La récupération de données sur un lecteur chiffré avec BitLocker ne relève pas du même cas de figure selon la situation. Un mot de passe oublié, avec la clé de récupération encore disponible, se règle en cinq minutes. En revanche, une table de partitions corrompue sur un volume chiffré, ou un disque système ayant perdu son association avec le TPM après une modification matérielle, constitue un scénario totalement différent : le volume est toujours présent, mais le localiser et le déverrouiller demande plus que la saisie d’un mot de passe dans Windows. Ce guide couvre les deux cas, pour le volume système (C:) ainsi que pour tout volume de données chiffré supplémentaire (D:).

Contenu
- Volumes, pas disques : ce que protège réellement BitLocker
- Pourquoi un lecteur chiffré avec BitLocker devient inaccessible
- Où trouver votre clé de récupération BitLocker
- Comment récupérer des données sur un disque chiffré avec BitLocker à l’aide de RS Partition Recovery
- Pourquoi l’analyse brute ne fonctionne pas sur un volume BitLocker verrouillé
| Situation | Action à effectuer | Difficulté |
|---|---|---|
| Mot de passe oublié, mais la clé de récupération à 48 chiffres ou le fichier BEK est disponible | Déverrouiller directement avec la clé pendant la phase de récupération de données | Faible |
| Le TPM ne déverrouille pas le lecteur après une modification de la carte mère ou du micrologiciel UEFI | Utiliser la clé de récupération à la place du déverrouillage automatique par TPM | Moyenne |
| Table de partitions endommagée, volume affiché en RAW ou comme espace non alloué | Le logiciel de récupération localise le volume à l’aide de sa signature FVE, et non de la table de partitions | Élevée |
| Le chiffrement ou le déchiffrement a été interrompu en cours de processus | Le volume est partiellement chiffré ; le déverrouiller avec la clé et effectuer ensuite une analyse comme d’habitude | Moyenne |
| Clé de récupération totalement perdue, sans aucune sauvegarde | Aucune possibilité de récupérer les données : le chiffrement remplit son rôle | Non récupérable |
Volumes, pas disques : ce que protège réellement BitLocker
BitLocker chiffre un volume, et non un disque physique. Un disque peut contenir plusieurs partitions, et seules certaines d’entre elles peuvent être protégées par BitLocker ; la procédure de récupération dépend donc du volume concerné et de son état.
En interne, BitLocker génère une clé de chiffrement complet du volume (FVEK, Full Volume Encryption Key) et chiffre chaque secteur du volume avec AES, en mode CBC ou XTS, avec l’ajout de l’Elephant Diffuser sur les anciennes versions de Windows. La FVEK est encapsulée par une clé maître du volume (VMK, Volume Master Key), elle-même protégée par un ou plusieurs mécanismes : TPM (Trusted Platform Module), code PIN, mot de passe, carte à puce ou clé de récupération à 48 chiffres. Il n’est pas nécessaire de connaître directement la FVEK : un seul protecteur fonctionnel suffit pour déverrouiller la VMK et accéder au volume. Vous pouvez vérifier quels protecteurs sont configurés sur un système en cours d’exécution avec :
manage-bde -protectors -get C:

