Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Avertissement reçu lors de l'activation du TPM firmware

ayi

<p>J’ai récemment activé le TPM firmware dans mon BIOS pour voir si mon système est compatible avec Windows 11.</p>
<p>Ma question concerne l’avertissement suivant que j’ai reçu en activant le TPM firmware :</p>
<p>Intel PTT est une implémentation matérielle TPM 2.0 intégrée dans Intel ME/CSME/TXE pour le stockage des identifiants et la gestion des clés. La clé TPM firmware sera stockée dans la région de données Intel ME une fois que vous aurez activé Intel PTT et le chiffrement de lecteur Windows BitLocker. Veuillez noter que lorsque la clé de récupération est perdue ou que la puce ROM du BIOS est remplacée, le système ne démarrera pas dans le système d’exploitation et les données resteront chiffrées et ne pourront pas être restaurées.</p>
<p>Mes questions sont les suivantes :</p>
<ul>
<li></li>
</ul>
<p>Puisque je ne veux jamais activer BitLocker et que j’ai activé le TPM uniquement pour pouvoir passer à Windows 11 à l’avenir, cet avertissement est-il sûr à ignorer dans mon cas ?</p>
<ul>
<li></li>
</ul>
<p><em>« La clé TPM firmware sera stockée dans la région de données Intel ME une fois que vous aurez activé Intel PTT et le chiffrement de lecteur Windows BitLocker. »</em></p>
<p>Où cette « région de données Intel ME » sera-t-elle située ? Cela ne ressemble pas à quelque chose accessible via l’Explorateur Windows.</p>
<p>De plus, à quoi sert la « clé TPM firmware » ?</p>
<ul>
<li></li>
</ul>
<p><em>« Veuillez noter que lorsque la clé de récupération est perdue ou que la puce ROM du BIOS est remplacée, le système ne démarrera pas dans le système d’exploitation et les données resteront chiffrées et ne pourront pas être restaurées. »</em></p>
<p>Concernant « lorsque la puce ROM du BIOS est remplacée », cela signifie-t-il que les utilisateurs qui activent BitLocker doivent d’abord le désactiver avant de remplacer leur puce ROM du BIOS ?</p>
<p>Si oui, que se passe-t-il s’ils font l’erreur de remplacer leur puce ROM du BIOS avant de désactiver BitLocker ? Peuvent-ils simplement remettre l’ancienne puce ROM du BIOS et désactiver BitLocker, ou ont-ils définitivement chiffré leur système ?</p>

