Démarrer

Ordinateur verrouillé et héritage Crypto

C’est le scénario « Cold Case » du notariat moderne. Une famille vous remet un ordinateur portable haut de gamme, supposé contenir une fortune en cryptomonnaies. Mais l’appareil est une brique inerte : un écran de verrouillage demande un mot de passe, ou pire, un chiffrement de disque type BitLocker bloque tout accès aux données. Faut-il formater ? Faut-il tenter de deviner le code au risque de tout bloquer ? Pour les héritiers et le notaire, cet ordinateur est une « boîte noire ». Cet article technique et pratique plonge dans les entrailles de la récupération de données post-mortem (Digital Forensics) pour expliquer comment les experts parviennent, parfois, à contourner les sécurités les plus robustes pour sauver un héritage.

I. L’Oignon Numérique : Comprendre les couches de sécurité

Pour comprendre la mission de l’expert, il faut visualiser l’ordinateur comme un oignon. L’accès aux cryptomonnaies (le cœur) est protégé par plusieurs couches concentriques de sécurité. Chaque couche nécessite une technique de « crochetage » différente.

Couche 1 : Le Chiffrement du Disque (Full Disk Encryption)

C’est la barrière la plus redoutable.

  • Windows (BitLocker) : Si activé, le disque dur entier est chiffré. Sans la clé de récupération de 48 chiffres, les données sont une bouillie illisible.
  • Mac (FileVault) : Le principe est identique. Les puces de sécurité T2 ou Silicon (M1/M2/M3) rendent l’extraction physique du disque inutile car les données sont chiffrées matériellement.
  • Linux (LUKS) : Souvent utilisé par les développeurs et experts crypto. Très robuste.

Couche 2 : La Session Utilisateur (Login)

Une fois le disque déchiffré (si on y arrive), il faut passer l’écran de bienvenue de Windows ou macOS. C’est paradoxalement souvent la barrière la plus simple à contourner pour un expert forensique.

Couche 3 : Le Fichier Wallet

Une fois sur le bureau, on trouve le logiciel (Bitcoin Core, Electrum). Mais au lancement, il demande encore un mot de passe pour effectuer un virement. C’est le chiffrement du fichier wallet.dat. C’est ici que l’attaque par force brute intervient.

II. « Triage » d’urgence : Les erreurs fatales à ne pas commettre

Avant même d’appeler Lereum Recoveries, le comportement des héritiers face à la machine est critique. Une mauvaise manipulation de quelques secondes peut détruire définitivement les clés de chiffrement temporaires.

La règle d’or : Ne changez pas l’état électrique

  • Si l’ordinateur est ÉTEINT : NE L’ALLUMEZ PAS. Allumer un ordinateur modifie les dates de dernier accès, les fichiers journaux (logs) et peut déclencher des processus de nettoyage automatique (TRIM sur les SSD) qui écrasent les données supprimées. Laissez-le éteint.
  • Si l’ordinateur est ALLUMÉ : NE L’ÉTEIGNEZ PAS. C’est contre-intuitif, mais vital. Si le disque est chiffré (BitLocker), la clé de déchiffrement se trouve actuellement en clair dans la mémoire vive (RAM) pour permettre à l’ordinateur de fonctionner. Si vous coupez le courant, la RAM se vide et la clé disparaît à jamais.

L’Attaque « Cold Boot » (Démarrage à froid)

Si l’ordinateur est allumé (même verrouillé), un expert peut intervenir physiquement pour geler la barrette de mémoire RAM (avec un spray réfrigérant) et la transférer rapidement sur un lecteur spécial pour extraire la clé de chiffrement avant qu’elle ne s’efface. C’est une technique digne de James Bond, mais réelle et utilisée en laboratoire forensic.

III. Les techniques « Forensic » : Comment les pros travaillent ?

Quand nous recevons un mandat notarial, nous n’agissons pas comme des « hackers » sauvages. Nous appliquons une méthodologie de police scientifique pour préserver l’intégrité de la preuve.

1. Le Clonage Bit-à-Bit (Write Blocking)

La règle absolue est de ne jamais travailler sur l’original. L’expert démonte le disque dur et utilise un boîtier matériel appelé « Write Blocker » (bloqueur d’écriture). Ce boîtier permet de lire les données pour les copier, mais empêche physiquement toute modification du disque source. Nous créons un clone parfait (une image disque). L’original retourne au coffre du notaire.

