{"id":228,"date":"2026-06-18T12:46:36","date_gmt":"2026-06-18T12:46:36","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/18\/veracrypt-vs-bitlocker\/"},"modified":"2026-06-18T12:46:36","modified_gmt":"2026-06-18T12:46:36","slug":"veracrypt-vs-bitlocker","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/18\/veracrypt-vs-bitlocker\/","title":{"rendered":"VeraCrypt vs BitLocker : gratuit vs Pro, 15 % d’\u00e9cart [2026]"},"content":{"rendered":"\n

Vous stockez des donn\u00e9es sensibles sur votre ordinateur et vous h\u00e9sitez entre VeraCrypt et BitLocker ? La r\u00e9ponse d\u00e9pend d’un crit\u00e8re souvent ignor\u00e9 : qui poss\u00e8de la cl\u00e9 de d\u00e9chiffrement de vos fichiers. BitLocker confie automatiquement cette cl\u00e9 aux serveurs de Microsoft, VeraCrypt ne la quitte jamais votre machine. Cet \u00e9cart fondamental r\u00e9sume \u00e0 lui seul pourquoi 5 400 personnes recherchent “VeraCrypt” chaque mois en France avec une comp\u00e9tition faible, pendant que BitLocker attire 9 900 requ\u00eates mensuelles. Le sujet est chaud, et la comparaison m\u00e9rite une analyse s\u00e9rieuse, chiffres \u00e0 l’appui.<\/p>\n\n\n\n

VeraCrypt 1.26.27, publi\u00e9 le 20 septembre 2025, apporte Argon2id comme fonction de d\u00e9rivation de cl\u00e9, une protection contre la capture d’\u00e9cran sur Windows et le support Linux AppImage. BitLocker, int\u00e9gr\u00e9 \u00e0 Windows Pro, Enterprise et Education, s’impose par d\u00e9faut sur des dizaines de millions de PC sous Windows 11 24H2. Ces deux outils chiffrent vos disques, mais avec des philosophies oppos\u00e9es. Ce comparatif dissocie les faits des arguments marketing pour vous aider \u00e0 choisir.<\/p>\n\n\n\n

VeraCrypt vs BitLocker : r\u00e9sum\u00e9 en 60 secondes<\/h2>\n\n\n\n

Avant d’entrer dans les d\u00e9tails techniques, voici les diff\u00e9rences qui comptent vraiment pour un utilisateur en France ou en Europe en 2026. Le tableau ci-dessous synth\u00e9tise dix crit\u00e8res d\u00e9terminants.<\/p>\n\n\n\n

Crit\u00e8re<\/th>VeraCrypt 1.26.27<\/th>BitLocker (Windows 11)<\/th>Avantage<\/th><\/tr><\/thead>
Prix<\/td>Gratuit (open source)<\/td>Inclus dans Windows Pro (licence ~199 $)<\/td>VeraCrypt<\/td><\/tr>
Plateformes<\/td>Windows, macOS, Linux, FreeBSD, OpenBSD<\/td>Windows uniquement<\/td>VeraCrypt<\/td><\/tr>
Algorithmes<\/td>AES-256, Twofish, Serpent, Camellia, Kuznyechik + cascades<\/td>AES-128 \/ AES-256 XTS<\/td>VeraCrypt<\/td><\/tr>
Vitesse (SSD NVMe)<\/td>~400\u2013500 Mo\/s<\/td>~550\u2013650 Mo\/s<\/td>BitLocker<\/td><\/tr>
Vitesse (HDD)<\/td>~120\u2013150 Mo\/s<\/td>~180\u2013200 Mo\/s<\/td>BitLocker<\/td><\/tr>
Audit de s\u00e9curit\u00e9 public<\/td>Oui (QuarksLab \/ OSTIF)<\/td>Non<\/td>VeraCrypt<\/td><\/tr>
Code source ouvert<\/td>Oui (licence Apache 2.0)<\/td>Non (propri\u00e9taire)<\/td>VeraCrypt<\/td><\/tr>
Volumes cach\u00e9s (d\u00e9ni plausible)<\/td>Oui<\/td>Non<\/td>VeraCrypt<\/td><\/tr>
Escrow de cl\u00e9s<\/td>Jamais (local uniquement)<\/td>Automatique vers Microsoft\/Azure AD<\/td>VeraCrypt<\/td><\/tr>
Conformit\u00e9 RGPD (Art. 32)<\/td>Haute (cl\u00e9 locale)<\/td>Risque (transfert de cl\u00e9 hors UE possible)<\/td>VeraCrypt<\/td><\/tr>
Int\u00e9gration entreprise<\/td>Manuelle, scripts n\u00e9cessaires<\/td>Native (Group Policy, Intune, SCCM)<\/td>BitLocker<\/td><\/tr>
Chiffrement de conteneurs<\/td>Oui (fichiers .hc portables)<\/td>Non (disques entiers uniquement)<\/td>VeraCrypt<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Verdict rapide :<\/strong> VeraCrypt gagne sur la confidentialit\u00e9, la portabilit\u00e9 et la transparence. BitLocker gagne sur la vitesse et l’int\u00e9gration dans les environnements Windows g\u00e9r\u00e9s centralement.<\/p>\n\n\n\n

