Récupérer les mots de passe et clés Wi‑Fi avant d’effacer Windows

Vous vous apprêtez à effacer une machine Windows. Le SSD va passer par la case « table rase ». Et là vous réalisez : le seul endroit qui se souvient du mot de passe Wi‑Fi, c’est… la machine que vous êtes sur le point d’effacer.

C’est ainsi que commencent les petits désastres : une réinstallation se transforme en chasse aux identifiants, un appel nocturne à quelqu’un qui « pourrait connaître le mot de passe », ou un ticket urgent à l’équipe réseau parce que votre portable ne rejoint pas le WLAN de l’entreprise le premier jour.

Ce que vous récupérez réellement (et pourquoi c’est important)

« Mot de passe Wi‑Fi » est l’expression conviviale que les gens utilisent quand ils veulent dire « l’ensemble des identifiants et paramètres nécessaires pour s’authentifier sur un SSID ». Parfois c’est juste une passphrase WPA2‑PSK. Parfois c’est un certificat machine stocké dans le magasin de certificats Windows. Parfois c’est une méthode EAP plus des règles d’identité internes plus une chaîne CA spécifique, et si vous manquez une case, vous regardez « Impossible de se connecter à ce réseau » comme si c’était une insulte personnelle.

Avant d’effacer Windows, vous voulez un inventaire clair de ce qui est configuré et de ce qui peut être migré. Tout ne peut pas être extrait de façon portable, et prétendre le contraire est la voie royale vers des réimages retardées.

Ce qui peut être récupéré depuis une installation Windows typique

• WPA/WPA2/WPA3 Personal (PSK) : la passphrase peut généralement être affichée en clair si vous êtes administrateur sur la machine.
• Profils WLAN enregistrés : Windows stocke la configuration par SSID sous forme de « profils » et peut les exporter en XML.
• Paramètres Enterprise (802.1X) : type EAP, paramètres de validation du serveur, éventuellement noms d’utilisateur (parfois), mais pas toujours les mots de passe.
• Certificats/clefs : si la machine utilise EAP‑TLS (authentification par certificat), vous devez exporter le certificat avec la clé privée (PFX) sinon vous n’aurez qu’une jolie représentation du certificat, pas la clé.
• Dépendances VPN et SSO : ce n’est pas le Wi‑Fi, mais c’est souvent nécessaire pour atteindre les gestionnaires de mots de passe ou les portails d’auto‑service après réinstallation. Planifiez en conséquence.

Faits intéressants et contexte historique (ce qui explique pourquoi c’est pénible)

1. Les profils WLAN de Windows sont en XML car le service WLAN AutoConfig a été conçu pour être scriptable et gérable à grande échelle, pas seulement pour cliquer.
2. WPA2 s’est généralisé après 2004, quand l’industrie avait besoin d’un remplaçant pratique au chiffrement notoirement cassé de WEP.
3. Les attaques pratiques contre WEP ont été largement démontrées au début des années 2000 ; « c’est correct, personne ne le cassera » a très mal vieilli.
4. 802.1X précède la hype Wi‑Fi moderne : il est né dans les réseaux filaires puis a été adopté pour le WLAN parce que « un mot de passe partagé pour tous » ne scale pas.
5. PEAP et EAP‑TTLS sont devenus populaires car ils permettent d’utiliser nom d’utilisateur/mot de passe à l’intérieur d’un tunnel TLS — moins de gestion de certificats côté endpoints.
6. EAP‑TLS reste la référence pour le Wi‑Fi d’entreprise car il évite le phishing de mots de passe et la réutilisation d’identifiants, au prix d’un travail de cycle de vie des certificats.
7. Windows stocke les secrets Wi‑Fi via DPAPI (Data Protection API), qui lie les secrets au contexte utilisateur ou machine — excellent pour la sécurité, pénible pour la migration.
8. WPA3 et SAE ont été introduits pour mieux résister aux attaques par dictionnaire hors ligne et moderniser les handshakes, mais cela ne corrige pas magiquement les mots de passe faibles.
9. Les noms SSID ne sont pas des identités : Windows associe les profils par SSID, et des attaquants peuvent usurper des SSID. Voilà pourquoi les déploiements d’entreprise se soucient des certificats serveur et de leur validation.

Opérationnellement, la mission est simple : extraire ce que vous pouvez, consigner ce que vous ne pouvez pas, et vous assurer de pouvoir vous connecter après la réinstallation sans supplier personne.

Répetoire de diagnostic rapide

Voici la séquence « ne pas surpenser ». Quand vous êtes occupé, fatigué, ou que vous traitez une pile de machines, suivez cet ordre et vous trouverez généralement vite le vrai blocage.

1. Première étape : identifiez le type d’authentification par SSID.

   Si c’est WPA2‑Personal, vous pouvez probablement récupérer la passphrase. Si c’est WPA2‑Enterprise/802.1X, vous aurez probablement besoin de certificats ou au moins des détails de configuration, et le mot de passe utilisateur peut être irrécupérable.

2. Deuxième étape : exportez les profils immédiatement.

   Même si vous ne pouvez pas lire le mot de passe maintenant, exporter les profils préserve les noms SSID, les méthodes EAP et beaucoup de paramètres que vous oublierez après l’effacement.

