Microsoft exigera une puce TPM 2.0 sur le PC de l’utilisateur afin d’installer et d’exécuter Windows 11. Voici tout ce que vous devez savoir sur ces dispositifs de sécurité qui sont désormais standard sur les PC.
Microsoft pose la dernière brique avec Windows 11, en exigeant que les clients qui souhaitent installer la dernière version de son système d’exploitation disposent d’une puce TPM en version 2.0.
Qu’est-ce que la fonction TPM ?
Les puces TPM sont des cryptoprocesseurs sécurisés, qui sont de minuscules dispositifs. Certains TPM sont virtuels ou logiciels, mais en tant que puce connectée à votre carte mère lors de la construction, un TPM est destiné à améliorer la sécurité du matériel lorsque l’ordinateur démarre. Depuis 2016, le TPM est un composant technologique obligatoire pour les ordinateurs Windows. Par conséquent, les PC plus anciens peuvent ne pas disposer du matériel ou du micrologiciel essentiel. Auparavant, Microsoft demandait aux équipementiers de garantir que les ordinateurs fabriqués pour exécuter Windows 10 étaient conformes à la norme TPM 1.2. La version la plus récente de TPM 2.0 est désormais requise.
Les TPM divisent les professionnels de la sécurité. Un TPM mis à jour et activé est un mécanisme de prévention efficace contre les attaques de micrologiciels, qui sont en augmentation et attirent l’attention de Microsoft. Cependant, il permet également l’autorisation à distance (les personnes autorisées peuvent voir quand vous apportez des modifications à votre ordinateur) et peut limiter les types de logiciels que votre machine peut exécuter. Les machines équipées de TPM ne sont pas souvent envoyées dans des pays où le cryptage occidental est proscrit. La Chine utilise le MTC, une alternative réglementée par l’État. En Russie, l’utilisation du TPM n’est autorisée qu’avec une approbation officielle.
A quoi sert cette fonction ?
Le TPM est utilisé de diverses manières dans Windows 10. Il est utilisé pour chiffrer les données sur les disques durs, soit dans le cadre du “BitLocker Drive Encryption” (disponible dans les éditions Pro et Enterprise), soit dans sa version diluée “Device Encryption” (disponible sur les versions grand public de Windows). Il permet également de surveiller et de vérifier les différentes étapes du démarrage de la machine dans le cadre d’un processus appelé “Measured Boot”.
Le TPM permet également aux programmes système (“Platform Crypto Provider”) de produire et de stocker des clés secrètes et des données cryptographiques, notamment pour Windows Hello, la fonction de contrôle d’accès biométrique, et Windows Defender, le logiciel anti-sécurité. Dans un cadre professionnel, le TPM peut également fonctionner comme une carte à puce (“Virtual Smart Card”), sécurisant les jetons d’accès à diverses ressources professionnelles (“Credential Guard”). Selon Microsoft, la mise en œuvre de ces différentes mesures de sécurité permet de réduire de 60 % la probabilité d’être infecté par un logiciel malveillant.
La sécurité avant tout
En résumé, le TPM est désormais un composant de sécurité essentiel sur lequel repose un nombre croissant de fonctionnalités de Windows et de programmes tiers. Et ce composant deviendra certainement plus important dans Windows 11. L’existence d’un TPM 2.0 n’est pas nécessaire pour faire fonctionner Windows 10. Cependant, à partir de juillet 2016, Microsoft a demandé à ses partenaires fabricants d’en intégrer un de manière méthodique. Si votre ordinateur n’est pas trop ancien, il y a de fortes chances que vous en ayez un. S’il n’est pas activé, vous pouvez l’activer via le menu du BIOS UEFI.
À quoi ressemble un TPM dans la vie réelle ? Historiquement, ces composants ont pris la forme d’une puce autonome, soudée à la carte mère, et reliée par un bus LPC ou SPI. Avec la version 2.0, ce module peut également être implémenté comme une zone d’exécution séparée dans le firmware. Ces dispositifs “firmware TPM” (ou fTPM) réduisent l’espace sur la carte mère et l’énergie tout en offrant un degré de protection comparable. Il s’agit du type de TPM le plus populaire, et il est pris en charge par tous les grands fabricants de puces. Intel l’appelle “Platform Trust Technology” (PTT), AMD l’appelle “fTPM” et ARM l’appelle “TrustZone”.
Quelle différence entre chaque version de la fonction TPM ?
Les puces TPM ont connu deux évolutions majeures. Les versions initiales sont principalement basées sur les normes 1.0, 1.1 et 1.2, qui ont été initialement normalisées en 2009. Cependant, le Trusted Computing Group a commencé à publier la norme pour le TPM 2.0, une nouvelle version actualisée et rectifiée, depuis 2014. La dernière version des puces TPM améliore la sécurité et permet d’inclure des méthodes de chiffrement alternatives, alors que les versions précédentes étaient limitées aux algorithmes énoncés par la norme.
La version 2.0 a également fourni des options de mise en œuvre supplémentaires aux fabricants, leur permettant d’éviter de placer une puce physique sur la carte mère. Arm Trustzone est un système qui combine la fonctionnalité du TPM à l’intérieur du processeur principal, mais qui exécute ces opérations dans une enceinte sécurisée du CPU, limitant ainsi l’accès aux informations modifiées. Avec sa technologie Intel Platform Trust, Intel a adopté une approche similaire. La disponibilité de ces nombreuses implémentations a permis la généralisation de l’utilisation des TPM sur les machines dans la seconde moitié des années 2010.
Ca passe, ou ça casse !
