TPM (Trusted Platform Module) : définition et fonctionnement
Les puces TPM ou Trusted Platform Module sont des puces spéciales intégrées dans les ordinateurs portables ou de bureau. Elles offrent des fonctions de sécurité importantes pour l’intégrité et la sécurité des systèmes et des logiciels dans un environnement protégé. Un système d’exploitation qui prend en charge les TPM peut être activé ou désactivé au besoin via les fonctions du BIOS.
Trusted Platform Module : qu’est-ce que ça veut dire ?
Les dispositifs de sécurité pour protéger le système ainsi que pour se prémunir des malwares ou des ransomwares jouent un rôle décisif dans l’informatique privée comme professionnelle. Les pare-feu et les antivirus font partie des outils classiques, auquel il convient d’ajouter les Trusted Platform Module. Un TPM est une puce intégrée à la machine et qui offre un niveau de sécurité supplémentaire pour le matériel et les logiciels. Parmi ces fonctions, on peut citer l’authentification de l’appareil, l’identification utilisateur ou encore la vérification des licences logicielles et le stockage de clés, de mots de passe ou de certificats.
On peut imaginer le TPM comme un coffre-fort de sécurité, un environnement isolé et protégé des intentions et logiciels malveillants. Ainsi, au démarrage, le TPM active les composants logiciels et matériels et vérifie leur intégrité. Cela permet de garantir qu’un système d’exploitation n’est pas compromis et que le processus de démarrage ne présente aucun danger. Même si les puces TPM étaient autrefois utilisées comme puces autonomes pour les ordinateurs d’entreprise, la plupart des processeurs AMD et Intel modernes disposent de fonctionnalités TPM. Il existe néanmoins des cartes mères qui nécessitent une puce TPM supplémentaire. Si aujourd’hui seul le système d’exploitation Windows 11 impose un TPM 2.0, il est fort probable qu’à long terme toute machine disposera d’un TPM par défaut.
Où se trouve le TPM ?
Une puce TPM fonctionne comme un processeur dédié placé sur la carte mère de la machine. Les cartes mères sans puce TPM prévoient cependant un emplacement pour une puce TPM optionnelle. Celui-ci permet d’installer un TPM indépendamment de l’unité centrale de l’ordinateur. Si vous avez besoin d’une puce indépendante pour jouer le rôle de TPM, il est conseillé d’utiliser des modules compatibles de la même année et de chez le même fabricant que la carte mère.
Quels sont les avantages d’un Trusted Platform Module ?
Les TPM présentent de nombreux avantages, notamment les suivants :
- Génération et stockage de mots de passe, de certificats ou de clés cryptographiques pour une sécurité accrue des méthodes de chiffrement ;
- Contrôle et suivi de l’intégrité de la plateforme à l’aide d’indicateurs et de processus comparatifs pour détecter les intrusions au démarrage ;
- Authentification matérielle du système d’exploitation par système de chiffrement RSA ;
- Protection du système contre les intrusions malveillantes du logiciel ou du firmware au moyen d’une clé d’identité d’attestation (AIK) qui vérifie l’intégrité des composants par hachage ;
- En combinaison avec des pare-feu, des cartes à puce, des tests biométriques ou des programmes antivirus, défense optimisée contre les logiciels malveillants, les ransomwares, les attaques par dictionnaire et le phishing ;
- Vérification des licences logicielles par la gestion des droits numériques (GDN).
Mon ordinateur est-il équipé d’un TPM ?
Comme le TPM 2.0 est notamment une condition matérielle pour Windows 11, comment savoir si un appareil est équipé de la technologie TPM ? Deux méthodes simples permettent de vérifier la présence de TPM dans le système. À noter que même les puces TPM intégrées ne sont pas toujours activées par défaut.
Voici la procédure à suivre dans Windows pour déterminer la présence d’une puce TPM ainsi que sa version :
Accéder au TPM-Manager
Étape 1 : dans la barre de recherche de Windows, tapez la commande « tpm.msc » pour accéder à l’outil intégré de gestion TPM.
Étape 2 : si le PC ou l’ordinateur portable ne dispose pas d’une puce TPM dédiée, vous lirez un message correspondant dans la fenêtre qui s’ouvre. Si la carte mère contient une puce TPM, la fenêtre indiquera le type et la version de la puce TPM.
Accéder au Gestionnaire de périphériques
Étape 1 : appuyez sur le raccourci Windows [Windows] + [X] et allez dans « Gestionnaire de périphériques ».
Étape 2 : dans le menu latéral gauche, allez dans « Périphériques de sécurité » et ouvrez le menu déroulant. Si un TPM est présent, la version actuelle du TPM s’affichera.
