Les puces TPM ou Trusted Platform Module sont des puces spéciales intégrées dans les or­di­na­teurs portables ou de bureau. Elles offrent des fonctions de sécurité im­por­tantes pour l’intégrité et la sécurité des systèmes et des logiciels dans un en­vi­ron­ne­ment protégé. Un système d’ex­ploi­ta­tion qui prend en charge les TPM peut être activé ou désactivé au besoin via les fonctions du BIOS.

Trusted Platform Module : qu’est-ce que ça veut dire ?

Les dis­po­si­tifs de sécurité pour protéger le système ainsi que pour se prémunir des malwares ou des ran­som­wares jouent un rôle décisif dans l’in­for­ma­tique privée comme pro­fes­sion­nelle. Les pare-feu et les antivirus font partie des outils clas­siques, auquel il convient d’ajouter les Trusted Platform Module. Un TPM est une puce intégrée à la machine et qui offre un niveau de sécurité sup­plé­men­taire pour le matériel et les logiciels. Parmi ces fonctions, on peut citer l’au­then­ti­fi­ca­tion de l’appareil, l’iden­ti­fi­ca­tion uti­li­sa­teur ou encore la vé­ri­fi­ca­tion des licences lo­gi­cielles et le stockage de clés, de mots de passe ou de cer­ti­fi­cats.

On peut imaginer le TPM comme un coffre-fort de sécurité, un en­vi­ron­ne­ment isolé et protégé des in­ten­tions et logiciels mal­veil­lants. Ainsi, au démarrage, le TPM active les com­po­sants logiciels et matériels et vérifie leur intégrité. Cela permet de garantir qu’un système d’ex­ploi­ta­tion n’est pas compromis et que le processus de démarrage ne présente aucun danger. Même si les puces TPM étaient autrefois utilisées comme puces autonomes pour les or­di­na­teurs d’en­tre­prise, la plupart des pro­ces­seurs AMD et Intel modernes disposent de fonc­tion­na­li­tés TPM. Il existe néanmoins des cartes mères qui né­ces­si­tent une puce TPM sup­plé­men­taire. Si aujourd’hui seul le système d’ex­ploi­ta­tion Windows 11 impose un TPM 2.0, il est fort probable qu’à long terme toute machine disposera d’un TPM par défaut.

Où se trouve le TPM ?

Une puce TPM fonc­tionne comme un pro­ces­seur dédié placé sur la carte mère de la machine. Les cartes mères sans puce TPM prévoient cependant un em­pla­ce­ment pour une puce TPM op­tion­nelle. Celui-ci permet d’installer un TPM in­dé­pen­dam­ment de l’unité centrale de l’or­di­na­teur. Si vous avez besoin d’une puce in­dé­pen­dante pour jouer le rôle de TPM, il est conseillé d’utiliser des modules com­pa­tibles de la même année et de chez le même fabricant que la carte mère.

Quels sont les avantages d’un Trusted Platform Module ?

Les TPM pré­sen­tent de nombreux avantages, notamment les suivants :

  • Gé­né­ra­tion et stockage de mots de passe, de cer­ti­fi­cats ou de clés cryp­to­gra­phiques pour une sécurité accrue des méthodes de chif­fre­ment ;
  • Contrôle et suivi de l’intégrité de la pla­te­forme à l’aide d’in­di­ca­teurs et de processus com­pa­ra­tifs pour détecter les in­tru­sions au démarrage ;
  • Au­then­ti­fi­ca­tion ma­té­rielle du système d’ex­ploi­ta­tion par système de chif­fre­ment RSA ;
  • Pro­tec­tion du système contre les in­tru­sions mal­veil­lantes du logiciel ou du firmware au moyen d’une clé d’identité d’at­tes­ta­tion (AIK) qui vérifie l’intégrité des com­po­sants par hachage ;
  • En com­bi­nai­son avec des pare-feu, des cartes à puce, des tests bio­mé­triques ou des pro­grammes antivirus, défense optimisée contre les logiciels mal­veil­lants, les ran­som­wares, les attaques par dic­tion­naire et le phishing ;
  • Vé­ri­fi­ca­tion des licences lo­gi­cielles par la gestion des droits nu­mé­riques (GDN).

Mon or­di­na­teur est-il équipé d’un TPM ?

Comme le TPM 2.0 est notamment une condition ma­té­rielle pour Windows 11, comment savoir si un appareil est équipé de la tech­no­lo­gie TPM ? Deux méthodes simples per­met­tent de vérifier la présence de TPM dans le système. À noter que même les puces TPM intégrées ne sont pas toujours activées par défaut.

Voici la procédure à suivre dans Windows pour dé­ter­mi­ner la présence d’une puce TPM ainsi que sa version :

Accéder au TPM-Manager

Étape 1 : dans la barre de recherche de Windows, tapez la commande « tpm.msc » pour accéder à l’outil intégré de gestion TPM.

Étape 2 : si le PC ou l’or­di­na­teur portable ne dispose pas d’une puce TPM dédiée, vous lirez un message cor­res­pon­dant dans la fenêtre qui s’ouvre. Si la carte mère contient une puce TPM, la fenêtre indiquera le type et la version de la puce TPM.

Accéder au Ges­tion­naire de pé­ri­phé­riques

Étape 1 : appuyez sur le raccourci Windows [Windows] + [X] et allez dans « Ges­tion­naire de pé­ri­phé­riques ».

Étape 2 : dans le menu latéral gauche, allez dans « Pé­ri­phé­riques de sécurité » et ouvrez le menu déroulant. Si un TPM est présent, la version actuelle du TPM s’affichera.

