Comment déchiffrer une partition bitlocker avec dislocker sur GNU/Linux

Mise à jour le 29 janv. 2023

Sur mon nouvel ordinateur j'ai un dual boot avec Windows et Kali Linux. Pour des raisons de sécurité j'ai activé la solution de chiffrement bitlocker sur ma partition Windows. J'avais donc besoin de trouver un moyen d'accéder à cette partition depuis mon Kali Linux, et pour se faire j'ai utilisé l'utilitaire dislocker.

Comme nous allons le voir ici, il est plutôt facile d'utilisation.

Installation

L'installation est orientée Kali Linux mais peux facilement être appliquée à vos distributions favorites.

Installer dislocker :

$ sudo apt update && sudo apt install dislocker

Identifier la partition Windows

Une fois installé nous devons identifier la partition Windows chiffrée. Pour se faire nous allons utiliser la commande fdisk.

Lister les partitions avec fdisk :

$ sudo fdisk -l
Disk /dev/nvme0n1: 931,51 GiB, 1000204886016 bytes, 1953525168 sectors
Disk model: Samsung SSD 980 1TB
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 16384 bytes / 131072 bytes
Disklabel type: gpt
Disk identifier: 5A1C0C90-61D9-1BBV-96C1-7ED8C4EI8BA5

Device              Start        End    Sectors   Size Type
/dev/nvme0n1p1       2048     206847     204800   100M EFI System
/dev/nvme0n1p2     206848     239615      32768    16M Microsoft reserved
/dev/nvme0n1p3     239616 1022901873 1022662258 487,6G Microsoft basic data
/dev/nvme0n1p4 1022902272 1024237567    1335296   652M Windows recovery environment
/dev/nvme0n1p5 1024239616 1025216511     976896   477M Linux filesystem
/dev/nvme0n1p6 1025216512 1953523711  928307200 442,7G Linux filesystem

Une partition Microsoft basic data avec une taille de 487,6G, je crois que nous avons un gagnant. 🙂

Déchiffrer et monter la partition

Dépendant du matériel, nous pourrons déchiffrer avec le code pin ou avec le mot de passe de récupération. En effet dans le cas (comme pour moi) ou le matériel est compatible TPM, le mot de passe de récupération sera nécessaire.

En effet, dans le cas ou le TPM est activé on obtiendra le message suivant si l'on essaie de le déchiffrer avec le code PIN :

[CRITICAL] None of the provided decryption mean is decrypting the keys. Abort.
[CRITICAL] Unable to grab VMK or FVEK. Abort.

Préparation

Créer nos points de montage pour dislocker :

$ sudo mkdir /media/bitlocker && sudo chown user:user /media/bitlocker $ sudo mkdir /media/bitlockerloop && sudo chown user:user /media/bitlockerloop

Decrypt

Déchiffrer avec un code PIN (avec TPM) :

$ sudo dislocker -V /dev/nvme0n1p3 -p181938-009977-030118-024662-878971-217634-366661-422744 -- /media/bitlocker

Déchiffrer avec le mot de passe de récupération (sans TPM) :

$ sudo dislocker -V /dev/nvme0n1p3 -u123456 -- /media/bitlocker

Monter la partition déchiffrée

Monter périphérique :

$ sudo mount -o loop /media/bitlocker/dislocker-file /media/bitlockerloop

Vérifier l'accès à la partition Windows :

$ ls -l /media/bitlockerloop

Informatique

Zik

Autres