Comment récupérer des données à partir d’un lecteur chiffré avec BitLocker

La récupération de données sur un lecteur chiffré avec BitLocker ne relève pas du même cas de figure selon la situation. Un mot de passe oublié, avec la clé de récupération encore disponible, se règle en cinq minutes. En revanche, une table de partitions corrompue sur un volume chiffré, ou un disque système ayant perdu son association avec le TPM après une modification matérielle, constitue un scénario totalement différent : le volume est toujours présent, mais le localiser et le déverrouiller demande plus que la saisie d’un mot de passe dans Windows. Ce guide couvre les deux cas, pour le volume système (C:) ainsi que pour tout volume de données chiffré supplémentaire (D:).

Comment récupérer des données à partir d’un lecteur chiffré avec BitLocker

Contenu

  1. Volumes, pas disques : ce que protège réellement BitLocker
  2. Pourquoi un lecteur chiffré avec BitLocker devient inaccessible
  3. Où trouver votre clé de récupération BitLocker
  4. Comment récupérer des données sur un disque chiffré avec BitLocker à l’aide de RS Partition Recovery
  5. Pourquoi l’analyse brute ne fonctionne pas sur un volume BitLocker verrouillé
Situation Action à effectuer Difficulté
Mot de passe oublié, mais la clé de récupération à 48 chiffres ou le fichier BEK est disponible Déverrouiller directement avec la clé pendant la phase de récupération de données Faible
Le TPM ne déverrouille pas le lecteur après une modification de la carte mère ou du micrologiciel UEFI Utiliser la clé de récupération à la place du déverrouillage automatique par TPM Moyenne
Table de partitions endommagée, volume affiché en RAW ou comme espace non alloué Le logiciel de récupération localise le volume à l’aide de sa signature FVE, et non de la table de partitions Élevée
Le chiffrement ou le déchiffrement a été interrompu en cours de processus Le volume est partiellement chiffré ; le déverrouiller avec la clé et effectuer ensuite une analyse comme d’habitude Moyenne
Clé de récupération totalement perdue, sans aucune sauvegarde Aucune possibilité de récupérer les données : le chiffrement remplit son rôle Non récupérable

Volumes, pas disques : ce que protège réellement BitLocker

BitLocker chiffre un volume, et non un disque physique. Un disque peut contenir plusieurs partitions, et seules certaines d’entre elles peuvent être protégées par BitLocker ; la procédure de récupération dépend donc du volume concerné et de son état.

En interne, BitLocker génère une clé de chiffrement complet du volume (FVEK, Full Volume Encryption Key) et chiffre chaque secteur du volume avec AES, en mode CBC ou XTS, avec l’ajout de l’Elephant Diffuser sur les anciennes versions de Windows. La FVEK est encapsulée par une clé maître du volume (VMK, Volume Master Key), elle-même protégée par un ou plusieurs mécanismes : TPM (Trusted Platform Module), code PIN, mot de passe, carte à puce ou clé de récupération à 48 chiffres. Il n’est pas nécessaire de connaître directement la FVEK : un seul protecteur fonctionnel suffit pour déverrouiller la VMK et accéder au volume. Vous pouvez vérifier quels protecteurs sont configurés sur un système en cours d’exécution avec :

manage-bde -protectors -get C:
Vérification de BitLocker sur un système

Cela explique également pourquoi une table de partition corrompue n’est pas une impasse pour la récupération de données BitLocker.

Les métadonnées FVE qui décrivent le volume sont indépendantes de la table de partition : il s’agit d’une structure distincte avec sa propre signature. Si la table de partition a disparu, Windows affiche le volume comme de l’espace RAW ou non alloué, mais les secteurs chiffrés et l’en-tête FVE n’ont pas été déplacés. Un outil qui ne lit que la table de partition renverra « aucune partition trouvée ». RS Partition Recovery recherche directement la signature FVE au niveau du disque, avant toute saisie de clé ; il identifie donc le volume BitLocker même lorsque la table de partition n’existe plus.