Vérifier par l’invite de commande

Étape 1 : ouvrez la boîte de dialogue « Exécuter » avec le raccourci [Windows] + [R], saisissez la commande « cmd » et appuyez ensuite sur le raccourci [Windows] + [Maj] + [Entrée] pour ouvrir l’invite de commande en tant qu’ad­mi­nis­tra­teur.

Étape 2 : pour vérifier la présence d’une puce TPM, saisissez la commande suivante :

wmic /namespace:\\root\cimv2\security\microsofttpm path win32_tpm get /value
shell

Si votre appareil est équipé d’une puce TPM, le numéro de version ap­pa­raî­tra dans la ligne « Spec­Ver­sion= ».

Le TPM peut-il s’activer et se dé­sac­ti­ver seul ?

L’ac­ti­va­tion par défaut du TPM dépend de l’âge, de la version et du type d’or­di­na­teur (portable ou bureau) utilisé. Même dans le cas de puces TPM intégrées, il n’y a aucune certitude que la fonc­tion­na­lité TPM soit activée par défaut. Pour certains TPM firmwares, il se peut qu’une mise à jour du BIOS ou de l’UEFI soit né­ces­saire. Si le TPM n’est pas activé par défaut, il existe plusieurs méthodes pour l’activer ou le dé­sac­ti­ver.

Voici la procédure à suivre :

Activer ou dé­sac­ti­ver le TPM dans le BIOS

Étape 1 : démarrez votre système et accédez au BIOS (selon le système, en appuyant sur la touche [F2], [F12] ou [Suppr] pendant le démarrage).

Étape 2 : allez dans le menu Sécurité > Trusted Computing.

Étape 3 : activez l’option Security Device Support.

Étape 4 : activez PTT sous « TPM-Device ».

Étape 5 : en­re­gis­trez les mo­di­fi­ca­tions et re­dé­mar­rez l’or­di­na­teur. Suivez la procédure stric­te­ment inverse pour le dé­sac­ti­ver.

Activer ou dé­sac­ti­ver le TPM via l’outil de gestion TPM

Étape 1 : saisissez « tpm.msc » dans la barre de recherche Windows et en appuyez sur [Entrée] pour lancer l’outil de gestion TPM.

Étape 2 : naviguez jusqu’à État > Action et lisez at­ten­ti­ve­ment la page « Activer le module de pla­te­forme sécurisée » affichée.

Étape 3 : allez sur « Arrêter » ou « Re­dé­mar­rer » et suivez les étapes UEFI cor­res­pon­dantes.

Étape 4 : lors du démarrage, acceptez la re­con­fi­gu­ra­tion TPM. Le système s’assure ainsi que seules les personnes au­then­ti­fiées peuvent effectuer des mo­di­fi­ca­tions.

Étape 5 : le TPM est main­te­nant activé sous Windows.

Étape 6 : pour le dé­sac­ti­ver, retournez dans la section État > Action puis dans la boîte de dialogue « Dé­sac­ti­ver le module de pla­te­forme sécurisée », choi­sis­sez si vous souhaitez saisir votre mot de passe pro­prié­taire TPM via un support amovible, ma­nuel­le­ment, ou dé­sac­ti­ver sans mot de passe.

Que se passe-t-il après dé­sac­ti­va­tion du TPM ?

La sup­pres­sion ou la dé­sac­ti­va­tion du TPM, par exemple pour résoudre un problème ou réins­tal­ler le système, peut dans certains cas entraîner une perte de données. Cela concerne notamment les clés, mots de passe, cer­ti­fi­cats, cartes à puce vir­tuelles ou codes PIN de connexion en­re­gis­trés. Voilà pourquoi certaines pré­cau­tions im­por­tantes sont de mise :

  • Créez une méthode de ré­cu­pé­ra­tion ou une sau­ve­garde des données stockées dans le TPM.
  • Ne supprimez/dé­sac­ti­vez les TPM que sur vos propres appareils ou en accord avec l’ad­mi­nis­tra­teur in­for­ma­tique compétent.
  • Vérifiez les in­for­ma­tions relatives au TPM dans le manuel du fabricant ou sur le site de l’en­tre­prise du fabricant.
  • Si possible, dé­sac­ti­vez-le via l’outil de gestion TPM ou créez une sau­ve­garde du système avant d’effectuer des mo­di­fi­ca­tions dans le BIOS et le mode UEFI.

Quels sont les dif­fé­rents types de TPM ?

Selon le type de montage, on distingue les TPM suivants :

  • TPM discret : un Trusted Platform Module discret est considéré comme la meilleure variante du TPM avec une puce dédiée. Cette variante offre plus de place pour davantage d’al­go­rithmes de chif­fre­ment, une meilleure pro­tec­tion anti-in­tru­sions et une grande stabilité. En revanche, elle a besoin de plus d’espace pour le TPM.
  • TPM physique : intégré à l’unité centrale, il offre des fonctions de sécurité physiques qui protègent contre les in­tru­sions et les malwares.
  • TPM firmware : similaire à la variante physique, il fonc­tionne dans un en­vi­ron­ne­ment d’exécution sécurisé du pro­ces­seur et protège des in­tru­sions et des mo­di­fi­ca­tions mal­veil­lantes.
  • TPM virtuel : un hy­per­vi­seur permet de créer un TPM virtuel qui génère des clés de sécurité in­dé­pen­dam­ment d’une machine virtuelle.
  • TPM logiciel : les TPM logiciels sont les moins re­com­man­dés car ils n’offrent que peu d’avantages en matière de sécurité et restent plus vul­né­rables aux logiciels mal­veil­lants.
Aller au menu principal