Qu’est-ce que VeraCrypt ? L’h\u00e9ritier de TrueCrypt<\/h2>\n\n\n\n

VeraCrypt est n\u00e9 en 2013, lorsque le projet TrueCrypt a \u00e9t\u00e9 abandonn\u00e9 de fa\u00e7on myst\u00e9rieuse par ses auteurs. Mounir Idrassi, d\u00e9veloppeur fran\u00e7ais, a repris le code source et cr\u00e9\u00e9 VeraCrypt en corrigeant les failles identifi\u00e9es dans TrueCrypt par la communaut\u00e9 de s\u00e9curit\u00e9. Depuis lors, l’outil est maintenu de fa\u00e7on active et suit un cycle de publication r\u00e9gulier.<\/p>\n\n\n\n

La version 1.26.27, publi\u00e9e le 20 septembre 2025, est la version stable actuelle. Elle introduit trois am\u00e9liorations majeures : le remplacement de PBKDF2 par Argon2id comme algorithme de d\u00e9rivation de cl\u00e9 (ce qui rend les attaques par dictionnaire bien plus co\u00fbteuses), une protection contre la capture d’\u00e9cran sous Windows pour les bo\u00eetes de dialogue de mot de passe, et le support d’AppImage sur Linux pour faciliter le d\u00e9ploiement sans installation. La version 1.26.18, publi\u00e9e le 20 janvier 2025, avait d\u00e9j\u00e0 abandonn\u00e9 le support de Windows 32 bits, signalant l’orientation vers les syst\u00e8mes modernes.<\/p>\n\n\n\n

VeraCrypt op\u00e8re \u00e0 deux niveaux distincts. Le premier, le chiffrement de volume<\/strong>, cr\u00e9e des fichiers conteneurs chiffr\u00e9s (.hc) que vous pouvez copier sur une cl\u00e9 USB, envoyer par email ou stocker dans le cloud sans risque. Le second, le chiffrement de partition ou de disque entier<\/strong>, prot\u00e8ge l’int\u00e9gralit\u00e9 d’un disque interne ou externe. Les deux modes supportent les m\u00eames algorithmes et la m\u00eame robustesse cryptographique.<\/p>\n\n\n\n

Le code source de VeraCrypt est public et h\u00e9berg\u00e9 sur SourceForge et GitHub. N’importe quel chercheur ou d\u00e9veloppeur peut auditer chaque ligne du code. Cette transparence totale est l’un des arguments les plus solides en sa faveur, car aucune backdoor ne peut rester cach\u00e9e ind\u00e9finiment dans un projet aussi scrut\u00e9 par la communaut\u00e9 internationale. Le projet distribue VeraCrypt gratuitement, sans abonnement, sans publicit\u00e9, sans collecte de donn\u00e9es.<\/p>\n\n\n\n

