Windows 11 et TPM 2.0 : c’est quoi ? À quoi ça sert ? Est-il nécessaire ? Comment l’activer ?

On ne parle pas de TPMP hein...

 

Depuis l'annonce de Windows 11, la mention d'une puce TPM obligatoire faire grincer beaucoup de dents. Mais qu'est-ce qu'une puce TPM ? Comment vérifier si notre PC est conforme ? Comme l'activer sinon ? Voyons ça dans ce dossier.

Une carte mère

Une carte mère pour illustration // Source : Photo de Living Smarter sur Unsplash

La présentation de Windows 11 par Microsoft a fait beaucoup réagir. Au centre des crispations, la question de la configuration minimale pour pouvoir installer Windows 11 sur sa machine. Il y a comme un sentiment de panique qui s’est emparé des utilisateurs depuis que l’outil mis en place par Microsoft indique que des PC, pourtant récents, ne sont pas compatibles. La faute au TPM.

Le Trusted Platform Module

Le TPM, ou Trusted Plateform Module, n’est pas une nouvelle technologie. C’est tout simplement le nom d’un standard de sécurité, un cahier des charges, qui prend la forme d’une puce présente sur beaucoup d’ordinateurs. Cette puce est responsable du chiffrement des données de votre machine. C’est elle qui va générer les clés de chiffrement, les stocker et faire les calculs de signatures ou de hachage entre autres.

C’est exactement le même principe que la « secure enclave » utilisé par Apple pour stocker les données Apple Pay sur un iPhone, ou le Titan M des Google Pixel. Comme souvent pour la sécurité informatique, le TPM était utilisé par les entreprises et les professionnels, mais est devenu une technologie plus grand public avec le temps. Depuis 2015, Microsoft exige que les PC commercialisés avec Windows 10 soient compatibles TPM 2.0.

À quoi ça sert concrètement ?

La puce TPM permet d’activer Bitlocker sous Windows et de chiffrer les données de son stockage interne. Si une personne vole votre disque dur sans l’accès à votre session Windows, elle ne pourra pas accéder aux données chiffrées présentes sur le stockage, que ce soit un disque dur ou un SSD.

Le TPM est-il vraiment nécessaire pour Windows 11 ?

Dans la documentation officielle de Microsoft concernant Windows 11, l’éditeur dessine deux niveaux de configuration technique pour le système. Pour pouvoir installer Windows 11, votre PC doit obligatoirement intégrer TPM en version 1.2 ou supérieure et être compatible Secure Boot.

La documentation de Microsoft sur la configuration requise pour Windows 11

La documentation de Microsoft sur la configuration requise pour Windows 11

Microsoft recommande des machines compatibles TPM 2.0. Si votre machine est TPM 1.2, l’installation de Windows 11 affichera un message d’avertissement.

Mon PC est-il compatible TPM ?

Windows intègre un utilitaire très simple pour vérifier l’état d’activation ou de compatibilité avec TPM sur son PC. Voici comment le démarrer.

  • Appuyez sur la touche Windows du clavier
  • Tapez « tpm.msc » au clavier
  • Validez le lancement de l’utilitaire trouvé

Si votre TPM est bien utilisé, comme c’est le cas sur notre machine, l’utilitaire va vous donner la version de la spécification utilisée. Dans notre cas, c’est la version 2.0. Si le TPM n’est pas activé sur votre machine, l’utilitaire va afficher le message « Module de plateforme sécurisée compatible introuvable ».

Votre TPM est peut-être désactivé

Depuis plusieurs années, les processeurs AMD et Intel intègrent directement les fonctions d’un TPM. Il est cependant parfois nécessaire de passer par le BIOS, ou UEFI, pour activer le paramètre. En particulier sur les PC fixes.

Nope, nope, and nope. All CPUs on the compatible list already have an embedded TPM. TPMs have been required for Windows certified devices since 2015! A very small number (mostly DIY) will have to enable it. We have some instructions and an update to the tool to make it easier. https://t.co/6VYPhDQUUA

— DWIZZZLE (@dwizzzleMSFT) June 25, 2021

D’après le directeur de la sécurité chez Microsoft, tous les processeurs commercialisés depuis 5 à 7 ans intègrent le TPM.

Comment activer le TPM : fTPM chez AMD, PTT chez Intel

L’activation du TPM 2.0 est une opération relativement simple, mais elle demande de toucher aux paramètres BIOS ou UEFI. C’est donc une opération réservée aux utilisateurs avancés. N’hésitez pas à demander conseil autour de vous pour ne prendre aucun risque.

Accéder aux paramètres UEFI de la machine

Pour accéder aux paramètres UEFI / BIOS, le plus simple est de passer par Windows :

  • maintenez la touche MAJ (shift)
    • avec la souris, cliquez sur le bouton démarrer puis choisissez de redémarrer le PC
  • quand le texte indique « patientez » à la place de « veuillez patienter », vous pouvez relâcher la touche maj.
  • choisissez « dépannage »
  • choisissez « options avancées »
  • choisissez « changer les paramètres du microprogramme UEFI »

Votre PC va alors redémarrer et accéder tout seul aux paramètres UEFI.

Configurer l’UEFI pour activer le TPM

Il faut désormais trouver l’option à activer. Cela dépend du fabricant de votre PC ou de votre carte mère et il est donc difficile de rédiger un guide pour cette étape. Vous cherchez à activer la fonction Intel PTT ou AMD fTPM selon la marque du processeur.

Sur notre PC MSI avec processeur Intel, il fallait activer les options avancées de l’UEFI, puis aller chercher dans les options de sécurité, à la rubrique « Trusted Computing ». On peut voir que le « Security Device Support » est désactivé. Il faut l’activer. La sélection de l’appareil TPM sur « PTT » nous indique que nous sommes bien dans le bon menu.

Sur une machine Gigabyte avec processeur AMD, nous sommes allés dans le menu « Peripherals » pour trouver l’option en rapport avec AMD fTPM. Là, nous avons une nouvelle fois activé l’option « Security Device Support ».

Il suffit ensuite de sauvegarder les paramètres. Retournez à notre étape « Mon PC est-il compatible TPM ? » une fois sous Windows pour vérifier que l’activation a bien fonctionné.

Les derniers articles