3. Troisième étape : vérifiez si la machine utilise des certificats pour le Wi‑Fi.

   Si oui, exportez le certificat avec la clé privée (PFX) et notez le mot de passe utilisé pour le protéger. Si vous sautez cela, la réinstallation échouera à joindre le Wi‑Fi d’entreprise tant que l’IT n’aura pas réenregistré l’appareil.

4. Quatrième étape : vérifiez que vous avez un accès administrateur.

   Sans droits admin vous pourriez ne pas pouvoir révéler les clés ou exporter certains éléments. Réglez l’accès maintenant, pas après avoir programmé l’effacement.

5. Cinquième étape : contrôle de cohérence des sorties.

   Ne supposez pas que le XML exporté contient les clés ; confirmez par inspection et par import test sur une machine de substitution ou virtuelle si vous le pouvez.

Réalité pragmatique : le goulot d’étranglement n’est presque jamais la commande. C’est la permission, les certificats manquants, ou l’utilisateur qui ne sait pas s’il est sur un Wi‑Fi Personnel ou Entreprise.

Gains rapides : une machine, un Wi‑Fi, un objectif

Si vous ne vous souciez que de « j’ai besoin du mot de passe Wi‑Fi domestique avant de réinstaller », faites ceci :

• Lister les profils.
• Afficher le profil cible avec la clé en clair.
• Enregistrez‑le dans votre gestionnaire de mots de passe, pas sur un post‑it qui finira en dessous d’un meuble.

Et si vous vous préoccupez du Wi‑Fi d’entreprise : exportez tous les profils plus les certificats, puis parlez à la personne responsable de l’onboarding Wi‑Fi. Si leur processus dépend du fait que « l’ordinateur soit déjà en ligne », félicitations, vous venez de découvrir un défaut de conception.

Blague #1 : Les mots de passe Wi‑Fi sont comme les chaussettes : on ne remarque qu’il en manque une que quand on est déjà en retard.

Tâches pratiques : commandes, sorties et décisions

Tout ce qui suit est rédigé comme si vous faisiez du vrai travail, parce que c’est le cas. Chaque tâche inclut une commande, une sortie d’exemple, ce que cette sortie signifie, et la décision suivante.

Task 1: Confirm you’re on the machine you think you’re on

cr0x@server:~$ hostname
LAPTOP-9Q3D2K1

Ce que la sortie signifie : Vous êtes sur LAPTOP-9Q3D2K1. Ça paraît évident jusqu’à ce que vous soyez en remote sur trois appareils et qu’un d’eux soit sur le point d’être effacé.

Décision : Mettez ce nom d’hôte dans vos notes et dans le nom du dossier d’export. Si vous traitez plusieurs machines, considérez l’identité comme un enjeu de première classe.

Task 2: Check Windows version/build for command behavior differences

cr0x@server:~$ cmd.exe /c ver
Microsoft Windows [Version 10.0.22631.3007]

Ce que la sortie signifie : Windows 11 (build époque 23H2). Le comportement de Netsh est en grande partie cohérent, mais les restrictions de politiques en entreprise peuvent différer.

Décision : Si c’est une image d’entreprise très gérée, supposez que certains exports peuvent être bloqués par la politique. Planifiez l’export des certificats et/ou la réinscription.

Task 3: List saved Wi‑Fi profiles

cr0x@server:~$ netsh wlan show profiles

Profiles on interface Wi-Fi:

Group policy profiles (read only)
---------------------------------
    <None>

User profiles
-------------
    All User Profile     : HomeNet
    All User Profile     : Office-8021X
    All User Profile     : PhoneHotspot

Ce que la sortie signifie : La machine a trois SSID enregistrés. Notez « Group policy profiles » vs « User profiles ». Les profils de stratégie de groupe peuvent être non exportables ou se comporter différemment.

Décision : Identifiez quels SSID vous devez préserver. Si vous voyez un SSID à consonance entreprise, préparez‑vous au travail 802.1X (certificats, paramètres EAP).

Task 4: Identify the currently connected Wi‑Fi and radio state

cr0x@server:~$ netsh wlan show interfaces

There is 1 interface on the system:

    Name                   : Wi-Fi
    Description            : Intel(R) Wi-Fi 6E AX211 160MHz
    GUID                   : 2b7b3c9b-1a4a-4c67-a2ff-8a2a9bdc6b2d
    Physical address       : 40-ec-99-12-34-56
    State                  : connected
    SSID                   : Office-8021X
    BSSID                  : 10:22:33:44:55:66
    Network type           : Infrastructure
    Radio type             : 802.11ax
    Authentication         : WPA2-Enterprise
    Cipher                 : CCMP
    Connection mode        : Profile
    Channel                : 36
    Receive rate (Mbps)    : 1201
    Transmit rate (Mbps)   : 1201
    Signal                 : 86%
    Profile                : Office-8021X

Ce que la sortie signifie : Vous êtes connecté à Office-8021X en WPA2‑Enterprise. Ce n’est pas une situation de mot de passe partagé ; c’est du 802.1X.

Décision : Arrêtez de chercher un « mot de passe Wi‑Fi » pour ce SSID. Concentrez‑vous sur l’export du profil + l’extraction des certificats et des paramètres EAP, et confirmez la méthode d’onboarding après réinstallation.

