Connexion
Abonnez-vous

[Màj] Windows 11 : quatre méthodes pour contourner TPM 2.0

Et toc

[Màj] Windows 11 : quatre méthodes pour contourner TPM 2.0

Microsoft ne veut rien savoir : la puce TPM 2.0 est obligatoire pour utiliser Windows 11. Pourtant, il existe des méthodes permettant de contourner cette barrière. L’une d’elles était même jusqu’à récemment donnée par l’éditeur. Nous vous en proposons quatre, selon la situation de départ.

Le 06 février à 15h41

(Mise à jour du 6 février 2025 : Nous avons ajouté une quatrième méthode, permettant de mettre à jour un Windows 10 depuis l'image ISO de Windows 11)

On le sait depuis environ trois ans : Windows réclame, entre autres, une puce TPM 2.0 pour fonctionner. Un impératif lié à la volonté de Microsoft de mettre en place un parc Windows plus sécurisé dès l’installation, grâce à l’utilisation d’un composant matériel pour gérer notamment une partie des opérations cryptographiques. La firme veut d’ailleurs aller plus loin en généralisant sa technologie Pluton.

Problème : le support technique de Windows 10 s’arrêtera le 14 octobre prochain. Après cette date, plus aucun correctif de sécurité ne sera diffusé à l’ancien système. En quelques mois, les dizaines de failles découvertes resteront donc sans solution, ce qui devrait rapidement dégrader la situation. Or, Windows 10 représente encore près des deux tiers du parc Windows aujourd’hui.

Pour l’instant, Microsoft ne veut rien savoir, ni en abaissant les prérequis techniques pour passer à Windows 11, ni – surtout – en laissant plus de temps pour préparer le terrain. Il existe pourtant des solutions pour installer quand même le système. Nous allons donc nous pencher sur quatre manipulations, selon votre situation de départ.

Deux avertissements avant de commencer. D’abord, nous ne passons pas par une application tierce pour modifier le système, sauf dans un cas spécifique (le dernier). Ensuite, il faut garder en mémoire que ces solutions, si elles ont le grand mérite de se débarrasser d’un problème, peuvent ne pas perdurer dans le temps, à la (dé)faveur d’une mise à jour de Windows.

Depuis un PC Windows 10, en modifiant le registre

Commençons directement par le cas le plus courant : vous avez déjà un Windows 10 fonctionnel et vous souhaitez simplement le mettre à jour.

Jusqu’à très récemment, Microsoft fournissait sa propre méthode (oui !). Sur cette page, on pouvait trouver un encadré gris décrivant une manipulation à faire dans la base de registre. On peut encore le voir dans cette archive.

La manipulation consiste à ouvrir le menu Démarrer, à taper « reg » pour faire apparaitre l’Éditeur de registre puis à appuyer sur Entrée. Là, il faut se rendre dans HKEY_LOCAL_MACHINE\SYSTEM\Setup, puis créer la clé MoSetup (sauf si elle existe déjà). Après quoi, on crée un DWORD32 nommé « AllowUpgradesWithUnsupportedTPMOrCPU » et on lui donne la valeur 1.

Normalement, après un redémarrage, le lancement de l’Assistant d’installation Windows 11 devrait vous « laisser passer », même si l’application Contrôle d’intégrité du PC dit que la machine n’est pas compatible. Et si nous écrivons « normalement », c’est que la méthode peut être capricieuse. Par exemple, après le redémarrage, l’assistant d’installation a bien voulu commencer. Souhaitant quand même contrôler, nous avons redémarré la machine à nouveau. Cette fois, l’assistant ne voulait plus rien savoir. Deux redémarrages plus tard, il a accepté de poursuivre.

Il y a également une limitation : la puce TPM 2.0 n’est plus obligatoire (la méthode coupe également la vérification du processeur), mais une puce TPM 1.2 est quand même réclamée. Même ainsi, à moins d’une très vieille machine, Windows 11 peut être installé sur un nombre beaucoup plus important de PC.

