Comment déchiffrer et monter une partition bitlocker avec dislocker sur GNU/Linux
- Mise à jour le 06 nov. 2024
Sur mon nouvel ordinateur j'ai un dual boot avec Windows et Kali Linux. Pour des raisons de sécurité j'ai activé la solution de chiffrement bitlocker sur ma partition Windows. J'avais donc besoin de trouver un moyen d'accéder à cette partition depuis mon Kali Linux, et pour se faire j'ai utilisé l'utilitaire dislocker.
Comme nous allons le voir ici, il est plutôt facile d'utilisation.
Installation
L'installation est orientée Kali Linux mais peux facilement être appliquée à vos distributions favorites.
- Installer
dislocker:
$ sudo apt update && sudo apt install dislockerIdentifier la partition Windows
Une fois installé nous devons identifier la partition Windows chiffrée. Pour se faire nous allons utiliser la commande fdisk.
- Lister les partitions avec
fdisk:
$ sudo fdisk -l
Disk /dev/nvme0n1: 931,51 GiB, 1000204886016 bytes, 1953525168 sectors
Disk model: Samsung SSD 980 1TB
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 16384 bytes / 131072 bytes
Disklabel type: gpt
Disk identifier: 5A1C0C90-61D9-1BBV-96C1-7ED8C4EI8BA5
Device Start End Sectors Size Type
/dev/nvme0n1p1 2048 206847 204800 100M EFI System
/dev/nvme0n1p2 206848 239615 32768 16M Microsoft reserved
/dev/nvme0n1p3 239616 1022901873 1022662258 487,6G Microsoft basic data
/dev/nvme0n1p4 1022902272 1024237567 1335296 652M Windows recovery environment
/dev/nvme0n1p5 1024239616 1025216511 976896 477M Linux filesystem
/dev/nvme0n1p6 1025216512 1953523711 928307200 442,7G Linux filesystemUne partition Microsoft basic data avec une taille de 487,6G, je crois que nous avons un gagnant. 🙂
Déchiffrer et monter la partition
Dépendant du matériel, nous pourrons déchiffrer avec le code pin ou avec le mot de passe de récupération. En effet dans le cas (comme pour moi) ou le matériel est compatible TPM, le mot de passe de récupération sera nécessaire.
- En effet, dans le cas ou le TPM est activé on obtiendra le message suivant si l'on essaie de le déchiffrer avec le code PIN :
[CRITICAL] None of the provided decryption mean is decrypting the keys. Abort.
[CRITICAL] Unable to grab VMK or FVEK. Abort.Préparation
- Créer nos points de montage pour dislocker :
$ sudo mkdir /media/bitlocker && sudo chown user:user /media/bitlocker$ sudo mkdir /media/bitlockerloop && sudo chown user:user /media/bitlockerloopDecrypt
- Déchiffrer avec un code PIN (avec TPM) :
$ sudo dislocker -V /dev/nvme0n1p3 -p181938-009977-030118-024662-878971-217634-366661-422744 -- /media/bitlocker- Déchiffrer avec le mot de passe de récupération (sans TPM) :
$ sudo dislocker -V /dev/nvme0n1p3 -u123456 -- /media/bitlockerMonter la partition déchiffrée
- Monter périphérique :
$ sudo mount -o loop /media/bitlocker/dislocker-file /media/bitlockerloop- Vérifier l'accès à la partition Windows :
$ ls -l /media/bitlockerloopDésactiver le démarrage rapide
Afin d'éviter une corruption de données, lors du montage de la partition chiffrée, et pour éviter de déclencher le mode de récupération de bitlocker (la phase où l'on doit entrer la clé de récupération complète de bitlocker), je recommande de désactiver la fonction de démarrage rapide dans Windows. You can see details on this veracrypt page: https://veracrypt.eu/.
- Pour se faire, on pourra entrer la commande suivante, depuis une console PowerShell administrateur :
PS > Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager\Power\" -Name "HiberbootEnabled" -Value "0"