Task 5: Recover a WPA2-Personal key in clear text (when applicable)

cr0x@server:~$ netsh wlan show profile name="HomeNet" key=clear

Profile HomeNet on interface Wi-Fi:
=======================================================================

Security settings
-----------------
    Authentication         : WPA2-Personal
    Cipher                 : CCMP
    Security key           : Present
    Key Content            : correct-horse-battery-staple

Ce que la sortie signifie : Pour les réseaux Personal, Windows peut afficher la passphrase si vous avez les droits suffisants.

Décision : Stockez cette clé dans un gestionnaire de mots de passe et étiquetez‑la avec SSID + emplacement. Si vous comptez faire une rotation des mots de passe, faites‑la après la réinstallation, pas avant.

Task 6: Export all WLAN profiles to XML (with keys when possible)

cr0x@server:~$ mkdir "%USERPROFILE%\Desktop\wifi-export"
A subdirectory or file %USERPROFILE%\Desktop\wifi-export already exists.

cr0x@server:~$ netsh wlan export profile folder="%USERPROFILE%\Desktop\wifi-export" key=clear

Interface profile "HomeNet" is saved in file "Wi-Fi-HomeNet.xml" successfully.
Interface profile "Office-8021X" is saved in file "Wi-Fi-Office-8021X.xml" successfully.
Interface profile "PhoneHotspot" is saved in file "Wi-Fi-PhoneHotspot.xml" successfully.

Ce que la sortie signifie : Profils exportés. Pour les réseaux Personal, le XML peut inclure la clé si key=clear réussit ; pour l’Enterprise, il n’inclura généralement pas les mots de passe utilisateurs.

Décision : Traitez ce dossier d’export comme du matériel sensible. S’il contient des clés en clair, c’est essentiellement un trousseau maître déguisé en XML.

Task 7: Inspect whether the exported XML contains a clear key

cr0x@server:~$ type "%USERPROFILE%\Desktop\wifi-export\Wi-Fi-HomeNet.xml" | findstr /i "keyMaterial authentication"
        <authentication>WPA2PSK</authentication>
        <keyMaterial>correct-horse-battery-staple</keyMaterial>

Ce que la sortie signifie : La clé est présente. Quiconque possède ce fichier a le PSK.

Décision : Chiffrez l’export au repos (USB protégé par BitLocker, archive chiffrée, ou coffre sécurisé). Ne l’envoyez pas par e‑mail. Ne le partagez pas en chat.

Task 8: Inspect an enterprise profile for EAP method hints

cr0x@server:~$ type "%USERPROFILE%\Desktop\wifi-export\Wi-Fi-Office-8021X.xml" | findstr /i "EapHostConfig EapMethod Type"
    <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <EapMethod>
            <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type>

Ce que la sortie signifie : Le type EAP 25 est couramment PEAP dans les contextes Windows. Cela suggère nom d’utilisateur/mot de passe à l’intérieur de TLS, pas une clé partagée.

Décision : Prévoyez de ressaisir les identifiants après réinstallation. Si l’organisation utilise des certificats machine, continuez la recherche de certificats. Si elle utilise des identifiants utilisateurs, assurez‑vous de pouvoir vous authentifier sans dépendre de mots de passe mis en cache.

Task 9: Check what Wi‑Fi driver you’re using (helps post-wipe connectivity issues)

cr0x@server:~$ pnputil /enum-drivers | findstr /i "Netwtw"
Published Name : oem42.inf
Original Name  : netwtw14.inf
Provider Name  : Intel
Class Name     : Net
Driver Version : 22.250.1.2

Ce que la sortie signifie : Le package de pilote Wi‑Fi Intel est installé. Après un effacement, Windows pourrait installer un pilote générique qui se comporte différemment avec EAP d’entreprise.

Décision : Téléchargez/conservez l’installeur du pilote Wi‑Fi hors ligne (ou au moins notez la version) si vous pensez perdre l’accès réseau après la réinstallation.

Task 10: Confirm BitLocker status before you copy secrets around

cr0x@server:~$ manage-bde -status C:

BitLocker Drive Encryption: Configuration Tool version 10.0.22621
Volume C: [OS]
    Size:                 475.60 GB
    BitLocker Version:    2.0
    Conversion Status:    Fully Encrypted
    Percentage Encrypted: 100.0%
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Encryption Method:    XTS-AES 256

Ce que la sortie signifie : Le disque est chiffré au repos. C’est une bonne pratique, mais cela ne protège pas le XML exporté une fois que vous le copiez ailleurs.

Décision : Utilisez une destination chiffrée pour les exports. Si vous devez utiliser une clé USB, chiffrez la clé ou l’archive.

Task 11: Export Wi‑Fi profiles with PowerShell as a controlled batch

cr0x@server:~$ powershell -NoProfile -Command "New-Item -ItemType Directory -Force -Path $env:USERPROFILE\Desktop\wifi-export-ps | Out-Null; netsh wlan export profile folder=$env:USERPROFILE\Desktop\wifi-export-ps key=clear"
Interface profile "HomeNet" is saved in file "Wi-Fi-HomeNet.xml" successfully.
Interface profile "Office-8021X" is saved in file "Wi-Fi-Office-8021X.xml" successfully.
Interface profile "PhoneHotspot" is saved in file "Wi-Fi-PhoneHotspot.xml" successfully.

Ce que la sortie signifie : Même résultat, mais scriptable. Cela importe quand vous traitez un parc d’ordinateurs avant un cycle de renouvellement.

