Les annonces récentes sur Windows 11 ont créé beaucoup de confusions concernant le prérequis d'un module TPM. La plupart des PC actuels possèdent pourtant cette fonctionnalité de sécurité. A quoi sert-il ? Comment l'activer ?
Avec l'annonce de la sortie de Windows 11 le 24 juin par Microsoft, les utilisateurs ont pu avoir au premier abord la désagréable surprise de découvrir des spécificités matérielles qui sortaient de l'ordinaire des sacro saints mémoire et espace disque minimum. Pour installer la fameuse mise à jour, il faudra non seulement bénéficier d'un CPU récent (Ryzen 1000/ Core 8e gen au minimum), mais surtout d'une compatibilité avec la norme de sécurité TPM 2.0. Pas mal de monde a rapidement crié au scandale en accusant Microsoft de vouloir renouveler le parc mondial des PC, mais on peut vite s'apercevoir que ce prérequis n'est pas révolutionnaire puisque l'immense majorité des PC de moins de cinq ans possèdent déjà les fonctions TPM 2.0, même si leurs utilisateurs n'en sont pas forcément conscients. Pire, Windows 10 les utilise déjà assidûment depuis plusieurs années. Par exemple, quand le PC est équipé d'une solution TPM et que vous activez l'identification biométrique Windows Hello (visuelle ou par empreinte, peu importe), Windows stocke vos données. biométriques dans le TPM. De même, si vous activez le chiffrement de votre SSD par Bitlocker, la clé sera stockée dans le module TPM.
Le TPM, ou Trusted Platform Module, est un composant matériel (mais pas toujours, on va y revenir) dédié à la sécurité des systèmes d'exploitation. De la même manière qu'un GPU gère l'affichage, les OS s'appuient sur ce type de hardware pour se sécuriser. Concrètement, un TPM est en mesure de générer des nombres aléatoires, générer des clefs de chiffrement au format RSA, déchiffrer des petites quantités de données, et stocker des éléments de hachage lorsque la machine démarre. Un module TPM inclut dans un unique composant un générateur de clef RSA 2048 bits et de nombre aléatoire, un moteur de chiffrement, déchiffrement ainsi que de signature, mais il intègre aussi la possibilité de stocker des clefs privées et publiques dans sa mémoire, qu'elle soit volatile ou non. Ainsi, un système comme Windows va communiquer directement avec le module pour obtenir ou stocker des clefs de chiffrements comme celles des exemples cités précédemment (biométrie et chiffrement), ce qui est beaucoup plus sécuritaire que de les sauvegarder dans un simple fichier. On reparle de tout ce à quoi sert le TPM sous Windows un peu plus loin.
TPM 1.2 VS 2.0
Avec l'arrivée de Windows 11, on note que la version 2.0 est très importante dans le discours de Microsoft. Pourquoi ne pas avoir utilisé la version 1.2 qui aurait pu englober un plus grand nombre de PC candidats à la mise à jour ? Sans rentrer dans des détails techniques obscurs pour la plus grande partie d'entre nous, il faut savoir qu'il existe principalement deux évolutions entre les versions 1.2 et 2.0 de TPM. D'une part, le nouveau standard 2.0 offre beaucoup d'avantages de sécurité par rapport à TPM 1.2, qui est limité aux algorithmes de hachages RSA et SHA-1. En gros, la dernière mouture dispose de solutions de chiffrement plus sures et puissantes que la précédente version. D'autre part, la version 1.2 n'est disponible que par le biais d'une puce autonome soudée à la carte mère, principe qui évolue avec la 2.0.
LES QIFFÉRENTES IMPLEMENTATIONS DE TPM
Les fonctions liées à TPM peuvent se retrouver sous la forme de trois méthodes sur un ordinateur. Premièrement, on parle de « Discrète TPM » lorsque le module se trouve sous la forme d'une puce complètement dédiée à sa fonction. Soudée à une carte mère ou ajoutée sur un header spécifique, la puce TPM permet théoriquement une plus grande résistance aux attaques et aux bugs par rapport à une solution embarquée de par son statut autonome.
