Démarrer

Mot de passe Windows ou Mac oublié : Quelles conséquences pour vos cryptos ?

Vous revenez de vacances ou vous ressortez un vieil ordinateur portable du placard. Vous appuyez sur « Power ». L’écran de connexion s’affiche. Et là, le trou de mémoire : impossible de vous souvenir du mot de passe de session de Windows ou macOS. Si cet ordinateur ne contenait que des photos de chat, vous pourriez simplement le formater. Mais il contient votre portefeuille crypto (Metamask, Exodus, Bitcoin Core). Si vous réinstallez le système, vous effacez la clé privée. Vous êtes donc pris en otage par votre propre système d’exploitation. Comment contourner la sécurité de Windows ou Apple sans détruire les données précieuses stockées à l’intérieur ? Lereum Recoveries vous guide à travers les techniques d’intrusion système non-destructives.

I. L’ordinateur : Le premier coffre-fort

Avant d’attaquer le mot de passe du wallet, il faut entrer dans la pièce où se trouve le wallet : le Bureau (Desktop).

  • Le risque : De nombreuses « boutiques de réparation informatique » du quartier ne s’embêtent pas. Si vous leur dites « J’ai perdu mon mot de passe », ils formatent et réinstallent Windows. Pour un investisseur crypto, c’est une catastrophe absolue (voir Article 6 : Disque dur formaté).

II. Cas Windows : Les portes dérobées

Sur Windows, si le disque n’est pas chiffré par BitLocker, la récupération est triviale pour un expert.

  1. La faille « Utilman » (Sticky Keys) : En démarrant sur une clé USB de réparation, nous pouvons remplacer l’outil d’accessibilité par une invite de commande (CMD). Au redémarrage, sur l’écran de login, on appuie 5 fois sur Maj, et on obtient un terminal administrateur qui permet de changer le mot de passe sans connaître l’ancien.
  2. L’attaque SAM : Le fichier C:\Windows\System32\config\SAM contient les hashs des mots de passe utilisateurs (NTLM). Nous pouvons extraire ce fichier et cracker votre mot de passe Windows en quelques secondes avec nos GPU, car les mots de passe de session sont souvent faibles.

Et si BitLocker est activé ? C’est plus dur. Il faut d’abord la clé de récupération BitLocker (48 chiffres) souvent stockée sur votre compte Microsoft en ligne. Sans elle, Windows est une forteresse imprenable (voir Article 12 B2B).

III. Cas Mac (macOS) : La forteresse Apple

Apple est beaucoup plus strict, surtout avec les puces T2 et M1/M2/M3.

  • FileVault : Si le chiffrement de disque est activé (par défaut), on ne peut pas « bricoler » les fichiers système comme sur Windows.
  • L’ID Apple : Souvent, vous pouvez réinitialiser le mot de passe de session via votre identifiant Apple (iCloud). C’est la voie royale.
  • Le Terminal de secours : En mode Recovery, une commande resetpassword peut fonctionner si FileVault n’est pas actif.
  • L’intervention Lereum : Si tout échoue, nous tentons une attaque brute force sur le mot de passe de session. L’avantage est que le mot de passe de session macOS est souvent court (4 ou 6 caractères) car les utilisateurs le tapent souvent.

IV. Une fois entré : Le trousseau d’accès (Keychain)

Attention : Changer le mot de passe de session (reset) ne débloque pas forcément tout.

  • Sur Mac, si vous forcez la réinitialisation du mot de passe utilisateur, le Trousseau d’accès (Keychain) reste verrouillé avec l’ancien mot de passe.
  • Or, c’est souvent dans ce trousseau que sont stockés les mots de passe de vos wallets (Metamask, Chrome).
  • Conséquence : Vous avez accès au bureau, mais plus aux mots de passe enregistrés. Lereum doit alors extraire le fichier Keychain et le cracker séparément pour retrouver l’ancien mot de passe.

V. La solution ultime : L’extraction de disque (Bypass OS)

Si Windows/Mac est trop cassé ou trop sécurisé, nous ne cherchons pas à réparer l’OS.

  1. Nous démontons le disque dur.
  2. Nous le branchons sur nos stations forensiques (Linux).
  3. Nous lisons les fichiers directement, en ignorant les permissions de Windows.
  4. Nous localisons le dossier AppData (Windows) ou Application Support (Mac) pour copier les fichiers wallet (wallet.dat, Vault).
  5. Nous vous rendons les fichiers et vous pouvez formater l’ordinateur.

Liste des points clés :

  • Ne jamais formater ou réinitialiser un ordinateur contenant des cryptos.
  • Sur Windows, le mot de passe de session est facile à contourner si BitLocker est inactif.
  • Sur Mac, FileVault rend la tâche complexe sans l’identifiant iCloud.
  • Réinitialiser un mot de passe peut verrouiller le « Trousseau » (Keychain) contenant les secrets.
  • L’extraction physique du disque permet souvent de contourner le problème du mot de passe système.

FAQ : Mot de passe OS

1. Microsoft me demande de réinitialiser mon PC, je dis oui ? NON ! L’option « Réinitialiser ce PC » (même en gardant les fichiers) peut supprimer les dossiers AppData où se cachent les wallets. Il faut d’abord extraire les données.

2. J’ai utilisé un code PIN (4 chiffres) pour Windows Hello. Suffit-il ? Le PIN Windows Hello ne permet pas de déchiffrer les fichiers si vous accédez au disque depuis un autre PC. Mais il nous permet d’ouvrir la session et d’exporter les données proprement. C’est une bonne voie d’accès.

3. Si j’enlève la pile du BIOS, est-ce que ça enlève le mot de passe ? Cela enlève le mot de passe du BIOS (démarrage), mais pas le mot de passe de Windows (Session) ni le chiffrement du disque. C’est une légende urbaine pour les OS modernes.

4. Lereum a-t-il besoin de mon mot de passe Gmail/Apple ID ? Non. Nous ne vous demanderons jamais vos identifiants Cloud. Nous travaillons sur le matériel local.

5. Combien coûte un déblocage de session Windows ? Si le disque n’est pas chiffré, c’est une intervention rapide et peu coûteuse (forfait technique). Si BitLocker/FileVault est actif, cela devient une récupération de données complexe (Success Fee).

Revenir aux actualités

Partager :

Plus d'actualités

Newsletter


    Il est temps de récupérer vos accès !