TPM 2.0 : fonctionnement du Trusted Platform Module 2.0

Le terme Trusted Platform Module désigne des puces de sécurité intégrées à la carte-mère d’un ordinateur. Avec ses fonctions de sécurité de base, le TPM crée un environnement sûr qui vérifie l’intégrité du système, authentifie les utilisateurs ou stocke des clés cryptographiques ou des mots de passe. Publiée en 2018, la version TPM 2.0 ajoute de nouvelles fonctionnalités, notamment l’utilisation de différents algorithmes de hachage, des numéros d’identification personnels et une gestion des clés personnalisée.

Introduction : que veut dire Trusted Platform Module ?

Nous connaissons pratiquement tous les dispositifs de protection classiques contre les malwares, les rootkits ou les ransomwares. Parmi eux, on peut citer les pare-feu, les antivirus ou encore l’authentification à deux facteurs. Dans la même veine, le Trusted Platform Module est une puce de sécurité qui ajoute un niveau de protection supplémentaire au système.

La puce TPM est un matériel qui se trouve dans les ordinateurs portables et de bureau, à la fois pour authentifier les appareils et les profils, mais aussi pour vérifier l’intégrité du système ou des licences logicielles. Une autre fonction importante des puces TPM consiste à stocker les clés cryptographiques, les mots de passe et des certificats. En créant un environnement sûr et inviolable, TPM vérifie la sécurité des composants logiciels et matériels l’un après l’autre au démarrage. Par comparaison avec des modèles statistiques de données enregistrées, le TPM émet une alerte s’il détecte un schéma intrusif. Si auparavant les TPM étaient généralement utilisés comme des puces de sécurité à part, les ordinateurs les plus récents disposent le plus souvent de fonctionnalités TPM intégrées dès la sortie d’usine.

TPM 2.0, c’est quoi ?

La TPM a été développée par le consortium informatique TCG (Trusted Computing Group) et normalisée en 2009 par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) sous la référence ISO/IEC 11889:2009. Le premier TPM définitif a été publié le 3 mars 2011 sous le nom de TPM version 1.2. Avec TPM 2.0, la nouvelle norme TPM sortie en 2019, sous la référence ISO/CEI 11889:2015, inclut de nouvelles fonctions de sécurité. Des optimisations ont été apportées, entre autres, à l’architecture et à la structure TPM ainsi qu’aux commandes TPM et aux routines de support.

Où se trouve le TPM 2.0 ?

Comme la puce TPM 2.0 fonctionne comme un processeur dédié, elle est directement intégrée à la carte-mère de l’ordinateur, qu’il soit portable ou de bureau. En règle générale, la plupart des nouveaux PC et ordinateurs portables disposent de TPM intégrés en usine et d’une compatibilité TPM. De plus, il est possible de trouver des cartes mères qui ne comportent pas de puce TPM 2.0 préinstallée, mais qui contiennent l’emplacement dédié pour une puce supplémentaire. Il est ainsi possible d’intégrer après coup une puce de sécurité TPM indépendamment de l’unité centrale. Lors de l’achat de puces TPM séparées, il est recommandé d’utiliser de préférence des puces qui proviennent du même fabricant que la carte-mère et de la même année.

Faut-il obligatoirement un TPM 2.0 pour Windows 11 ?

Avec la sortie de Windows 11, TPM 2.0 est devenu une exigence matérielle de la nouvelle version du célèbre système d’exploitation. De nombreuses personnes travaillant tous les jours sur Windows n’avaient pas remarqué l’existence du TPM 2.0 avant la mise à niveau vers Windows 11. Si l’ordinateur ne dispose pas de TPM ou si la fonction TPM est désactivée, un message s’affiche indiquant que le TPM n’a pas été trouvé ou qu’il n’est pas compatible. De plus, il est nécessaire d’avoir un UEFI (Unified Extensible Firmware Interface) avec fonction de démarrage sécurisé.

