Windows 11 et TPM 2.0 : pour quoi faire ? Est-ce indispensable ? Comment l’activer ?

Ça y est, Windows 11 est de sortie ! Si le système d’exploitation est destiné à officiellement succéder à Windows 10, certains PC qui tournent sur l’actuel OS de Microsoft ne seront pas éligibles à la nouvelle version. Le principal problème venant de la présence (ou non) de la puce TPM 2.0 sur la carte mère du PC. On vous explique tout ce qu'il y a à savoir sur le fameux module qui fait tant parler de lui depuis quelque temps.

Dès son annonce en juin 2021, Windows 11 a essuyé un torrent de critiques concernant sa compatibilité. Pour faire fonctionner le nouveau système d’exploitation, le PC doit disposer d’une puce TPM 2.0 (Trusted Platform Module), un dispositif mis en place par les constructeurs il y a de nombreuses années déjà. Encore faut-il que la puce en question soit de dernière génération : car selon Microsoft, les premiers modèles ne sont pas pris en charge par Windows 11.

Mais au fait, à quoi ça sert, une puce TPM 2.0 ? À partir de quelle génération de carte mère la trouve-t-on ? Faut-il tout changer ou peut-on l'ajouter sur un PC sans devoir racheter une nouvelle configuration ? Et pourquoi certaines configurations pourtant récentes semblent de ne pas en disposer ? Pas simple de s'y retrouver en somme, c’est pourquoi nous avons entrepris de vous aider à y voir plus clair à l’aide de ce petit tutoriel.

Quelle est la configuration minimale recommandée pour installer Windows 11 ?

Selon Microsoft, voici la liste nécessaire des composants nécessaires à l’installation de Windows 11 sur PC :

• Processeur 64 bits à 1 GHz avec au moins 2 cœurs
• 4 Go de RAM
• 64 Go d’espace de stockage
• Firmware compatible UEFI avec démarrage sécurisé
• Composant TPM 2.0
• Carte graphique compatible DirectX 12 avec pilote WDDM 2.0
• Écran haute définition en 720p avec une diagonale supérieure à 9″
• Connexion internet et compte Microsoft obligatoires pour l’édition Windows 11 Famille

Une puce TPM, c’est quoi et à quoi ça sert ?

Le rôle d'une puce TPM consiste principalement à stocker des clés de chiffrement. Il s'agit d'un composant totalement indépendant du reste de la machine.

À l'origine, il s'agissait d'une petite puce qui devait être ajoutée à la carte mère d'un PC. Aujourd'hui, le TPM est un composant qui est directement intégré à celle-ci. En clair, si le TPM se présentait à la base sous la forme d’une puce distincte, il est désormais directement intégré au firmware de la carte mère.

La commercialisation des premiers composants TPM remonte à 2006, mais seuls quelques ordinateurs portables et destinés aux professionnels en ont bénéficié à l’époque. En réalité, il faudra attendre la standardisation de l’ISO/IEC 11889 en 2009 pour que les PC commencent réellement à profiter de cette technologie. Le module s’est démocratisé au fil des années, pour devenir aujourd’hui un standard disponible sur l’ensemble des PC, qu’il s’agisse d’une machine de bureau comme d’un PC portable.

Quels sont les PC qui profitent d'une puce TPM intégrée ?

Il y a eu différentes itérations du composant TPM. La dernière en date est la version 2.0. Si sa validation remonte à 2014, il faudra attendre 2016 pour voir apparaître TPM 2.0 à grande échelle sur les cartes mères. En résumé :

• si votre PC date d’avant 2016, il y a de fortes chances pour qu’il soit considéré comme obsolète par Windows 11. Quelques modèles de cartes mères commercialisées entre 2014 et 2016 sont néanmoins susceptibles de profiter du module, mais elles sont plutôt rares. Vous ne pourrez pas faire installer le nouveau système d’exploitation en passant par Windows Update. En revanche, vous pourrez réaliser une installation complète de Windows 11 à l’aide du fichier ISO et en le copiant sur une clé USB bootable.
• si votre PC date d'après 2016, vous devriez pouvoir installer Windows 11 sans trop de difficulté. En revanche, il se peut qu'il faille activer le TPM 2.0, comme nous allons le voir un peu plus tard, car le module n'est pas nécessairement activé par défaut.