Microsoft a vérifié que si vous avez utilisé son application PC Health Check, quatre types de problèmes peuvent entraîner le message d’avertissement “Ce PC ne peut pas exécuter Windows 11” (l’outil a été temporairement désactivé afin que Microsoft puisse intégrer des informations plus spécifiques sur les raisons pour lesquelles votre machine n’est pas compatible). Si vous avez pu utiliser l’outil avant qu’il ne soit désactivé et que vous avez découvert que vous n’aviez pas le matériel requis pour Windows 11, les étapes ci-dessous ne vous aideront pas – vous devrez acquérir un nouveau périphérique pour exécuter le système d’exploitation. Vous pouvez également utiliser le programme WhyNotWin11 pour en savoir plus sur ce qui manque à votre PC.
N’oubliez pas que ces instructions sont fournies dans le sens le plus large possible. En effet, les ordinateurs Windows sont si différents les uns des autres qu’il est impossible de couvrir toutes les méthodes possibles pour activer le TPM et Secure Boot sur tous les périphériques. Cependant, dans la plupart des situations, la méthode est suffisamment similaire d’une machine à l’autre pour que vous puissiez suivre les instructions et, si votre ordinateur est différent, localiser le menu ou l’étiquette comparable dans votre propre système.
Si votre ordinateur est encore sous garantie, veuillez vérifier auprès du fabricant avant de faire quoi que ce soit qui puisse l’annuler. Si votre système appartient à votre entreprise ou à votre école et est géré par elle, il peut avoir une configuration de sécurité spéciale que votre équipe informatique doit gérer. Il est également judicieux de se rendre dans un atelier de réparation de PC. Consulter un professionnel qualifié peut s’avérer bénéfique si vous vous trouvez dans une situation difficile ou si vous rencontrez des difficultés. Vous pouvez également soumettre votre question au forum d’assistance Windows 10 et Windows 11 si vous êtes débrouillard.
Avant d’apporter des modifications importantes à votre ordinateur, sauvegardez toujours les fichiers essentiels. Toujours. Faites-le tout simplement. Vous nous en serez reconnaissant par la suite.
Si c’est la première fois que vous travaillez avec un menu du BIOS, suivez les instructions et restez sur la route. Notre objectif est simple, et aucune des suggestions ci-dessous n’endommagera votre ordinateur ou vos données, mais la modification des paramètres du micrologiciel dans le menu du BIOS peut avoir un impact significatif. Il y a peu de protections en place, et vous pouvez facilement perdre une grande quantité de données vitales. Certaines erreurs peuvent être irréversibles pour vos données, et dans la plupart des situations, aucune fenêtre contextuelle ne vous demandera poliment si vous êtes sûr de vouloir commettre ces erreurs. Par conséquent, avant de modifier les paramètres ou d’enregistrer les changements, assurez-vous de bien comprendre ce qui va se passer.
Comment vérifier l’activation du TPM sous Windows ?
Bien entendu, Windows vous permet de contrôler le module TPM d’une machine et donc de vérifier son état. Pour utiliser cet outil, entrez dans le menu démarrer et tapez “tpm.msc” dans la boîte de recherche. Le programme de gestion du module de plateforme de confiance de l’ordinateur local s’affiche alors. Vous verrez l’état et la version de votre module TPM.
Vous pouvez également utiliser des applications comme HWiNFO64, qui vérifie si un TPM est présent dans la partie ACPI de la carte mère. La partie Intel ME (Management Engine) d’un processeur Intel vous indiquera si votre ordinateur dispose ou non de la fonctionnalité PTT.
Comment activer TPM ou PTT ?
Le TPM 2.0 est activé via le BIOS / UEFI, qui permet de contrôler le système. Reportez-vous au manuel de votre ordinateur ou de sa carte mère pour savoir comment y accéder. En général, il suffit d’appuyer sur la touche “F2” ou “Del” de votre clavier dès que le PC est allumé, avant le démarrage de Windows.
Une fois dans l’interface, vérifiez s’il y a des références à TPM 2.0, fTPM ou PTT, qui se trouvent généralement sous les paramètres de sécurité ou de plate-forme. Il vous suffit ensuite de les activer et/ou de les désactiver.
Que faire si je n’ai pas de puce TPM sur mon ordinateur ?
Les fabricants de cartes mères peuvent ne pas installer la puce TPM proprement dite et envoyer les cartes avec simplement le composant qui permet à la puce de se fixer à la carte. Si vous découvrez que votre puce TPM n’a pas été installée lors de l’achat de votre ordinateur et que vous ne disposez pas d’une version virtuelle ou logicielle de TPM, vous avez quelques choix.
Votre première option est de retourner votre machine selon les termes de la garantie de votre fabricant. Cela suppose bien sûr que votre machine soit encore sous garantie et que le fabricant soit prêt à installer la puce qu’il vous a déjà vendue, ou à remplacer votre modèle par un modèle équipé d’une puce. La deuxième solution, plus coûteuse, consiste à acheter un ordinateur plus récent équipé d’une puce conforme à la norme TPM 2.0.
Si votre garantie a déjà expiré, la troisième solution, moins coûteuse mais peut-être plus difficile, consiste à acheter une carte mère entièrement neuve équipée d’une puce TPM 2.0, puis à échanger les cartes vous-même ou à demander à un atelier de réparation local de le faire pour vous. Cependant, n’oubliez pas que la pénurie mondiale de puces a limité l’offre mondiale de cartes mères, ce qui les rend plus difficiles à trouver et augmente les coûts pour certains fabricants.