BitLocker bloque autour de 75 % sur votre Lenovo IdeaPad 3 équipé d’un SSD NVMe défaillant ? Voici une méthode claire et pragmatique pour récupérer vos données en priorité, puis remettre Windows 11 d’aplomb sans aggraver l’état du disque.
Contexte et symptômes
Un Lenovo IdeaPad 3 sous Windows 11 a été automatiquement chiffré par la fonctionnalité Device Encryption (technologie BitLocker activée en arrière‑plan). Le SSD NVMe présente des secteurs dégradés et provoque des écrans bleus fréquents. La tentative de déchiffrement s’est figée aux environs de 75 % pendant plus de 24 heures, puis la machine est devenue quasi inutilisable (gel dès le démarrage, accès au mode sans échec aléatoire voire impossible). L’objectif prioritaire est de sauvegarder les données avant de remplacer le SSD.
Stratégie gagnante : sauver d’abord, réparer ensuite
Sur un support instable, chaque lecture peut précipiter la panne. Deux règles s’imposent :
- Ne pas terminer un déchiffrement en souffrance tant que le disque est malade. Mettre en pause suffit pour libérer la main.
- Imager ou cloner en mode tolérant aux erreurs avant toute action corrective lourde (chkdsk, déchiffrement complet, réinstallation).
Récupération de la clé BitLocker
Sans clé de récupération, aucun accès n’est possible. Sur la majorité des PC Windows 11 modernes initialisés avec un compte Microsoft, la clé a été stockée automatiquement dans le compte. Pour les environnements d’entreprise, elle se trouve dans Azure AD/Intune. Sauvegardez la clé (48 chiffres) hors ligne avant de continuer.
Tableau de synthèse des options
| Étape | Objectif | Commandes / actions | Commentaires clés |
|---|---|---|---|
| Accéder à WinRE | Ouvrir un environnement sûr | Maj + Redémarrer → Dépannage → Options avancées → Invite de commandes | Permet d’utiliser manage-bde, diskpart, repair-bde, robocopy. |
| Mettre en pause BitLocker | Stopper le déchiffrement en cours | manage-bde -pause C: | Évite d’acharner le contrôleur sur des zones illisibles, libère des E/S pour le clonage. |
| Évaluer le disque | Confirmer l’état | manage-bde -status • wmic diskdrive get status (ou via un live Linux / smartctl) | Les alertes matérielles priment sur les erreurs logiques. |
| Imager/Cloner | Copie secteur par secteur tolérante aux erreurs | ddrescue, Clonezilla mode rescue, Macrium Reflect en mode forensic | Prioritaire : figer un état exploitable avant que le SSD ne lâche. |
| Déverrouiller hors ligne | Accéder aux données sur l’image/clone | manage-bde -unlock X: -RecoveryPassword <clé> | Travailler sur une copie sainte, pas sur le disque malade. |
| Réparer/extraire | Contournement des zones illisibles | repair-bde X: Y: -rp <clé> -f | Écrit les fichiers récupérés sur un autre volume vierge. |
| Remplacer le SSD | Rétablir la machine | Installation propre de Windows 11, puis restauration des données | Ne réactivez le chiffrement qu’après mise en place d’une sauvegarde fiable. |
Accéder à l’environnement de récupération
Si Windows démarre encore jusqu’à l’écran de connexion : maintenez Maj enfoncée puis cliquez sur Redémarrer. Choisissez Dépannage → Options avancées → Invite de commandes.
Si le système ne passe pas le POST ou boucle sur le logo : préparez une clé USB d’installation Windows 11 ou un WinPE/WinRE. Démarrez dessus, puis Réparer l’ordinateur → Dépannage → Invite de commandes.
Identifier les volumes et l’état du chiffrement
diskpart
list volume
exit
manage-bde -status
En environnement WinRE, la lettre du volume système n’est pas forcément C:. Repérez la bonne lettre à l’aide de diskpart, puis inspectez l’état BitLocker. S’il affiche Déchiffrement en cours, vous pouvez le suspendre :
manage-bde -pause C:
Sur Windows 11, l’équivalent PowerShell existe :
Get-BitLockerVolume
Suspend-BitLocker -MountPoint C: -RebootCount 0
Évitez manage-bde -off C: tant que le disque est instable : cette commande relance un déchiffrement intégral, susceptible de se bloquer à nouveau sur les mêmes secteurs.
