Après saisie de la clé de récupération BitLocker sous Windows 10, un second écran affiche « Trace ID » et refuse l’accès ? Ce guide explique la cause la plus fréquente (quota OneDrive saturé) et détaille des solutions pas‑à‑pas, y compris les commandes manage-bde et les vérifications TPM.
Contexte et symptômes
Vous tentez de déverrouiller un lecteur chiffré BitLocker. La saisie de la clé de récupération (48 chiffres séparés par des tirets) semble acceptée, mais vous êtes redirigé vers un nouvel écran indiquant un Trace ID et l’accès reste refusé. Le message peut varier, mais l’élément commun est un identifiant de corrélation de type XXXXXXXX‑XXXXXX‑XXXXXX affiché en clair. Ce comportement peut survenir après un changement matériel/firmware, une mise à jour de sécurité, une réinitialisation du TPM, ou encore lorsque les services de récupération en ligne rencontrent une anomalie côté compte.
Que signifie « Trace ID » ?
Le Trace ID est un identifiant technique utilisé pour corréler l’erreur côté service (authentification/autorisation, récupération de métadonnées de clé, etc.). Il n’est pas votre clé de récupération et ne permet pas de déverrouiller le disque. Il signale généralement un échec de flux côté services Microsoft (compte, stockage associé, indexation des métadonnées) ou une incohérence locale (clé incorrecte, volume inattendu, état TPM).
Cause fréquente : OneDrive plein bloque la récupération en ligne
Dans de nombreux cas observés, lorsque le compte Microsoft associé atteint ou dépasse son quota OneDrive, l’orchestration de BitLocker Recovery peut échouer : la clé est correcte, mais la chaîne de récupération se rompt côté services et l’interface retourne un Trace ID au lieu de déverrouiller. Cette saturation n’efface pas votre clé ; elle empêche simplement le parcours en ligne de finaliser. La solution la plus rapide consiste à libérer de l’espace OneDrive, attendre la propagation côté services, puis réessayer.
Solution express
- Depuis un autre appareil, connectez‑vous au portail OneDrive (même compte que l’ordinateur concerné).
- Supprimez ou déplacez des fichiers volumineux (vidéos, archives), puis videZ la Corbeille OneDrive.
- Fermez la session sur les portails Microsoft ouverts, attendez 1 à 2 heures (délai de ré‑indexation/propagation), puis retentez la saisie de la clé de récupération sur le PC.
Si l’accès reste refusé, poursuivez avec les vérifications ci‑dessous.
Vérifier d’abord que vous utilisez la bonne clé
Sur l’écran BitLocker, notez l’ID de la clé (souvent les 8 derniers caractères affichés). Comparez‑le à vos clés sauvegardées : impression papier, fichier exporté, coffre‑fort, ou portail de récupération des clés Microsoft accessible depuis un autre appareil. Si l’ID ne correspond à aucune clé en votre possession :
- Confirmez que vous essayez de déverrouiller le bon lecteur (par ex.
C:vsD:). - Vérifiez la disposition du clavier à l’écran (AZERTY/QWERTY) : certains chiffres changent de place ; utilisez le pavé numérique si nécessaire.
- Retapez la clé sans les tirets (BitLocker accepte les deux), en respectant strictement les chiffres.
Procédure pas‑à‑pas : libérer l’espace OneDrive et réessayer
- Sur un appareil fonctionnel (PC, tablette, mobile), ouvrez le portail OneDrive avec le compte lié au PC bloqué.
- Triez vos fichiers « Taille » décroissante et déplacez/supprimez :
- Vidéos 4K/1080p, ISO, archives ZIP/RAR, sauvegardes obsolètes.
- Dossiers synchronisés « Bureau/Documents/Images » si vous utilisez Sauvegarde PC.
- Ouvrez la Corbeille OneDrive et videz‑la pour récupérer réellement le quota.
- Fermez la session des portails Microsoft/OneDrive.
- Attendez 60 à 120 minutes. Ce délai couvre la ré‑indexation et la propagation des quotas et métadonnées côté services.
- Revenez sur le PC verrouillé, saisissez de nouveau la même clé de récupération.
Astuce : si vous êtes proche de la limite de quota, supprimez au moins plusieurs Go et gardez une marge (≥ 5 Go). Évitez de retomber juste sous la limite : laissez de l’espace libre durable.