Cette méthode effectue une mise à jour classique, en préservant aussi bien les documents que les applications. Les éditions (Famille ou Professionnelle) sont préservées et la clé de licence est automatiquement mise à jour.

Depuis un PC Windows 10, avec l'ISO de Windows 11

Si votre PC ne veut pas passer sous Windows 11, il existe une autre méthode, qui a également fait ses preuves. Cette fois, aucune modification du registre n’est requise, mais nous allons quand même tricher en utilisant l’image ISO de Windows 11. Celle-ci se récupère depuis le site officiel de Windows 11, dans la section « Télécharger l’image disque Windows 11 (ISO) pour les appareils x64 ».

Une fois l’image ISO téléchargée, il faut se rendre dans le dossier où elle est stockée (par défaut Téléchargements). Là, faites un clic droit puis sélectionnez « Monter ». Une image ISO représentant un instantané d’un disque, celui-ci apparaît alors comme un lecteur dans la zone latérale de l’Explorateur, comme un lecteur DVD.

Ouvrez ensuite une invite de commande (touche Windows, tapez « cmd » puis Entrée). De là, rendez-vous dans le nouveau lecteur monté. Dans notre cas, il s’agissait du lecteur E, nous avons donc tapé « e: ». Entrez alors la commande suivante :

setup.exe /product server

Aussi étonnant que celui puisse paraître, nous déclenchons en effet l’installation de Windows Server. Mais pas de panique, ce n’est qu’une « façade ». La fenêtre qui apparait vous indique que vous allez installer Windows Server. Suivez les étapes de l’assistant, qui passe par une vérification du PC et une acceptation des conditions d’utilisation.

Après quoi, l’assistant vous demande de choisir entre plusieurs types d’installation. Si vous souhaitez tout conserver, restez sur le premier choix. Si cette mise à jour vous semble l’occasion de faire du ménage dans les applications, choisissez la deuxième option, qui ne va garder que les fichiers personnels (tout ce qui se trouve dans Documents, Images, etc.). L’assistant récupère éventuellement quelques mises à jour, puis signale que tout est prêt.

C’est ensuite la véritable installation qui commence, sans avertissement sur la configuration matérielle. Précisons qu'à l'instar de la première méthode, les éditions (Famille et Professionnelle) sont préservées.

Cette méthode a l’avantage de fonctionner pour les anciennes versions de Windows 11 dont le support se serait arrêté. Chaque version n’est en effet supportée que pendant un certain temps. Les moutures 21H2 et 22H2 n'ont ainsi plus de support et peuvent être mises à jour par cette technique également. Comme les autres, l'efficacité de cette méthode se révélera sans doute limitée dans le temps. Microsoft coupera peut-être le robinet plus tard, mais la voie reste ouverte pour l’instant et permet d’avoir un système à jour, avec les correctifs mensuels de sécurité. En tout cas, au moins jusqu’au 13 octobre 2026, date de fin de support de Windows 11 24H2. D'ici là, la version 25H2 sera sortie.

Installation neuve : le registre à nouveau

Dans le cas où vous préférez repartir d’une page blanche, des méthodes existent aussi pour contourner les prérequis de Windows 11. La première ne demande aucune modification du système ou du média d’installation.

La préparation d’une clé USB bootable est aisée. Microsoft fournit l’utilitaire qui automatise une grande partie de l’opération. On le récupère depuis le site officiel, on le lance et on insère une clé d’au moins 8 Go. On choisit quelques réglages, puis l’application récupère l’image ISO, formate la clé et lui transfère les données. La clé est alors prête à être utilisée.

Sur la machine un peu âgée (mais pas trop), on va donc lancer l’installation. Après le chargement initial, vous verrez apparaître le premier écran, où l’on choisit la langue d’affichage et du clavier. Là, n’allez pas plus loin. Appuyez sur Maj + F10, tapez « regedit » puis faites Entrée. Et revoilà l’Éditeur de registre.

