Vous voyez deux clés de récupération BitLocker dans votre compte Microsoft après une réinstallation ou la désactivation du chiffrement ? Voici une explication claire, des vérifications concrètes et des actions sûres pour remettre de l’ordre—y compris si vous utilisez un SSD externe comme le Samsung T7.
Pourquoi deux clés BitLocker apparaissent dans le compte Microsoft
BitLocker associe une clé de récupération à chaque volume (lecteur) chiffré. Si vous avez chiffré plusieurs volumes, si Windows a régénéré des « protecteurs » (après une mise à jour de micrologiciel, un changement TPM/UEFI, une réinstallation propre) ou si vous avez chiffré un disque amovible via BitLocker To Go, plusieurs clés peuvent avoir été sauvegardées dans votre compte. Même si vous avez depuis désactivé BitLocker, les anciennes clés restent listées pour l’historique : elles ne disparaissent pas automatiquement et ne sont plus valides pour un volume qui n’existe plus.
Réponse synthétique et actions immédiates
| Point clé | Explications & actions concrètes |
|---|---|
| Une clé par volume chiffré | Chaque volume chiffré (OS, partition de données, disque externe/USB via BitLocker To Go) a sa propre clé. Après une nouvelle activation, Windows peut créer un nouveau protecteur et donc une nouvelle entrée côté compte. |
| Clés résiduelles | La désactivation ou le reformatage n’efface pas les clés sauvegardées en ligne. Elles restent visibles mais ne déverrouillent plus un volume supprimé ou reformaté. |
| Origine la plus probable | Clé initiale créée lors de l’activation d’origine (OOBE, « Chiffrement de l’appareil » ou BitLocker classique). Clé supplémentaire générée après un changement majeur : réinstallation propre de Windows 11 Pro, rotation de clés lors d’une modification du micrologiciel (UEFI/TPM), activation BitLocker sur un support amovible. |
| Identifier la clé qui correspond à quoi | Reconnectez chaque disque. Sur chaque volume suspect, listez les protecteurs et comparez l’ID de clé (GUID) avec celui vu dans votre compte Microsoft. Voir les méthodes plus bas. |
| Nettoyer les entrées obsolètes | Après correspondance, supprimez dans votre compte les clés dont l’ID ne correspond plus à un volume existant. La suppression en ligne n’enlève pas BitLocker localement : elle retire uniquement la copie de sauvegarde cloud de cette clé. |
| Après une réinstallation propre | Les partitions sont recréées ; BitLocker est désactivé au premier démarrage. Lorsque vous réactivez BitLocker, une nouvelle clé est générée, rendant les anciennes obsolètes. Conservez la nouvelle et supprimez les anciennes de votre compte. |
| Windows 11 Pro | Utilisez la Gestion BitLocker (Control Panel) ou les commandes manage-bde/Get-BitLockerVolume pour lister, activer, suspendre et gérer les protecteurs. |
Comprendre les termes BitLocker
| Terme | Ce que c’est | Où le voir | Utilité |
|---|---|---|---|
| Clé de récupération | Mot de passe numérique de 48 chiffres permettant le déverrouillage en cas de problème (TPM, changement UEFI, etc.). | Fichier .TXT sauvegardé, impression papier, compte Microsoft, invite de récupération au démarrage. | Déverrouiller quand le protecteur principal (TPM/PIN) ne suffit pas. |
| ID de clé (Key ID) | GUID identifiant le protecteur de récupération spécifique au volume. | Dans manage-bde -protectors -get, dans l’interface BitLocker et sur la page des clés du compte. | Faire la correspondance entre une entrée en ligne et un volume réel. |
| Protecteur | Mécanisme d’accès (TPM, PIN, mot de passe, clé de récupération). Un volume peut avoir plusieurs protecteurs. | Gestion BitLocker, manage-bde, Get-BitLockerVolume. | Permet d’ajouter/retirer des modes d’accès sans reformater. |
| BitLocker To Go | BitLocker pour supports amovibles (disques/SSD/USB). Un mot de passe (ou smart card) est utilisé à la place du TPM. | Quand un disque amovible est chiffré via BitLocker. | Crée sa propre clé de récupération distincte. |
Vérifier à quoi correspond chaque clé
Le principe : relever l’ID de clé du volume (local) et le comparer à l’ID affiché dans votre compte. Si ça correspond, vous avez trouvé l’origine de l’entrée.