ayi_2

<p>Tout d’abord, comme le texte cité le mentionne, notez que le même volume système peut avoir <em>plusieurs</em> clés de déchiffrement ajoutées. En plus d’une clé protégée par TPM, le volume système aura généralement une <a href="https://support.microsoft.com/en-us/windows/finding-your-bitlocker-recovery-key-in-windows-10-6b71ad27-0b89-ea08-f143-056f5ab347d6">clé de récupération</a> numérique.</p>
<p>Tant que vous avez la clé de récupération notée, vous pouvez <em>toujours</em> l’utiliser pour déverrouiller le volume – même si le TPM a été changé ou refuse de faire son travail, ou même si vous y accédez via Linux, ou même si le disque est déplacé vers un ordinateur complètement différent.</p>
<p>(Si vous avez Windows Pro et utilisez la version complète de BitLocker (par opposition à la fonctionnalité réduite « Device Encryption » de Windows Famille), vous avez peut-être vu qu’il prend aussi en charge les fichiers de clé sur USB et même les mots de passe ordinaires. Chacun de ces « protecteurs » est complètement indépendant des autres, et seuls ceux qui mentionnent réellement « TPM » dans leur nom dépendent d’un TPM – les autres continueront de fonctionner sans.)</p>
<p>Puisque je ne veux jamais activer BitLocker et que j’ai activé le TPM uniquement pour pouvoir passer à Windows 11, cet avertissement est-il sûr à ignorer dans mon cas ?</p>
<p>Oui – si vous êtes sûr que BitLocker n’a pas été activé <em>automatiquement</em> non plus.</p>
<p>(Si vous n’aviez pas le TPM avant, alors très probablement il ne l’a pas été, car la fonctionnalité automatique « Device Encryption » nécessite un TPM – mais il ne fait jamais de mal de vérifier, par exemple avec <code>manage-bde -status c:</code>.)</p>
<p>Notez que le TPM peut être utilisé pour d’autres usages que BitLocker, donc effacer ses données pourrait déconnecter l’ordinateur d’Azure AD ou de Windows Hello for Business, ou perdre des activations de licence dans certaines applications tierces. Mais si vous n’aviez pas le TPM activé avant, alors vous n’utilisez aucune de ces fonctionnalités de toute façon.</p>
<p>Où cette « région de données Intel ME » sera-t-elle située ? Cela ne ressemble pas à quelque chose accessible via l’Explorateur Windows.</p>
<p>C’est une zone de mémoire flash à l’intérieur de votre CPU. Le système d’exploitation n’y a aucun accès direct (tout comme il n’aurait pas d’accès direct à la mémoire d’un vrai TPM, ni même à la NVRAM qui stocke vos paramètres firmware).</p>
<p>De plus, à quoi sert la « clé TPM firmware » ?</p>
<p>C’est la clé de chiffrement « racine » qui protège toutes les autres données gérées par le TPM.</p>
<p>Les autres données, comme vos clés BitLocker, ne sont pas stockées <em>dans</em> le TPM lui-même – il n’a qu’une très petite quantité de mémoire flash sécurisée, juste assez pour 3-4 clés cryptographiques. Tout le reste est renvoyé au système d’exploitation, simplement chiffré avec la clé « racine », de sorte que seul le TPM lui-même peut le déchiffrer. (Donc le protecteur TPM de BitLocker est en réalité stocké sur le disque lui-même.)</p>
<p>Cela donne l’illusion que le TPM dispose d’un stockage pratiquement infini (en faisant permuter automatiquement les éléments entre la RAM du TPM par le système d’exploitation), tout en permettant que ce stockage soit instantanément « effacé » (en détruisant la clé racine).</p>
<p>Concernant « lorsque la puce ROM du BIOS est remplacée », cela signifie-t-il que les utilisateurs qui activent BitLocker doivent d’abord le désactiver avant de remplacer leur puce ROM du BIOS ?</p>
<p>Oui, ou ils doivent <em>suspendre</em> BitLocker – au lieu de déchiffrer toutes les données, cela stocke simplement la clé de déchiffrement maître directement sur le disque, sans aucune protection. (Quand BitLocker est « repris », il efface cette clé.) Suspendre le chiffrement de cette manière est très rapide, tandis que désactiver complètement BitLocker et déchiffrer un disque d’un téraoctet peut prendre de nombreuses heures.</p>
<p>Cependant, ils <em>devraient aussi</em> avoir la clé de récupération notée. Ignorez le « ou » erroné dans votre citation – connaître la clé de récupération vous rend complètement indépendant du TPM ou de tout autre matériel système.</p>
<p>Si oui, que se passe-t-il s’ils font l’erreur de remplacer leur puce ROM du BIOS avant de désactiver BitLocker ? Peuvent-ils simplement remettre l’ancienne puce ROM du BIOS et désactiver BitLocker, ou ont-ils définitivement chiffré leur système ?</p>
<p>Je ne suis pas sûr, car il y a vraiment deux choses en jeu : la clé de chiffrement racine utilisée par le fTPM et la mesure de l’état du système qui est effectuée avec tous les TPM.</p>
<p>D’abord, même avec un TPM discret, le processus de « scellement » utilisé par Windows lie délibérément la clé BitLocker à certains bits de l’état du système. Par exemple, démarrer depuis une clé USB ou désactiver Secure Boot fera refuser au TPM de desceller la clé car l’état du système a changé. Mais cela ne détruit rien, et le retour aux paramètres d’origine permettra à la clé d’être descellée à nouveau.</p>
<p>Cependant, avec un fTPM, c’est le firmware qui détient réellement la clé de chiffrement racine utilisée pour le scellement. Elle se trouve très probablement dans le CPU, pas dans la « puce ROM du BIOS », mais il est <em>possible</em> que des changements puissent amener le firmware à réinitialiser complètement le fTPM, rendant toutes les données précédemment scellées irrécupérables.</p>

