Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Effacer le TPM rendra-t-il les données chiffrées par BitLocker inaccessibles ?

ayi

J’ai appris dans <a href="https://superuser.com/a/1125435/69492" rel="noopener nofollow ugc">cette réponse</a> qu’à partir de Windows 10 v1607, Windows ne permet plus par défaut de définir, sauvegarder ou modifier le mot de passe propriétaire du TPM. L’option de réinitialisation du verrouillage TPM en entrant le mot de passe propriétaire ne semble donc plus exister.
L’alternative est d’effacer le TPM. Le scénario suivant :
<ul>
<li>
BitLocker activé avec TPM + PIN
</li>
<li>
Mauvais PIN entré plus de 256 fois sur une certaine période
</li>
<li>
Maintenant le TPM ne permet jamais plus d’une tentative de PIN avant d’entrer en verrouillage pendant plusieurs minutes
</li>
<li>
Pendant le verrouillage du TPM, la clé de récupération peut être utilisée pour accéder au système
</li>
</ul>
Est-il sûr d’effacer le TPM pour réinitialiser le compteur de mauvaises tentatives de PIN ? Les données chiffrées par BitLocker seront-elles perdues ? L’écran d’avertissement semble sérieux (ci-dessous).
Comme mentionné, la clé de récupération est disponible. Cependant, je souhaite éviter d’avoir à la saisir à chaque démarrage de l’ordinateur.

ayi_2

En résumé :
Est-il sûr d’effacer le TPM pour réinitialiser le compteur de mauvaises tentatives de PIN ?
Seulement si vous avez la clé de récupération BitLocker. Si vous effacez le TPM, le lecteur chiffré ne sera accessible qu’en utilisant la clé de récupération.
Donc dans votre cas, il devrait être possible d’effacer la puce TPM. Après cela, redémarrez et entrez la clé de récupération. Une fois dans Windows, vous pouvez réactiver la puce TPM et définir un nouveau PIN.
Explication plus longue :
BitLocker utilise généralement (voir ci-dessous pour l’exception) la puce TPM de l’ordinateur pour stocker la clé requise pour déchiffrer le lecteur de démarrage. Si la puce TPM est effacée, cette clé est perdue (pour toujours). Dans ce cas, le seul moyen de déchiffrer le lecteur est d’utiliser la clé de récupération BitLocker - elle existe spécifiquement pour des cas comme celui-ci.
En pratique, si vous démarrez depuis un lecteur chiffré avec BitLocker et que Windows constate qu’il ne peut pas récupérer les clés de la puce TPM, il vous demandera la clé de récupération. Vous obtiendrez un écran noir et blanc vous demandant la clé. Si vous entrez la bonne clé, Windows démarrera normalement. Si vous ne pouvez pas entrer la clé - tant pis.
Pour plus d’informations sur le fonctionnement de BitLocker, consultez aussi cette question sur <a href="http://serverfault.com">serverfault.com</a> : 
<a href="https://serverfault.com/questions/551652/tpm-had-to-be-reintialized-does-a-new-recovery-password-have-to-be-uploaded-to">Le TPM a dû être réinitialisé : un nouveau mot de passe de récupération doit-il être téléchargé vers AD ?</a>
Remarque :
Il est possible d’utiliser BitLocker sans TPM, bien que l’option doive d’abord être activée. Dans ce cas, effacer le TPM ne fera aucune différence. Cependant, il semble que vous utilisiez BitLocker avec TPM, donc cela ne s’applique pas dans votre cas.