Cela explique également pourquoi une table de partition corrompue n’est pas une impasse pour la récupération de données BitLocker.
Les métadonnées FVE qui décrivent le volume sont indépendantes de la table de partition : il s’agit d’une structure distincte avec sa propre signature. Si la table de partition a disparu, Windows affiche le volume comme de l’espace RAW ou non alloué, mais les secteurs chiffrés et l’en-tête FVE n’ont pas été déplacés. Un outil qui ne lit que la table de partition renverra « aucune partition trouvée ». RS Partition Recovery recherche directement la signature FVE au niveau du disque, avant toute saisie de clé ; il identifie donc le volume BitLocker même lorsque la table de partition n’existe plus.
Ne lancez pas un formatage rapide ni une opération « initialiser le disque » sur un volume affiché comme RAW ou non alloué s’il peut être protégé par BitLocker. Ces deux opérations peuvent écraser la zone de la table de partition ainsi que les métadonnées FVE nécessaires pour localiser le volume, transformant une situation récupérable en cas irrécupérable.
Les protecteurs diffèrent généralement entre un volume système et un volume de données, même si le format des métadonnées FVE est identique dans les deux cas :
- Volume système/d’amorçage (C:) : généralement protégé par TPM, souvent associé à un code PIN. Le TPM lie la clé à la carte mère et à la configuration de démarrage spécifiques ; si le disque est déplacé vers une autre machine, le protecteur TPM devient inutilisable. Le seul accès possible passe alors par la clé de récupération ou par un mot de passe, si l’un de ces mécanismes a été configuré.
- Volume de données (D:) : utilise couramment un mot de passe, une carte à puce ou le déverrouillage automatique, dans lequel la VMK du lecteur D est chiffrée avec une clé stockée sur le volume système (elle-même chiffrée) et est libérée automatiquement au démarrage de Windows sur la machine d’origine. En dehors de ce système d’exploitation d’origine, le déverrouillage automatique ne se déclenche pas, et le lecteur D nécessite son propre protecteur fonctionnel — généralement une clé de récupération distincte de celle utilisée pour C.
C’est pourquoi un même disque peut demander une clé de récupération pour C au démarrage, puis refuser toute autre solution hormis une clé complètement différente pour D : les deux volumes ne sont pas nécessairement protégés par le même mécanisme, même si le processus de déchiffrement lui-même est identique dès qu’un protecteur valide est fourni.
Pourquoi un lecteur chiffré avec BitLocker devient inaccessible
La défaillance d’un protecteur n’est qu’une catégorie de problème. En pratique, les difficultés d’accès relèvent de რამდენიმე schémas récurrents :
- Le remplacement de la carte mère, une mise à jour de l’UEFI/BIOS ou une modification de la configuration Secure Boot invalident l’état du TPM, et le système revient à la demande de la clé de récupération.
- Le chiffrement ou le déchiffrement est interrompu — coupure de courant, arrêt forcé, processus
manage-bdequi plante —, ce qui laisse le volume partiellement chiffré. - Le disque est déplacé vers une autre machine qui n’a aucun rattachement TPM, et seule la clé de récupération ou le mot de passe fonctionne.
- La table de partition est endommagée ou écrasée (erreurs du gestionnaire de disques, réinstallation du système d’exploitation ayant échoué, repartitionnement accidentel), et le volume apparaît comme RAW ou non alloué alors qu’il reste chiffré et intact en dessous.
- Le contrôleur de domaine qui héberge la clé de récupération n’est plus accessible, ou la clé n’a jamais été consignées dans un emplacement accessible à l’utilisateur actuel.
- Un disque présentant des secteurs défectueux atteint la zone contenant les métadonnées FVE, et BitLocker ne parvient plus à analyser son propre en-tête.
Vérification rapide de l’état du volume et des protecteurs avant toute autre opération :
manage-bde -status C:
Cette commande affiche le pourcentage de chiffrement, la méthode utilisée et l’état de verrouillage — utile pour distinguer une opération de chiffrement interrompue d’un volume réellement endommagé avant de choisir une méthode de récupération.
Où trouver votre clé de récupération BitLocker
Avant de supposer que les données sont perdues, il est recommandé de vérifier les emplacements habituels où se trouve une clé de récupération BitLocker :
- Un compte Microsoft — si le PC a été configuré avec ce type de compte, la clé est souvent téléversée automatiquement et accessible à l’adresse account.microsoft.com/devices/recoverykey.
- Une copie imprimée ou un fichier texte enregistré lors de la configuration, généralement nommé avec l’identifiant unique du lecteur (par exemple,
BitLocker Recovery Key XXXXXXXX-XXXX-...txt). - Azure AD / Entra ID, pour les appareils gérés par l’entreprise ou l’établissement scolaire — un administrateur peut la retrouver à partir de l’appareil ou de l’ID de clé.
- Un administrateur de domaine, si l’ordinateur est joint à un domaine Active Directory local qui conserve les clés BitLocker.
- Une clé USB enregistrée, si le volume a été configuré pour le déverrouillage à l’aide d’un fichier de clé de démarrage (BEK) plutôt qu’avec un mot de passe saisi manuellement.
Si plusieurs clés sont trouvées, associez-les à l’aide de l’ID de clé — le même identifiant que celui affiché sur l’écran de déverrouillage ou signalé par RS Partition Recovery lors de la détection du volume, car chaque protecteur est lié à une VMK spécifique.
Comment récupérer des données sur un disque chiffré avec BitLocker à l’aide de RS Partition Recovery
RS Partition Recovery détecte un volume BitLocker lors de l’analyse initiale du disque, que la table des partitions soit intacte ou non. La clé, le mot de passe ou le fichier BEK est demandé avant le début de l’analyse, et non en cours de traitement ; le flux de travail est donc le suivant :