Lancer une sauvegarde tolérante aux erreurs
Le but est d’obtenir une image « brute » afin de travailler hors ligne.
Avec ddrescue (recommandé sur disque très abîmé)
- Amorcez une distribution Linux live (Ubuntu, Debian, etc.) depuis USB. N’ouvrez aucune partition du disque source.
- Identifiez les périphériques :
lsblkousudo fdisk -l. Sur NVMe, le disque est typiquement/dev/nvme0n1. - Branchez un SSD de destination d’une capacité au moins égale au disque source (ou un fichier image sur un support externe très rapide).
- Lancez ddrescue en deux passes :
# 1re passe rapide (copies des zones lisibles, sans s'acharner)
sudo ddrescue -f -n /dev/nvme0n1 /dev/sdX /mnt/usb/mapfile.log
# 2e passe avec tentatives ciblées sur les zones en échec (3 réessais)
sudo ddrescue -d -r3 /dev/nvme0n1 /dev/sdX /mnt/usb/mapfile.log Explications : le mapfile garde la cartographie des secteurs lus/illisibles ; vous pourrez reprendre sans repartir de zéro. Sur panne sévère, une 3e passe (-R) en sens inverse peut aider. Évitez toute option agressive qui monopoliserait le contrôleur pendant des heures.
Avec Clonezilla ou Macrium Reflect
- Clonezilla : choisissez le mode device-device et activez l’option rescue pour ignorer les erreurs de lecture récurrentes.
- Macrium Reflect : cochez le clonage sector-by-sector ou forensic. Désactivez toute vérification post‑écriture qui relirait inutilement le disque source.
Une fois la copie figée, mettez de côté le disque malade et ne le rebranchez plus.
Déverrouiller et extraire les données hors ligne
Connectez le clone (ou montez l’image) sur un autre PC. Si Windows voit le volume mais le signale chiffré, déverrouillez‑le avec la clé de récupération :
manage-bde -unlock X: -RecoveryPassword 123456-123456-123456-123456-123456-123456-123456-123456
manage-bde -status X:
Quand l’accès est stable, vous pouvez soit copier vos fichiers, soit lancer un déchiffrement hors ligne sur la copie :
manage-bde -off X:
Si le volume refuse de se monter à cause d’erreurs irrécupérables, utilisez repair-bde pour extraire par‑dessus les zones saines vers un autre disque vierge (cible au moins de la taille du volume source) :
repair-bde X: Y: -rp 123456-... -f
Note : repair-bde n’« améliore » pas le disque ; il tente d’extraire les fichiers lisibles. Les secteurs irrémédiablement illisibles entraîneront des fichiers partiels ou manquants.
Plan pratique de secours à chaud
Si vous accédez temporairement à une session Windows, profitez‑en pour copier les données essentielles sans parcourir tout le disque :
robocopy "C:\Users\%USERNAME%\Documents" "D:\Sauvegarde\Documents" /E /COPY:DAT /R:0 /W:0 /MT:8 /V /LOG:"D:\Sauvegarde\robocopy.log"
robocopy "C:\Users\%USERNAME%\Pictures" "D:\Sauvegarde\Pictures" /E /COPY:DAT /R:0 /W:0 /MT:8 /V /LOG+:"D:\Sauvegarde\robocopy.log"
L’option /R:0 évite de s’acharner sur les fichiers bloqués ; le journal indiquera ce qui a échoué.
Comprendre la cause du blocage
Le déchiffrement BitLocker parcourt l’intégralité du support pour réécrire les métadonnées et retirer les protecteurs. Sur SSD en erreur, un secteur qui ne répond pas met en attente le processus E/S. Le pourcentage reste figé tant que le contrôleur n’obtient pas de réponse, d’où l’impression de « 75 % pour toujours ». Suspendre BitLocker et cloner hors ligne permet d’éviter cette impasse.
Faire un état des lieux matériel
En WinRE ou sur un live Linux :
- Windows (tant que ça répond) :
wmic diskdrive get statusouGet-PhysicalDisk,Get-StorageReliabilityCounteren PowerShell. - Linux :
sudo smartctl -a /dev/nvme0pour consulter les alertes critiques (media errors, percentage used, etc.).
Si des indicateurs SMART montent, le remplacement est inévitable.
