Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

(Fermé) Existe-t-il un moyen de déverrouiller un disque dur chiffré par BitLocker en utilisant le TPM en invite de commandes ?

ayi

<h2><a name="p-24539-mise-jour-finale-en-bas-1" class="anchor" href="#p-24539-mise-jour-finale-en-bas-1" aria-label="Heading link"></a>******************* Mise à jour finale en bas *******************</h2>
Pour faire court, j’ai fait une erreur vraiment stupide.
Je pensais avoir sauvegardé ma clé de récupération, mais apparemment je n’ai sauvegardé que le résultat de
<pre><code class="lang-auto">manage-bde -protectors C: -get

</code></pre>
qui ne contient qu’un ID de récupération et pas de clé.
De plus, il n’y a pas d’autres protecteurs de clé que le TPM.
Mais le TPM ne semble pas déverrouiller automatiquement le lecteur système pour une raison quelconque, et je ne peux pas démarrer mon ordinateur portable.
Y aura-t-il un moyen de déverrouiller mon lecteur chiffré ?
Modification 1
Comme mon lecteur C contient l’OS et est verrouillé, j’utilise un lecteur de récupération que j’ai créé avec un autre PC pour ouvrir une invite de commandes.
Si je démarre sans le lecteur de récupération, j’obtiens cet écran :
<pre><code class="lang-auto">Windows failed to start. A recent hardware or software change might be the cause. To fix the problem:

Insert your Windows installation disc and restart your computer.
Choose your language settings, and then click "Next."
Click "Repair your computer."

If you do not have this disc, contact your system administrator or computer manufacturer for assistance.

Status: 0xc0210000

Info: A required file couldn't be accessed because your BitLocker key wasn't loaded correctly.

</code></pre>
La suggestion « Repair your computer. » ne fonctionne pas car C est chiffré.
Dans les paramètres du firmware UEFI Dell, Firmware TPM est activé sous l’onglet Security.
Existe-t-il un moyen de faire déverrouiller automatiquement mon lecteur C par le TPM en utilisant un outil tiers ?
Modification 2
Voici quelques résultats de commandes.
<pre><code class="lang-auto">X:>manage-bde -status c:

Volume C: [Label Unknown]
[Data Volume]

Size:                 Unknown GB
BitLocker Version:    2.0
Conversion Status:    Unknown
Percentage Encrypted: Unknown%
Encryption Method:    XTS-AES 128
Protection Status:    Unknown
Lock Status:          Locked
Identification Field: Unknown
Automatic Unlock:     Disabled
Key Protectors:
    TPM

X:>manage-bde -protectors c: -get

Volume C: [Label Unknown]
All Key Protectors

TPM:
  ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
  PCR Validation Profile:
    0, 2, 4, 11

</code></pre>
Par précaution, j’ai cloné mon lecteur C en utilisant <a href="https://sourceforge.net/projects/clonezilla/" rel="noopener nofollow ugc">Clonezilla</a> vers un lecteur externe.
Existe-t-il un moyen de vérifier cette sauvegarde ?
<h2><a name="p-24539-mise-jour-finale-2" class="anchor" href="#p-24539-mise-jour-finale-2" aria-label="Heading link"></a>******************* Mise à jour finale *******************</h2>
Comme je n’ai pas trouvé de moyen de déchiffrer mon disque dur, j’ai créé une sauvegarde partition par partition en utilisant un lecteur externe et formaté le disque dur original. Ensuite, j’ai réinstallé Windows, reconfiguré et activé BitLocker. J’ai essayé de sauvegarder la clé de récupération, cependant, il n’y en avait pas. Les disques durs verrouillés par TPM n’ont pas de mot de passe de récupération. Donc, j’ai ajouté un « mot de passe de récupération » à mon disque dur pour ne pas refaire la même erreur. Bien que certains fichiers importants soient perdus, j’avais conservé des sauvegardes de toutes les données critiques. J’ai eu de la chance.
Pour ceux qui veulent éviter l’erreur que j’ai commise, voici une simple commande qui ajoutera un moyen supplémentaire de déverrouiller votre lecteur chiffré :
<pre><code class="lang-auto">manage-bde -protectors -add c: -recoverypassword

</code></pre>
Assurez-vous simplement de créer une sauvegarde correcte lorsque le mot de passe de récupération vous est présenté.
Bonne chance à tous.