Décision : Si vous opérez à grande échelle, standardisez le chemin d’export et le nommage pour pouvoir auditer ce qui a été capturé par machine.

Task 12: Import a saved profile on the new Windows install

cr0x@server:~$ netsh wlan add profile filename="C:\Users\cr0x\Desktop\wifi-export\Wi-Fi-HomeNet.xml" user=all
Profile HomeNet is added on interface Wi-Fi.

Ce que la sortie signifie : Le profil a été importé et est disponible pour tous les utilisateurs sur la machine.

Décision : Si l’import réussit mais que la connexion échoue, ce n’est pas « le profil n’a pas été copié ». C’est généralement un problème de pilote, un changement de configuration de l’AP (mode WPA3 uniquement), ou l’import d’un profil entreprise sans les certificats requis.

Task 13: Verify the imported profile exists and check its security mode

cr0x@server:~$ netsh wlan show profile name="HomeNet"

Profile HomeNet on interface Wi-Fi:
=======================================================================

Applied: All User Profile

Security settings
-----------------
    Authentication         : WPA2-Personal
    Cipher                 : CCMP
    Security key           : Present

Ce que la sortie signifie : Le profil est présent et semble être en WPA2‑Personal.

Décision : Procédez à la connexion. Si le routeur a été mis à jour en WPA3‑only, mettez à jour les paramètres de l’AP ou recréez le profil en conséquence.

Task 14: Test connection attempt and read the failure mode

cr0x@server:~$ netsh wlan connect name="HomeNet"
Connection request was completed successfully.

Ce que la sortie signifie : Netsh a accepté la demande de connexion. Ce n’est pas une garantie que l’association/authentification a réussi ; cela signifie juste que Windows a commencé la tentative.

Décision : Vérifiez immédiatement l’état de l’interface. Si elle bascule sur « disconnected » avec une raison, vous avez votre prochaine piste.

cr0x@server:~$ netsh wlan show interfaces | findstr /i "State SSID Authentication"
    State                  : connected
    SSID                   : HomeNet
    Authentication         : WPA2-Personal

Ce que la sortie signifie : Vous êtes effectivement connecté. Parfait. Passez aux SSID d’entreprise et aux exports de certificats.

Task 15: Export certificates that might be used for 802.1X (user and machine stores)

cr0x@server:~$ certutil -store -user My
================ Certificate 0 ================
Serial Number: 12abcd34ef56...
Issuer: CN=Corp Issuing CA, DC=corp, DC=example
 NotBefore: 10/01/2025 08:12 AM
 NotAfter:  10/01/2026 08:12 AM
Subject: CN=Jane Doe, OU=Users, O=Example Corp
Cert Hash(sha1): a1b2c3d4e5f6...
  Key Container = {b07e...}
  Provider = Microsoft Software Key Storage Provider
Encryption test passed
CertUtil: -store command completed successfully.

Ce que la sortie signifie : Il y a au moins un certificat utilisateur avec une clé privée (bon signe pour EAP‑TLS ou auth basée sur un certificat utilisateur). « Encryption test passed » suggère fortement que la clé privée est présente et utilisable.

Décision : Si votre Wi‑Fi d’entreprise utilise des certificats, vous devez exporter le(s) bon(s) certificat(s) avec la clé privée. Si vous ne savez pas quel certificat est utilisé, coordonnez‑vous avec l’équipe Wi‑Fi/NAC ou vérifiez les détails du profil WLAN.

cr0x@server:~$ certutil -store My
================ Certificate 0 ================
Serial Number: 77aa88bb99cc...
Issuer: CN=Corp Issuing CA, DC=corp, DC=example
 NotBefore: 09/15/2025 06:00 AM
 NotAfter:  09/15/2027 06:00 AM
Subject: CN=LAPTOP-9Q3D2K1
Cert Hash(sha1): ffeeddccbbaa...
  Key Container = {a9c1...}
  Provider = Microsoft Platform Crypto Provider
Encryption test passed
CertUtil: -store command completed successfully.

Ce que la sortie signifie : Un certificat machine existe. Les certificats machine sont couramment utilisés pour l’accès Wi‑Fi basé sur l’appareil (connectivité pré‑logon, modèles de conformité toujours actifs).

Décision : L’export d’une clé liée au TPM peut être impossible ou volontairement bloqué. Si le provider est Platform Crypto Provider (TPM), prévoyez une réinscription plutôt qu’un « backup et restore ».

Task 16: Export a certificate to PFX (when exportable)

cr0x@server:~$ certutil -user -exportPFX My a1b2c3d4e5f6 "%USERPROFILE%\Desktop\wifi-export\user-wifi-cert.pfx"
Enter new password for output file user-wifi-cert.pfx:
Enter new password again:
CertUtil: -exportPFX command completed successfully.

Ce que la sortie signifie : Vous avez exporté le certificat utilisateur avec sa clé privée dans un PFX protégé par mot de passe.

Décision : Stockez le PFX et son mot de passe en lieu sûr. Si vous perdez l’un ou l’autre, vous devrez réenregistrer. Egalement : si la politique interdit l’export, n’essayez pas de « ruser ». La bonne démarche est de réémettre les certificats après l’effacement.