Remplacer le SSD et repartir proprement
- Installez un SSD NVMe fiable de capacité équivalente ou supérieure.
- Démarrez sur la clé d’installation Windows 11 et effectuez une installation propre (supprimez les anciennes partitions si vous repartez de zéro).
- Avant d’activer à nouveau le chiffrement, restaurez vos données puis paramétrez une stratégie de sauvegarde (au minimum : une copie externe + une copie cloud).
- Lorsque tout est sauvegardé, réactivez le chiffrement : sur Windows 11 Home, Device Encryption se réactivera si les prérequis sont réunis (TPM 2.0, Modern Standby, etc.). Sur Pro/Entreprise, utilisez BitLocker et conservez la clé hors ligne.
Erreurs à éviter absolument
- Lancer
chkdsk /rsur un SSD malade : cette option multiplie les lectures des secteurs instables et accélère la dégradation. Si vous devez corriger des erreurs d’index après sauvegarde, préférezchkdsk /fsur une copie. - Relancer
manage-bde -offsur le disque défaillant : vous recréez les mêmes symptômes de blocage. - Copier « à la main » de très gros dossiers depuis le disque malade : utilisez un outil qui journalise et passe les fichiers défectueux (
robocopyavec/R:0), ou mieux, clonez d’abord. - Travailler sans clé de récupération : vérifiez‑la et sauvegardez‑la avant d’éteindre/rebooter.
Procédure détaillée depuis WinRE
Préparer le terrain
# Identifier la lettre du volume système
diskpart
list vol
sel vol <numéro de la partition Windows>
assign letter=C
exit
# Vérifier BitLocker
manage-bde -status C: Mettre le chiffrement en pause
manage-bde -pause C:
manage-bde -protectors -disable C:
Astuce : la désactivation des protecteurs empêche un redémarrage de la conversion pendant vos opérations de copie, sans lancer de déchiffrement actif.
Déverrouiller si nécessaire
manage-bde -unlock C: -RecoveryPassword 123456-...
Copier l’essentiel vers un disque USB
robocopy C:\Users D:\Sauv\Users /E /COPY:DAT /R:0 /W:0 /V /MT:8 /LOG:D:\Sauv\copie.log
Si le volume ne se monte plus
# Supposons que C: soit la source, E: la cible vierge
repair-bde C: E: -rp 123456-... -f
Quand faire appel à un professionnel
Si les données sont critiques (projet professionnel, photos non sauvegardées, base comptable, etc.) et que :
- ddrescue échoue à figer une image exploitable,
- le disque n’est plus détecté ou claque/se met hors ligne,
- le pourcentage d’erreurs SMART explose,
un laboratoire de récupération disposera d’outils et de pièces de rechange (transplantation de carte, accès en mode technicien) pour extraire le contenu sans aggraver les dommages.
Pourquoi BitLocker s’est activé « tout seul »
Device Encryption est une déclinaison légère de BitLocker sur Windows 11, souvent présente sur les portables modernes (TPM 2.0, veille moderne). À la première connexion à un compte Microsoft ou à l’enrôlement d’entreprise, la protection se met en place automatiquement pour sécuriser les données. D’où la présence d’un volume chiffré même si vous n’avez jamais cliqué sur « Activer ».
Plan d’action recommandé
- Récupérer et sauvegarder la clé de récupération BitLocker (compte Microsoft ou Azure AD).
- Démarrer en WinRE via Maj + Redémarrer ou une clé USB, ouvrir l’Invite de commandes.
- Identifier la lettre du volume Windows avec
diskpart, mettre BitLocker en pause avecmanage-bde -pause. - Créer une image disque with ddrescue/Clonezilla/Macrium (mode « forensic » ou « rescue »), journal de progression conservé.
- Sur un autre PC, monter l’image ou brancher le clone, déverrouiller avec
manage-bde -unlock, puis copier les données. Si besoin,repair-bdevers un disque vierge. - Remplacer le SSD du Lenovo IdeaPad 3, réinstaller Windows 11 proprement, restaurer les données.
- Mettre en place une sauvegarde 3‑2‑1 : trois copies, sur deux supports, dont une hors site. Réactiver le chiffrement uniquement après vérification de la sauvegarde.
FAQ express
Que faire si la clé BitLocker est introuvable ?
