforme à la norme FIPS?

CONNEXION: 10 mythes sur les ajustements de Windows démystifiés

FIPS signifie «Federal Information Processing Standards». Il s’agit d’un ensemble de normes gouvernementales qui définissent la manière dont certaines choses sont utilisées au sein du gouvernement, par exemple les algorithmes de chiffrement. La FIPS définit certaines méthodes de chiffrement spécifiques qui peuvent être utilisées, ainsi que des méthodes pour générer des clés de chiffrement. Il est publié par l’Institut national de Standards and Technology, ou NIST.

Le paramètre de Windows est conforme à la norme FIPS 140 du gouvernement américain. Lorsqu’il est activé, il force Windows à n’utiliser que des schémas de chiffrement validés par FIPS et conseille également aux applications de le faire.

Le « mode FIPS » ne rend pas Windows plus sûr. Il bloque simplement l’accès aux schémas de cryptographie plus récents qui n’ont pas été validés FIPS. Cela signifie qu’il ne pourra pas utiliser de nouveaux schémas de cryptage ou des moyens plus rapides d’utiliser les mêmes schémas de cryptage. En d’autres termes, cela rend votre ordinateur plus lent, moins fonctionnel et sans doute moins sécurisé.

Comment Windows se comporte différemment si vous activez ce paramètre

Microsoft explique ce que fait réellement ce paramètre dans un article de blog intitulé « Pourquoi nous ne recommandons plus le » mode FIPS « . » Microsoft vous recommande d’utiliser le mode FIPS uniquement si vous devez le faire. Par exemple, si vous utilisez un ordinateur du gouvernement américain, cet ordinateur est censé avoir le « mode FIPS » activé conformément à la réglementation du gouvernement. Il n’y a pas de cas réel où vous voudriez l’activer sur votre propre ordinateur personnel, sauf si vous testiez le comportement de votre logiciel sur les ordinateurs du gouvernement américain avec ce paramètre activé.

Ce paramètre fait deux choses à Windows lui-même. Il force les services Windows et Windows à n’utiliser que la cryptographie validée FIPS. Par exemple, le Le service Schannel intégré à Windows ne fonctionnera pas avec les anciens protocoles SSL 2.0 et 3.0, et nécessitera au moins TLS 1.0 à la place.

Le framework .NET de Microsoft bloquera également l’accès à algorithmes qui ne sont pas validés FIPS. Le framework .NET propose plusieurs algorithmes différents pour la plupart des algorithmes de cryptographie, et ils n’ont même pas tous été soumis pour validation. À titre d’exemple, Microsoft note qu’il existe trois versions différentes du hachage SHA256 algorithme m dans le framework .NET. Le plus rapide n’a pas été soumis pour validation, mais devrait être tout aussi sécurisé. Ainsi, l’activation du mode FIPS interrompra les applications .NET qui utilisent l’algorithme le plus efficace ou les forcera à utiliser l’algorithme le moins efficace et à être plus lent.

En plus de ces deux choses, l’activation du mode FIPS recommande aux applications qu’elles n’utilisez également que le cryptage validé FIPS. Mais cela ne force rien d’autre. Les applications de bureau Windows traditionnelles peuvent choisir d’implémenter le code de chiffrement de leur choix – même un chiffrement extrêmement vulnérable – ou pas de chiffrement du tout. Le mode FIPS ne fait rien aux autres applications à moins qu’elles n’obéissent à ce paramètre.

Comment désactiver le mode FIPS (ou l’activer si vous devez le faire)

Vous ne devriez pas l’activer ce paramètre sauf si vous utilisez un ordinateur gouvernemental et que vous y êtes obligé. Si vous activez ce paramètre, certaines applications grand public peuvent en fait vous demander de désactiver le mode FIPS pour qu’elles fonctionnent correctement.

Si vous devez activer ou désactiver le mode FIPS, vous avez peut-être vu un message d’erreur après vous l’avez activé, vous devez tester le comportement de votre logiciel sur un ordinateur avec le mode FIPS activé, ou vous utilisez un ordinateur gouvernemental et devez l’activer – vous pouvez le faire de plusieurs manières. Le mode FIPS ne peut être activé que lorsqu’il est connecté à un réseau spécifique, ou via un paramètre à l’échelle du système qui s’appliquera toujours.

Pour activer le mode FIPS uniquement lorsque vous êtes connecté à un réseau, procédez comme suit:

1. Ouvrez la fenêtre Panneau de configuration.
2. Cliquez sur « Afficher l’état et les tâches du réseau » sous Réseau et Internet.
3. Cliquez sur « Modifier les paramètres de l’adaptateur ».
4. Cliquez avec le bouton droit sur le réseau pour lequel vous souhaitez activer FIPS et sélectionnez « État ».
5. Cliquez sur le bouton « Propriétés sans fil » dans le Wi-Fi Fenêtre d’état.
6. Cliquez sur l’onglet « Sécurité » dans la fenêtre des propriétés du réseau.
7. Cliquez sur le bouton « Paramètres avancés ».
8. Activez l’option « Activer la conformité FIPS (Federal Information Processing Standards) pour ce réseau » sous les paramètres 802.11.

Ce paramètre peut également être modifié à l’échelle du système dans l’éditeur de stratégie de groupe. Cet outil est uniquement disponible sur les versions Professionnel, Entreprise et Éducation des versions Windows et non familiale. Vous ne pouvez utiliser l’éditeur de stratégie de groupe local pour modifier cet outil que si vous êtes sur un ordinateur qui n’est pas joint à un domaine qui gère les paramètres de stratégie de groupe de votre ordinateur pour vous. Si votre ordinateur est associé à un domaine et que les paramètres de stratégie de groupe sont gérés de manière centralisée par votre organisation, vous ne pourrez pas le modifier vous-même. Pour modifier ce paramètre dans la stratégie de groupe:

1. Appuyez sur la touche Windows + R pour ouvrir la boîte de dialogue Exécuter.
2. Tapez «gpedit.msc» dans la boîte de dialogue Exécuter (sans le guillemets) et appuyez sur Entrée.
3. Accédez à «Configuration ordinateur \ Paramètres Windows \ Paramètres de sécurité \ Stratégies locales \ Options de sécurité» dans l’éditeur de stratégie de groupe.
4. Recherchez le «Cryptographie du système: Utilisez les algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature »dans le volet droit et double-cliquez dessus.
5. Définissez le paramètre sur« Désactivé »et cliquez sur« OK ».
6. Redémarrez l’ordinateur.

Sur les versions Home de Windows, vous pouvez toujours activer ou désactiver le paramètre FIPS via un paramètre de registre. Pour vérifier si FIPS est activé ou désactivé dans le registre, procédez comme suit étapes:

1. Appuyez sur la touche Windows + R pour ouvrir la boîte de dialogue Exécuter.
2. Tapez «regedit» dans la boîte de dialogue Exécuter (sans les guillemets) et appuyez sur Entrée.
3. Accédez à « HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ Fip sAlgorithmPolicy \ ”.
4. Regardez la valeur » Enabled « dans le volet de droite. S’il est défini sur « 0 », le mode FIPS est désactivé. S’il est défini sur « 1 », le mode FIPS est activé. Pour modifier le paramètre, double-cliquez sur la valeur « Activé » et définissez-la sur « 0 » ou « 1 ».
5. Redémarrez l’ordinateur.

Merci à @SwiftOnSecurity sur Twitter pour avoir inspiré ce post!