AyiNEDJIMI

<p>Bonjour,</p>
<p>L’avertissement que vous recevez lors de l’activation du <strong>TPM firmware (fTPM)</strong> sur un laptop est une situation courante et bien documentée. Ce message d’avertissement n’est pas anodin et mérite une attention particulière avant de poursuivre. Je vais vous expliquer en détail ce qu’il signifie, les risques associés et comment procéder en toute sécurité.</p>
<h2><a name="p-34577-comprendre-le-tpm-firmware-ftpm-1" class="anchor" href="#p-34577-comprendre-le-tpm-firmware-ftpm-1" aria-label="Heading link"></a>Comprendre le TPM firmware (fTPM)</h2>
<h3><a name="p-34577-quest-ce-que-le-ftpm-2" class="anchor" href="#p-34577-quest-ce-que-le-ftpm-2" aria-label="Heading link"></a>Qu’est-ce que le fTPM ?</h3>
<p>Le <strong>TPM firmware</strong> (aussi appelé <strong>fTPM</strong> chez AMD ou <strong>PTT — Platform Trust Technology</strong> chez Intel) est une implémentation logicielle du TPM qui s’exécute dans le firmware sécurisé du processeur, contrairement au <strong>TPM discret</strong> (dTPM) qui est une puce physique distincte soudée sur la carte mère.</p>
<div class="md-table">
<table>
<thead>
<tr>
<th>Caractéristique</th>
<th>fTPM (Firmware TPM)</th>
<th>dTPM (Discret TPM)</th>
</tr>
</thead>
<tbody>
<tr>
<td>Implémentation</td>
<td>Dans le firmware du CPU</td>
<td>Puce physique dédiée</td>
</tr>
<tr>
<td>Coût</td>
<td>Aucun coût supplémentaire</td>
<td>Coût de la puce additionnelle</td>
</tr>
<tr>
<td>Performance</td>
<td>Légèrement plus lente</td>
<td>Plus rapide</td>
</tr>
<tr>
<td>Résistance aux attaques physiques</td>
<td>Moins résistant</td>
<td>Plus résistant</td>
</tr>
<tr>
<td>Remplacement</td>
<td>Non remplaçable</td>
<td>Remplaçable</td>
</tr>
<tr>
<td>Standard</td>
<td>TPM 2.0</td>
<td>TPM 1.2 ou 2.0</td>
</tr>
</tbody>
</table>
</div><h3><a name="p-34577-pourquoi-un-avertissement-apparat-il-3" class="anchor" href="#p-34577-pourquoi-un-avertissement-apparat-il-3" aria-label="Heading link"></a>Pourquoi un avertissement apparaît-il ?</h3>
<p>L’avertissement lors de l’activation du fTPM est généralement lié à <strong>la gestion des clés cryptographiques</strong>. Le TPM stocke des clés de chiffrement sensibles, notamment :</p>
<ul>
<li>Les clés <strong>BitLocker</strong> (chiffrement du disque)</li>
<li>Les clés d’<strong>authentification Windows Hello</strong></li>
<li>Les certificats et secrets d’applications</li>
<li>Les clés de <strong>démarrage sécurisé</strong></li>
</ul>
<p>Lorsque vous activez ou modifiez la configuration du fTPM, le BIOS vous avertit que <strong>cette opération peut invalider ou effacer les données TPM existantes</strong>, ce qui peut rendre votre système inaccessible si BitLocker était actif.</p>
<h2><a name="p-34577-analyse-du-message-davertissement-4" class="anchor" href="#p-34577-analyse-du-message-davertissement-4" aria-label="Heading link"></a>Analyse du message d’avertissement</h2>
<h3><a name="p-34577-les-avertissements-amd-ftpm-ryzen-5" class="anchor" href="#p-34577-les-avertissements-amd-ftpm-ryzen-5" aria-label="Heading link"></a>Les avertissements AMD fTPM (Ryzen)</h3>
<p>Sur les processeurs AMD, le message typique est :</p>
<blockquote>
<p><em>“fTPM NV corrupted or fTPM NV structure changed. Press Y to reset fTPM. If you have BitLocker enabled, the system will not boot without a recovery key.”</em></p>
</blockquote>
<p>Ou encore :</p>
<blockquote>
<p><em>“WARNING: This operation will clear the TPM. If TPM-based encryption (BitLocker) is enabled on any drives, you will lose access to your data unless you have your BitLocker recovery key.”</em></p>
</blockquote>
<p>Ce message peut apparaître après :</p>
<ul>
<li>Une <strong>mise à jour du BIOS/UEFI</strong></li>
<li>Un <strong>changement de configuration</strong> dans les paramètres UEFI</li>
<li>Un <strong>problème de corruption</strong> du stockage NV (Non-Volatile) du TPM firmware</li>
<li>Le premier <strong>démarrage après activation</strong> du fTPM</li>
</ul>
<h3><a name="p-34577-les-avertissements-intel-ptt-6" class="anchor" href="#p-34577-les-avertissements-intel-ptt-6" aria-label="Heading link"></a>Les avertissements Intel PTT</h3>
<p>Sur Intel, l’avertissement est généralement :</p>
<blockquote>
<p><em>“Changing this setting will clear the TPM keys. Data encrypted using these keys will be inaccessible. Do you want to continue?”</em></p>
</blockquote>
<h2><a name="p-34577-procdure-de-scurisation-avant-daccepter-lavertissement-7" class="anchor" href="#p-34577-procdure-de-scurisation-avant-daccepter-lavertissement-7" aria-label="Heading link"></a>Procédure de sécurisation avant d’accepter l’avertissement</h2>
<p><strong>Ne cliquez pas sur “Oui/Y/Confirmer” avant d’avoir effectué ces étapes critiques.</strong></p>
<h3><a name="p-34577-tape-1-vrifier-si-bitlocker-est-actif-8" class="anchor" href="#p-34577-tape-1-vrifier-si-bitlocker-est-actif-8" aria-label="Heading link"></a>Étape 1 : Vérifier si BitLocker est actif</h3>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Vérifier l'état BitLocker sur tous les volumes
Get-BitLockerVolume | Select-Object MountPoint, VolumeStatus, ProtectionStatus, EncryptionPercentage