Comme la première méthode, il faut se rendre dans la clé HKEY_LOCAL_MACHINE\SYSTEM\Setup. Là, créez-en une nouvelle, baptisée LabConfig. À l’intérieur, créez trois DWORD32 et donnez-leur tous la valeur 1 :

  • BypassTPMCheck
  • BypassSecureBootCheck
  • BypassRAMCheck

Le premier désactive la vérification de la présence de la puce TPM 2.0. Les deux autres valeurs désactivent respectivement la vérification pour Secure Boot et pour la quantité de mémoire. Si votre PC a au moins 4 Go de mémoire, cette dernière valeur n’est pas nécessaire. Et même avec 4 Go, nous ne vous recommandons pas d’installer Windows 11. Aucun Windows depuis Vista ne fonctionne d’ailleurs bien avec si peu de RAM.

Nous avons testé cette méthode dans plusieurs machines virtuelles et avons pu constater son fonctionnement. La version du système utilisée était la dernière disponible sur le site de Microsoft, intégrant la mise à jour 24H2.

Préparer une clé USB avec Rufus

Voici le cas où nous avons utilisé une application tierce. Nous avons déjà parlé de Rufus, car en plus de pouvoir préparer une clé USB bootable avec différents systèmes, il dispose d’options spécifiques à Windows 11. Il sait notamment désactiver toutes les vérifications matérielles, en modifiant l’image ISO du système lors de la préparation de la clé.

Ce petit utilitaire (sous licence GPLv3) est, dans les grandes lignes, une version plus complète de l’utilitaire fourni par Microsoft. La zone « Périphérique » permet de sélectionner la clé USB, tandis que « Type de démarrage » s’assure que l’on va se servir d’une image ISO. Le bouton « Sélection », à droite, ouvre une fenêtre pour récupérer cette dernière. L’image ISO utilisée est la même que précédemment, celle téléchargée sur le site de Microsoft.

À moins de besoins spécifiques, il n’est pas nécessaire de toucher à quoi que ce soit d’autre. Ce n’est d’ailleurs pas intuitif, car les options qui nous intéressent n’apparaissent que lorsque l’on clique sur « DÉMARRER ». Là, une petite fenêtre s’affiche, dans laquelle vous cocherez la première ligne : « Supprimer la nécessité d’avoir 4Go+ de RAM, Secure Boot et TPM 2.0 ». L’opération prend un certain temps, selon les performances de la machine utilisée pour créer la clé.

Après quoi, on lance une installation depuis la clé USB comme on le ferait habituellement. Contrairement à la méthode précédente, il n’y a pas de manipulation à faire durant le processus.

Rufus est surtout pratique quand vous n’avez pas déjà un média d’installation, ou si vous vous apprêtez à effectuer l’opération sur plusieurs PC.

Commentaires (40)

votre avatar
erf j'ai lu TPMP....
votre avatar
Pour toute installation de W11, un Cyril en font d'écran impossible à modifier :windu::mdr2:
votre avatar
Tu n'étais pas loin : « Touche Pas à Mon Profit » :mrgreen:
votre avatar
Sa fin est programmée pour le 28 février au moins sur C8. Donc, le premier mars, on n'a plus à le contourner.
votre avatar
il avait pas trouvé un moyen de passer sur w9 et FuN radio?
votre avatar
Il va aller sur une autre chaine et d'après jean-marc morandini il se pourrait qu'il s'inspire du président ukrainien qui était une star de la TV en se présentant aux prochaines élections.
votre avatar
Bonjour,

Petite question avec un lien avec le sujet, la puce TPM peut-elle être mis sur une clé USB?? Comme cela est fait pour Solokeys, NitroKeys, Clé Titan, Yubikey & Co.

L'idée est d'acheter une puce TPM sur clé USB pour la rajouter à la carte-mère.

Merci d'avance pour les réponses.
votre avatar
Intéressant comme question.