Task 17: Determine whether enterprise Wi‑Fi is using machine auth, user auth, or both

cr0x@server:~$ type "%USERPROFILE%\Desktop\wifi-export\Wi-Fi-Office-8021X.xml" | findstr /i "authMode useOneX"
        <authMode>machineOrUser</authMode>
        <useOneX>true</useOneX>

Ce que la sortie signifie : Le profil est configuré pour l’authentification machine ou utilisateur. C’est un indice : l’environnement peut permettre l’accès pré‑logon via l’identité de l’appareil, puis basculer vers l’identité utilisateur après la connexion.

Décision : Après réinstallation, si vous ne pouvez pas vous connecter à l’écran de connexion mais le pouvez après ouverture de session (ou inversement), ce réglage en est probablement la cause.

Task 18: Capture wireless event logs when “it should work” but doesn’t

cr0x@server:~$ wevtutil qe Microsoft-Windows-WLAN-AutoConfig/Operational /c:8 /rd:true /f:text
Event[0]:
  Log Name: Microsoft-Windows-WLAN-AutoConfig/Operational
  Source: Microsoft-Windows-WLAN-AutoConfig
  Event ID: 8002
  Level: Error
  Description:
    WLAN AutoConfig service failed to connect to a wireless network.
    Network Adapter: Intel(R) Wi-Fi 6E AX211 160MHz
    Interface GUID: {2b7b3c9b-1a4a-4c67-a2ff-8a2a9bdc6b2d}
    Connection Mode: Profile
    Profile Name: Office-8021X
    Failure Reason: The authentication failed.

Ce que la sortie signifie : « Authentication failed » est vague, mais c’est un point de départ. Pour les réseaux d’entreprise, cela signifie souvent certificat manquant/invalide, méthode EAP incorrecte, ou échec de validation du certificat serveur.

Décision : Si vous avez le support RADIUS/NAC, fournissez ce contexte d’événement. Sinon, continuez à collecter : événements EAP et statut des certificats sont les suivants.

Wi‑Fi d’entreprise (802.1X) : certificats, PEAP et douleur

Le Wi‑Fi d’entreprise est l’endroit où « récupérer le mot de passe » devient « récupérer la capacité à s’authentifier ». Un SSID WPA2‑Enterprise n’a pas de PSK partagé que vous pouvez afficher. Il possède un système d’authentification : RADIUS, certificats, identifiants d’annuaire, et parfois des contrôles d’état. Votre machine Windows participe à ce système, elle n’en possède pas le secret.

Sachez dans quel mode entreprise vous êtes

• PEAP (EAP type 25) : vous saisissez typiquement nom d’utilisateur/mot de passe. Windows peut mettre en cache le nom d’utilisateur ; il ne devrait pas vous redonner le mot de passe en clair. Si quelqu’un vous promet le contraire, il vous vend probablement un malware.
• EAP‑TLS : vous vous authentifiez avec un certificat/clé privée. Si la clé privée est non exportable (soutenue par TPM), vous devez réenregistrer après la réinstallation.
• Authentification machine uniquement : l’identité de l’appareil importe. Effacer la machine sans plan de réinscription peut vous bloquer l’accès jusqu’à intervention de l’IT.

Le modèle de sécurité explique pourquoi la migration est difficile

Windows protège les secrets via DPAPI et les fournisseurs de stockage de clés. C’est bien. C’est aussi pour ça que « il suffit de copier le registre » est un plan que vous n’entreprenez que si vous voulez transformer un simple effacement en aventure médico‑légale.

Blague #2 : Si vous pensez pouvoir « juste vous souvenir du mot de passe Wi‑Fi d’entreprise », votre serveur RADIUS aimerait vous parler.

Une citation à garder en tête

L’espoir n’est pas une stratégie. — Général Gordon R. Sullivan

Ce n’est pas une citation Wi‑Fi, mais elle s’applique douloureusement à la préparation avant effacement. Si votre plan dépend des vibes, vous serez hors ligne.

Sauvegardes et transfert : où stocker ce que vous exportez

Exporter les profils et les clés n’est que la moitié du travail. L’autre moitié est de s’assurer de pouvoir les récupérer quand la machine est vierge, que les pilotes ne sont pas installés, et que votre gestionnaire de mots de passe pourrait nécessiter… le Wi‑Fi.

Ce qu’il faut stocker, et à quel point c’est sensible

• XML de profil WLAN avec keyMaterial : extrêmement sensible. Quiconque a le PSK peut rejoindre le réseau.
• XML de profil WLAN pour l’entreprise : modérément sensible. Il peut révéler SSID, méthodes EAP et parfois des identités — utile pour des attaques ciblées ou de l’ingénierie sociale.
• PFX avec clé privée : hautement sensible. Protégez‑le comme un mot de passe. S’il s’agit d’un certificat d’entreprise, la gestion inappropriée peut avoir des implications politiques/légales.
• Notes sur les paramètres EAP : moins sensibles mais opérationnellement critiques : noms CA, cases « valider le certificat serveur », suffixes de domaine attendus, etc.

Conseils pratiques de stockage (volontairement opinionnés)

• Meilleur : stocker les secrets dans un vrai gestionnaire de mots de passe et les fichiers dans un coffre chiffré avec contrôle d’accès.
• Acceptable : archive chiffrée (le gestionnaire de mots de passe stocke le mot de passe de l’archive) sur une clé USB protégée par BitLocker.
• À éviter : clé USB en clair, e‑mail, upload sur chat, captures d’écran. Les captures d’écran sont particulièrement mauvaises : elles fuient dans la synchronisation de photos cloud, les pièces jointes de tickets, et des assistants IA « utiles ».