Méthode rapide en ligne de commande
Ouvrez Windows Terminal ou PowerShell en administrateur et exécutez :
manage-bde -status
Pour chaque lecteur monté (C:, D:, E:…), repérez l’état « Protection ». S’il est « Activé », listez ses protecteurs :
manage-bde -protectors -get C:
Vous verrez un bloc Numerical Password (ou Recovery Password) avec un Numerical Password ID : c’est le GUID à comparer avec l’ID de clé associé à la clé de récupération que vous voyez côté compte.
Méthode PowerShell lisible
Cette commande synthétise les protecteurs de récupération pour tous les volumes chiffrés :
# À exécuter dans PowerShell (Admin recommandé)
Get-BitLockerVolume | ForEach-Object {
$vol = $_
foreach ($kp in $vol.KeyProtector){
if ($kp.KeyProtectorType -eq 'RecoveryPassword'){
[PSCustomObject]@{
Lecteur = $vol.MountPoint
'Key ID' = $kp.KeyProtectorId
'Recovery (48 chiffres)' = $kp.RecoveryPassword
}
}
}
} | Format-Table -AutoSize
Comparez chaque Key ID au GUID affiché dans votre compte. Si un volume n’est pas chiffré (Protection : Désactivée), l’entrée correspondante côté compte est probablement obsolète.
Via l’interface graphique
- Paramètres > Confidentialité et sécurité > Chiffrement de l’appareil : indique si le chiffrement automatique (Device Encryption) est actif sur les appareils compatibles.
- Panneau de configuration > Chiffrement de lecteur BitLocker : pour chaque lecteur, cliquez sur Sauvegarder la clé de récupération (si disponible) pour afficher le fichier .TXT et son Identificateur de clé (GUID). Comparez-le à l’ID visible dans votre compte.
Cas d’un disque externe (ex. Samsung T7)
Le Samsung T7 possède une fonction de chiffrement matériel avec mot de passe via le logiciel du constructeur. Ce mode n’est pas BitLocker et n’upload pas de clé dans votre compte Microsoft. En revanche, si vous avez chiffré le T7 avec BitLocker To Go (depuis Windows), il aura sa propre clé BitLocker et son Key ID à comparer :
manage-bde -protectors -get E:
(remplacez E: par la lettre de votre T7 connecté). Si un ID correspond à une clé listée côté compte, l’entrée « en double » est simplement celle du T7.
Pourquoi des clés supplémentaires apparaissent avec Windows 11 Pro
- Réinstallation propre : vous reformatez, les protecteurs sont recréés à la prochaine activation BitLocker. Une nouvelle clé de récupération est produite. Les anciennes restent archivées côté compte.
- Mise à jour/paramétrage firmware : changement TPM (effacement, passage PTT/firmware TPM), bascule/ajustement Secure Boot, mise à jour UEFI ou paramètres du BIOS peuvent déclencher une rotation des protecteurs et donc un nouvel enregistrement de clé.
- Ajout manuel d’un protecteur : ex. ajout d’un nouveau mot de passe de récupération via l’interface ou la commande
manage-bde -protectors -add -rp. - Second volume interne : si vous avez une partition de données (D:) chiffrée en plus de C:, vous aurez au moins deux clés distinctes.
- BitLocker To Go : tout support amovible chiffré ajoute une entrée avec son propre ID.