Je pense que la détection du TPM se fait avant le chargement des drivers personnalisés (via l'énumération BIOS/UEFI ?). Donc il n'y a pas de possibilité de charger un driver qui ferait du "SPI over USB" pour aller chercher la puce TPM sur une clé USB.
votre avatar
D'un point de vue sécurité, ça fait encore moins sens : MitM, vol, accès facile ...
votre avatar
Bof... pas plus qu'un TPM sur un module d'extension, plugué à la CM.
votre avatar
J'avais lu je ne sais plus trop ou que la puce TPM peut-être hardware, et dans ce cas directement sur la carte mère (probablement directement branché au CPU, du coup), ou firmware, au tel cas certaines gammes de processeurs s'occupaient eu même d'avoir un TPM (logiciel donc). Je vois mal un tel composant, contenant de nombreux secret échangés avec l'OS, branché sur un support amovible.
votre avatar
Sur une clef usb non mais ta carte mère peut avoir un emplacement tpm vide auquel cas une petite recherche Amazon avec le nom du modèle de ta carte mère devrait te permettre de trouver le modèle de composant tpm dont tu as besoin
Je l'ai fait pour deux de mes tours et ça a bien marché 🙂
votre avatar
Sur les 2 tours, les processeurs étaient pris en charge par MS ? Je me tâte pour faire la même chose sur ma carte mère mais le processeur n'est pas dans les clous et de ce que j'ai compris, Windows 11 ne devrait pas passer.
Merci
votre avatar
Une oui une non, mais avec la clef de registre AllowUpgrades blabla ça a pas posé souci
Et comme cette méthode était sur le site de ms à un moment ça me semble être la plus officielle des unofficielles 😅
En tout cas à l'arrivée pour l'instant aucun souci et espérons que le cpu ait le temps de crever avant qu'il y en ait un 😊
votre avatar
Puisqu'on en est à parler de ça, est-ce qu'il y a moyen de forcer l'installation sur un i7 de 4e génération ? Il est encore parfaitement fonctionnel, la CM ne supporterait pas un processeur de génération supérieure, niveau performances j'en suis largement satisfait même si la machine approche ses 11 ans... et c'est la seule machine pour laquelle je ne peux pas passer à Linux (logiciel et matériel audio pro avec du Firewire exotique dessus, je ne suis même pas certaine que tout passe sur une nouvelle machine vu les subtilités des différences de chips FW).
votre avatar
Dernière partie de l'article :chinois:
votre avatar
Super si ça le fait (en regardant la capture d'écran de Rufus je n'avais rien vu concernant le processeur :))

(Bon, après être tombé sur un fil dans lequel le mainteneur de Rufus s'exprime, il n'y a pas de contrôle du processeur au moment de l'installation de Windows, uniquement par l'outil de vérification de configuration ; il suffit donc de désactiver l'obligation de TPM et ça suffit :) )
votre avatar
Moi je tenterai une vm avec un essai pour lui refiler ton périphérique fw, juste pour voir si le drivers est OK. Bon, faut avoir le bon processeur avec vtd et les bons iommu.
votre avatar
C'est fait avec W11 24H2 (Rufus) sur Asus Z97 + i7 4790, sur un SSD différent de celui en W10 : aucun problème (pour l'instant)... :D
votre avatar
Vu les enrichissements en terme de puces de périphériques dans le noyau Linux, m'est avis qu'un essai avec un GNU/Linux live sur clé USB permettrait de se faire un état des lieux des composants pris en charge ou pas.

Même des puces firewire un peu confidentielles pourraient avoir un support de base ...
votre avatar
C'est un ensemble de choses, en fait : il faut le chipset FW, il faut la reconnaissance du périphérique, mais il faut aussi les fonctionnalités de routage audio internes au périphérique qui ne sont disponibles que dans le driver constructeur, et il faut aussi le DAW sur lequel j'ai tout mon travail...
Je sais déjà que le chipset FW et le périphérique peuvent être reconnus sous Linux, mais dans un mode dégradé. Par contre, le DAW fonctionne avec Wine, mais instable et avec bien trop de latence...

