Microsoft a fourni au Federal Bureau of Investigation (FBI) des clés de récupération permettant de déverrouiller des ordinateurs protégés par BitLocker, le système de chiffrement intégré à Windows. Cette pratique, confirmée par l’entreprise elle-même, expose une vulnérabilité critique pour des millions d’utilisateurs qui pensaient leurs données à l’abri de tout accès non autorisé.
Révélé le 22 janvier 2026 par le journaliste d’investigation Thomas Brewster dans Forbes, ce cas marque la première divulgation publique connue d’une remise de clés BitLocker à une autorité judiciaire américaine. Alors que des géants comme Apple et Google ont conçu leurs systèmes pour empêcher une telle coopération, Microsoft applique une politique différente : sur présentation d’un mandat valide, l’entreprise remet les clés qu’elle détient dans le cloud. Une décision qui soulève des questions brûlantes sur la véritable sécurité du chiffrement moderne.
Le cas concret qui a tout révélé : une fraude aux aides Covid à Guam
En début d’année 2025, le FBI obtient un mandat de perquisition contre Microsoft. L’objectif : récupérer les clés de récupération BitLocker associées à trois ordinateurs portables saisis dans le cadre d’une enquête sur une fraude massive au programme d’aide chômage lié à la pandémie de Covid-19, sur l’île de Guam.
Microsoft coopère et transmet les clés. Grâce à elles, les enquêteurs accèdent aux contenus chiffrés des disques durs. L’affaire judiciaire est toujours en cours : la principale mise en cause, Charissa Tenorio, a plaidé non coupable. Les documents déposés par les procureurs mentionnent explicitement les informations extraites des ordinateurs grâce aux clés fournies par Microsoft.
La position officielle de Microsoft : conformité légale et choix laissé à l’utilisateur
Interrogée par Forbes, l’entreprise confirme recevoir environ vingt demandes par an pour des clés BitLocker et y répondre lorsqu’elles sont accompagnées d’un ordre judiciaire valide.
Charles Chamberlayne, porte-parole de Microsoft, explique : « Bien que la récupération de clé offre de la commodité, elle comporte aussi un risque d’accès non désiré ; Microsoft estime que les clients sont les mieux placés pour décider comment gérer leurs clés. » L’entreprise précise qu’elle ne peut fournir une clé que si celle-ci a été stockée dans ses serveurs cloud (généralement via un compte Microsoft). Les utilisateurs qui choisissent de conserver leur clé sur une clé USB ou un autre support physique échappent à cette possibilité de remise.
BitLocker : un chiffrement puissant… mais avec une porte dérobée optionnelle
BitLocker chiffre l’intégralité du disque dur, rendant les données illisibles sans la clé appropriée. Sur les PC Windows récents, il est souvent activé par défaut. Pour faciliter la récupération en cas d’oubli du mot de passe ou de verrouillage, Microsoft propose de sauvegarder la clé de récupération dans le cloud, liée au compte Microsoft de l’utilisateur.
Ce mécanisme de commodité devient un point faible décisif : dès lors que la clé est hébergée chez Microsoft, un mandat suffit à la faire livrer. Sans cette sauvegarde cloud, BitLocker reste considéré comme impénétrable par les agences fédérales américaines, y compris le FBI et Immigration and Customs Enforcement (ICE), qui ont admis ne disposer d’aucun outil capable de casser ce chiffrement.
Critiques virulentes : Apple et Google font mieux
Des experts en cryptographie et des défenseurs des libertés civiles dénoncent vigoureusement la pratique. Matt Green, professeur à l’université Johns Hopkins, déclare sans détour : « Si Apple peut le faire, si Google peut le faire, alors Microsoft peut le faire. Microsoft est la seule entreprise qui ne le fait pas. »
Jennifer Granick, de l’American Civil Liberties Union (ACLU), met en garde contre les risques d’abus : une clé BitLocker donne accès à l’intégralité de la vie numérique d’une personne, bien au-delà des faits reprochés. Le sénateur Ron Wyden qualifie la situation d’« irresponsable » et alerte sur les dangers pour la sécurité physique des utilisateurs et de leurs familles.
En comparaison, Apple (avec FileVault) et Meta (avec le chiffrement de bout en bout de WhatsApp) ont structuré leurs infrastructures de manière à ce que les clés ne puissent être remises, même sous contrainte judiciaire.
Conclusion
En remettant des clés BitLocker au FBI, Microsoft démontre que le chiffrement le plus robuste peut être contourné par la simple détention d’une clé de récupération. Ce précédent expose des millions d’utilisateurs à un risque concret : celui de voir leur vie privée entière livrée sur simple mandat. Alors que la technologie permet aujourd’hui de concevoir des systèmes où l’entreprise elle-même ne peut accéder aux données chiffrées, le choix de Microsoft de conserver cette capacité soulève une question essentielle : à qui profite vraiment la « commodité » ?