Alternative via ligne de commande

manage-bde -status
</code></pre>
<p>Si <code>ProtectionStatus</code> indique <strong>“On”</strong> ou <strong>“Protected”</strong>, votre disque est chiffré et vous risquez de perdre l’accès à vos données.</p>
<h3><a name="p-34577-tape-2-sauvegarder-la-cl-de-rcupration-bitlocker-9" class="anchor" href="#p-34577-tape-2-sauvegarder-la-cl-de-rcupration-bitlocker-9" aria-label="Heading link"></a>Étape 2 : Sauvegarder la clé de récupération BitLocker</h3>
<p>Si BitLocker est actif, sauvegardez <strong>impérativement</strong> votre clé de récupération avant de continuer :</p>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Afficher l'ID et la clé de récupération BitLocker
(Get-BitLockerVolume -MountPoint "C:").KeyProtector | Where-Object {$_.KeyProtectorType -eq "RecoveryPassword"} | Select-Object KeyProtectorId, RecoveryPassword
</code></pre>
<p>Sauvegardez cette clé dans plusieurs endroits :</p>
<ol>
<li><strong>Compte Microsoft</strong> (recommandé) : <code>aka.ms/myrecoverykey</code></li>
<li><strong>Clé USB</strong> externe séparée</li>
<li><strong>Impression papier</strong> conservée en lieu sûr</li>
<li><strong>Azure AD</strong> si appareil joint au domaine</li>
</ol>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Sauvegarder la clé de récupération vers le compte Microsoft
$BLV = Get-BitLockerVolume -MountPoint "C:"
BackupToAAD-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $BLV.KeyProtector[1].KeyProtectorId
</code></pre>
<h3><a name="p-34577-tape-3-suspendre-bitlocker-temporairement-option-recommande-10" class="anchor" href="#p-34577-tape-3-suspendre-bitlocker-temporairement-option-recommande-10" aria-label="Heading link"></a>Étape 3 : Suspendre BitLocker temporairement (option recommandée)</h3>
<p>Pour les mises à jour BIOS ou changements TPM, il est préférable de <strong>suspendre BitLocker</strong> plutôt que de le désactiver complètement :</p>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Suspendre BitLocker (permet le démarrage sans clé de récupération une fois)
Suspend-BitLocker -MountPoint "C:" -RebootCount 1