Pourquoi faut-il une puce TPM pour installer Windows 11 ?

Le module TPM permet de stocker des clés de chiffrement. Concrètement, cette fonctionnalité offre la possibilité de gérer “matériellement” la clé de chiffrement des données. Dans le cas de Windows, elle peut être utilisée par Bitlocker. A quoi cela sert il ? Introduit avec Windows Vista, Bitlocker permet de sécuriser l'intégralité d'un disque dur. Dans le cas où Bitlocker ne serait pas mis en place sur un PC, et si ce même PC venait à être volé, il suffirait de retirer le disque dur et de le brancher sur un autre PC pour en lire le contenu.

En revanche, dès lors que la technologie Bitlocker est activée sur un PC, il est impossible d'exploiter les données qui y sont enregistrées. Bitlocker prenant en charge les clés XTS-AES 128 et 256 bits (un système de protection très fort), les données sont considérées comme inviolables.

Dans ses premières versions, Bitlocker stockait sa clé de déchiffrement sur une clé USB. Aujourd'hui, celle-ci est stockée sur la fameuse TPM dont il est question ici. Cela confère au système une sécurité bien plus importante. Pour s'identifier, l'utilisateur peut toujours faire appel à une clé USB ou à un dispositif comme un capteur d'empreinte digital.

Microsoft est totalement conscient du fait que la nécessité d'avoir une puce TPM 2.0 va obliger une certaine partie des utilisateurs à rester sur Windows 10. Une position clairement assumée par la firme de Redmond. David Weston, en charge du développement de l'OS, a ainsi indiqué dans les colonnes de CRN :

« Beaucoup de choses autour de cette sortie initiale de Windows 11 n’est pas l’objectif, mais simplement la première étape du voyage. Nous disons « nous pouvons maintenant garantir que vous avez une puce TPM. Cela signifie que je suis sûr que les développeurs stockent les informations sensibles concernant l’identification dans le matériel ». Nous ne pouvions pas garantir ça sur Windows 10 quand juste un petit pourcentage des utilisateurs en était équipé. (…) Plus d’applications n’auront plus besoins de mots de passe par défaut. Plus pourront chiffrer leurs données. »

En clair, no TPM no party. L'objectif de Microsoft est de créer un parc informatique ultra sécurisé et Windows 11 devrait grandement contribuer à cette tâche.

Comment vérifier la présence de la puce TPM 2.0 sur son PC ?

Pour vérifier que votre PC dispose bien d’un composant TPM 2.0 et que celui-ci a été activé, deux solutions s’offrent à vous depuis Windows 10. La première consiste à se reporter aux indications de l’application Sécurité Windows. Procédez comme suit :

1. Lancez le module des Paramètres en pressant simultanément les touches [Windows] + [I].
2. Rendez-vous ensuite sur Mise à jour et sécurité.
3. Cliquez sur Sécurité Windows.
4. Sélectionnez l’option Sécurité de l’appareil.
5. Dans la section Processeur de sécurité, cliquez sur Détails du processeur de sécurité. Vous devriez y voir la version du module TPM de votre PC. S’il s’agit de l’édition 2.0, votre configuration est éligible à Windows 11. Si la version de la puce TPM est inférieure 2.0 ou si vous n'en avez pas du tout, vous pourrez quand même prétendre à Windows 11. Il faudra installer le système à l’aide des ISO. Mais prenez garde : à terme, vous ne disposerez plus des mises à jour du système d'exploitation. Votre PC risque donc de se retrouver démuni dans les prochains mois et il vous faudra alors réinstaller Windows 10 ou un OS alternatif. Dans le cas où votre machine ne serait du tout compatible avec Windows 11, mieux vaut envisager un changement de configuration matérielle (c'est sûr, ça fait mal au portefeuille).

Si vous souhaitez vérifier la présence et l’activation du composant TPM 2.0 sur votre ordinateur, il existe une autre façon de procéder. Voici comment faire :

1. Dans le champ de recherche de Windows 10, entrez le terme msc. Lancez l’application qui s’affiche dans les résultats.
2. S’ouvre alors l’outil de Gestion de module de plateforme sécurisée sur l’ordinateur local. La puce TPM ainsi que son numéro de version devraient alors apparaître, comme sur la capture d’écran ci-dessous.