À terme, de toutes façons, je devrai changer de périphérique, je sais bien, mais tant qu'il fonctionne, ça me tue de le mettre à la benne, surtout vu la machine que c'est (ProjectMix I/O). À ce moment-là, j'envisagerai très sérieusement une migration totale vers Linux...
votre avatar

Ce que tu décris est identique à ce que les propriétaires de machine Optimus disent quand ils souhaitent basculer sous GNU/Linux car le support M$ et constructeur ne propose plus rien.
votre avatar
Oui, c'est assez similaire. Dans le cas présent, M-Audio ne proposait déjà pas grand chose sous Windows (drivers buggés, on sentait clairement que leurs clients principaux étaient des propriétaires de Mac).
C'est aussi un souci récurrent sous GNU/Linux que d'avoir des logiciels musicaux (même commerciaux) utilisables en environnement pro ou semi-pro. Depuis qu'on a JACK pour la faible latence, c'est moins pire en terme de flux, mais ça reste compliqué (voire impossible) au niveau applicatif, support matériel (la faute aux constructeurs)...
C'est peut-être la grosse différence avec d'autres secteurs de l'industrie de la création, comme la 3D, où Linux est un environnement commun. Ça s'explique historiquement, avec les stations SGI qui ont migré assez naturellement vers Linux, et l'écosystème logiciel qui a suivi. Au niveau de l'audio, même su c'est moins le cas aujourd'hui, on sent quand-même que les PC/Windows ont longtemps été mis de côté et il y a toujours une forme de fascination pour les Mac/MacOS dans le milieu, et que Linux est boudé par les professionnels du secteur...
votre avatar
Que d'efforts pour contourner une décision d'un éditeur de logiciel !

Quatrième solution : passer à un OS qui ne demande pas la présence de TPM 2.0.
Cela évitera d'avoir une machine dont l'OS ne fonctionnera plus du jour au lendemain suite à un durcissement de la politique de Microsoft.
votre avatar
Ok, je ne vois pas l'intérêt d'exiger TPM sur windows.

Mais...
Le fTPM (2.0) c'est supporté depuis 10 ans sur les CPU Intel et depuis 6/7 ans sur AMD.
Quand au dTPM (1.2) ca doit être 2 ans avant encore.

C'est plutôt la limitation sur les modèles de CPU qui est casse-c:censored:.
votre avatar
C'est plutôt la limitation sur les modèles de CPU qui est casse-c:censored:.
C'est ce que je n'arrête pas de répéter depuis que Next INpact râle sur "le TPM 2.0". La majorité des machines qui ne sont pas éligibles à Windows 11 le sont à cause du processeur, pas du TPM 2.0.

Après, je comprends Microsoft qui a choisi à un moment donné de renforcer la sécurité de son OS en repoussant les processeurs trop vulnérables. Sur ce genre de choix, il faut une rupture franche de compatibilité pour progresser. Gérer les anciennes architectures devint plus compliqué avec le temps.

Ce sont plutôt ceux qui ont continué à fabriquer des PC avec ces processeurs qu'il faut blâmer.
votre avatar
Exact, la majorité des machines bloquées pour l'upgrade ne le sont pas à cause du TPM 2.0 mais bien en raison d'un processeur non supporté.
votre avatar
D'autant que bien souvent il est possible de trouver un TPM hardware pour sa CM quand il n'y a pas d'origine (les CMs qui n'en avaient pas avaient souvent un connecteur pour un rajouter un).
Par contre pour le processeur, rien à faire, ça ne passe pas du tout.