Vérification de la suspension

Get-BitLockerVolume -MountPoint "C:" | Select-Object ProtectionStatus
</code></pre>
<p>Avec <code>RebootCount 1</code>, BitLocker se réactive automatiquement après le redémarrage suivant.</p>
<h3><a name="p-34577-tape-4-effectuer-une-sauvegarde-complte-du-systme-11" class="anchor" href="#p-34577-tape-4-effectuer-une-sauvegarde-complte-du-systme-11" aria-label="Heading link"></a>Étape 4 : Effectuer une sauvegarde complète du système</h3>
<p>Avant toute manipulation du TPM, effectuez une <strong>sauvegarde intégrale</strong> :</p>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Création d'une image système complète
wbAdmin start systemStateBackup -backupTarget😃:

Ou via l'interface graphique

Panneau de configuration > Sauvegarde et restauration (Windows 7)

</code></pre>
<h2><a name="p-34577-rpondre-lavertissement-en-toute-scurit-12" class="anchor" href="#p-34577-rpondre-lavertissement-en-toute-scurit-12" aria-label="Heading link"></a>Répondre à l’avertissement en toute sécurité</h2>
<h3><a name="p-34577-scnario-1-vous-activez-ftpm-pour-la-premire-fois-13" class="anchor" href="#p-34577-scnario-1-vous-activez-ftpm-pour-la-premire-fois-13" aria-label="Heading link"></a>Scénario 1 : Vous activez fTPM pour la première fois</h3>
<p>Si le TPM n’était pas activé auparavant et que <strong>BitLocker n’est pas actif</strong> :</p>
<ul>
<li>L’avertissement est informatif</li>
<li>Vous pouvez confirmer sans risque</li>
<li>Les clés générées seront nouvelles</li>
</ul>
<h3><a name="p-34577-scnario-2-mise-jour-bios-avec-ftpm-dj-actif-problme-amd-14" class="anchor" href="#p-34577-scnario-2-mise-jour-bios-avec-ftpm-dj-actif-problme-amd-14" aria-label="Heading link"></a>Scénario 2 : Mise à jour BIOS avec fTPM déjà actif (problème AMD)</h3>
<p>Un problème notable affecte certains processeurs <strong>AMD Ryzen</strong> (séries 3000, 5000, 6000) : après certaines mises à jour BIOS, le fTPM génère une <strong>instabilité ou une corruption du stockage NV</strong>, provoquant l’avertissement au démarrage.</p>
<p>Solution recommandée par AMD :</p>
<ol>
<li>Sauvegardez la clé de récupération BitLocker</li>
<li>Suspendez BitLocker</li>
<li>Dans le BIOS, sous la configuration du TPM, cherchez l’option <strong>“fTPM Reset”</strong> ou <strong>“Clear TPM”</strong></li>
<li>Confirmez l’avertissement</li>
<li>Laissez Windows réinitialiser et relier le TPM</li>
</ol>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Après redémarrage, vérifier que le TPM est correctement initialisé
Get-Tpm | Select-Object TpmPresent, TpmReady, TpmEnabled, TpmActivated, TpmOwned, ManufacturerId, ManufacturerVersion
</code></pre>
<h3><a name="p-34577-scnario-3-avertissement-rcurrent-chaque-dmarrage-15" class="anchor" href="#p-34577-scnario-3-avertissement-rcurrent-chaque-dmarrage-15" aria-label="Heading link"></a>Scénario 3 : Avertissement récurrent à chaque démarrage</h3>
<p>Si l’avertissement apparaît à chaque démarrage, cela peut indiquer un <strong>problème matériel ou de firmware</strong> :</p>
<ol>
<li>Mettez à jour le BIOS vers la dernière version disponible</li>
<li>Vérifiez les forums du fabricant de votre laptop (Dell, HP, Lenovo, ASUS, etc.) pour des correctifs spécifiques</li>
<li>Envisagez de passer au <strong>dTPM discret</strong> si votre carte mère dispose d’un connecteur TPM physique</li>
</ol>
<h2><a name="p-34577-vrification-post-activation-16" class="anchor" href="#p-34577-vrification-post-activation-16" aria-label="Heading link"></a>Vérification post-activation</h2>
<p>Après avoir confirmé l’avertissement et redémarré :</p>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Vérifier l'état complet du TPM
Get-Tpm