Dans la pratique, on ne constate pas de réelle différence. Deuxièmement, le TPM peut être intégré à une autre puce, c'est l'« Integrated TPM ». Intel l'intègre notamment dans certains de ses chipsets. Enfin, le module TPM peut se retrouver à l'intérieur de nos CPU : on parle alors de « Firmware TPM ». Ce mode de fonctionnement prendra probablement dans le futur la place par rapport aux autres méthodes d'implémentation. Il existe également des versions 100 % logicielles du module TPM, mais attention il n'est pas possible de s'en servir pour émuler un module non présent sur le hardware pour installer Windows 11 : d'une part ces versions intègrent principalement des environnements de développement, mais elles ne bénéficient surtout pas de la même qualité de sécurité qu'une version hardware.
SÉCURITÉ ET INTÉGRITÉ GARANTIES ?
Si une puce hardware dédiée à la sécurité (ou la même fonction dédiée ajoutée à un autre composant) s'avère effectivement plus robuste et sure qu'une protection logicielle, les modules TPM ne sont pas exempts de failles. Mais celles-ci restent difficiles à exploiter. Depuis 2010, une dizaine de vulnérabilités ont été dévoilées. Lors des révélations d'Edward Snowden, il fut admis qu'une petite équipe de la CIA a été en mesure d'extraire des données confidentielles d'un module TPM en analysant la consommation d'énergie utilisée par le module. Récemment en 2021, la société américaine du groupe Dolos spécialisée dans la sécurité a démontré qu'il était possible de passer outre le chiffrement d'un module Discret-TPM en utilisant des points d'entrée/sortie plus ou moins protégés de la puce. Ils purent alors lire la clef de chiffrement d'un SSD de laptop pour en tirer les données en clair. Bien évidemment les firmwares des modules TPM peuvent être mis à jour, ce qui a toujours été le cas jusqu'à présent lorsque des failles de sécurité furent découvertes.
UNE TECHNO DÉJÀ BIEN UTILISÉE
Outre le fait que Google embarque automatiquement des fonctions TPM dans tous ses Chromebooks, le mariage de TPM et de Microsoft ne date pas de l'arrivée de Windows 11. Effectivement, le module est utilisé depuis la version Vista du système d'exploitation avec l'utilisation de BitLocker, qui est la solution de chiffrement de disque maison de l'OS. D'autre part, Microsoft a annonçé au tout début de l'année 2015 que tous les ordinateurs désirant être certifiés pour Windows 8.1 devraient être dotés d'un module TPM 2.0 pour revenir plus tard finalement sur sa décision en le plaçant comme une option. Finalement, c'est en juillet 2016 que Microsoft ajoutera le TPM 2.0 en prérequis impératif pour toutes nouvelles machines fonctionnant sous Windows 10 (on parle là des PC de marques, notamment des laptops).
TPM SELON L'ÂGE DE SON PC OU DE SON CPU
Il existe des moyens simples pour savoir si un PC embarque TPM 2.0. Si celui-ci est de marque comme les PC portables et que sa conception date d'après juillet 2016, il embarquera forcément la fonction puisque c'est à cette échéance que Microsoft a imposé la présence du module de sécurité comme nous venons de le voir. Pour les PC assemblés, certaines cartes mères intègrent TPM, mais pas toutes. On peut alors se baser sur le CPU dont certains intègrent les fonctions TPM : Chez Intel, depuis Skylake (6ème génération), presque tous • les CPUs embarquent TPM 2.0 sous la dénomination de Plateform Trust Technology (PTT).
On observe la même stratégie pour AMD qui intègre la solution fTPM depuis les plateformes AM4, soit depuis 2016.
