Windows gère la création des certificats EFS (Encrypting File System) de manière automatique lorsque
vous choisissez de chiffrer un fichier ou un dossier pour la première fois. Vous n'avez pas besoin de
"créer" un certificat EFS manuellement via un outil spécifique comme vous le feriez pour d'autres types
de certificats.
Voici comment cela fonctionne et ce que vous devez faire :
1. Le processus de création automatique du certificat EFS :
* Prérequis : Le dossier ou le fichier que vous souhaitez chiffrer doit se trouver sur une partition
formatée en NTFS. EFS ne fonctionne pas sur FAT32 ou exFAT.
* Première utilisation : La première fois que vous tentez de chiffrer un fichier ou un dossier sur votre
compte utilisateur Windows :
* Windows vérifie si un certificat EFS existe déjà pour votre profil utilisateur.
* Si ce n'est pas le cas, Windows génère automatiquement un certificat EFS auto-signé (un certificat
que Windows lui-même a émis) pour votre compte utilisateur. Ce certificat est ensuite stocké dans votre
magasin de certificats personnel.
* Ce certificat est alors utilisé pour chiffrer la clé de chiffrement des fichiers (File Encryption Key - FEK),
qui est elle-même utilisée pour chiffrer les données de vos fichiers.
2. Comment chiffrer un fichier/dossier et déclencher la création du certificat :
* Naviguez jusqu'au fichier ou dossier que vous souhaitez chiffrer dans l'Explorateur de fichiers.
* Faites un clic droit sur le fichier ou dossier et sélectionnez Propriétés.
* Dans l'onglet Général, cliquez sur le bouton Avancé...
* Dans la fenêtre "Attributs avancés", cochez la case "Crypter le contenu pour sécuriser les données"
(Encrypt contents to secure data).
* Cliquez sur OK, puis sur Appliquer.
* Si vous chiffrez un dossier, Windows vous demandera si vous voulez chiffrer uniquement le dossier ou
le dossier et tous ses sous-dossiers et fichiers. Choisissez l'option appropriée.
* Windows appliquera le chiffrement. Si c'est la première fois que vous faites cela sur votre compte, le
certificat EFS sera créé en arrière-plan.
3. Vérifier et exporter votre certificat EFS (très important !) :
Une fois que vous avez chiffré des fichiers avec EFS, il est ABSOLUMENT CRUCIAL d'exporter votre
certificat EFS avec sa clé privée et de le sauvegarder dans un endroit sûr (clé USB, disque externe, cloud
sécurisé). Si votre système d'exploitation est corrompu, si vous réinitialisez Windows sans conserver vos
�fichiers, ou si votre profil utilisateur est endommagé, vous perdrez l'accès à vos fichiers chiffrés sans ce
certificat et sa clé privée.
Voici comment exporter votre certificat :
* Ouvrez la console de gestion des certificats :
* Appuyez sur Windows + R, tapez certmgr.msc et appuyez sur Entrée.
* Ou, recherchez "Certificats" dans le menu Démarrer et ouvrez "Gérer les certificats utilisateur".
* Dans le volet de gauche, développez Certificats - Utilisateur actuel > Personnel > Certificats.
* Recherchez un certificat qui a votre nom d'utilisateur et "Système de fichiers de chiffrement" ou
"Encrypting File System" dans la colonne "Objectifs" (Intended Purposes) ou "Rôles prévus". Il aura une
icône de cadenas sur sa clé.
* Faites un clic droit sur ce certificat, sélectionnez Toutes les tâches > Exporter...
* L'Assistant Exportation de certificat s'ouvre :
* Cliquez sur Suivant.
* Sélectionnez "Oui, exporter la clé privée". C'est essentiel ! Sans la clé privée, le certificat n'est pas
utilisable pour déchiffrer.
* Cliquez sur Suivant.
* Laissez le format par défaut : "Échange d'informations personnelles - PKCS #12 (.PFX)". Cochez
"Inclure tous les certificats dans le chemin de certification si possible" et "Exporter toutes les propriétés
étendues".
* Cliquez sur Suivant.
* Définissez un mot de passe fort pour protéger le fichier .pfx et confirmez-le. Notez ce mot de passe
et gardez-le en sécurité !
* Cliquez sur Suivant.
* Spécifiez un nom de fichier et un emplacement pour enregistrer votre certificat exporté (par
exemple, C:\Sauvegardes\mon_certificat_efs.pfx). Choisissez un emplacement en dehors de votre
disque dur principal (clé USB, disque externe, cloud).
* Cliquez sur Suivant, puis sur Terminer.
Conseils supplémentaires :
� * Agent de récupération de données (DRA) : Dans un environnement d'entreprise avec un domaine
Active Directory, des agents de récupération de données peuvent être configurés pour déchiffrer les
fichiers de n'importe quel utilisateur. C'est une mesure de sécurité pour garantir l'accès aux données de
l'entreprise même si l'utilisateur quitte ou perd son certificat. Pour un utilisateur domestique, ce n'est
généralement pas pertinent.
* Ne pas confondre EFS et BitLocker : EFS chiffre des fichiers ou dossiers individuels, tandis que
BitLocker chiffre des lecteurs entiers. Si vous utilisez BitLocker, EFS devient moins nécessaire car
l'ensemble du disque est déjà protégé.
En bref, vous ne "créez" pas un certificat EFS à la main ; Windows le fait pour vous la première fois que
vous chiffrez un fichier. La tâche cruciale est de l'exporter et de le sauvegarder pour éviter la perte
définitive de vos données chiffrées.