Ne lancez pas un formatage rapide ni une opération « initialiser le disque » sur un volume affiché comme RAW ou non alloué s’il peut être protégé par BitLocker. Ces deux opérations peuvent écraser la zone de la table de partition ainsi que les métadonnées FVE nécessaires pour localiser le volume, transformant une situation récupérable en cas irrécupérable.

Les protecteurs diffèrent généralement entre un volume système et un volume de données, même si le format des métadonnées FVE est identique dans les deux cas :

  • Volume système/d’amorçage (C:) : généralement protégé par TPM, souvent associé à un code PIN. Le TPM lie la clé à la carte mère et à la configuration de démarrage spécifiques ; si le disque est déplacé vers une autre machine, le protecteur TPM devient inutilisable. Le seul accès possible passe alors par la clé de récupération ou par un mot de passe, si l’un de ces mécanismes a été configuré.
  • Volume de données (D:) : utilise couramment un mot de passe, une carte à puce ou le déverrouillage automatique, dans lequel la VMK du lecteur D est chiffrée avec une clé stockée sur le volume système (elle-même chiffrée) et est libérée automatiquement au démarrage de Windows sur la machine d’origine. En dehors de ce système d’exploitation d’origine, le déverrouillage automatique ne se déclenche pas, et le lecteur D nécessite son propre protecteur fonctionnel — généralement une clé de récupération distincte de celle utilisée pour C.

C’est pourquoi un même disque peut demander une clé de récupération pour C au démarrage, puis refuser toute autre solution hormis une clé complètement différente pour D : les deux volumes ne sont pas nécessairement protégés par le même mécanisme, même si le processus de déchiffrement lui-même est identique dès qu’un protecteur valide est fourni.

Pourquoi un lecteur chiffré avec BitLocker devient inaccessible

La défaillance d’un protecteur n’est qu’une catégorie de problème. En pratique, les difficultés d’accès relèvent de რამდენიმე schémas récurrents :

  • Le remplacement de la carte mère, une mise à jour de l’UEFI/BIOS ou une modification de la configuration Secure Boot invalident l’état du TPM, et le système revient à la demande de la clé de récupération.
  • Le chiffrement ou le déchiffrement est interrompu — coupure de courant, arrêt forcé, processus manage-bde qui plante —, ce qui laisse le volume partiellement chiffré.
  • Le disque est déplacé vers une autre machine qui n’a aucun rattachement TPM, et seule la clé de récupération ou le mot de passe fonctionne.
  • La table de partition est endommagée ou écrasée (erreurs du gestionnaire de disques, réinstallation du système d’exploitation ayant échoué, repartitionnement accidentel), et le volume apparaît comme RAW ou non alloué alors qu’il reste chiffré et intact en dessous.
  • Le contrôleur de domaine qui héberge la clé de récupération n’est plus accessible, ou la clé n’a jamais été consignées dans un emplacement accessible à l’utilisateur actuel.
  • Un disque présentant des secteurs défectueux atteint la zone contenant les métadonnées FVE, et BitLocker ne parvient plus à analyser son propre en-tête.

Vérification rapide de l’état du volume et des protecteurs avant toute autre opération :

manage-bde -status C:

Cette commande affiche le pourcentage de chiffrement, la méthode utilisée et l’état de verrouillage — utile pour distinguer une opération de chiffrement interrompue d’un volume réellement endommagé avant de choisir une méthode de récupération.