Mais attention, si la majorité des PC Intel de 6e et 7e gen sont compatibles avec une solution de Firmware TPM, Windows 11 exige pour le moment un CPU de 8e gen (2018) au minimum sans qu'on sache précisément pour quelle raison.
LES FONCTIONNALITÉS DANS WINDOWS 10 ET 11
A quoi va donc servir le fameux TPM 2.0 dans Windows 11 ? Au risque de décevoir, L'OS de Microsoft l'utilisera quasiment pour les mêmes fonctionnalités que notre Windows 10 actuel. Si l'on s'attarde bien évidemment sur les différences de look entre les deux moutures, le volet sécurité semble au premier abord identique. Néanmoins, le directeur de la sécurité de Microsoft David Weston déclare dans un billet de son blog que Windows sera une version plus sécurisée, avec des mécanismes d'isolation des processus étrangers, et surtout une volonté de ne plus avoir une authentification basée sur un simple mot de passe, qui est une des plus grandes failles de sécurité. D'après les documentations techniques de Microsoft, TPM est actuellement utilisé pour plusieurs fonctionnalités. Depuis Windows 8, « Measured Boot » permet de protéger le démarrage du système d'exploitation des rootkits et autres malwares. Cette protection est effectuée par vérification de l'intégrité de chaque composant nécessaire au boot, des firmwares aux pilotes. La fonction « Chiffrement de l'appareil » accessible depuis le menu des paramètres « Mise à jour et sécurité » permet de sécuriser les fichiers et dossiers en cas de vol ou d'accès non autorisé. Lorsqu'elle est disponible, cette fonction est active par défaut sous réserve de s'être identifié avec un compte Microsoft. Le cas échéant, le programme BitLocker est une bonne alternative. Ensuite, le module « Windows Defender System Guard » utilise TPM 2.0 pour protéger les ressources critiques liées aux processus d'authentification, aux systèmes biométriques, ou bien au module de plateforme sécurisée virtuelle responsable d'isoler des programmes inconnus. Sur le même sujet, la fonction DRTM (Dynamic Root of Trust for Measurement) permet de démarrer du code non approuvé tout en contrôlant les processus qui lui sont associés. Depuis TPM 1.2, Windows possède un système d'attestation d'intégrité de l'appareil : l'intégrité du hardware est régulièrement évaluée, afin de savoir si celui-ci n'a pas été modifié. On peut également lui adjoindre « Windows Autopilot », qui permet d'initialiser et de configurer de nouveaux appareils dans le cadre de déploiement de masse. Enfin, pour terminer sur l'identification, la fonction SecureBIO permet de sécuriser l'authentification biométrique, et TPM assure également la gestion des cartes à puce virtuelles surtout utilisées dans le monde de l'entreprise.
Au fil du temps, Windows 10 n'a cessé d'exploiter TPM afin d'augmenter la sécurité de son système d'exploitation. Avec Windows 11, la firme américaine va continuer sur sa lancée en se focalisant sur deux axes : la lutte contre les attaques en les isolant du système, et le renforcement de la sécurité de l'authentification. Le TPM est un élément essentiel, mais il devra sans doute être épaulé voir remplacé par d'autres composants matériels, parfois intégrés aux prochaines générations de CPU, comme Pluton développé par Microsoft dont les fournisseurs seront Intel, AMD, et Qualcomm
Que se passe-t-il si je change de CPU ?