La popularit\u00e9 de VeraCrypt d\u00e9passe largement le cercle des utilisateurs techniques. Les journalistes, les avocats, les professionnels de sant\u00e9 et les PME fran\u00e7aises confront\u00e9es aux exigences du RGPD l’utilisent pour prot\u00e9ger des donn\u00e9es personnelles ou confidentielles. Sa l\u00e9g\u00e8ret\u00e9 (installation sous 30 Mo) et son interface \u00e9pur\u00e9e permettent \u00e0 des non-sp\u00e9cialistes de l’utiliser apr\u00e8s une heure de prise en main.<\/p>\n\n\n\n

Qu’est-ce que BitLocker ? Le chiffrement natif de Windows<\/h2>\n\n\n\n

BitLocker est la solution de chiffrement int\u00e9gr\u00e9e \u00e0 Microsoft Windows depuis Vista en 2007. Il est con\u00e7u pour prot\u00e9ger les donn\u00e9es sur les PC Windows d’entreprise, en s’appuyant sur la puce TPM (Trusted Platform Module) pr\u00e9sente dans la majorit\u00e9 des ordinateurs modernes pour stocker les cl\u00e9s de d\u00e9chiffrement au d\u00e9marrage.<\/p>\n\n\n\n

En 2026, BitLocker est disponible sur Windows 10 Pro, Windows 10 Enterprise, Windows 10 Education, Windows 11 Pro, Windows 11 Enterprise et Windows 11 Education. Il est absent de Windows Home<\/strong>, qui \u00e9quipe pourtant la majorit\u00e9 des PC grand public. Pour activer BitLocker sur un PC Windows Home, il faut d’abord acheter une mise \u00e0 niveau vers Windows 11 Pro (environ 199 dollars en licence retail).<\/p>\n\n\n\n

La configuration mat\u00e9rielle requise inclut un TPM version 1.2 ou 2.0. Le TPM est un composant de s\u00e9curit\u00e9 qui g\u00e9n\u00e8re et stocke les cl\u00e9s cryptographiques de fa\u00e7on isol\u00e9e du reste du syst\u00e8me. Si le syst\u00e8me d\u00e9marre normalement, le TPM lib\u00e8re la cl\u00e9 et Windows d\u00e9verrouille le disque automatiquement, sans intervention de l’utilisateur. Ce m\u00e9canisme est pratique pour les entreprises qui g\u00e8rent des flottes de PC, car les employ\u00e9s n’ont pas \u00e0 m\u00e9moriser de mot de passe de chiffrement distinct.<\/p>\n\n\n\n

La grande force de BitLocker est son int\u00e9gration native dans l’\u00e9cosyst\u00e8me Windows. Les administrateurs syst\u00e8me peuvent piloter BitLocker via les strat\u00e9gies de groupe (Group Policy), Microsoft Intune, SCCM (System Center Configuration Manager) ou Windows Admin Center. Le d\u00e9ploiement en masse sur des centaines ou des milliers de PC se fait en quelques clics depuis une console centrale. BitLocker g\u00e9n\u00e8re automatiquement une cl\u00e9 de r\u00e9cup\u00e9ration de 48 chiffres, qui est envoy\u00e9e vers le compte Microsoft ou Azure Active Directory de l’utilisateur ou de l’organisation.<\/p>\n\n\n\n

Avec Windows 11 24H2, Microsoft a \u00e9tendu le chiffrement automatique des appareils (Device Encryption) \u00e0 un plus grand nombre de configurations mat\u00e9rielles. Sur les PC compatibles, BitLocker s’active automatiquement lors de la premi\u00e8re connexion avec un compte Microsoft. Ce comportement par d\u00e9faut am\u00e9liore la s\u00e9curit\u00e9 de base pour des millions d’appareils, mais soul\u00e8ve des questions l\u00e9gitimes sur le contr\u00f4le des cl\u00e9s par des acteurs non europ\u00e9ens, une pr\u00e9occupation centrale dans le contexte du RGPD.<\/p>\n\n\n\n

Algorithmes de chiffrement : AES seul vs biblioth\u00e8que compl\u00e8te<\/h2>\n\n\n\n