Si vous êtes en environnement d’entreprise, coordonnez‑vous avec la sécurité. Pas parce que vous avez besoin d’une permission pour être compétent, mais parce que les certificats et clés exportés peuvent déclencher des problématiques de conformité légitimes.

Trois mini‑histoires du monde de l’entreprise (toutes trop plausibles)

Mini‑histoire 1 : L’incident causé par une mauvaise hypothèse

Une entreprise a renouvelé une série d’ordinateurs pour le personnel itinérant. Le plan semblait propre : effacer, réinstaller, expédier. Quelqu’un a demandé « Faut‑il préserver le Wi‑Fi ? » La réponse fut « Non, c’est de l’entreprise, les utilisateurs se connectent juste. » Cette phrase a causé beaucoup de dégâts.

À l’arrivée, les portables ne pouvaient pas rejoindre le SSID d’entreprise. Le SSID était 802.1X avec certificats machine. Les anciennes machines avaient été inscrites automatiquement lors du provisioning initial, quand elles étaient sur le LAN corporate. Les nouvelles images étaient correctes — sauf qu’elles n’avaient pas de certificats, et le processus de provisioning nécessitait un accès réseau corporate. Voilà la boucle : il vous faut le Wi‑Fi pour obtenir le certificat, et il vous faut le certificat pour obtenir le Wi‑Fi.

Le personnel itinérant a dû tether. Certains l’ont fait, d’autres pas. Le cellulaire était intermittent. Les tickets ont empilé. « Juste tether » est devenu « passer une demi‑journée à essayer d’enregistrer sur un hotspot téléphone tout en faisant votre vrai travail ».

La correction fut ennuyeuse : créer une voie d’enrôlement hors ligne (SSID d’onboarding temporaire avec accès contrôlé, ou pré‑provisionnement des certificats pendant le staging). La leçon était plus tranchante : le modèle d’authentification Wi‑Fi n’est pas « un mot de passe ». C’est une chaîne de dépendances. Si vous ne mappez pas la chaîne, vous la cassez.

Mini‑histoire 2 : L’optimisation qui s’est retournée contre eux

Une autre organisation voulait accélérer les réimages. Ils ont conçu un script élégant : exporter les profils Wi‑Fi avec key=clear, copier dans un dossier de staging partagé, effacer, puis importer automatiquement les profils. Les techniciens adoraient. Ça économisait des minutes par machine et éliminait beaucoup de petites interruptions.

Puis l’audit est passé. Le dossier de staging partagé avait des ACL permissives parce que « c’est juste temporaire ». Temporaire, en temps corporate, veut dire « jusqu’à la prochaine promotion ». Ces fichiers XML exportés contenaient des PSK en clair pour des agences et sites partenaires. Un stagiaire curieux aurait pu rejoindre des réseaux qu’il n’aurait même pas dû connaître.

Ils ont dû faire une rotation des clés Wi‑Fi sur plusieurs sites, ce qui est le genre de « taxe d’optimisation » qui bouffe des semaines et des weekends. Le script a été réécrit pour exporter les clés uniquement dans des conteneurs chiffrés par appareil, et le dossier de staging partagé a été sécurisé à la dure.

Le retour de bâton n’était pas technique. C’était humain : l’équipe a optimisé pour la vitesse et oublié que l’export de clés en clair crée une nouvelle canalisation de secrets. Les pipelines ont besoin de contrôles, sinon ils fuient.

Mini‑histoire 3 : La pratique ennuyeuse mais correcte qui a sauvé la mise

Un environnement de santé avait un processus strict pour les endpoints. Avant tout effacement, le technicien exécutait une checklist pré‑flight : exporter les profils WLAN, enregistrer le SSID connecté/type d’auth, exporter les certificats utilisateurs autorisés par la politique, et confirmer qu’un pack de pilotes hors ligne existait. Ils faisaient cela pour chaque machine. Sans exception. C’était profondément peu sexy.

Un jour, un portable a dû être effacé en urgence pour suspicion de compromission. L’utilisateur était à distance. Le portable était le seul appareil pouvant atteindre certaines ressources internes. L’onboarding normal reposait sur un portail interne. Inaccessible sans réseau. Le type de piège qui transforme la réponse à incident en théâtre d’improvisation.

Parce que le technicien avait déjà fait le pré‑flight lors d’un cycle de maintenance routinier, il disposait du profil entreprise exporté et — critique — des détails exacts de la configuration EAP et de la chaîne CA attendue. Il avait aussi un pack pilote Wi‑Fi hors ligne. L’utilisateur a été guidé pour la réinstallation, l’installation des pilotes, l’import du profil, puis s’est authentifié avec ses identifiants habituels.

Le « sauvetage » n’était pas magique. C’était de la répétition. La checklist existait parce que quelqu’un avait été brûlé auparavant, et ils ont décidé que « jamais plus » serait une règle opérationnelle, pas un caprice.

Erreurs courantes (symptôme → cause racine → correction)

Voici les modes d’échec que je vois en boucle. Si vous en reconnaissez un, vous pouvez généralement le corriger rapidement — ou au moins arrêter d’empirer la situation.