Où trouver votre clé de récupération BitLocker

Avant de supposer que les données sont perdues, il est recommandé de vérifier les emplacements habituels où se trouve une clé de récupération BitLocker :

  • Un compte Microsoft — si le PC a été configuré avec ce type de compte, la clé est souvent téléversée automatiquement et accessible à l’adresse account.microsoft.com/devices/recoverykey.
  • Une copie imprimée ou un fichier texte enregistré lors de la configuration, généralement nommé avec l’identifiant unique du lecteur (par exemple, BitLocker Recovery Key XXXXXXXX-XXXX-...txt).
  • Azure AD / Entra ID, pour les appareils gérés par l’entreprise ou l’établissement scolaire — un administrateur peut la retrouver à partir de l’appareil ou de l’ID de clé.
  • Un administrateur de domaine, si l’ordinateur est joint à un domaine Active Directory local qui conserve les clés BitLocker.
  • Une clé USB enregistrée, si le volume a été configuré pour le déverrouillage à l’aide d’un fichier de clé de démarrage (BEK) plutôt qu’avec un mot de passe saisi manuellement.

Si plusieurs clés sont trouvées, associez-les à l’aide de l’ID de clé — le même identifiant que celui affiché sur l’écran de déverrouillage ou signalé par RS Partition Recovery lors de la détection du volume, car chaque protecteur est lié à une VMK spécifique.

Comment récupérer des données sur un disque chiffré avec BitLocker à l’aide de RS Partition Recovery

RS Partition Recovery détecte un volume BitLocker lors de l’analyse initiale du disque, que la table des partitions soit intacte ou non. La clé, le mot de passe ou le fichier BEK est demandé avant le début de l’analyse, et non en cours de traitement ; le flux de travail est donc le suivant :

RS Partition Recovery détecte un volume BitLocker

Connectez le disque et lancez une analyse. Le programme identifie le volume BitLocker grâce à sa signature FVE, même si la table des partitions est absente ou si le volume apparaît comme RAW.

Lorsque vous y êtes invité, fournissez un mot de passe, la clé de récupération à 48 chiffres ou un ou plusieurs fichiers de clé .bek. Plusieurs fichiers BEK peuvent être ajoutés en une seule fois si l’on ne sait pas lequel correspond.

Fournir un mot de passe ou la clé de récupération à 48 chiffres

Si la clé est incorrecte, le programme signale immédiatement une erreur de déverrouillage ; il ne tente pas d’analyser aveuglément les secteurs chiffrés comme s’il s’agissait de données en clair.

Une fois le volume déverrouillé, le déchiffrement s’effectue à la volée pendant l’analyse, de la même manière que le pilote BitLocker intégré le déchiffre lors de l’utilisation normale de Windows.

Disque déverrouillé

Examinez l’arborescence des fichiers récupérés et enregistrez les résultats sur un autre disque physique que le disque source.

Un volume partiellement chiffré — lorsque le chiffrement ou le déchiffrement a été interrompu en cours d’exécution — est traité de la même manière : il suffit de fournir le protecteur fonctionnel, et l’outil poursuit l’analyse sans exiger que le processus soit d’abord terminé ou annulé.

Pourquoi l’analyse brute ne fonctionne pas sur un volume BitLocker verrouillé

Les secteurs chiffrés sont statistiquement indiscernables de données aléatoires. Un outil de récupération qui analyse un volume BitLocker verrouillé en recherchant des signatures de type de fichier — l’en-tête JPEG, l’en-tête local ZIP, et ainsi de suite — peut parfois faire correspondre ces motifs d’octets par simple hasard à l’intérieur du flux chiffré. Le résultat ressemble à une analyse classique : une liste de fichiers .jpg, .zip ou .docx « récupérés ». Aucun ne s’ouvrira, car aucun fichier réel n’a jamais existé à cet emplacement : la correspondance avec la signature était fortuite. Il s’agit d’une source de confusion fréquente lorsqu’un outil ne prend pas du tout en charge BitLocker et traite simplement le volume comme des données non structurées.

Un mot de passe BitLocker oublié ne peut pas être récupéré comme un mot de passe de compte Windows oublié à l’aide d’un outil de cassage de hachage. Les mots de passe de connexion Windows sont vérifiés par rapport à un hachage stocké sur la même machine ; les protecteurs BitLocker dérivent une clé utilisée directement pour le chiffrement AES, sans raccourci équivalent. Sans le mot de passe d’origine, la seule méthode d’accès consiste à utiliser la clé de récupération ou, si cette option a été configurée, un fichier BEK.