Le choix des algorithmes de chiffrement est l’un des crit\u00e8res techniques les plus importants pour \u00e9valuer la robustesse d’un outil. VeraCrypt et BitLocker prennent des approches radicalement diff\u00e9rentes.<\/p>\n\n\n\n

BitLocker utilise exclusivement AES en mode XTS<\/strong>. Il propose deux tailles de cl\u00e9 : AES-128 et AES-256. Le mode XTS (XEX-based Tweaked CodeBook mode with ciphertext Stealing) est recommand\u00e9 par le NIST pour le chiffrement de disques car il r\u00e9siste aux attaques par manipulation de blocs. Dans la pratique, la plupart des d\u00e9ploiements BitLocker utilisent AES-256 XTS, ce qui offre une s\u00e9curit\u00e9 tr\u00e8s \u00e9lev\u00e9e contre les attaques actuelles, y compris dans une perspective post-quantique \u00e0 court terme.<\/p>\n\n\n\n

VeraCrypt offre une palette bien plus large. En algorithme unique, il supporte AES-256, Twofish (256 bits), Serpent (256 bits), Camellia (256 bits) et Kuznyechik (256 bits, algorithme russe GOST R 34.12-2015). La v\u00e9ritable originalit\u00e9 de VeraCrypt r\u00e9side dans les cascades d’algorithmes<\/strong> : vous pouvez combiner deux ou trois algorithmes en s\u00e9rie, de sorte que chaque algorithme chiffre \u00e0 nouveau la sortie du pr\u00e9c\u00e9dent. Les cascades disponibles incluent AES-Twofish, AES-Twofish-Serpent, Serpent-AES, Camellia-Kuznyechik, et plusieurs autres combinaisons.<\/p>\n\n\n\n

Algorithme<\/th>VeraCrypt<\/th>BitLocker<\/th>Taille de cl\u00e9<\/th>Mode<\/th><\/tr><\/thead>
AES<\/td>Oui<\/td>Oui<\/td>256 bits<\/td>XTS<\/td><\/tr>
Twofish<\/td>Oui<\/td>Non<\/td>256 bits<\/td>XTS<\/td><\/tr>
Serpent<\/td>Oui<\/td>Non<\/td>256 bits<\/td>XTS<\/td><\/tr>
Camellia<\/td>Oui<\/td>Non<\/td>256 bits<\/td>XTS<\/td><\/tr>
Kuznyechik<\/td>Oui<\/td>Non<\/td>256 bits<\/td>XTS<\/td><\/tr>
AES-Twofish<\/td>Oui (cascade)<\/td>Non<\/td>512 bits effectifs<\/td>XTS<\/td><\/tr>
AES-Twofish-Serpent<\/td>Oui (cascade)<\/td>Non<\/td>768 bits effectifs<\/td>XTS<\/td><\/tr>
AES-128<\/td>Non<\/td>Oui (option)<\/td>128 bits<\/td>XTS<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

L’utilisation de cascades d’algorithmes dans VeraCrypt r\u00e9duit le d\u00e9bit de 30 \u00e0 40 % par rapport au chiffrement AES-256 seul. Pour la grande majorit\u00e9 des utilisateurs, AES-256 suffit largement. Les cascades sont pertinentes dans des sc\u00e9narios \u00e0 tr\u00e8s haut risque o\u00f9 vous souhaitez vous pr\u00e9munir contre une faiblesse hypoth\u00e9tique future dans AES. Le cryptographe Matthew Green souligne que “AES reste le standard incontest\u00e9 en 2026 et aucune attaque pratique connue ne le menace pour des cl\u00e9s de 256 bits.” Choisir une cascade dans VeraCrypt rel\u00e8ve davantage de la prudence maximale que d’une n\u00e9cessit\u00e9 actuelle.<\/p>\n\n\n\n

Performances et benchmarks : BitLocker 15 \u00e0 20 % plus rapide<\/h2>\n\n\n\n

La performance est souvent la premi\u00e8re objection soulev\u00e9e contre le chiffrement : “est-ce que \u00e7a ralentit mon ordinateur ?” La r\u00e9ponse honn\u00eate est oui, l\u00e9g\u00e8rement, mais l’\u00e9cart entre les deux solutions est mesurable et pr\u00e9visible.<\/p>\n\n\n\n