1) « J’ai exporté le profil, mais il ne se connecte pas après réinstallation »

• Symptôme : Le profil s’importe, la connexion échoue ou boucle.
• Cause racine : Incompatibilité de pilote, l’AP a changé de mode de sécurité (WPA3‑only), ou le profil entreprise nécessite des certificats/identifiants.
• Correction : Vérifiez netsh wlan show interfaces pour le type d’authentification ; installez le bon pilote Wi‑Fi ; pour l’entreprise, confirmez l’inscription du certificat ou ressaisissez les identifiants.

2) « netsh n’affiche pas le Key Content »

• Symptôme : La sortie ne contient pas Key Content ou indique que la clé est absente.
• Cause racine : C’est WPA2‑Enterprise (pas de PSK), vous n’êtes pas admin, ou la clé n’a jamais été sauvegardée.
• Correction : Confirmez Authentication dans les détails du profil. Élevez à admin. Si c’est en entreprise, arrêtez de chercher un PSK.

3) « L’export XML ne contient pas keyMaterial même avec key=clear »

• Symptôme : Le XML existe mais pas de keyMaterial.
• Cause racine : La politique bloque l’export en clair, le profil est enterprise, ou le profil a été stocké sans enregistrer la clé.
• Correction : Utilisez netsh wlan show profile name="SSID" key=clear pour confirmer. Si c’est bloqué, récupérez la passphrase manuellement depuis le routeur/l’administrateur, plutôt que d’essayer de contourner la politique.

4) « Le Wi‑Fi entreprise fonctionnait avant l’effacement, maintenant il échoue avec erreur d’authentification »

• Symptôme : Le journal d’événements montre un échec d’authentification.
• Cause racine : Certificat/clé privée manquante, méthode EAP incorrecte, racine CA manquante, ou paramètres de validation serveur modifiés.
• Correction : Confirmez la présence du certificat via certutil -store. Importez les certificats CA requis. Réinscrivez via MDM ou l’outil d’onboarding d’entreprise. Si la clé était liée au TPM, réémettez le certificat.

5) « Je peux me connecter à l’écran de connexion, mais pas après ouverture de session (ou l’inverse) »

• Symptôme : Le comportement de connexion change avec l’état de session utilisateur.
• Cause racine : Différences d’authentification machine vs utilisateur ; profil réglé sur machineOrUser ; certificats utilisateur manquants après réinstallation.
• Correction : Vérifiez le profil exporté pour authMode. Assurez‑vous que la bonne identité (certificat machine ou identifiants utilisateur) est présente pour la phase testée.

6) « J’ai perdu la seule copie des clés Wi‑Fi exportées »

• Symptôme : Vous avez effacé d’abord, réalisé ensuite que les exports étaient sur le bureau.
• Cause racine : Pas de copie hors‑appareil ; absence de discipline sur la checklist.
• Correction : Pour les réseaux PSK, récupérez depuis le routeur/le portail FAI/un autre appareil. Pour l’entreprise, réonboardez via l’IT. Pour l’avenir, exportez vers un emplacement sécurisé hors appareil avant l’effacement.

Checklists / plan étape par étape

Checklist pré‑effacement (machine unique)

1. Inventaire des SSID : exécutez netsh wlan show profiles ; notez tous les SSID importants.
2. Identifier les types d’auth : pour chaque SSID, vérifiez netsh wlan show profile name="SSID" (ou la sortie de l’interface connectée).
3. Exporter les profils : netsh wlan export profile folder="..." key=clear.
4. Confirmer la présence de keyMaterial pour les PSK : recherchez dans le XML la balise keyMaterial.
5. Plan d’entreprise : si WPA2‑Enterprise, inspectez le XML pour le type EAP et authMode ; enregistrez le type d’identité attendu (utilisateur vs machine).
6. Vérification des certificats : certutil -store My et certutil -store -user My ; identifiez les certificats liés au Wi‑Fi.
7. Exporter les certificats exportables : certutil -exportPFX quand la politique l’autorise ; stockez le mot de passe du PFX en sécurité.
8. Plan pilote hors ligne : notez le package/version du pilote Wi‑Fi ; assurez‑vous de pouvoir le réinstaller sans réseau.
9. Stockage sécurisé : déplacez les exports vers un stockage chiffré hors appareil.

Checklist post‑effacement (nouvelle installation Windows)

1. Installer le pilote Wi‑Fi si Windows n’a pas choisi un pilote adapté.
2. Importer les certificats CA si le Wi‑Fi d’entreprise les requiert.
3. Importer les profils WLAN avec netsh wlan add profile.
4. Importer le PFX (si applicable) dans le magasin approprié (utilisateur vs machine) en utilisant les outils d’import Windows/politiques. Confirmez que la clé privée est présente.
5. Se connecter et valider avec netsh wlan show interfaces et les journaux d’événements si ça échoue.
6. Faire une rotation du PSK (optionnel) une fois stable et connecté — n’introduisez pas de changements pendant la récupération.

Plan pour un parc (plusieurs machines, chaos minimal)

• Standardiser le nommage des exports : dossiers de style HOSTNAME-serial-date (date optionnelle selon votre process interne, inutile pour le SEO).
• Utiliser des conteneurs chiffrés par appareil pour tout export en clair.
• Suivre les dépendances d’enrôlement Wi‑Fi entreprise : MDM, portails internes, émission de certificats machine, non‑exportabilité des clés TPM.
• Avoir une stratégie « premier réseau » : dongles Ethernet, SSID d’onboarding temporaire, ou réseau de staging qui ne requiert pas encore les certificats machine.