Sous Windows 11, TPM 2.0 apporte notamment les fonctions suivantes :

• Windows Hello :contrôle d’accès biométrique et identification par empreinte digitale et/ou scan de l’iris, reconnaissance faciale au moyen de la clé d’endossement (EKPub) et de la clé d’identité d’attestation (AIK) ;
• Chiffrement de lecteur BitLocker : pour le chiffrement de volumes logiques et de lecteurs entiers ;
• Cartes à puce virtuelles : à l’instar des cartes à puce physiques, une Virtual Smartcard sert à contrôler l’accès aux systèmes et ressources externes ;
• Mesure de l’état au démarrage du TPM : les métriques TPM de l’état de démarrage de Windows permettent de vérifier l’intégrité des composants du système et des configurations Windows en mesurant les séquences de démarrage ;
• Certificats AIK : les certificats AIK stockés dans le TPM comparent les données de démarrage mesurées avec les métriques attendues de l’état de l’appareil ;
• Défense contre les attaques par dictionnaire : protège contre les attaques par force brute qui tentent de contourner la protection du mot de passe en interrogeant automatiquement les listes de dictionnaires ;
• CredentialGuard : isole les données de connexion et les données utilisateur et protège les clés stockées grâce à un contrôle de sécurité basé sur la virtualisation.

Quels sont les avantages apportés par Trusted Platform Module 2.0 ?

Les fonctions TPM 2.0 présentent de nombreux avantages, notamment :

• Générer et stocker de clés cryptographiques, de mots de passe et de certificats pour les systèmes de chiffrement multi-sécurisés ;
• Détecter les manipulations du BIOS via une valeur de contrôle dans le Platform Configuration Register (PCR) 17 ;
• TPM 2.0 offre une nouvelle fonction d’échange d’algorithmes pour utiliser différents algorithmes en parallèle ;
• Les signatures de vérification prennent en charge les numéros d’identification personnels ainsi que les données de positionnement basées sur des contrôles d’accès biométriques ou globaux ;
• Gérer les clés dans TPM 2.0 permet une utilisation limitée ou sous conditions des clés cryptographiques ;
• Plus flexible, TPM 2.0 peut s’utiliser dans des appareils avec des ressources moindres ;
• Vérifier les licences logicielles grâce à la gestion des droits numériques (DRM) ;
• Garantir l’intégrité de la plateforme grâce à des métriques de configuration qui vérifient les séquences de démarrage en termes de sécurité et de modifications ;
• Authentifier le matériel du système d’exploitation par système de chiffrement RSA ;
• Utiliser le hachage pour les clés d’endossement (EKPub) et les clés d’identité d’attestation (AIK) afin de vérifier l’intégrité et la sécurité du système ;
• Combiner des pare-feu sécurisés, des cartes à puce, une protection d’accès biométrique ainsi que des programmes antivirus pour optimiser la protection contre les malwares, les ransomwares, les attaques par force brute et le phishing.

Mon ordinateur est-il équipé d’un TPM 2.0 ?

Pour savoir si votre appareil Windows est déjà équipé du TPM 2.0, utilisez les méthodes suivantes pour vérifier la présence de TPM 2.0 dans le système. À noter que même les puces TPM 2.0 intégrées ne sont pas toujours activées par défaut.

Accéder au TPM 2.0-Manager

Étape 1 : dans la barre de recherche de Windows, tapez la commande « tpm.msc » pour accéder à l’outil intégré de gestion TPM ;

Étape 2 : si votre ordinateur dispose d’une puce TPM 2.0 dédiée, les informations sur la version du TPM s’affichent dans la fenêtre de menu. S’il n’y a pas de TPM 2.0, Windows vous informe qu’il n’y a pas de composants TPM compatibles.

Accéder au Gestionnaire de périphériques

Étape 1 : appuyez sur le raccourci Windows [Windows] + [X] et allez dans « Gestionnaire de périphériques ».

Étape 2 : dans le menu latéral gauche, allez dans « Périphériques de sécurité » et ouvrez le menu déroulant. Le cas échéant, vous verrez s’afficher « Trusted Platform Module 2.0 ».

Vérifier par l’invite de commande

Étape 1 : ouvrez la boîte de dialogue « Exécuter » avec le raccourci [Windows] + [R], saisissez la commande « cmd » et appuyez ensuite sur le raccourci [Windows] + [Maj] + [Entrée] pour ouvrir l’invite de commande en tant qu’administrateur.

Étape 2 : saisissez la commande suivante et appuyez sur [Entrée] :

wmic /namespace:\\root\cimv2\security\microsoftTPM 2.0 path win32_TPM 2.0 get /value.

Si votre appareil est équipé d’une puce TPM 2.0, le numéro de version apparaîtra dans la ligne « SpecVersion= ».