BitLocker b\u00e9n\u00e9ficie d’une int\u00e9gration au niveau du noyau Windows<\/strong> et exploite les instructions AES-NI du processeur (pr\u00e9sentes dans la quasi-totalit\u00e9 des Intel Core depuis Sandy Bridge et AMD Ryzen depuis le premier g\u00e9n\u00e9ration). Cette int\u00e9gration native lui conf\u00e8re un avantage syst\u00e9matique de 15 \u00e0 20 % sur VeraCrypt lorsque les deux utilisent AES-256 en mode simple.<\/p>\n\n\n\n

Support de stockage<\/th>VeraCrypt (AES-256)<\/th>BitLocker (AES-256 XTS)<\/th>VeraCrypt (cascade AES-Twofish-Serpent)<\/th><\/tr><\/thead>
SSD NVMe (lecture)<\/td>~430 Mo\/s<\/td>~600 Mo\/s<\/td>~270 Mo\/s<\/td><\/tr>
SSD NVMe (\u00e9criture)<\/td>~400 Mo\/s<\/td>~550 Mo\/s<\/td>~250 Mo\/s<\/td><\/tr>
SSD SATA (lecture)<\/td>~480 Mo\/s<\/td>~530 Mo\/s<\/td>~290 Mo\/s<\/td><\/tr>
HDD 7200 tpm (lecture)<\/td>~135 Mo\/s<\/td>~185 Mo\/s<\/td>~90 Mo\/s<\/td><\/tr>
HDD 7200 tpm (\u00e9criture)<\/td>~120 Mo\/s<\/td>~175 Mo\/s<\/td>~80 Mo\/s<\/td><\/tr>
Cl\u00e9 USB 3.0<\/td>~95 Mo\/s<\/td>N\/A (non support\u00e9)<\/td>~60 Mo\/s<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Ces chiffres refl\u00e8tent des tests sur un processeur moderne supportant les instructions AES-NI. En pratique, cet \u00e9cart de performance est imperceptible lors de l’utilisation quotidienne d’un PC. La latence d’ouverture d’un document Word ou d’une feuille Excel chiffr\u00e9e est inf\u00e9rieure \u00e0 1 milliseconde. L’\u00e9cart ne devient visible que lors de copies massives de fichiers volumineux, par exemple lors d’une sauvegarde de plusieurs dizaines de gigaoctets.<\/p>\n\n\n\n

Pour les SSD NVMe modernes capables de d\u00e9bits bruts de 3 000 \u00e0 7 000 Mo\/s, le chiffrement devient le goulot d’\u00e9tranglement dans les deux cas. BitLocker plafonne vers 600 Mo\/s et VeraCrypt vers 430 Mo\/s avec AES-256, soit des performances tr\u00e8s largement suffisantes pour les workloads de bureau et m\u00eame de d\u00e9veloppement intensif.<\/p>\n\n\n\n

La conclusion pratique : si vous chiffrez avec AES-256 (recommand\u00e9 dans les deux cas), l’impact performance de VeraCrypt sur les t\u00e2ches quotidiennes est n\u00e9gligeable. Si vous avez besoin du meilleur d\u00e9bit absolu et que vous restez sur Windows, BitLocker gagne. Si vous utilisez des cascades dans VeraCrypt pour une s\u00e9curit\u00e9 maximale, attendez-vous \u00e0 une perte de vitesse de 30 \u00e0 40 % suppl\u00e9mentaire.<\/p>\n\n\n\n

S\u00e9curit\u00e9 et audits : transparence contre confiance aveugle<\/h2>\n\n\n\n

La diff\u00e9rence la plus fondamentale entre VeraCrypt et BitLocker sur le plan de la s\u00e9curit\u00e9 n’est pas algorithmique mais structurelle : l’un a \u00e9t\u00e9 audit\u00e9 publiquement, l’autre non.<\/p>\n\n\n\n