Vérifier la version TPM

$tpm = Get-WmiObject -Namespace "Root\CIMv2\Security\MicrosoftTpm" -Class "Win32_Tpm"
$tpm.SpecVersion

Tester que BitLocker fonctionne correctement

Get-BitLockerVolume
</code></pre>
<h3><a name="p-34577-reconnecter-bitlocker-au-nouveau-tpm-17" class="anchor" href="#p-34577-reconnecter-bitlocker-au-nouveau-tpm-17" aria-label="Heading link"></a>Reconnecter BitLocker au nouveau TPM</h3>
<p>Si BitLocker a été désactivé ou si les protecteurs ont été effacés :</p>
<pre data-code-wrap="powershell"><code class="lang-powershell"># Réactiver la protection BitLocker
Resume-BitLocker -MountPoint "C:"

Si nécessaire, ajouter un nouveau protecteur TPM

Add-BitLockerKeyProtector -MountPoint "C:" -TpmProtector

Sauvegarder la nouvelle clé de récupération

$newKey = (Get-BitLockerVolume -MountPoint "C:").KeyProtector | Where-Object {$_.KeyProtectorType -eq "RecoveryPassword"}
Write-Output "Nouvelle clé de récupération : $($newKey.RecoveryPassword)"
</code></pre>
<h2><a name="p-34577-recommandations-finales-18" class="anchor" href="#p-34577-recommandations-finales-18" aria-label="Heading link"></a>Recommandations finales</h2>
<div class="md-table">
<table>
<thead>
<tr>
<th>Situation</th>
<th>Action recommandée</th>
</tr>
</thead>
<tbody>
<tr>
<td>BitLocker inactif, premier fTPM</td>
<td>Confirmer sans risque</td>
</tr>
<tr>
<td>BitLocker actif, mise à jour BIOS</td>
<td>Sauvegarder clé, suspendre BitLocker, puis confirmer</td>
</tr>
<tr>
<td>Avertissement récurrent</td>
<td>Mettre à jour le BIOS, contacter le support fabricant</td>
</tr>
<tr>
<td>Laptop professionnel (AD joint)</td>
<td>Vérifier la politique GPO BitLocker, consulter l’IT</td>
</tr>
</tbody>
</table>
</div><hr>
<p>Si vous pouvez partager le message exact affiché ainsi que la marque et le modèle de votre laptop, je pourrai vous fournir les instructions spécifiques à votre matériel. N’hésitez pas également à préciser si BitLocker est actif sur votre machine — c’est l’information la plus critique pour déterminer la marche à suivre en toute sécurité.</p>