Procédure sûre pour nettoyer les clés obsolètes
- Inventorier l’état local :
manage-bde -statussur tous les lecteurs (internes et externes) connectés. Notez ceux qui sont « Protection : Activée ». - Comparer les IDs : pour chaque lecteur chiffré, relevez l’ID de clé via
manage-bde -protectors -get X:ou via le fichier .TXT de sauvegarde. Marquez les correspondances avec les entrées affichées dans votre compte. - Supprimer uniquement les clés sans correspondance : dans votre compte Microsoft (section Appareils > Clés de récupération), supprimez les entrées dont l’ID n’existe pour aucun volume réel. N’effacez pas celles qui correspondent à un volume encore chiffré.
- Conserver des copies hors ligne : pour chaque volume actif, gardez au moins deux copies : le compte Microsoft et une copie locale (fichier .TXT sur un support séparé) ou une impression papier.
Important : supprimer une clé dans votre compte n’arrête pas BitLocker sur le PC. Cela retire uniquement la sauvegarde cloud. Le volume reste chiffré avec ses protecteurs actuels.
Bonnes pratiques après une réinstallation propre
- Activer BitLocker manuellement quand tout est prêt, puis sauvegarder la nouvelle clé de récupération.
- Renommer l’appareil dans Windows avant d’activer BitLocker : cela facilitera la reconnaissance des clés (le nom de l’appareil peut s’afficher dans la page des clés).
- Suspendre puis reprendre BitLocker avant une mise à jour UEFI/BIOS importante (ou changement TPM) :
manage-bde -protectors -disable C: -RebootCount 1Rebootez, effectuez la mise à jour, puis réactivez :manage-bde -protectors -enable C:
Vérifications express pour retrouver l’origine des deux clés
- Branchez tous vos disques (y compris SSD/USB externes).
- Exécutez
manage-bde -statuspour repérer les volumes chiffrés. - Pour chaque volume chiffré :
manage-bde -protectors -get <lettre:>, notez l’ID. - Ouvrez la page des clés dans votre compte et faites correspondre les GUID.
- Si aucune correspondance pour une entrée : c’est une clé obsolète → supprimez-la côté compte.
Questions fréquentes
Les partitions cachées de Windows créent-elles des clés séparées ?
Non. Les partitions EFI/MSR/Récupération ne sont généralement pas chiffrées comme des volumes utilisateurs séparés. Deux clés indiquent au moins deux volumes chiffrés (par exemple C: et un autre lecteur, interne ou amovible) ou une rotation des protecteurs qui a été sauvegardée.
Le T7 de Samsung peut-il être la cause d’une deuxième clé ?
Oui si et seulement si vous l’avez chiffré avec BitLocker To Go. Le mot de passe matériel du T7 via le logiciel Samsung n’est pas BitLocker et ne dépose aucune clé dans votre compte Microsoft.
Exporter une clé de récupération crée-t-il une nouvelle entrée ?
Exporter/sauvegarder une clé existante ne crée pas de nouvelle clé. En revanche, régénérer une clé (ajouter un nouveau protecteur de type « RecoveryPassword ») en crée une nouvelle, et Windows peut la sauvegarder à nouveau côté compte.
Je vois deux clés, mais je n’ai qu’un SSD interne. Pourquoi ?
La seconde clé peut provenir d’une ancienne installation avant la réinstallation propre, d’une rotation déclenchée par une mise à jour UEFI/TPM, ou d’un volume amovible auparavant chiffré. Vérifiez la date d’enregistrement et comparez les Key IDs avec ceux de votre système actuel.
Supprimer une clé dans le compte peut-il me bloquer ?
Non, pas directement : cela n’affecte pas le volume local. Le risque apparaît seulement si vous supprimez la seule copie de sauvegarde de la clé de récupération alors que le volume reste chiffré. D’où l’importance de conserver au moins deux copies.