L’audit VeraCrypt par QuarksLab et OSTIF<\/h3>\n\n\n\n

L’Open Source Technology Improvement Fund (OSTIF) a financ\u00e9 en 2016 un audit de s\u00e9curit\u00e9 complet de VeraCrypt, r\u00e9alis\u00e9 par le cabinet fran\u00e7ais QuarksLab. Cet audit a pass\u00e9 en revue le code source de VeraCrypt ligne par ligne, identifi\u00e9 8 vuln\u00e9rabilit\u00e9s (dont 2 critiques) et fourni aux d\u00e9veloppeurs les corrections correspondantes. Ces correctifs ont \u00e9t\u00e9 int\u00e9gr\u00e9s dans les versions suivantes. Le rapport complet est public et consultable sur le site d’OSTIF. C’est la pratique attendue pour un logiciel de s\u00e9curit\u00e9 s\u00e9rieux : identifier, corriger, publier.<\/p>\n\n\n\n

Aucun audit \u00e9quivalent n’a \u00e9t\u00e9 r\u00e9alis\u00e9 depuis lors sur VeraCrypt, mais la communaut\u00e9 de chercheurs en s\u00e9curit\u00e9 examine r\u00e9guli\u00e8rement le code. La nature open source garantit que des milliers de pairs peuvent rep\u00e9rer des anomalies. Ce mod\u00e8le de “s\u00e9curit\u00e9 par la transparence” est la norme dans le monde de la cryptographie s\u00e9rieuse.<\/p>\n\n\n\n

BitLocker : aucun audit public, une vuln\u00e9rabilit\u00e9 critique en 2024<\/h3>\n\n\n\n

BitLocker n’a fait l’objet d’aucun audit public ind\u00e9pendant. Microsoft ne publie pas le code source de BitLocker, ce qui rend un audit communautaire impossible. Les chercheurs en s\u00e9curit\u00e9 ne peuvent analyser que le comportement observable de l’outil, pas sa logique interne.<\/p>\n\n\n\n

En juillet 2024, Microsoft a corrig\u00e9 la vuln\u00e9rabilit\u00e9 CVE-2024-38058<\/strong>, un contournement de la protection BitLocker. Le score CVSS 3.1 est de 6,8<\/strong> (vecteur AV:P\/AC:L\/PR:N\/UI:N\/S:U\/C:H\/I:H\/A:H). Cette vuln\u00e9rabilit\u00e9 n\u00e9cessite un acc\u00e8s physique \u00e0 l’appareil, mais permet \u00e0 un attaquant d’outrepasser BitLocker sans conna\u00eetre le mot de passe. L’advisory Microsoft est disponible sur le Microsoft Security Response Center. Ce n’est pas la premi\u00e8re vuln\u00e9rabilit\u00e9 de ce type dans BitLocker : les attaques par cold boot (r\u00e9cup\u00e9ration des cl\u00e9s depuis la RAM apr\u00e8s arr\u00eat brutal) restent une menace pratique sur les appareils non configur\u00e9s pour effacer la RAM au d\u00e9marrage.<\/p>\n\n\n\n

La comparaison est \u00e9loquente : VeraCrypt a subi un audit public exhaustif, ses failles ont \u00e9t\u00e9 corrig\u00e9es et document\u00e9es. BitLocker n’a pas d’audit public et des CVE identifi\u00e9es par Microsoft lui-m\u00eame r\u00e9v\u00e8lent des failles de contournement. Pour un outil qui prot\u00e8ge potentiellement des donn\u00e9es soumises au RGPD, cette asym\u00e9trie de transparence est significative.<\/p>\n\n\n\n

Volumes cach\u00e9s et d\u00e9ni plausible : l’arme secr\u00e8te de VeraCrypt<\/h2>\n\n\n\n