 Comment activer la puce TPM 2.0 ?

En fonction du modèle et du fabricant de votre carte mère, il se peut que la puce TPM ne soit pas activée. En conséquence de quoi votre configuration peut paraître inéligible, alors que ça devrait pourtant être le cas. Rassurez-vous, l’activation du ce petit composant est finalement assez simple. Commencez par accéder à l’UEFI de votre machine. Pour cela, vous avez le choix :

1. Depuis Windows 10, rendez-vous le module des paramètres (touches [Windows] + [I]), puis cliquez sur Mise à jour et sécurité > Récupération > Démarrage avancé > Redémarrer maintenant. Cliquez sur Dépannage, puis sur Options avancées. Sélectionnez finalement l’option Changer les paramètres du microprogramme UEFI.
2. Sinon, vous pouvez également accédez au BIOS ou à l’UEFI de votre machine en pressant l’une des touches suivantes dès le démarrage de votre PC (tout dépend du constructeur de votre carte mère) : [F1], [F2], [F8], [F10], [F12] ou [Suppr]. Sur les tablettes Microsoft Surface, il faut presser simultanément le bouton de volume [+] et le bouton [Marche/arrêt].

Après accéder à l’UEFI de votre PC, vous devriez pouvoir accéder aux réglages TPM.  Celle-ci se trouve généralement dans la partie Sécurité. Elle peut s’intituler tout bonnement TPM (TCM) comme sur la capture ci-dessous, ou bien Intel PTT, Intel Platform Trust Technology, AMD FTPM, AMD PSP TPM…

Pour activer la prise en charge du TPM, tout dépend en fin de compte du fabricant de votre appareil. Voici des liens vers les constructeurs les plus courants :

• Asus
• Dell
• HP
• Lenovo
• Microsoft Surface

Peut-on ajouter une puce TPM 2.0 sur son PC qui n'en a pas ?

Sur un ordinateur de bureau, il est tout à fait possible d'ajouter une puce TPM 2.0 sur une carte mère qui est en dépourvu. Il y a une dizaine d'années, les constructeurs avaient prévu le coup en intégrant à leur carte mère un petit slot d'extension permettant de connecter une puce TPM 2.0. L'opération s'effectue en une poignée de secondes et se révèle encore plus simple que d'ajouter de la RAM ou de changer la carte graphique.

Mais il y a quand même deux gros hics :

• d'une part, les prix des puces TPM 2.0 ont flambé depuis que Microsoft a annoncé la nécessité d'un tel composant pour faire fonctionner Windows 11. Alors qu'on en trouvait pour une dizaine d'euros début 2021, la puce TPM 2.0 a vu son prix quintupler depuis juin. Une opération pas franchement rentable : à moins de posséder une carte mère et un processeur de très haut de gamme datant d'avant 2016 (et encore…), mieux vaut opter se tourner vers une configuration un peu plus récente.
• d'autre part, et c'est le principal problème : trop peu de modèles de cartes mères sont capables d'accueillir une puce TPM 2.0. Avant 2016, les cartes les plus onéreuses en étaient équipées.

Avec Windows 11, peut-on tricher et se passer de puce TPM 2.0 ?

Il y a moyen de contourner cette limitation en installant le système d’exploitation à l’aide du fichier ISO et non en passant par le Windows Update. Donc d’installer Windows 11 sur un PC équipé d’une ancienne puce TPM. Pour savoir comment faire, n'hésitez pas à consulter notre tutoriel permettant d'installer Windows 11 sur un PC non compatible et sans puce TPM 2.0.

Néanmoins, les utilisateurs qui tenteront l'aventure ne bénéficieront plus des prochaines mises à jour du système d'exploitation. Si nous avons installé l'OS sur plusieurs PC pourtant non éligibles et avons pu bénéficier de deux mises à jour de l'OS, on ignore cependant quand Microsoft coupera les ponts. Il est possible que d'ici quelques mois, il ne soit plus possible de maintenir à jour son système d'exploitation. Ce qui posera problème, puisqu'il ne sera plus possible non plus de faire machine arrière et de revenir à Windows 10… À moins de tout réinstaller, ce qui n'est guère pratique.