BitLocker Windows 11 24H2 : activation automatique, risques et désactivation

Windows 11 24H2 peut activer le chiffrement dès l’installation ou après une mise à niveau. Voici un guide clair et actionnable pour savoir quand cela se produit, quels sont les risques, et comment garder le contrôle (avant, pendant et après l’update).

Sommaire

BitLocker sera‑t‑il activé automatiquement avec Windows 11 24H2 ?

Ce qu’il faut retenir

Windows 11 Pro :
- Mise à niveau via Windows Update :
  - Si vous vous connectez avec un compte Microsoft (MSA), BitLocker (ou « Chiffrement de l’appareil » sur certains modèles) peut s’activer automatiquement et la clé de récupération est sauvegardée dans votre MSA.
  - Si vous utilisez un compte local, le chiffrement ne s’active pas automatiquement.
- Installation propre (clé USB/OOBE) :
  - Sur le matériel compatible, BitLocker est activé d’office, quel que soit le type de compte choisi après l’installation.
Windows 11 Home : de nombreux PC arrivent déjà avec « Chiffrement de l’appareil » actif par défaut ; la logique devrait rester la même sous 24H2.
PC d’entreprise : le service informatique peut imposer le chiffrement via GPO ou Intune, indépendamment des règles grand public.

Remarques importantes : l’activation automatique dépend aussi du support matériel (TPM 2.0, UEFI/Secure Boot, Modern Standby pour « Chiffrement de l’appareil »). Les OEM peuvent personnaliser le comportement. Conservez toujours votre clé de récupération.

Risques identifiés

Risque	Cause principale	Conséquence
Perte de la clé de récupération	Activation silencieuse + oubli de sauvegarde	Blocage total du disque (dans certains cas, l’accès peut être impossible sans la clé)
Verrouillage après certaines mises à jour, changements de matériel ou restauration d’image	Le TPM détecte une modification de l’état « sécurisé »	Demande subite de la clé de récupération
Confusion « BitLocker » vs « Chiffrement de l’appareil »	Terminologie Microsoft peu claire	Difficulté à trouver l’interrupteur de désactivation

Prévenir ou désactiver BitLocker

Avant d’installer 24H2

Vérifier l’état actuel manage-bde -status C: ou via Paramètres ► Système ► Confidentialité et sécurité ► Chiffrement. Sur Windows 11 Pro, on peut aussi ouvrir Panneau de configuration ► Chiffrement de lecteur BitLocker.
Désactiver proprement (si déjà actif)
- Dans les Paramètres : bouton Désactiver.
- En ligne de commande : manage-bde -off C: (attendre la déchiffrement complet).
- PowerShell (édition Pro) : Disable-BitLocker -MountPoint C:.
Empêcher l’activation automatique (recommandé si vous ne souhaitez aucun chiffrement par défaut)
- Registre — créer la valeur PreventDeviceEncryption à 1 avant la mise à niveau ou pendant l’OOBE : HKLM\SYSTEM\CurrentControlSet\Control\BitLocker DWORD PreventDeviceEncryption = 1 (Si la clé Control\BitLocker n’existe pas, créez-la.)
  Certains administrateurs ajoutent aussi la stratégie :
  HKLM\SOFTWARE\Policies\Microsoft\FVE → EnableBDE = 0 (DWORD) pour renforcer le blocage.
- Compte local pendant l’OOBE : choisir Se connecter hors ligne pour éviter l’escrow automatique de la clé dans un MSA.
Sauvegarder la clé si vous laissez le chiffrement actif
- Dans votre compte Microsoft (rubrique « Clés BitLocker »).
- Sur une clé USB, au format papier, ou dans un coffre‑fort numérique hors ligne.

Après activation involontaire

Récupérez tout de suite la clé (Paramètres ► Système ► Récupération de la clé BitLocker ou depuis votre espace account.microsoft.com/devices si elle a été stockée dans votre MSA).
Désactivez BitLocker, puis chiffrerez de nouveau manuellement si vous changez d’avis (vous garderez la même clé ou vous pourrez en régénérer une propre).
Avant une grosse mise à jour firmware/BIOS ou un remplacement de matériel, utilisez plutôt Suspension : manage-bde -protectors -disable C: ou PowerShell : Suspend-BitLocker -MountPoint C: -RebootCount 1 (réactivation automatique après redémarrage).