2. La fouille des artefacts (Digital Archaeology)

Même si l’on n’a pas le mot de passe du wallet, l’ordinateur regorge d’indices. Nous scannons le clone à la recherche de :

  • Fichiers cachés : Les dossiers AppData (Windows) ou Library (Mac) contiennent souvent les sauvegardes automatiques des wallets (Metamask, Exodus).
  • Fichiers supprimés : Grâce à l’analyse de l’espace non alloué, nous pouvons parfois retrouver un fichier texte nommé « mots de passe.txt » que le défunt avait effacé il y a 6 mois.
  • Historique web : Même partiel, il nous dit où chercher (Coinbase ? Binance ? Kraken ?).

IV. Peut-on casser BitLocker ou FileVault ?

C’est la question à 1 million d’euros. Si le disque est chiffré et que personne n’a le code, est-ce fini ?

La méthode frontale : Impossible

Casser le chiffrement AES-XTS de BitLocker par force brute est impossible avec la technologie actuelle.

La méthode latérale : Le contournement (Bypass)

Heureusement, l’utilisateur laisse souvent des portes entrouvertes :

  1. Le Cloud Microsoft/Apple : Très souvent, lors de l’initialisation de l’ordinateur, la clé de récupération BitLocker est sauvegardée automatiquement sur le compte Microsoft (OneDrive) ou iCloud de l’utilisateur. Si nous pouvons accéder à l’email du défunt (souvent accessible via son téléphone portable resté allumé), nous pouvons récupérer cette clé de secours.
  2. Les sauvegardes locales : Nous cherchons systématiquement les clés USB ou disques durs externes qui traînent dans les tiroirs. Les gens font souvent des sauvegardes non chiffrées de leurs données chiffrées (« Time Machine » sur Mac).
  3. La faille TPM (Hardware Sniffing) : Sur certains PC plus anciens, il est possible de brancher des sondes électroniques sur la carte mère pour « écouter » la puce de sécurité TPM au moment où elle envoie la clé de déchiffrement au processeur. C’est une opération de haute technicité électronique.

V. Le cadre légal : Vie privée et Secret des correspondances

Fouiller l’ordinateur d’un mort pose un problème éthique majeur. L’ordinateur contient des cryptos, mais aussi des emails intimes, des photos personnelles, des secrets médicaux.

Le mandat de tri sélectif

La loi pour une République Numérique (2016) permet aux héritiers d’accéder aux données pour régler la succession. Mais cela ne donne pas un droit de voyeurisme total. L’expert de Lereum Recoveries agit comme un filtre neutre.

  • Il extrait les données patrimoniales (wallets, accès banques).
  • Il ignore (et ne transmet pas) les données purement privées (correspondance amoureuse, historique de navigation adulte) qui n’ont pas de valeur financière. Cela protège la mémoire du défunt et évite des conflits familiaux inutiles.

FAQ : Ordinateur verrouillé et Crypto

1. Si je formate l’ordinateur pour le réutiliser, est-ce que je perds les cryptos ? OUI, DÉFINITIVEMENT. Formater efface la table d’allocation des fichiers. Si vous réinstallez Windows par-dessus, vous écrasez magnétiquement les anciennes données. Récupérer un wallet après formatage est quasi-impossible. Ne formatez jamais un ordinateur de succession avant audit.

2. Le défunt utilisait un VPN et Tor, est-ce un problème ? Cela complique l’enquête car nous n’avons pas d’historique de navigation pour savoir quelles plateformes il utilisait. Cependant, cela n’affecte pas la sécurité des fichiers stockés localement sur le disque dur.

3. Combien coûte une analyse forensic d’un ordinateur ? L’analyse initiale (diagnostic de faisabilité) est souvent facturée au forfait (quelques centaines d’euros). La récupération effective des fonds est facturée au pourcentage (Success Fee). Cela évite de payer cher si l’ordinateur s’avère vide.

4. J’ai le mot de passe de session Windows, ai-je gagné ? C’est une grande victoire, car cela nous donne accès aux fichiers. Mais ce n’est pas fini. Le logiciel de crypto (le wallet) aura probablement son propre mot de passe distinct pour valider les transactions. Cependant, avoir l’accès Windows permet d’extraire le fichier pour lancer une attaque par force brute efficace.

5. Les Mac sont-ils plus difficiles à ouvrir que les PC ? Oui. Depuis l’introduction des puces T2 et Apple Silicon, le niveau de sécurité matérielle des Mac est très élevé. L’extraction du disque dur est impossible (puces soudées). La récupération repose presque entièrement sur l’accès au compte iCloud ou aux sauvegardes Time Machine.

Revenir aux actualités

Partager :

Plus d'actualités

Newsletter


    Il est temps de récupérer vos accès !