Comment activer ou désactiver TPM 2.0 ?

L’état du TPM 2.0 dépend de l’année de votre ordinateur. Même si les machines les plus récentes disposent en général de TPM intégrés qui peuvent être activés par défaut, il n’y a aucune certitude que ce soit le cas. Parfois, il se peut qu’une mise à jour du BIOS ou de l’UEFI soit nécessaire.

Au besoin, il existe plusieurs méthodes pour activer ou désactiver TPM 2.0 :

Activer ou désactiver le TPM 2.0 dans le BIOS

Étape 1 : redémarrez votre machine et accédez au BIOS. Selon le système d’exploitation ou le périphérique, utilisez pour cela les touches [F2], [F12] ou [Suppr] au démarrage. Attention : il est conseillé de toujours faire une sauvegarde du système ainsi qu’une sauvegarde pour vos clés, mots de passe et certificats importants avant d’effectuer des modifications dans le BIOS.

Étape 2 : allez dans le menu Sécurité > Trusted Computing.

Étape 3 : activez l’option Security Device Support.

Étape 4 : activez PTT sous « TPM 2.0-Device ».

Étape 5 : enregistrez les modifications et redémarrez l’ordinateur. Suivez la procédure strictement inverse pour le désactiver.

Activer ou désactiver le TPM 2.0 via l’outil de gestion

Étape 1 : saisissez « tpm.msc » dans la barre de recherche Windows et en appuyez sur [Entrée].

Étape 2 : naviguez jusqu’à État > Action et lisez attentivement la page « Activer le module de plateforme sécurisée TPM 2.0 » affichée.

Étape 3 : allez sur « Arrêter » ou « Redémarrer » et suivez les étapes UEFI correspondantes.

Étape 4 : lors du démarrage, acceptez la reconfiguration TPM 2.0. Le système s’assure ainsi que seules les personnes authentifiées peuvent effectuer des modifications. Vous avez maintenant activé TPM 2.0 sous Windows 11.

Étape 5 : pour le désactiver, retournez dans la section État > Action puis dans la boîte de dialogue « Désactiver le module de plateforme sécurisée TPM 2.0 », choisissez si vous souhaitez saisir votre mot de passe propriétaire via un support amovible, manuellement, ou désactiver sans mot de passe.

Quelles conséquences après désactivation du TPM ?

En cas de dépannage, de réinstallation ou de mise à niveau, la suppression ou la désactivation de TPM 2.0 peut, dans certains cas, entraîner une perte involontaire de données : clés cryptographiques, certificats et mots de passe stockés dans TPM 2.0. Pour éviter ce type de mauvaise surprise, respectez ces mesures de sécurité suivantes à titre préventif :

• Créez une sauvegarde ou une méthode de restauration des données stockées via TPM 2.0.
• Ne supprimez/désactivez TPM 2.0 que sur vos propres appareils ou en accord avec l’administrateur informatique compétent.
• Vérifiez les informations relatives au TPM 2.0 dans le manuel du fabricant ou sur le site de l’entreprise du fabricant.
• Si possible, désactivez TPM 2.0 à l’aide de l’outil de gestion TPM ou sauvegardez le système avant d’apporter des modifications dans le BIOS.

Quels sont les différents types de TPM 2.0 ?

Selon le type de montage, voici les différents TPM 2.0 :

• Discrete TPM 2.0 : avec sa puce de sécurité dédiée, le TPM 2.0 « discret » propose différents algorithmes de chiffrement, une protection contre les intrusions ainsi qu’une grande stabilité ;
• TP M 2.0 physique : intégré à l’unité centrale, il offre des fonctions de sécurité physiques qui protègent contre les intrusions et les malwares ;
• TPM 2.0 firmware : à l’instar de la variante TPM 2.0 physique, le TPM 2.0 microgiciel utilise un environnement CPU sécurisé et protège des intrusions et des modifications non authentifiées ;
• TPM 2.0 virtuel : un hyperviseur peut créer un TPM 2.0 virtuel pour générer des clés de sécurité indépendamment des machines virtuelles ;
• TPM 2.0 logiciel : les TPM 2.0 logiciels sont les moins recommandés en raison de leur faible niveau de sécurité, de leur vulnérabilité aux malwares et de leur instabilité.