Bonnes pratiques et informations complémentaires

Action recommandée	Pourquoi ?
Sauvegarder au moins deux copies de la clé de récupération (MSA + USB ou papier)	Un compte Microsoft inaccessible ou compromis rend la clé introuvable
Tenir un inventaire matériel/TPM avant mise à jour majeure	Un changement (SSD, BIOS/UEFI, paramètres Secure Boot) peut déclencher la demande de clé
Vérifier régulièrement `manage-bde -status` après chaque mise à jour cumulée	Certaines mises à jour OEM/firmware peuvent réactiver le chiffrement
Signaler vos attentes via Feedback Hub (Win + F)	Les ingénieurs Microsoft ajustent parfois le comportement avant la version finale ; les retours comptent
Sur VM ou image de référence : désactiver BitLocker avant capture, ou exporter la clé puis réactiver après clonage	Évite l’échec du sysprep ou du déploiement

BitLocker vs « Chiffrement de l’appareil » : comprendre la différence

Aspect	BitLocker (Windows Pro/Entreprise)	Chiffrement de l’appareil (Home et certains PC Pro)
Édition	Disponible sur Pro/Entreprise/Education	Disponible sur Home et sur certains PC Pro éligibles
Contrôle fin	Oui : choix de l’algorithme (XTS‑AES 128/256), volumes cibles, stratégie de démarrage	Non : activé/désactivé de manière globale et plus opaque
Activation	Manuelle, par stratégie, ou déclenchée par l’OOBE selon paramètres	Automatique si conditions matérielles et compte MSA réunies
Administration	GPO, Intune, `manage-bde`, applet BitLocker, PowerShell	Paramètres Windows ; moins d’options d’outillage
Clés de récupération	Sauvegarde AD DS/Entra ID, fichier, imprimé, MSA (cas MDM mixte)	Sauvegarde généralement dans le MSA de l’utilisateur
Cas d’usage	Parcs gérés, conformité, scénarios avancés	Protection de base pour particuliers/PC grand public modernes

Scénarios typiques selon la méthode d’installation

Mise à niveau via Windows Update

Compte Microsoft : attendez-vous à un chiffrement automatique si le PC est compatible. La clé peut être déposée dans votre compte.
Compte local : en règle générale, le chiffrement reste inactif tant que vous ne l’activez pas.
Recommandations : sécurisez/doublez la clé, testez manage-bde -status après l’update, et suspendrez le chiffrement avant un flash UEFI.

Installation propre (clé USB/OOBE)

Sur les PC compatibles, le chiffrement se met en place très tôt, parfois dès la fin de l’OOBE.
Pour éviter toute activation : créer PreventDeviceEncryption = 1 avant l’OOBE ou choisir « Se connecter hors ligne » puis activer plus tard manuellement.
Si vous souhaitez BitLocker : laissez l’activation, puis sauvegardez immédiatement la clé vers deux emplacements distincts.

PC OEM neufs

Beaucoup d’OEM livrent les machines « prêtes à chiffrer » : la connexion à un MSA peut activer le chiffrement sans alerte apparente.
Au premier démarrage, pensez à vérifier l’état du disque et à imprimer la clé.

Environnement virtualisé/laboratoire

Les VM peuvent activer BitLocker si la carte TPM virtuelle est présente ; vérifiez la politique de votre hyperviseur.
Avant toute capture/clonage : désactivez ou suspendez, puis réactivez après déploiement.

Procédures détaillées et commandes utiles

Vérifier l’état du chiffrement

Interprétez la sortie de manage-bde -status C: :

Conversion status : indique si le volume est Fully Encrypted ou Decrypted.
Protection status : On = clés actives ; Off = chiffrement présent mais désactivé (suspendu).
Key Protectors : liste des protecteurs (TPM, mot de passe de récupération, PIN, etc.).

PowerShell (édition Pro) :

Get-BitLockerVolume | Select-Object MountPoint, VolumeStatus, ProtectionStatus, EncryptionMethod, KeyProtector

Sauvegarder/afficher la clé de récupération

Applets Windows : Gérer BitLocker ► Sauvegarder la clé de récupération.
Commandes : manage-bde -protectors -get C: En domaine Active Directory : manage-bde -protectors -adbackup C: -id {GUID_DU_PROTECTEUR}
Recommandation : conservez deux copies (ex. MSA + USB) et validez que la clé imprimée est lisible.