Je suis sur un appareil géré par une entreprise
Sur un appareil d’entreprise, les clés peuvent être conservées dans l’infrastructure (Azure AD/Active Directory) plutôt que dans votre compte personnel. En cas de doute, contactez votre support IT avant de supprimer quoi que ce soit.
Procédures détaillées utiles
Lister rapidement tous les protecteurs de tous les volumes
# Windows Terminal (Admin)
Get-BitLockerVolume | ForEach-Object {
$vol = $_
foreach ($kp in $vol.KeyProtector) {
[PSCustomObject]@{
Lecteur = $vol.MountPoint
TypeProtecteur = $kp.KeyProtectorType
'Key ID' = $kp.KeyProtectorId
}
}
} | Sort-Object Lecteur, TypeProtecteur | Format-Table -AutoSize
Vous obtenez une vue complète par lecteur avec les types de protecteurs (TPM, TPM+PIN, RecoveryPassword, etc.).
Ajouter un nouveau protecteur de récupération et supprimer l’ancien (approche prudente)
- Ajouter un nouveau protecteur de récupération :
manage-bde -protectors -add C: -rpNotez le nouvel ID et la nouvelle clé (48 chiffres), sauvegardez-les hors ligne. - Supprimer l’ancien protecteur de récupération par son ID :
manage-bde -protectors -delete C: -id {GUID_ANCIEN}
Ne supprimez jamais le dernier protecteur restant ; conservez au moins un protecteur de récupération valide.
Vérifier l’état de protection avant une mise à jour UEFI/BIOS
manage-bde -status C:
Si la protection est active, suspendez-la temporairement (voir plus haut) pour éviter un écran de récupération au redémarrage.
Cas pratiques et diagnostics rapides
| Symptôme | Cause probable | Diagnostic | Action |
|---|---|---|---|
| Deux clés listées, une seule unité C: | Ancienne clé antérieure à la réinstallation/rotation TPM | Comparer Key ID actuel de C: à chaque entrée | Supprimer l’entrée sans correspondance |
| Clé listée sans nom d’appareil | Support amovible BitLocker To Go | Brancher tous les USB/SSD externes et lister les protecteurs | Conserver si le disque est encore chiffré, sinon supprimer |
| Invite de récupération après mise à jour BIOS | Changement de mesure TPM/Secure Boot | Utiliser la clé de récupération correspondante (ID affiché) | Après démarrage, suspendre puis réactiver BitLocker |
| Pas de BitLocker actif mais clés présentes en ligne | Clés résiduelles | manage-bde -status indique Protection : Désactivée | Supprimer côté compte (après double vérification) |
Bonnes pratiques de sécurité et de gestion
- Deux copies minimales de chaque clé de récupération : en ligne + hors ligne (fichier .TXT sur un support distinct non chiffré et/ou impression papier).
- Noms d’appareils clairs avant d’activer BitLocker pour reconnaître l’origine des clés d’un coup d’œil.
- Journaliser les actions sensibles (ajout/suppression de protecteurs, réinstallation, mises à jour UEFI/TPM) pour comprendre un éventuel doublon futur.
- Suspendre BitLocker avant opérations firmware/TPM, puis le réactiver.
- Éviter les mélanges : si vous utilisez le chiffrement matériel d’un SSD externe (ex. T7), ne l’activez pas en parallèle avec BitLocker sur le même support, sauf savoir-faire précis.
Conclusion
Deux clés BitLocker dans votre compte Microsoft ne sont pas un bug : c’est la conséquence normale d’un nouveau protecteur (réinstallation propre, rotation après changement UEFI/TPM) ou d’un deuxième volume chiffré (y compris BitLocker To Go). La résolution passe par une correspondance ID ↔ volume ; ensuite, supprimez sereinement les clés sans correspondance et conservez des sauvegardes fiables des clés actives. Vous aurez ainsi un portail de clés propre et un chiffrement robuste, prêt pour Windows 11 Pro.