Informations complémentaires utiles
| Objectif | Actions ou vérifications supplémentaires |
|---|---|
| S’assurer que la bonne clé est utilisée | Comparer l’ID de la clé affiché dans l’invite BitLocker (8 derniers caractères) avec vos clés stockées ; récupérer la clé depuis un autre appareil via le portail de récupération des clés Microsoft. |
| Accès administrateur en environnement professionnel | Contacter le support IT : la clé peut être stockée dans Active Directory (attribut de récupération), Azure AD ou Intune. |
| Déverrouiller depuis l’Environnement de récupération | Ouvrir l’Invite de commandes → manage-bde -unlock C: -RecoveryPassword <votre_clé> puis vérifier l’état avec manage-bde -status. |
| Contrôler le TPM | Une réinitialisation matérielle ou un changement de BIOS/UEFI peut forcer BitLocker en mode récupération. Vérifier que le TPM n’a pas été effacé/désactivé. |
| Prévention | • Sauvegarder plusieurs copies hors ligne de la clé (impression, support chiffré). • Suspendre puis réactiver BitLocker avant mises à jour majeures de firmware ou de disque. • Surveiller régulièrement l’espace OneDrive pour éviter la saturation. |
Déverrouiller via l’Environnement de récupération Windows (WinRE)
Si l’interface graphique BitLocker bloque toujours après avoir libéré l’espace OneDrive, vous pouvez déverrouiller en ligne de commande depuis WinRE :
- À l’écran BitLocker, choisissez Options puis Invite de commandes (ou redémarrez sur les Options avancées).
- Identifiez la lettre du volume (parfois le système n’est pas sur
C:en WinRE). Tapez :diskpart→list volume→exit. - Déverrouillez avec votre clé :
manage-bde -unlock C: -RecoveryPassword 111111-222222-333333-444444-555555-666666-777777-888888 manage-bde -status C: - Une fois démarré sous Windows, suspendez puis réactivez les protecteurs pour resynchroniser l’état des mesures TPM :
manage-bde -protectors -disable C: redémarrage manage-bde -protectors -enable C:
Important : n’effacez jamais le TPM avant d’avoir déverrouillé le volume avec la clé de récupération. Effacer le TPM n’apporte aucun accès sans la clé et peut compliquer davantage la situation.
Cas entreprise : AD DS, Azure AD, Intune
Sur un poste géré, les clés de récupération sont généralement hébergées côté IT. Si vous voyez un Trace ID :
- Demandez au support de rechercher l’ID de clé dans Active Directory (attribut de récupération BitLocker), Azure AD (fiche de l’appareil) ou Intune (profil de l’appareil → clés BitLocker).
- Fournissez au besoin : le nom de l’appareil, l’ID du volume et l’ID de la clé (8 derniers caractères).
- Après déverrouillage, suspendez BitLocker avant tout flash BIOS/UEFI, activation de fonctionnalités (Secure Boot, Virtualization‑Based Security), ou remplacement matériel.
Contrôles matériels : TPM, BIOS/UEFI et « mesures »
BitLocker s’appuie sur des « mesures » (PCR) du démarrage sécurisé. Les événements suivants déclenchent souvent le mode récupération :
- Modification de paramètres UEFI : Secure Boot, CSM/Legacy Boot, ordre de démarrage, activation/désactivation VT‑x/AMD‑V, fTPM/dTPM.
- Mise à jour de firmware : BIOS/UEFI, microcodes, contrôleurs de stockage.
- Remplacement de carte mère ou effacement du TPM.
- Périphériques de démarrage ajoutés (clé USB insérée, disque externe) modifiant l’empreinte.
Bonnes pratiques :
- Avant une opération sensible, exécutez :
manage-bde -protectors -disable C:, effectuez l’opération, redémarrez, puismanage-bde -protectors -enable C:. - Vérifiez l’état du TPM depuis Windows (Gestion TPM) : la puce doit être provisionnée et activée.
Vérifications rapides qui font la différence
| Étape | Pourquoi | Ce qu’il faut observer/faire |
|---|---|---|
| Comparer l’ID de clé | Écarter la mauvaise clé | ID de l’écran = 8 derniers caractères d’une clé détenue |
| Disposition clavier | Erreurs de saisie | Basculer AZERTY/QWERTY, utiliser le pavé numérique |
| Quota OneDrive | Cause racine fréquente du « Trace ID » | Supprimer fichiers lourds, vider la Corbeille, attendre 1–2 h |
WinRE + manage-bde | Contourner l’UI qui boucle | manage-bde -unlock puis -status |
| État TPM | Mesures PCR incohérentes | Ne pas effacer, réactiver si désactivé, suspendre/réactiver BitLocker |
Scénarios particuliers et astuces
- Lecteur de données : si le volume concerné est
D:(données) et nonC:, adaptez les commandes. Exemple :manage-bde -unlock D: -RecoveryPassword <clé>. - Clé sur papier, mais refus : contrôlez les chiffres visuellement proches (0/8, 1/7). Les tirets sont optionnels, mais les groupes doivent rester inchangés.
