Chiffrement complet du disque en 2026 : LUKS, BitLocker, FileVault et VeraCrypt comparés
published 12 juin 2026 · #chiffrement #luks #opsec
Le chiffrement complet du disque (FDE — Full Disk Encryption) est l’un des rares contrôles de sécurité qui offre une garantie quasi absolue dans un modèle de menace clairement délimité : si quelqu’un s’empare physiquement de votre appareil alors qu’il est éteint, il ne peut pas lire vos fichiers. Cette garantie s’est discrètement généralisée pendant une décennie. En 2026, tous les principaux systèmes d’exploitation desktop et laptop embarquent le FDE soit activé par défaut, soit à une case à cocher près. Pourtant la plupart des utilisateurs qui l’activent ne savent pas exactement ce qu’ils obtiennent — et surtout, ce qu’ils n’obtiennent pas.
Ce guide couvre les quatre solutions dominantes — LUKS2 sur Linux, BitLocker sur Windows, FileVault sur macOS, et VeraCrypt comme option multiplateforme — et vous donne les bases factuelles pour choisir, configurer et utiliser chacune correctement.
Ce que le chiffrement complet du disque protège réellement
Le scénario classique est un laptop volé. Votre disque est chiffré avec une phrase de passe robuste. Le voleur démarre une clé USB live, monte le disque, et ne trouve que du texte chiffré. Sans la clé, les données sont illisibles. C’est le scénario pour lequel le FDE a été conçu, et il le gère bien.
Un scénario connexe est la saisie légale à l’arrêt. Inspection douanière, mandat de perquisition exécuté en votre absence, appareil saisi et copié avant votre présence. Si l’appareil est éteint lors de la saisie, le FDE tient. Plusieurs tribunaux dans de multiples juridictions ont débattu si forcer la divulgation d’une phrase de passe est une parole protégée ; la loi varie, mais la cryptographie est solide.
Ce que le FDE ne protège pas
Le chiffrement complet du disque protège les données au repos. Une fois l’OS démarré et le volume déchiffré, les données sont accessibles à tout processus s’exécutant sur ce système — y compris les malwares. Si un attaquant a une exécution de code à distance sur un système en marche, le FDE n’offre aucune protection.
Attaques evil maid. Si un attaquant a un accès physique à un appareil éteint, démarre un OS live, modifie votre chargeur de démarrage ou noyau, et remet l’appareil avant que vous ne le remarquiez, il peut capturer votre phrase de passe la prochaine fois que vous la tapez. Les solutions basées sur TPM (voir BitLocker ci-dessous) atténuent ceci en mesurant la chaîne de démarrage, mais introduisent leurs propres compromis.
LUKS2 sur Linux
LUKS (Linux Unified Key Setup) est la solution standard de chiffrement du disque pour Linux, et LUKS2 est la version actuelle. Il est intégré dans le noyau Linux via dm-crypt et est activé par défaut dans les installateurs de la plupart des distributions majeures.
Architecture : LUKS chiffre au niveau des blocs — il s’interpose entre le système de fichiers et le disque physique. Les métadonnées (paramètres de chiffrement, emplacement du sel, clé maîtresse chiffrée) sont stockées dans un en-tête LUKS au début du volume. Vous pouvez avoir jusqu’à 32 slots de clé, permettant plusieurs phrases de passe ou clés.
Algorithme par défaut : AES-256 en mode XTS, avec PBKDF2 ou Argon2id pour la dérivation de clé. Argon2id est préférable pour les nouvelles configurations — il est résistant aux attaques GPU et aux attaques à mémoire variable.
Cas d’usage pour le stockage dans le cloud : si vous sauvegardez vos données dans le cloud, le FDE ne protège vos données sauvegardées que si vous avez chiffré avant d’uploader. Le contenu déchiffré qui synchrone avec votre cloud expose les données au fournisseur.
BitLocker sur Windows
BitLocker est le chiffrement complet du disque de Microsoft, disponible sur les éditions Pro, Enterprise et Education de Windows 10 et 11. Sur les appareils modernes, il est souvent activé automatiquement lors de la configuration.
Modes de fonctionnement : BitLocker peut fonctionner avec un TPM seul (transparence totale pour l’utilisateur, protection limitée), avec TPM + PIN (recommandé), ou avec une clé USB comme facteur de démarrage.
Le mode TPM seul est ce que la plupart des utilisateurs ont sans le savoir. Dans ce mode, BitLocker déchiffre automatiquement le disque si la chaîne de démarrage n’a pas été altérée. Protection contre le vol — oui. Protection contre quelqu’un qui démarre votre propre OS et obtient l’accès à vos fichiers — non.
FileVault sur macOS
FileVault est l’implémentation de chiffrement complet du disque d’Apple pour macOS. Sur les Macs Apple Silicon (M1 et ultérieurs), il est activé par défaut et profondément intégré avec la puce sécurisée T2/Secure Enclave.
Architecture sur Apple Silicon : Le chiffrement est appliqué au niveau matériel par l’Apple Silicon SoC. La clé de déchiffrement est liée à l’Enclave Sécurisée et ne quitte jamais le chip. Cette intégration signifie que le FDE sur les Macs récents est substantiellement plus difficile à contourner que les implémentations logicielles pures.
VeraCrypt : l’option multiplateforme
VeraCrypt est le successeur de TrueCrypt, la solution de chiffrement multiplateforme la plus utilisée avant que son développement ne soit suspendu en 2014. VeraCrypt est maintenu activement, open source, et supporte Windows, macOS et Linux.
Cas d’usage : VeraCrypt est mieux adapté à la création de conteneurs chiffrés (volumes chiffrés portables) que comme remplacement du chiffrement complet du disque OS — bien qu’il supporte aussi le FDE du volume système.
Volumes cachés : VeraCrypt supporte les volumes cachés avec déni plausible — deux phrases de passe donnant accès à deux volumes différents, sans moyen de prouver l’existence du second. Cette fonctionnalité a une valeur pour les utilisateurs dans des juridictions où la contrainte à divulguer des phrases de passe est légale.
Tableau comparatif
| Solution | OS | Type de chiffrement | Open source | Intégration TPM |
|---|---|---|---|---|
| LUKS2 | Linux | Volume | Oui | Via systemd-cryptenroll |
| BitLocker | Windows | Disque complet | Non | Oui (requis recommandé) |
| FileVault | macOS | Disque complet | Non | Oui (Secure Enclave) |
| VeraCrypt | Tous | Volume / Système | Oui | Limité |
Recommandations pratiques
Si vous utilisez Linux : activez LUKS2 pendant l’installation avec Argon2id. N’oubliez pas de sauvegarder votre en-tête LUKS quelque part de sûr — perdre l’en-tête signifie perdre définitivement l’accès aux données.
Si vous utilisez Windows : activez BitLocker avec un PIN en plus du TPM. Sauvegardez votre clé de récupération dans votre compte Microsoft ou sur papier dans un endroit sûr.
Si vous utilisez macOS : activez FileVault si ce n’est pas déjà fait. Sur Apple Silicon il est presque toujours déjà actif.
Pour tous les OS : le FDE ne protège que les données au repos. Combinez-le avec une politique de chiffrement pour vos sauvegardes cloud, et considérez le chiffrement au niveau application (PGP, Signal) pour vos communications.
Pour une couverture des systèmes d’exploitation qui intègrent FDE dans leur architecture de sécurité plus large, consultez nos guides sur Qubes OS et Tails OS.