Les méthodes précédentes supposaient qu'une fois la donnée lue, elle était exploitable. Ce n'est plus vrai : le chiffrement est devenu la norme, et sur de nombreux appareils, réparer le support ne suffit plus à lire son contenu. La récupération moderne doit composer avec la sécurité — sans jamais la contourner illégitimement.
1 · Le chiffrement du stockage
Trois grandes familles se rencontrent au quotidien :
- BitLocker (Windows) — chiffrement de volume, déverrouillable avec le mot de passe ou la clé de récupération (souvent liée au compte Microsoft ou au TPM).
- FileVault (macOS) — chiffrement intégral du disque, lié au mot de passe de session et, sur Mac récents, au Secure Enclave.
- LUKS / VeraCrypt — chiffrement logiciel multiplateforme, déverrouillable avec la phrase de passe.
Dans tous les cas, la récupération matérielle (réparer un disque, imager un SSD) fournit des données chiffrées. Le déchiffrement n'est possible qu'avec le secret légitime : mot de passe ou clé de récupération. Sans lui, les données restent du bruit — ce qui est précisément le but du chiffrement.
2 · Le mobile & la chaîne de confiance
Les smartphones poussent cette logique à l'extrême. Sur iPhone, le Secure Enclave est un coprocesseur qui détient les clés et lie le chiffrement au processeur : la mémoire et le processeur forment un couple indissociable. C'est pourquoi, lors d'un CPU swap, on transplante les deux ensemble — séparer l'un de l'autre détruirait la capacité à déchiffrer.
Sur Android, le chiffrement par fichier (FBE) et des modules comme Samsung Knox lient également les clés au matériel et au code de déverrouillage. La récupération mobile consiste donc à réparer le matériel pour permettre l'accès, puis à laisser l'utilisateur légitime déverrouiller avec son code. C'est l'aboutissement du chapitre Smartphone du Guide.
3 · La ligne éthique
Un point essentiel distingue un laboratoire sérieux des arnaques : nous ne contournons pas la sécurité des appareils. Nous ne « cassons » pas un chiffrement, ne déverrouillons pas un iPhone sans son code, ne contournons pas un compte. Ce refus n'est pas une limite technique déguisée : c'est une garantie. Le jour où vous récupérez vos données, vous voulez aussi être certain que personne d'autre ne le pourrait. Notre rôle s'arrête à rendre le matériel lisible pour son propriétaire légitime.
4 · La forensique judiciaire
Dans un cadre légal (expertise, enquête, litige), la récupération devient preuve. Elle obéit alors à des exigences supplémentaires, déjà introduites au chapitre Diagnostic :
- Intégrité — empreinte SHA-256 calculée à l'acquisition, prouvant la non-altération.
- Traçabilité — chaîne de custody documentée selon ISO/IEC 27037, scellés, journal horodaté.
- Reproductibilité — travail sur copie, jamais sur l'original, pour qu'un tiers puisse vérifier.
Ces garanties font la différence entre une donnée « retrouvée » et une preuve recevable devant un tribunal.
5 · La restauration post-ransomware
Cas spécial devenu fréquent : un ransomware chiffre les fichiers d'un serveur ou d'un NAS. Ici, le chiffrement est hostile, et la voie n'est pas de le casser mais de le contourner par l'antériorité : beaucoup d'attaques ignorent les snapshots en lecture seule de Btrfs/ZFS. En restaurant un instantané antérieur à l'attaque, on récupère l'état sain — souvent sans payer de rançon. La méthode est développée dans le chapitre RAID & NAS.
Ne jamais payer comme réflexe : rien ne garantit la restitution, et la sauvegarde hors ligne (voir partie VII) reste la meilleure assurance.