Questions fréquemment posées

Cela signifie généralement que la table des partitions est suffisamment endommagée pour empêcher Windows de repérer le volume et d'afficher l'invite de saisie de la clé. Les données chiffrées sont très probablement toujours présentes ; un outil capable de lire directement la signature FVE, plutôt que de s'appuyer sur la table des partitions, peut encore trouver et déverrouiller le volume. Ne formatez pas et n'initialisez pas le disque — cela écraserait les métadonnées FVE nécessaires à son déverrouillage.
Oui, à condition qu’un protecteur fonctionnel soit disponible — mot de passe, clé de récupération ou fichier BEK. Le déverrouillage automatique reposant sur le TPM ne fonctionnera pas hors du matériel d’origine, mais il s’agit d’une limitation du TPM lui-même, et non du processus de récupération ; la clé de récupération a justement été générée pour pallier ce cas de figure.
Le Key ID indique quelle clé est nécessaire ; ce n'est pas la clé elle‑même, et il est impossible de dériver l'une de l'autre. Si la clé n'a pas été sauvegardée sur un compte Microsoft, imprimée, enregistrée dans un fichier ou confiée à un administrateur de domaine/Azure AD, elle ne peut pas être récupérée — le Key ID ne sert qu'à sélectionner la bonne clé parmi celles que vous possédez déjà.
Une opération de chiffrement ou de déchiffrement interrompue laisse le volume dans un état mixte — une partie traitée, une autre non. BitLocker peut généralement reprendre là où il s'est arrêté avec manage-bde -resume C:. Si cela échoue, ou si l'objectif est simplement de récupérer les fichiers, déverrouiller le volume avec la clé de récupération et l'analyser directement permet d'accéder aux données, quelle que soit l'avancement du processus.
Même cause fondamentale que dans le cas « le disque n'est pas initialisé » ci‑dessus : la table de partitions a disparu, pas les données. Évitez de créer une nouvelle partition ou d'effectuer un formatage rapide ; ces opérations risqueraient d'écraser les structures nécessaires pour localiser le volume. Analysez directement le disque à l'aide d'un outil capable de détecter BitLocker via sa signature FVE.
laissez un commentaire

Articles connexes

Utilisation de liens symboliques et physiques sous Windows
Utilisation de liens symboliques et physiques sous Windows
Voici une analyse de la notion de liens durs et symboliques dans Windows, avec une explication de leur objectif principal et de leurs différences clés. Vous pouvez également apprendre comment créer des liens en utilisant les méthodes standard de Windows … Continue reading
Fichier d’échange sous Windows 10 : taille optimale, comment le modifier, le déplacer, le désactiver ou le supprimer?
Fichier d’échange sous Windows 10 : taille optimale, comment le modifier, le déplacer, le désactiver ou le supprimer?
Les utilisateurs de Windows ont souvent entendu parler de la page et du fichier d’échange. Dans cet article, nous discuterons de ce que c’est, de son utilité et de comment le configurer correctement.
Créer un NAS DIY ou construire un NAS avec un ancien ordinateur
Créer un NAS DIY ou construire un NAS avec un ancien ordinateur
Un des problèmes les plus pressants aujourd’hui dans le domaine de l’informatique est le stockage des données, qui implique la sécurité des informations et l’accès multi-utilisateurs. Pour résoudre ce problème, il existe des systèmes SAN et NAS. Qu’est-ce qu’un NAS, … Continue reading
Top 7 Outils pour Récupérer les Données d’un RAID
Top 7 Outils pour Récupérer les Données d’un RAID
Même si elles sont considérées comme des mécanismes de sécurité des données, les systèmes RAID tolérants aux pannes ne sont toujours pas parfaits. Les données peuvent être perdues même à partir de matrices avec une redondance élevée, sans parler des … Continue reading
Online Chat with Recovery Software