ayi_2

J’ai eu ce problème une fois aussi… Mon lecteur a été corrompu par BitLocker car j’avais l’accès contrôlé aux dossiers activé et j’avais modifié une valeur de registre. Cependant, si vous avez encore accès à cmd depuis la récupération Windows, vous pouvez toujours utiliser <code>manage-bde</code>. Bien que je ne puisse pas tester cela puisque je n’utiliserai plus BitLocker, je me souviens de certaines choses que j’ai faites. Il semble que BitLocker ait effectivement des problèmes aléatoires comme celui-ci de temps en temps.
Bien sûr, la première chose à faire est de vérifier votre compte Microsoft pour la clé si votre ordinateur était lié à un compte Microsoft. Si vous la trouvez, utilisez <code>manage-bde -unlock <clé></code> ou entrez la clé dans le dialogue de récupération BitLocker. Si votre ordinateur avait un compte local et/ou si vous ne trouvez pas la clé dans votre compte Microsoft, suivez les étapes ci-dessous.
Il existe deux façons possibles de récupérer un lecteur protégé par BitLocker dont vous n’avez pas la clé. Si vous êtes familier avec l’invite de commandes, veuillez suivre ces étapes.
<ul>
<li>
Créez un lecteur de récupération auprès de votre fabricant. Par exemple, si vous avez un Surface, vous devrez télécharger l’image de récupération Surface depuis votre OEM (Microsoft).
</li>
<li>
Modifiez votre BIOS (si nécessaire) pour activer le démarrage USB et démarrez depuis la clé USB.
</li>
<li>
Une fois démarré depuis votre lecteur de récupération, accédez à l’invite de commandes, probablement dans Dépannage avancé.
</li>
<li>
Essayez <code>manage-bde -off C:</code>
</li>
<li>
Si l’étape 4 échoue, essayez <code>manage-bde -fr C:</code> et redémarrez sur votre disque de démarrage principal.
</li>
</ul>
Si cela ne fonctionne pas, accédez de nouveau à l’invite de commandes depuis le lecteur de récupération et essayez <code>manage-bde -changepin C:</code>, <code>manage-bde -changepassword C:</code>, ou <code>manage-bde -changekey C:</code>. Vous pouvez aussi essayer <code>manage-bde -autounlock C:</code>.
Si vous n’êtes pas familier avec l’invite de commandes, vous pouvez essayer l’interface graphique en créant une installation Windows prête sur une clé USB externe en utilisant Windows To Go. Ensuite, vous devrez démarrer depuis ce lecteur et accéder au Panneau de configuration. Puis, si votre disque de démarrage principal apparaît, essayez de désactiver BitLocker. Vous pouvez aussi essayer d’utiliser TPM.msc pour effacer, initialiser ou désactiver/activer le TPM pour forcer BitLocker à se récupérer. Si votre disque de démarrage principal n’apparaît pas, allez dans l’invite de commandes et entrez les commandes suivantes :
<ul>
<li>
<code>diskpart</code>
</li>
<li>
<code>list disk</code> et trouvez votre numéro de disque
</li>
<li>
<code>sel disk #</code>
</li>
<li>
<code>list par</code> et notez le numéro de votre partition Windows
</li>
<li>
<code>sel par #</code>
</li>
<li>
<code>assign letter=W</code>
</li>
</ul>
Puis retournez dans le Panneau de configuration et voyez si la méthode graphique fonctionne. Vous pouvez aussi essayer
<ul>
<li>
<code>manage-bde -off W:</code>
</li>
<li>
<code>manage-bde -fr W:</code>
</li>
<li>
<code>manage-bde -changepin W:</code>
</li>
<li>
<code>manage-bde -changekey W:</code>
</li>
<li>
<code>manage-bde -changepassword W:</code>
</li>
</ul>
depuis l’invite de commandes au sein de votre installation Windows prête sur la clé USB externe.
REMARQUE : Vous pouvez accéder à WinRE (Windows Recovery) en appuyant sur Shift ou la combinaison de touches matérielles fournie par votre OEM. Veuillez lire la documentation Microsoft sur WinRE et BitLocker pour plus d’informations. Voici le lien <a href="https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-overview">BitLocker</a>. Voici la <a href="https://support.microsoft.com/en-us/help/4026030/how-to-use-windows-recovery-environment-winre-to-troubleshoot-common-s">documentation WinRE</a>. WinRE pourrait aussi être corrompu à cause de BitLocker, s’il ne l’est pas, vous pouvez aussi l’utiliser pour accéder à l’invite de commandes. WinRE pourrait démarrer automatiquement après deux tentatives de démarrage consécutives échouées. Si vous pouvez accéder à l’invite de commandes dans la récupération Windows, il n’est pas nécessaire d’avoir Windows sur un lecteur externe sauf si vous préférez l’interface graphique à l’invite de commandes. Quand cela m’est arrivé, mon répertoire <code>Users</code> était corrompu par BitLocker et je ne pouvais donc pas exécuter l’invite de commandes sur le lecteur <code>X:</code> car il n’y avait pas d’utilisateur administrateur. Pour avoir la meilleure chance de résoudre votre problème, un lecteur externe est recommandé.
Pour plus de documentation sur manage-bde, consultez <a href="https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/manage-bde">cette page</a> de Microsoft.
Bonne chance et j’espère que cela aide !