- Pas de réseau : la récupération avec
manage-bdene nécessite pas Internet. Le flux en ligne (qui peut échouer si OneDrive est plein) n’est alors pas utilisé. - Écran « Trace ID » changeant : l’identifiant peut varier entre tentatives ; il ne s’agit pas d’un code d’erreur fonctionnel, mais d’un marqueur côté service.
Dernier recours : récupérer les données avec repair-bde
Si le système de fichiers est endommagé ou si le déverrouillage échoue malgré une clé valide, vous pouvez extraire les données vers un autre disque depuis un environnement de réparation (clé USB Windows/WinPE) :
repair-bde C: D: -rp <votre_clé_de_récupération> -f
Cette commande tente de déchiffrer C: et d’écrire les fichiers récupérables sur D: (un disque sain et vide). Elle requiert impérativement la clé de récupération. Si vous n’avez pas la clé, il n’existe pas de contournement légitime.
Prévenir la récidive
- Conservez plusieurs copies hors ligne de votre clé de récupération : impression papier (en lieu sûr), coffre‑fort numérique, clé USB chiffrée.
- Surveillez le quota OneDrive si votre clé est associée à un compte Microsoft personnel ; gardez une marge de plusieurs Go.
- Suspendre/Réactiver BitLocker avant toute mise à jour majeure de BIOS/UEFI ou changement matériel.
- Notez l’ID de clé sur vos supports de sauvegarde pour accélérer les correspondances en cas d’incident.
Foire aux questions
Le « Trace ID » est‑il une clé utilisable ?
Non. C’est un identifiant de corrélation technique. La seule information qui déverrouille est la clé de récupération BitLocker.
Combien de temps attendre après avoir libéré OneDrive ?
Généralement 1 à 2 heures suffisent pour que les services réindexent et stabilisent les métadonnées. Vous pouvez patienter un peu plus si le nettoyage a été massif (plusieurs dizaines de Go).
Je n’ai pas Internet sur le PC bloqué ; est‑ce bloquant ?
Non pour le déverrouillage local : manage-bde -unlock fonctionne hors ligne si vous avez la clé. Le flux qui mène à l’écran « Trace ID » est un parcours en ligne qui peut échouer lorsqu’il tente de vérifier des informations de compte.
Puis‑je déverrouiller sans clé ?
Non. BitLocker est conçu pour être résistant à ce type de contournement. Sans clé de récupération (ou protecteur valide), l’accès n’est pas possible.
Procédure opérationnelle condensée
- Identifier : relever l’ID de la clé affiché par BitLocker et vérifier qu’il correspond à une clé en votre possession.
- Nettoyer OneDrive : supprimer les gros fichiers, vider la Corbeille, fermer la session, attendre 1–2 h.
- Réessayer : retenter la clé sur l’écran BitLocker. Si l’accès reste refusé, passer à la ligne de commande.
- WinRE :
manage-bde -unlock C: -RecoveryPassword <clé>puismanage-bde -status. Après démarrage, suspendre/réactiver les protecteurs. - Entreprise : solliciter l’IT (AD/Azure AD/Intune) avec nom d’appareil et ID de clé.
- Dernier recours : sauvegarder les données avec
repair-bdevers un autre disque.
Résumé concret
- Cause la plus probable évoquée : saturation OneDrive du compte associé, entraînant un échec des services de récupération en ligne et l’affichage d’un Trace ID.
- Solution rapide : libérer de l’espace OneDrive, laisser le temps de propagation, puis ressaisir la clé de récupération.
- Si cela échoue : confirmer l’ID de clé, utiliser WinRE et
manage-bde, vérifier le TPM/UEFI, et contacter l’administrateur si l’appareil est géré.
Bon à savoir : le « Trace ID » est un symptôme, pas la cause. Le triptyque gagnant est clé correcte → quota OneDrive sain → protecteurs BitLocker resynchronisés. En appliquant les étapes ci‑dessus, vous éliminez les points de blocage les plus fréquents tout en préservant l’intégrité de vos données.