Vérifier par l’invite de commande
Étape 1 : ouvrez la boîte de dialogue « Exécuter » avec le raccourci [Windows] + [R], saisissez la commande « cmd » et appuyez ensuite sur le raccourci [Windows] + [Maj] + [Entrée] pour ouvrir l’invite de commande en tant qu’administrateur.
Étape 2 : pour vérifier la présence d’une puce TPM, saisissez la commande suivante :
wmic /namespace:\\root\cimv2\security\microsofttpm path win32_tpm get /value
shellSi votre appareil est équipé d’une puce TPM, le numéro de version apparaîtra dans la ligne « SpecVersion= ».
Le TPM peut-il s’activer et se désactiver seul ?
L’activation par défaut du TPM dépend de l’âge, de la version et du type d’ordinateur (portable ou bureau) utilisé. Même dans le cas de puces TPM intégrées, il n’y a aucune certitude que la fonctionnalité TPM soit activée par défaut. Pour certains TPM firmwares, il se peut qu’une mise à jour du BIOS ou de l’UEFI soit nécessaire. Si le TPM n’est pas activé par défaut, il existe plusieurs méthodes pour l’activer ou le désactiver.
Voici la procédure à suivre :
Activer ou désactiver le TPM dans le BIOS
Étape 1 : démarrez votre système et accédez au BIOS (selon le système, en appuyant sur la touche [F2], [F12] ou [Suppr] pendant le démarrage).
Étape 2 : allez dans le menu Sécurité > Trusted Computing.
Étape 3 : activez l’option Security Device Support.
Étape 4 : activez PTT sous « TPM-Device ».
Étape 5 : enregistrez les modifications et redémarrez l’ordinateur. Suivez la procédure strictement inverse pour le désactiver.
Activer ou désactiver le TPM via l’outil de gestion TPM
Étape 1 : saisissez « tpm.msc » dans la barre de recherche Windows et en appuyez sur [Entrée] pour lancer l’outil de gestion TPM.
Étape 2 : naviguez jusqu’à État > Action et lisez attentivement la page « Activer le module de plateforme sécurisée » affichée.
Étape 3 : allez sur « Arrêter » ou « Redémarrer » et suivez les étapes UEFI correspondantes.
Étape 4 : lors du démarrage, acceptez la reconfiguration TPM. Le système s’assure ainsi que seules les personnes authentifiées peuvent effectuer des modifications.
Étape 5 : le TPM est maintenant activé sous Windows.
Étape 6 : pour le désactiver, retournez dans la section État > Action puis dans la boîte de dialogue « Désactiver le module de plateforme sécurisée », choisissez si vous souhaitez saisir votre mot de passe propriétaire TPM via un support amovible, manuellement, ou désactiver sans mot de passe.
Que se passe-t-il après désactivation du TPM ?
La suppression ou la désactivation du TPM, par exemple pour résoudre un problème ou réinstaller le système, peut dans certains cas entraîner une perte de données. Cela concerne notamment les clés, mots de passe, certificats, cartes à puce virtuelles ou codes PIN de connexion enregistrés. Voilà pourquoi certaines précautions importantes sont de mise :
- Créez une méthode de récupération ou une sauvegarde des données stockées dans le TPM.
- Ne supprimez/désactivez les TPM que sur vos propres appareils ou en accord avec l’administrateur informatique compétent.
- Vérifiez les informations relatives au TPM dans le manuel du fabricant ou sur le site de l’entreprise du fabricant.
- Si possible, désactivez-le via l’outil de gestion TPM ou créez une sauvegarde du système avant d’effectuer des modifications dans le BIOS et le mode UEFI.
Quels sont les différents types de TPM ?
Selon le type de montage, on distingue les TPM suivants :
- TPM discret : un Trusted Platform Module discret est considéré comme la meilleure variante du TPM avec une puce dédiée. Cette variante offre plus de place pour davantage d’algorithmes de chiffrement, une meilleure protection anti-intrusions et une grande stabilité. En revanche, elle a besoin de plus d’espace pour le TPM.
- TPM physique : intégré à l’unité centrale, il offre des fonctions de sécurité physiques qui protègent contre les intrusions et les malwares.
- TPM firmware : similaire à la variante physique, il fonctionne dans un environnement d’exécution sécurisé du processeur et protège des intrusions et des modifications malveillantes.
- TPM virtuel : un hyperviseur permet de créer un TPM virtuel qui génère des clés de sécurité indépendamment d’une machine virtuelle.
- TPM logiciel : les TPM logiciels sont les moins recommandés car ils n’offrent que peu d’avantages en matière de sécurité et restent plus vulnérables aux logiciels malveillants.