Désactiver, suspendre ou réactiver

Désactiver et déchiffrer : manage-bde -off C:
Suspension temporaire (avant MAJ UEFI/BIOS) : manage-bde -protectors -disable C:
Réactiver : manage-bde -protectors -enable C:

Empêcher l’activation pendant l’OOBE ou depuis WinPE

Depuis l’invite de commandes (OOBE : Shift+F10) :

reg add "HKLM\SYSTEM\CurrentControlSet\Control\BitLocker" ^
  /v PreventDeviceEncryption /t REG_DWORD /d 1 /f

Sur un Windows hors ligne (depuis WinPE), en montant la ruche :

reg load HKLM\OFFLINE_SYSTEM D:\Windows\System32\config\SYSTEM
reg add "HKLM\OFFLINE_SYSTEM\ControlSet001\Control\BitLocker" ^
  /v PreventDeviceEncryption /t REG_DWORD /d 1 /f
reg unload HKLM\OFFLINE_SYSTEM

Redémarrez ensuite et terminez l’installation. Vous pourrez activer BitLocker plus tard en toute maîtrise.

Entreprise : stratégies GPO/Intune et bonnes pratiques d’escrow

Objectifs de conformité

Exiger le chiffrement du disque système et des volumes de données.
Imposer la sauvegarde (escrow) des informations de récupération avant activation.
Standardiser l’algorithme (XTS‑AES 128 ou 256) selon la politique sécurité.

Paramètres GPO clés

Console GPMC → Configuration ordinateur ► Modèles d’administration ► Composants Windows ► Chiffrement de lecteur BitLocker :

Exiger la sauvegarde des informations de récupération dans AD DS (et refuser l’activation si l’escrow échoue).
Choisir la méthode de chiffrement et la force (XTS‑AES 128/256) pour lecteurs OS/données.
Exiger une authentification supplémentaire au démarrage (TPM + PIN sur postes sensibles).
Autoriser BitLocker sans compatibilité TPM : désactivé dans la plupart des environnements.

Paramètres Intune/MDM (Entra ID)

Endpoint Security ► Disk Encryption : profil Windows (Best practice).
CSP BitLocker : RequireDeviceEncryption, EncryptionMethodWithXtsFdv/Osdv, RecoveryOptions (exiger l’escrow cloud, empêcher l’effacement utilisateur).
Bloquez l’association à un MSA personnel sur les postes gérés pour éviter que les clés partent dans des comptes non maîtrisés.

FAQ rapides

Mon PC supporte‑t‑il « Chiffrement de l’appareil » ?
Il faut TPM 2.0, UEFI/Secure Boot et souvent Modern Standby. Dans Paramètres ► Système ► Informations système, la mention « Prise en charge de la sécurité de l’appareil » donne un indice.

Après un changement de SSD/BIOS, on me demande la clé : normal ?
Oui. Le TPM protège des altérations de la chaîne de démarrage. Entrez la clé, puis réactivez ou resuspendez proprement. Avant un remplacement matériel, pensez à Suspension.

BitLocker ralentit‑il le PC ?
Sur matériels récents, l’impact est faible grâce à l’accélération AES (XTS‑AES). Pour des SSD très anciens, préférez XTS‑AES 128 si une micro‑latence vous gêne.

Puis‑je chiffrer uniquement C: ?
Oui avec BitLocker (Pro). « Chiffrement de l’appareil » tend à chiffrer globalement.

Où est ma clé de récupération ?
Dans votre MSA (rubrique « Clés BitLocker »), dans AD DS/Entra ID pour les PC d’entreprise, ou dans vos sauvegardes locales (USB/papier). Conservez deux copies distinctes.

Check‑list express

Avant 24H2 : manage-bde -status, décider on/off, sauvegarder la clé.
Si vous ne voulez pas d’activation auto : PreventDeviceEncryption = 1 et/ou compte local pendant l’OOBE.
Avant firmware/BIOS : Suspendre les protecteurs.
Après mise à jour : revérifier l’état et la présence de la clé dans vos emplacements.

Conclusion synthétique

Oui, BitLocker / Chiffrement de l’appareil peut être activé par défaut sous Windows 11 24H2 — surtout en installation propre ou si vous utilisez un compte Microsoft.
Non, vous n’êtes pas condamné à l’utiliser : un compte local, le DWORD PreventDeviceEncryption, ou la désactivation manuelle permettent de le garder inactif.
Sauvegardez toujours la clé de récupération : c’est la seule protection contre un verrouillage imprévu.

En résumé : prenez la main avant l’update (clé et registre), pendant l’OOBE (choix du compte), et après l’installation (vérifications régulières). Ce trio suffit à éviter les mauvaises surprises et à conserver un chiffrement maîtrisé.