Vérifiez tous les comptes Microsoft utilisés lors de la mise en route, votre espace de travail d’entreprise, ou un éventuel PDF imprimé/stocké au moment de l’activation. Sans clé, les données restent indéchiffrables.
Le mode sans échec est inaccessible : puis‑je forcer bcdedit ?
Évitez les modifications de boot tant que le disque est instable. Accédez plutôt à WinRE via USB et travaillez hors ligne.
chkdsk peut‑il « sauver » le volume ?chkdsk /f corrige les erreurs logiques mais lit/écrit largement. À réserver à une copie stable. /r est déconseillé sur SSD défaillant.
Peut‑on décrypter directement l’image ?
Oui : montez le fichier image en disque virtuel, puis manage-bde -unlock et -off sur la copie, jamais sur l’original.
Device Encryption ou BitLocker complet ?
Sur Windows 11 Home, Device Encryption s’active si les prérequis sont réunis. Sur Pro/Entreprise, BitLocker offre plus d’options (XTS‑AES 128/256, GPO, protecteurs multiples).
Tableau récapitulatif des commandes utiles
| But | Commande | Remarques |
|---|---|---|
| Voir l’état du chiffrement | manage-bde -status | À lancer sur la bonne lettre (vérifier avec diskpart). |
| Mettre en pause le déchiffrement | manage-bde -pause C: | Libère les E/S pour le clonage. |
| Désactiver temporairement les protecteurs | manage-bde -protectors -disable C: | Évite la reprise automatique. |
| Déverrouiller avec la clé | manage-bde -unlock C: -RecoveryPassword <clé> | La clé comporte 48 chiffres. |
| Extraire vers un autre disque | repair-bde C: E: -rp <clé> -f | E: doit être vide et au moins de la taille de C:. |
| Copie avec journal et sans relance | robocopy src dst /E /COPY:DAT /R:0 /W:0 /MT:8 /V | Idéal pour passer les fichiers bloqués. |
| Clonage brut tolérant aux erreurs | ddrescue -f -n source dest map.log | Reprendre avec -d -r3 pour les zones dures. |
Conseils post‑récupération
- Versionnez vos dossiers critiques (Documents, Images, Projets) avec un outil de sauvegarde incrémentale.
- Conservez la clé BitLocker dans un coffre numérique chiffré et sur une clé USB dédiée.
- Testez la restauration au moins une fois : une sauvegarde non testée n’est qu’une hypothèse.
- Surveillez la santé du nouveau SSD (firmware, température, espace libre) et évitez de saturer la capacité.
Cas particulier des parcs gérés
Sur un poste rattaché à Azure AD/Intune, la clé de récupération est généralement attachée à l’objet appareil. Avant tout envoi en garantie ou rotation du matériel, récupérez la clé et consignez‑la dans l’outil de gestion. Si la donnée est critique et non répliquée, privilégiez une récupération en laboratoire avant tout échange standard.
Conclusion
Un déchiffrement BitLocker bloqué autour de 75 % sur un Lenovo IdeaPad 3 est le symptôme d’un SSD NVMe à l’agonie, pas la cause. En suspendant BitLocker, en figeant une image avec un outil tolérant aux erreurs, puis en déverrouillant/extraire les données hors ligne, vous maximisez vos chances de sauver l’essentiel. Le remplacement du SSD et une stratégie de sauvegarde robuste bouclent la remise en état. La clé : sauver d’abord, réparer ensuite.
Annexe : déroulé pas‑à‑pas condensé
- Accéder à WinRE → Invite de commandes.
diskpart→ retrouver la lettre du volume OS.manage-bde -status→ confirmer l’état, puis-pause.- Imager le disque avec ddrescue ou cloner en mode forensic.
- Sur un autre PC,
manage-bde -unlocksur l’image/clone, puis copie des données. Si échec :repair-bde. - Remplacer le SSD, réinstaller Windows 11, restaurer, puis réactiver le chiffrement quand la sauvegarde est en place.
Besoin d’escalade ? Si malgré tout l’image ne se constitue pas ou si le disque se déconnecte constamment, confiez le support à un service de récupération spécialisé. En cas de garantie Lenovo active, demandez un remplacement matériel et un accompagnement sur le volet BitLocker, en gardant à l’esprit que la récupération de données n’est généralement pas couverte par la garantie.