Connexion
Abonnez-vous

Qu’est-ce que TPM 2.0, comment le détecter et l’activer ?

Une question de sécurité

Qu'est-ce que TPM 2.0, comment le détecter et l'activer ?

Le 25 juin 2021 à 05h58

Microsoft a dévoilé hier les nouveautés attendues pour Windows 11, attendu pour cet automne. L'éditeur en a profité pour évoquer ses prérequis matériel et logiciel, plus élevés qu'auparavant. On y trouve la mention du TPM 2.0, une solution de sécurité qui n'est pas toujours activée par défaut. On vous explique.

Lorsque vous utilisez une carte bancaire, votre smartphone avec un forfait de téléphonie mobile, une smart card ou une clé de sécurité comme les YubiKey, vous utilisez un produit contenant un « élément de sécurité ».

Une question de sécurité

C'est le principe de la carte à puce française, que l'on retrouve désormais sous diverses formes dans le domaine des nouvelles technologies. Cet élément de sécurité permet de stocker une ou des informations importantes (secrètes), de les utiliser pour vous identifier, permettre certaines actions, sans crainte qu'elle ne soit récupérée par un tiers.

Vous pouvez ainsi payer avec votre carte bancaire en tapant un code PIN sans qu'une personne l'ayant récupérée ne puisse en faire une copie. Il en est de même avec une clé de sécurité, qui peut par exemple contenir la partie privée d'une paire de clés pour du chiffrement asymétrique, vous permettant de signer ou déchiffrer des emails ou des fichiers, sans qu'une personne mal intentionnée ne puisse la récupérer à votre insu.

C'est également le principe de TPM, ou Trusted Platform Module. Défini par la norme ISO/IEC 11889, il s'agit d'un module cryptographique pouvant stocker des « secrets » et les utiliser à des fins d'authentification, de chiffrement, de sécurité au sens large. Créé en 2009, il prenait alors la forme d'un composant, présent ou non sur la carte mère.

Une solution de moins en moins rare...

Mais il était alors trop souvent réservé aux seules machines visant les professionnels, ou n'était proposé que sous la forme d'un module optionnel à connecter sur la carte mère. Cela a d'ailleurs abouti à ce que de nombreux outils fassent l'impasse sur cette solution qui n'était que trop rarement présente. 

Sa version 2.0, renforçant les prérequis en termes de sécurité, a été l'occasion pour certains constructeurs d'introduire d'autres implémentations de TPM, se reposant sur un élément de sécurité intégré non pas sur la carte mère mais un autre élément de leur plateforme. De quoi largement renforcer la présence de cette technologie sur le marché.

Intel et Microsoft ont publié des implémentations open source de TPM 2.0 ici ou .

... via AMD fTPM ou Intel PTT

Les Ryzen/EPYC d'AMD intègrent ainsi un élément sécurisé au sein de leur architecture, exploitant la solution ARM TrustZone. Le constructeur et ses partenaires présentent cela comme un firmware TPM (fTPM). Chez Intel, cette fonctionnalité se nomme la Platform Trust Technology (PTT) introduite au sein de sa plateforme en 2013.

AMD Secure Zone
Depuis ses débuts, l'architecture Zen dispose d'une « Secure Zone »

Depuis le 28 juillet 2016, Microsoft oblige les intégrateurs fournissant une machine sous Windows 10 à activer TPM 2.0 sous la forme de leur choix. On la retrouve depuis de manière systématique ou presque. Elle est par contre souvent désactivée par défaut sur les cartes mères vendues au détail, ce qui explique que de nombreux utilisateurs se voient indiquer que leur machine n'est pas compatible avec Windows 11 via l'outil de test.

Comment activer (f)TPM ou PTT ?

L'activation de TPM 2.0 passe par le BIOS/UEFI qui permet de contrôler le système. Pour savoir comment y accéder, référez-vous au manuel de votre ordinateur ou de sa carte mère. En général, il suffit d'appuyer frénétiquement sur la touche « F2 » ou « Suppr » de votre clavier une fois le PC allumé, avant le démarrage de Windows.

Une fois dans l'interface, recherchez une référence à TPM 2.0, fTPM ou PTT, en général dans les options de sécurité, ou celles en lien avec la plateforme. Vous pourrez alors simplement l'activer et/ou la désactiver.