FAQ

1) Puis‑je récupérer le mot de passe Wi‑Fi sous Windows si je ne suis pas admin ?

Parfois vous pouvez le voir via l’interface graphique si les permissions le permettent, mais obtenir de façon fiable le Key Content via netsh requiert généralement l’admin. Si vous n’avez pas les droits admin, prévoyez d’obtenir le PSK depuis le routeur/la source admin.

2) L’export des profils WLAN inclut‑il toujours le mot de passe ?

Non. Cela dépend du type de réseau et de la politique. Les réseaux WPA‑Personal peuvent inclure keyMaterial si key=clear réussit. Les profils Enterprise n’incluront généralement pas les mots de passe utilisateurs, car ce serait une catastrophe de sécurité.

3) Quelle est la différence entre WPA2‑Personal et WPA2‑Enterprise ici ?

Personal utilise une passphrase partagée (récupérable/affichable sur la machine si elle est sauvegardée et que vous avez les droits). Enterprise utilise 802.1X avec identité utilisateur ou machine — les mots de passe sont habituellement irrécupérables et des certificats peuvent être requis.

4) J’ai exporté mon profil Wi‑Fi enterprise. Pourquoi la nouvelle install échoue quand même ?

Parce que le profil n’est que de la configuration. L’authentification Enterprise nécessite aussi des ancres de confiance (certificats CA), possiblement un certificat utilisateur ou machine valide, et des identifiants valides. Si la machine précédente avait une clé non exportable (TPM), vous devez réenregistrer.

5) Puis‑je copier les profils Wi‑Fi d’un PC à un autre ?

Oui dans de nombreux scénarios : exportez le XML sur l’ancienne machine, puis netsh wlan add profile sur la nouvelle. Pour les réseaux PSK, cela suffit parfois. Pour les réseaux enterprise, vous aurez peut‑être encore besoin de certificats et d’étapes d’onboarding.

6) Est‑ce sûr de stocker les fichiers XML exportés dans mon cloud ?

Pas par défaut. Si le XML contient keyMaterial, c’est un PSK en clair. Si vous devez le stocker dans le cloud, chiffrez‑le d’abord et restreignez l’accès. En environnement corporate, cela peut toujours violer la politique — vérifiez avant.

7) Et si mon Wi‑Fi utilise un QR code ou le « partage Wi‑Fi » depuis mon téléphone ?

C’est toujours un PSK sous le capot (pour les réseaux Personal). Utilisez un second appareil pour afficher/partager l’identifiant, puis enregistrez‑le dans votre gestionnaire de mots de passe. Ne comptez pas sur « je peux toujours scanner le QR » à moins d’avoir vérifié que vous pouvez y accéder sans l’ordinateur effacé.

8) Pourquoi Windows affiche « Security key: Present » mais pas la clé réelle ?

Pour le Wi‑Fi enterprise, « key present » ne signifie pas un PSK ; cela peut juste indiquer que le profil a du matériel de sécurité configuré. Pour le Wi‑Fi Personal, cela peut signifier que la clé existe mais que vous n’avez pas les droits pour l’afficher, ou que la politique bloque l’export en clair.

9) Si mon fournisseur de certificat est « Microsoft Platform Crypto Provider », qu’est‑ce que cela implique ?

Souvent que la clé privée est soutenue par le TPM et peut être non exportable. Traduction : vous ne pouvez probablement pas « sauvegarder » cette clé pour la réutiliser après l’effacement ; vous devrez réenregistrer et réémettre.

10) Quelle est la façon la plus rapide d’éviter d’être verrouillé hors du réseau après réinstallation ?

Ayez une méthode de « premier réseau » qui ne dépende pas de l’état précédent de la machine : dongle Ethernet, tethering téléphone, ou un SSID d’onboarding temporaire. Vous pourrez alors vous inscrire au Wi‑Fi d’entreprise proprement.

Conclusion : prochaines actions réalisables aujourd’hui

Si vous vous apprêtez à effacer Windows, ne considérez pas le Wi‑Fi comme une pensée après coup. C’est votre dépendance de bootstrap. Vous voulez résoudre votre histoire d’accès réseau avant d’effacer le seul système qui fonctionne actuellement.

Faites ceci, dans l’ordre :

1. Exécutez netsh wlan show profiles et netsh wlan show interfaces pour identifier la situation.
2. Exportez tous les profils avec netsh wlan export profile ... key=clear, puis vérifiez si des clés sont réellement présentes dans le XML.
3. Si vous voyez WPA2‑Enterprise, arrêtez de chasser un PSK et capturez les réglages EAP et l’état des certificats. N’exportez le PFX que si la politique le permet et que c’est faisable.
4. Mettez les exports quelque part de chiffré et hors de l’appareil. Supposez que le bureau du portable ne survivra pas à ce que vous vous apprêtez à lui faire.
5. Assurez‑vous d’avoir un plan pilote hors ligne et une option de « premier réseau » pour que la nouvelle installation puisse se connecter.

Effacer, c’est facile. Retrouver un poste de travail authentifié, conforme et fonctionnel, c’est le vrai travail. Traitez‑le comme tel.