J'ai failli acheter un TPM externe pour mon Asus MAXIMUM HERO VI (de 2013 !) qui a un connecteur externe pour le TPM, mais de toute façon mon CPU (4770k) n'est pas supporté...
votre avatar
Après, quand on a encore un Core i7 4770, on est embêté par le modèle de CPU et le TPM :D
votre avatar
Beaucoup plus simple la mise à niveau depuis Windows 10 : via cmd en admin, on lance l'install créée au préalable sur clé usb via la commande setup /product server
Ca dit installation de windows server mais au final ça reste l'édition déjà installée (home ou pro)
votre avatar
Cette astuce ne fonctionnera peut-être bientôt plus.
votre avatar
au taff, je me suis fabriquée une iso "purgée" des cochonneries M$ avec NTlite: goodbye copilot, gg++ "boîte porno", hasta luego toutes les apps à la con...
vu que c'est pour du matos d'intégration, je peux me permettre d'être sélectif (mais j'ai pas le choix de virer windows) :3
votre avatar
Il n'y a pas longtemps, j'ai passé des vieux portable Dell sous w11 24h2 équipé en i3 4160 ( donc 4e gen) sans puce tpm et 4go de ram. Je n'ai fait aucune bidouille, jai juste utilisé un serveur wds pour pousser l'image en pxe legacy. Cest un peu poussif mais parfaitement fonctionnel avec l'usine a gaz o365 + teams.

J'ai toujours fait mes installs w11 ainsi et ca ne m'a jamais posé problème. Est-ce lié à wds qui arrive lui aussi en fin de vie il me semble ?
votre avatar
Question d'un barbu qui n'a pas fait d'upgrade Windows depuis Mathusalem ou presque. :phibee:

Rufus pourrait-il permettre de faire la maj, pour un utilisateur qui y tient, depuis une clé usb préalablement constituée avec une iso récupérée depuis une liaison internet non asthmatique ?
L'utilisateur en question ayant un adsl avoisinant les 2Mb/s avec le vent dans le dos.
Donc pour éviter de passer le WE à attendre le téléchargement des Go nécessaires (ou pas). :dors:
votre avatar
Bonsoir,

Pour automatiser encore plus une clé crée avec Rufus, vous avez aussi la possibilité d’adjoindre à l'iso le fichier unattended.xml.

il contient tout ce que vous pouvez automaitiser dans l'install de windows 10/11.

voici un générateur en ligne :

https://schneegans.de/windows/unattend-generator/
votre avatar
Après, vu les problèmes à chaque mise à jour de Windows ces derniers temps (le truc qui m'emmerde en ce moment, c'est le bureau à distance glitché), peut être que ReactOS est une solution utilisable. Bon, c'est toujours une version "alpha". Mais sur un malentendu, un alpha à la place d'une bêta, ça peut passer :D
votre avatar
Pour faire un retour sur ces méthodes d'upgrade vers Win 11 "alternatif".
Le premier blocage que j'ai perçu sur les quelques postes upgrade en Windows 11 build 23H2 (a lépoque), c'est qu'ensuite l'upgrade en build 24H2 via windows update est bloqué.
L'upgrade de la build fait en même temps tourner l'outil de Microsoft "PC Health Check" (en arriére plan), outil qui permet de vérifier si les prérequis d'installation de Windows 11 sont bien respectés.
Du coup, l'upgrade de la build de la 23H2 à la 24H2 est bloqué.
Obligé de forcer l'upgrade avec la méthode ci-jointe : https://lecrabeinfo.net/windows-11-forcer-une-mise-a-jour-majeure-sur-un-pc-non-compatible.html
votre avatar
Le plus simple je pense c'est de remplacer appraiserres.dll par un fichier vide. C'est appraiserres.dll qui fait les contrôles. C'est ce que fait Rufus il me semble.
votre avatar
Honnêtement, avec les distribs Linux de plus en plus accessibles et app windows friendly, je vois de moins en moins l'intérêt.
votre avatar
A la fin de l'année, je passe sur Linux Mint !
Ça va être chiant de tout réinstaller et m'y refaire mais je suis content de réduire l'influence de Microsoft/Windows sur moi

En espérant que je pourrai faire tourner la plupart des logiciels (souvent vieux) qui tournaient sur Windows

[Màj] Windows 11 : quatre méthodes pour contourner TPM 2.0

  • Depuis un PC Windows 10, en modifiant le registre

  • Depuis un PC Windows 10, avec l'ISO de Windows 11

  • Installation neuve : le registre à nouveau

  • Préparer une clé USB avec Rufus

Fermer