Connectez le disque et lancez une analyse. Le programme identifie le volume BitLocker grâce à sa signature FVE, même si la table des partitions est absente ou si le volume apparaît comme RAW.
Lorsque vous y êtes invité, fournissez un mot de passe, la clé de récupération à 48 chiffres ou un ou plusieurs fichiers de clé .bek. Plusieurs fichiers BEK peuvent être ajoutés en une seule fois si l’on ne sait pas lequel correspond.

Si la clé est incorrecte, le programme signale immédiatement une erreur de déverrouillage ; il ne tente pas d’analyser aveuglément les secteurs chiffrés comme s’il s’agissait de données en clair.
Une fois le volume déverrouillé, le déchiffrement s’effectue à la volée pendant l’analyse, de la même manière que le pilote BitLocker intégré le déchiffre lors de l’utilisation normale de Windows.

Examinez l’arborescence des fichiers récupérés et enregistrez les résultats sur un autre disque physique que le disque source.
Un volume partiellement chiffré — lorsque le chiffrement ou le déchiffrement a été interrompu en cours d’exécution — est traité de la même manière : il suffit de fournir le protecteur fonctionnel, et l’outil poursuit l’analyse sans exiger que le processus soit d’abord terminé ou annulé.
Pourquoi l’analyse brute ne fonctionne pas sur un volume BitLocker verrouillé
Les secteurs chiffrés sont statistiquement indiscernables de données aléatoires. Un outil de récupération qui analyse un volume BitLocker verrouillé en recherchant des signatures de type de fichier — l’en-tête JPEG, l’en-tête local ZIP, et ainsi de suite — peut parfois faire correspondre ces motifs d’octets par simple hasard à l’intérieur du flux chiffré. Le résultat ressemble à une analyse classique : une liste de fichiers .jpg, .zip ou .docx « récupérés ». Aucun ne s’ouvrira, car aucun fichier réel n’a jamais existé à cet emplacement : la correspondance avec la signature était fortuite. Il s’agit d’une source de confusion fréquente lorsqu’un outil ne prend pas du tout en charge BitLocker et traite simplement le volume comme des données non structurées.
Un mot de passe BitLocker oublié ne peut pas être récupéré comme un mot de passe de compte Windows oublié à l’aide d’un outil de cassage de hachage. Les mots de passe de connexion Windows sont vérifiés par rapport à un hachage stocké sur la même machine ; les protecteurs BitLocker dérivent une clé utilisée directement pour le chiffrement AES, sans raccourci équivalent. Sans le mot de passe d’origine, la seule méthode d’accès consiste à utiliser la clé de récupération ou, si cette option a été configurée, un fichier BEK.
Questions fréquemment posées
manage-bde -resume C:. Si cela échoue, ou si l'objectif est simplement de récupérer les fichiers, déverrouiller le volume avec la clé de récupération et l'analyser directement permet d'accéder aux données, quelle que soit l'avancement du processus.





