Tout d’abord, comme le texte cité le mentionne, notez que le même volume système peut avoir plusieurs clés de déchiffrement ajoutées. En plus d’une clé protégée par TPM, le volume système aura généralement une clé de récupération numérique.
Tant que vous avez la clé de récupération notée, vous pouvez toujours l’utiliser pour déverrouiller le volume – même si le TPM a été changé ou refuse de faire son travail, ou même si vous y accédez via Linux, ou même si le disque est déplacé vers un ordinateur complètement différent.
(Si vous avez Windows Pro et utilisez la version complète de BitLocker (par opposition à la fonctionnalité réduite « Device Encryption » de Windows Famille), vous avez peut-être vu qu’il prend aussi en charge les fichiers de clé sur USB et même les mots de passe ordinaires. Chacun de ces « protecteurs » est complètement indépendant des autres, et seuls ceux qui mentionnent réellement « TPM » dans leur nom dépendent d’un TPM – les autres continueront de fonctionner sans.)
Puisque je ne veux jamais activer BitLocker et que j’ai activé le TPM uniquement pour pouvoir passer à Windows 11, cet avertissement est-il sûr à ignorer dans mon cas ?
Oui – si vous êtes sûr que BitLocker n’a pas été activé automatiquement non plus.
(Si vous n’aviez pas le TPM avant, alors très probablement il ne l’a pas été, car la fonctionnalité automatique « Device Encryption » nécessite un TPM – mais il ne fait jamais de mal de vérifier, par exemple avec manage-bde -status c:.)
Notez que le TPM peut être utilisé pour d’autres usages que BitLocker, donc effacer ses données pourrait déconnecter l’ordinateur d’Azure AD ou de Windows Hello for Business, ou perdre des activations de licence dans certaines applications tierces. Mais si vous n’aviez pas le TPM activé avant, alors vous n’utilisez aucune de ces fonctionnalités de toute façon.
Où cette « région de données Intel ME » sera-t-elle située ? Cela ne ressemble pas à quelque chose accessible via l’Explorateur Windows.
C’est une zone de mémoire flash à l’intérieur de votre CPU. Le système d’exploitation n’y a aucun accès direct (tout comme il n’aurait pas d’accès direct à la mémoire d’un vrai TPM, ni même à la NVRAM qui stocke vos paramètres firmware).
De plus, à quoi sert la « clé TPM firmware » ?
C’est la clé de chiffrement « racine » qui protège toutes les autres données gérées par le TPM.
Les autres données, comme vos clés BitLocker, ne sont pas stockées dans le TPM lui-même – il n’a qu’une très petite quantité de mémoire flash sécurisée, juste assez pour 3-4 clés cryptographiques. Tout le reste est renvoyé au système d’exploitation, simplement chiffré avec la clé « racine », de sorte que seul le TPM lui-même peut le déchiffrer. (Donc le protecteur TPM de BitLocker est en réalité stocké sur le disque lui-même.)
Cela donne l’illusion que le TPM dispose d’un stockage pratiquement infini (en faisant permuter automatiquement les éléments entre la RAM du TPM par le système d’exploitation), tout en permettant que ce stockage soit instantanément « effacé » (en détruisant la clé racine).
Concernant « lorsque la puce ROM du BIOS est remplacée », cela signifie-t-il que les utilisateurs qui activent BitLocker doivent d’abord le désactiver avant de remplacer leur puce ROM du BIOS ?
Oui, ou ils doivent suspendre BitLocker – au lieu de déchiffrer toutes les données, cela stocke simplement la clé de déchiffrement maître directement sur le disque, sans aucune protection. (Quand BitLocker est « repris », il efface cette clé.) Suspendre le chiffrement de cette manière est très rapide, tandis que désactiver complètement BitLocker et déchiffrer un disque d’un téraoctet peut prendre de nombreuses heures.
Cependant, ils devraient aussi avoir la clé de récupération notée. Ignorez le « ou » erroné dans votre citation – connaître la clé de récupération vous rend complètement indépendant du TPM ou de tout autre matériel système.
Si oui, que se passe-t-il s’ils font l’erreur de remplacer leur puce ROM du BIOS avant de désactiver BitLocker ? Peuvent-ils simplement remettre l’ancienne puce ROM du BIOS et désactiver BitLocker, ou ont-ils définitivement chiffré leur système ?
Je ne suis pas sûr, car il y a vraiment deux choses en jeu : la clé de chiffrement racine utilisée par le fTPM et la mesure de l’état du système qui est effectuée avec tous les TPM.
D’abord, même avec un TPM discret, le processus de « scellement » utilisé par Windows lie délibérément la clé BitLocker à certains bits de l’état du système. Par exemple, démarrer depuis une clé USB ou désactiver Secure Boot fera refuser au TPM de desceller la clé car l’état du système a changé. Mais cela ne détruit rien, et le retour aux paramètres d’origine permettra à la clé d’être descellée à nouveau.
Cependant, avec un fTPM, c’est le firmware qui détient réellement la clé de chiffrement racine utilisée pour le scellement. Elle se trouve très probablement dans le CPU, pas dans la « puce ROM du BIOS », mais il est possible que des changements puissent amener le firmware à réinitialiser complètement le fTPM, rendant toutes les données précédemment scellées irrécupérables.