La majorité des PC assemblés n'ont pas la fonction fTPM activée par défaut dans l'UEFI et ça va bien sûr changer au moment d'installer Windows 11 en masse. Premièrement, n'ayez crainte de le faire, ça ne va pas tout changer sur votre machine. Vous ne perdrez pas en performance et vous n'aurez pas de nouvelles fonctions imposées. En particulier, .ce n'est pas parce que vous avez mis en route fTPM que vous avez forcément chiffré le contenu de votre SSD avec Bitlocker, ça reste totalement optionnel. Deuxièmement, que se passe-t-il en cas de changement du processeur ? Bonne question, car ça équivaut à un reset du module TPM. Pour ce qui est des données stockées type biométrie, vous ne pourrez plus vous connecter à Windows de cette façon, mais il suffit de taper votre mot de passe et recréer les empreintes et autres images de reconnaissance faciale. Quant à un éventuel chiffrement du SSD, vous devez posséder la clé ! Celle-ci était stockée dans le TPM de votre ancien CPU, mais, en principe, à la mise en route du chiffrement, votre logiciel (Bitlocker intégré à Windows ou un autre) vous aura proposé de créer une clé de backup, c'est-à-dire un fichier à archiver quelque part en sécurité. C'est là que vous devez la sortir ! Dans le cas de Bitlocker, si vous utilisez un compte Microsoft, la clé est censée être archivée dans le cloud. Dans le doute, désactivez Bitlocker avant de changer de CPU.
TPM en pratique
Windows 11 pour sa machine ? Il y a de grandes chances que votre PC possède déjà une capacité TPM. Reste à.savoir quel type, quelle version, et comment l'activer le cas échéant.
VÉRIFICATION DE LA PRÉSENCE DE TPM
Nous l'avons vu : la grande majorité des configurations de moins de cinq ans embarque TPM 2.0, et le module est sans doute déjà activé par défaut. Pour le vérifier, plusieurs procédures simples existent sous Windows 10. Dans un premier temps, il suffit de se rendre dans le module « Sécurité Windows » accessible depuis le menu Démarrer, et « Sécurité des appareils ». Ici, on aura un emplacement dédié au « Processeur de sécurité », qui correspond tout simplement au module TPM. En cliquant sur les détails, on obtient des informations détaillées sur celui-ci, avec notamment sa version sur la ligne « Version des spécifications ». A noter, le Statut en mode « Prêt » permet de voir que le module TPM est bien en cours d'utilisation par le système d'exploitation. Une autre manière de vérifier la présence de TPM est de lancer une invite de commande PowerShell en tant qu'Administrateur. La commande « Get-Tpm » renverra plusieurs lignes dont TpmPresent à True si le module est physiquement présent, TpmEnabled si le module est activé dans le BIOS. Cela permettra de détecter qu'un module TPM est bien présent, mais qu'il n'est pas activé dans le BIOS.
ACTIVER TPM DANS LE BIOS
En théorie, tous les constructeurs activent le module TPM par défaut. Mais attention : celui-ci ne fonctionne qu'en mode sécurisé UEFI. Cela veut dire que si le possesseur du PC a passé son BIOS en mode Legacy pour des raisons de compatibilités ou avoir plus de •liberté dans le choix de son OS, le mode TPM sera inexistant. Il faut donc dans un premier temps s'assurer que le mode UEFI est bien activé, et chercher dans les options avancées et/ou de sécurité la présence des options concernant le module TPM. Trusted Computing chez ASUS et MSI, Security chez HP et Lenovo, le plus important est de trouver des références aux termes TPM, fTPM ou Discret TPM. Ici, il faudra placer les options Support et State en actif (Enabled en anglais). Au passage, nous ne pouvons que féliciter les constructeurs comme MSI qui intègrent de nombreux paramétrages concernant le module en allant plus loin comme la possibilité de choisir ses algorithmes de chiffrement.
VIDER TPM EN CAS DE REVENTE/MISE AU REBUT
Rares sont les utilisateurs à se soucier des données contenues dans le module TPM ! Pourtant, celles-ci contiennent des données de sécurité spécifiques et confidentielles avec notamment la clef pour crypter et décrypter les données et processus du PC. Lorsque l'on se sépare de son matériel, il est donc préférable d'effacer ce contenu. Pour se faire, il suffit de taper la commande « Clear-Tpm » à partir d'une fenêtre PowerShell exécutée en tant qu'Administrateur. Attention, cette opération est à effectuer au tout dernier, moment avant d'éteindre le PC. A noter, certains BIOS proposent la possibilité d'effectuer également cette opération.
