Que se passe-t-il si vous perdez la clé TPM ? Voici comment sauvegarder la clé TPM sous Windows 11.
Un module de plateforme de confiance (TPM) est un microprocesseur conçu pour effectuer des opérations de sécurité de base, en particulier des clés de cryptage. Le TPM est placé sur la carte mère de l’ordinateur et connecté à d’autres systèmes via le bus matériel.
Un ordinateur équipé d’une MTP peut générer une clé cryptographique et la crypter de manière à ce qu’elle ne puisse être décodée que par la MTP. Cette méthode, également connue sous le nom d’enveloppement ou de liaison d’une clé, permet de la protéger contre la divulgation.
Chaque puce TPM possède une paire de clés RSA appelée clé d’endossement (EK). Les paires sont stockées dans des semi-conducteurs et ne sont pas accessibles aux logiciels. Lorsqu’un utilisateur ou un administrateur submerge le système, une clé racine de stockage est créée. Le TPM génère cette paire de clés sur la base de l’EK et du mot de passe spécifié par le propriétaire.
La partie secrète de la clé racine de stockage ou de la clé d’attestation générée par le TPM n’est jamais divulguée à un autre composant, programme, processus, utilisateur ou dispositif.
Comme il s’agit d’un module matériel, les logiciels malveillants ne peuvent pas le modifier par des méthodes logicielles standard. Par conséquent, la puce TPM devient une « root-of-trust » matérielle sur laquelle le système d’exploitation peut toujours compter.
Avantages de la TPM
- Créer, stocker et limiter l’utilisation des clés cryptographiques.
- Utiliser des mesures permettant d’identifier les modifications apportées à la configuration afin de garantir l’intégrité de la plate-forme.
- Utiliser les clés TPM RSA pour l’authentification des périphériques de la plate-forme.
- Réduit le risque d’attaques de micrologiciels, de ransomware et de phishing.
- La technologie DRM permet de protéger les droits des médias numériques.
- S’assurer que les licences des logiciels sont sécurisées.
Que peut faire TPM ?
- Windows Hello est un outil d’identification biométrique et de contrôle d’accès qui fonctionne avec des scanners d’empreintes digitales, des scanners d’iris et des technologies de reconnaissance faciale compatibles avec les TPM.
- Comme défense contre les attaques par force brute, qui tentent de pénétrer dans un réseau informatique protégé par un mot de passe en saisissant chaque mot du dictionnaire comme mot de passe.
- Les cartes à puce virtuelles sont basées sur le TPM pour l’authentification des ressources externes.
- Boot aide à détecter les logiciels malveillants pendant le processus de démarrage de Windows et ses paramètres de configuration.
- Analyser et déterminer la santé de l’appareil en générant des certificats AIK pour le TPM.
- Protéger les informations d’identification dans le cadre d’une sécurité basée sur la virtualisation. Dans ce cas, le TPM est utilisé pour protéger la clé.
TPM : Discrète, intégrée ou micrologicielle ?
La TPM peut être mise en œuvre de trois manières :
- Discrète : La puce TPM en tant que composant diffère de son boîtier semi-conducteur.
- Intégré : Une MTP intégrée dans un ou plusieurs boîtiers semi-conducteurs partagés, mais conceptuellement indépendante des autres composants.
- Micrologiciel : Un MTP qui exécute le MTP dans un micrologiciel sur une unité de calcul à usage général en mode d’exécution de confiance.
Que se passe-t-il en cas de défaillance ou de casse de la puce TPM ?
- Si le TPM est corrompu ou devient inaccessible, toute cryptographie reposant sur la clé stockée par le TPM échouera.
- Toute donnée chiffrée avec une clé TPM et non sauvegardée sera perdue, comme votre disque dur chiffré.
- Toute confiance dans la plateforme sera perdue, par exemple, lors de l’attestation à distance.
Autres articles intéressants
Comment sauvegarder les clés TPM dans Windows 11
La première étape consiste à s’assurer que vous disposez d’un service de domaine Active Directory qui peut être géré à distance. Vous pouvez en créer un si vous n’en avez pas encore.
Vous pouvez utiliser un serveur Active Directory Domain Services (AD DS) pour garantir que seuls les utilisateurs autorisés ont accès à ces informations importantes par le biais d’un tableau de bord d’administration centralisé.
Lorsque les administrateurs système doivent réutiliser un vieil ordinateur et réinitialiser le TPM aux valeurs d’usine, ils peuvent utiliser la sauvegarde pour configurer à distance le TPM sur la machine sur site à l’aide d’AD DS. Les données sauvegardées peuvent également être utilisées dans un état de récupération si le propriétaire oublie son mot de passe TPM.
Pour sauvegarder les informations relatives au propriétaire du TPM dans AD DS à l’aide du paramètre de stratégie de groupe, procédez comme suit :
- Pour lancer la boîte de dialogue « Run », vous pouvez utiliser les boutons (WIN + R).
- Tapez « gpedit.msc » dans la boîte de recherche et appuyez sur le bouton OK.
- Naviguez jusqu’à « Computer Configuration\Administrative Templates\System\Trusted Platform Module Services« .
- Dans le volet de droite, double-cliquez sur « Turn on TPM backup to Active Directory Domain Services« .
- Sélectionnez l’option « Enabled« .
- Cliquez sur le bouton OK pour enregistrer les modifications