Microsoft a dévoilé hier les nouveautés attendues pour Windows 11, attendu pour cet automne. L'éditeur en a profité pour évoquer ses prérequis matériel et logiciel, plus élevés qu'auparavant. On y trouve la mention du TPM 2.0, une solution de sécurité qui n'est pas toujours activée par défaut. On vous explique.
Lorsque vous utilisez une carte bancaire, votre smartphone avec un forfait de téléphonie mobile, une smart card ou une clé de sécurité comme les YubiKey, vous utilisez un produit contenant un « élément de sécurité ».
Une question de sécurité
C'est le principe de la carte à puce française, que l'on retrouve désormais sous diverses formes dans le domaine des nouvelles technologies. Cet élément de sécurité permet de stocker une ou des informations importantes (secrètes), de les utiliser pour vous identifier, permettre certaines actions, sans crainte qu'elle ne soit récupérée par un tiers.
Vous pouvez ainsi payer avec votre carte bancaire en tapant un code PIN sans qu'une personne l'ayant récupérée ne puisse en faire une copie. Il en est de même avec une clé de sécurité, qui peut par exemple contenir la partie privée d'une paire de clés pour du chiffrement asymétrique, vous permettant de signer ou déchiffrer des emails ou des fichiers, sans qu'une personne mal intentionnée ne puisse la récupérer à votre insu.
C'est également le principe de TPM, ou Trusted Platform Module. Défini par la norme ISO/IEC 11889, il s'agit d'un module cryptographique pouvant stocker des « secrets » et les utiliser à des fins d'authentification, de chiffrement, de sécurité au sens large. Créé en 2009, il prenait alors la forme d'un composant, présent ou non sur la carte mère.
Une solution de moins en moins rare...
Mais il était alors trop souvent réservé aux seules machines visant les professionnels, ou n'était proposé que sous la forme d'un module optionnel à connecter sur la carte mère. Cela a d'ailleurs abouti à ce que de nombreux outils fassent l'impasse sur cette solution qui n'était que trop rarement présente.
Sa version 2.0, renforçant les prérequis en termes de sécurité, a été l'occasion pour certains constructeurs d'introduire d'autres implémentations de TPM, se reposant sur un élément de sécurité intégré non pas sur la carte mère mais un autre élément de leur plateforme. De quoi largement renforcer la présence de cette technologie sur le marché.
Intel et Microsoft ont publié des implémentations open source de TPM 2.0 ici ou là.
... via AMD fTPM ou Intel PTT
Les Ryzen/EPYC d'AMD intègrent ainsi un élément sécurisé au sein de leur architecture, exploitant la solution ARM TrustZone. Le constructeur et ses partenaires présentent cela comme un firmware TPM (fTPM). Chez Intel, cette fonctionnalité se nomme la Platform Trust Technology (PTT) introduite au sein de sa plateforme en 2013.
Depuis ses débuts, l'architecture Zen dispose d'une « Secure Zone »
Depuis le 28 juillet 2016, Microsoft oblige les intégrateurs fournissant une machine sous Windows 10 à activer TPM 2.0 sous la forme de leur choix. On la retrouve depuis de manière systématique ou presque. Elle est par contre souvent désactivée par défaut sur les cartes mères vendues au détail, ce qui explique que de nombreux utilisateurs se voient indiquer que leur machine n'est pas compatible avec Windows 11 via l'outil de test.
Comment activer (f)TPM ou PTT ?
L'activation de TPM 2.0 passe par le BIOS/UEFI qui permet de contrôler le système. Pour savoir comment y accéder, référez-vous au manuel de votre ordinateur ou de sa carte mère. En général, il suffit d'appuyer frénétiquement sur la touche « F2 » ou « Suppr » de votre clavier une fois le PC allumé, avant le démarrage de Windows.
Une fois dans l'interface, recherchez une référence à TPM 2.0, fTPM ou PTT, en général dans les options de sécurité, ou celles en lien avec la plateforme. Vous pourrez alors simplement l'activer et/ou la désactiver.
L'activation d'Intel PTT sur une carte mère ASUS Z490
Comment vérifier l'activation sous Windows ?
Windows permet bien entendu de gérer le module TPM d'une machine et donc de vérifier son état. Pour accéder à cet outil, ouvrez le menu démarrer et tapez « tpm.msc ». L'application Gestion de module de plateforme sécurisée sur l'ordinateur local s'affichera alors. Vous y verrez le statut de votre module TPM ainsi que sa version.
Vous pouvez également utiliser des applications telles que HWiNFO64 qui référence la présence ou non d'un module TPM au sein de la plateforme dans la section ACPI de la carte mère. Pour un processeur Intel, la section Intel ME (Managment Engine) vous indiquera si votre machine dispose ou non de la fonctionnalité PTT.