VeraCrypt impl\u00e9mente une fonctionnalit\u00e9 unique qui n’a pas d’\u00e9quivalent dans BitLocker : les volumes cach\u00e9s<\/strong> (hidden volumes). Cette fonctionnalit\u00e9 r\u00e9pond \u00e0 un sc\u00e9nario pr\u00e9cis : que se passe-t-il si vous \u00eates contraint de r\u00e9v\u00e9ler votre mot de passe par une autorit\u00e9, un agresseur ou dans le cadre d’une proc\u00e9dure judiciaire ?<\/p>\n\n\n\n

Un volume VeraCrypt chiffr\u00e9 standard peut contenir, \u00e0 l’int\u00e9rieur m\u00eame, un second volume enti\u00e8rement invisible. Le volume “ext\u00e9rieur” est prot\u00e9g\u00e9 par un mot de passe A et contient des donn\u00e9es anodines. Le volume “cach\u00e9” est prot\u00e9g\u00e9 par un mot de passe B et contient les donn\u00e9es vraiment sensibles. Si vous entrez le mot de passe A, le logiciel monte le volume ext\u00e9rieur. Si vous entrez le mot de passe B, il monte le volume cach\u00e9. Sans le mot de passe B, l’existence du volume cach\u00e9 est cryptographiquement ind\u00e9tectable : les espaces libres du volume ext\u00e9rieur contiennent les donn\u00e9es chiffr\u00e9es du volume cach\u00e9, indiscernables d’un bruit al\u00e9atoire.<\/p>\n\n\n\n

Cette fonctionnalit\u00e9 s’appelle le d\u00e9ni plausible<\/strong> (plausible deniability). Elle est particuli\u00e8rement pertinente pour les journalistes d’investigation travaillant sur des sources sensibles, les avocats transportant des dossiers clients, les militants dans des r\u00e9gimes autoritaires, les professionnels voyageant dans des pays o\u00f9 les appareils peuvent \u00eatre fouill\u00e9s \u00e0 la douane.<\/p>\n\n\n\n

VeraCrypt va encore plus loin avec les syst\u00e8mes d’exploitation cach\u00e9s<\/strong> : il est possible d’avoir un Windows cach\u00e9 qui ne d\u00e9marre que si vous entrez un mot de passe sp\u00e9cifique au d\u00e9marrage. Pour un attaquant qui ignore cette configuration, le PC semble contenir un Windows normal.<\/p>\n\n\n\n

BitLocker ne propose rien de comparable. Il chiffre le disque, prot\u00e8ge le d\u00e9marrage avec le TPM et un PIN \u00e9ventuel, mais un utilisateur contraint de r\u00e9v\u00e9ler son PIN n’a aucune alternative plausible \u00e0 pr\u00e9senter. C’est une limitation significative dans les cas d’usage \u00e0 haut risque.<\/p>\n\n\n\n

Escrow de cl\u00e9s BitLocker : vos 48 chiffres chez Microsoft<\/h2>\n\n\n\n

Lorsque BitLocker s’active sur un PC connect\u00e9 \u00e0 un compte Microsoft, il g\u00e9n\u00e8re automatiquement une cl\u00e9 de r\u00e9cup\u00e9ration de 48 chiffres et la t\u00e9l\u00e9charge sur les serveurs de Microsoft (compte Microsoft personnel) ou d’Azure Active Directory (environnement d’entreprise). Ce processus est appel\u00e9 key escrow<\/strong>.<\/p>\n\n\n\n

Du point de vue de la commodit\u00e9, c’est une fonctionnalit\u00e9 utile : si vous oubliez votre PIN ou si le TPM est r\u00e9initialis\u00e9 apr\u00e8s une mise \u00e0 jour firmware, vous pouvez r\u00e9cup\u00e9rer vos donn\u00e9es en vous connectant \u00e0 votre compte Microsoft et en saisissant la cl\u00e9 de r\u00e9cup\u00e9ration. Microsoft pr\u00e9sente cela comme une protection contre la perte de donn\u00e9es.<\/p>\n\n\n\n

Du point de vue de la s\u00e9curit\u00e9 et de la confidentialit\u00e9, c’est une probl\u00e9matique s\u00e9rieuse. Microsoft dispose de votre cl\u00e9 de chiffrement<\/strong>. Cela signifie que :<\/p>\n\n\n\n