Intel PTT ASUS Z490L'activation d'Intel PTT sur une carte mère ASUS Z490

Comment vérifier l'activation sous Windows ?

Windows permet bien entendu de gérer le module TPM d'une machine et donc de vérifier son état. Pour accéder à cet outil, ouvrez le menu démarrer et tapez « tpm.msc ». L'application Gestion de module de plateforme sécurisée sur l'ordinateur local s'affichera alors. Vous y verrez le statut de votre module TPM ainsi que sa version.

Vous pouvez également utiliser des applications telles que HWiNFO64 qui référence la présence ou non d'un module TPM au sein de la plateforme dans la section ACPI de la carte mère. Pour un processeur Intel, la section Intel ME (Managment Engine) vous indiquera si votre machine dispose ou non de la fonctionnalité PTT.

TPM Check
La présence et l'activation de TPM 2.0 sont bien confirmées

Commentaires (115)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Faudra que je vérifie, mais jil me semble que sur les CM gigabyte, c’est désactivé par défaut, et c’est re-désactivé après une mise à jour du bios.

votre avatar

Pour ceux qui ont un PC fixe avec un connecteur TPM, c’est un composant à 20€ à acheter au pire.

votre avatar

Comme dit, les carte mères avec un module ne sont pas forcément TPM 2.0 et si c’est le cas la version firmware est en général présente. Si ce n’est pas le cas, il y a de grandes chances que la machine ne soit pas compatible pour d’autres raisons de toutes façons, donc autant éviter une dépense inutile.

votre avatar

Merci beaucoup pour cet article.

votre avatar

C’est forcement un module physique ?
Ou une mise à jour du bios peu permettre de passer à une version récente plus récente du TPM ?

votre avatar

Lire l’article




(quote:57987:phantom-lord)
Merci beaucoup pour cet article.


Pas de quoi :chinois:

votre avatar

Dyfchris a dit:


C’est forcement un module physique ? Ou une mise à jour du bios peu permettre de passer à une version récente plus récente du TPM ?


Sur un portable fujitsu de 2014, une mise à jour l’a validé en TPM2.0. Donc ça arrive.

votre avatar

Bon bah c’est bien mon pc date de 2012 mais marche toujours très bien ( 4 coeurs 16 giga de RAM une carte cg haut de gamme de 2012…. ) Un SSD mais j’ai paasle droit à windows 11… Depuis le temps que je me tentais de passer à Ubuntu.. Merci Microsoft de m’aider 😂

votre avatar

Sinon dans le gestionnaire de périphériques > Périphériques de sécurité , si vous avez un éléments module de plateforme sécurisé 2.0 c’est bon .

votre avatar

Donc mise à jour du bios et hop c’est bon ou tu as fais quelques chose d’autre ?

votre avatar

Tu sais pourquoi TPM 2.0 est obligatoire?
Je pensais qu’il ne servait qu’à stocker les clef de chiffrements pour BitLocker. :/



Moi ça va, j’ai été l’un des premier à râler sur l’article de Windows 11 hier donc j’ai pu me faire aider avant ton article ! :D

votre avatar

Dyfchris a dit:


Donc mise à jour du bios et hop c’est bon ou tu as fais quelques chose d’autre ?


Non, c’est pas le BIOS, c’est une mise à jour du firmware du TPM. En plus, on ne pouvait faire la màj qu’en Windows 10 < 17.03 - j’ai dû utiliser une install d’une version inférieure…
Je pense que c’est assez rare - la màj corrigeait une faille dans le TPM et en même temps le rendait compatible TPM2.0.

votre avatar

Ok merci pour les infos :)

votre avatar

bon, ben mon PC avec son i5-3770k sur une asus P8-Z77-v pro n’est pas compatible avec Win11 ….
je pense qu’ils vont faire une retour en arrière sur ce point, pas possible que des PCs encore puissants (meme si près de 8ans) ne tournent pas dessus ….. c’est la 1ère fois que je vois ca chez MS …

votre avatar

dylem29 a dit:


Tu sais pourquoi TPM 2.0 est obligatoire? Je pensais qu’il ne servait qu’à stocker les clef de chiffrements pour BitLocker. :/



Moi ça va, j’ai été l’un des premier à râler sur l’article de Windows 11 hier donc j’ai pu me faire aider avant ton article ! :D


En gros, le TPM2 combiné au secureboot peut fournir une environnement où seul un noyau signé peut accéder au au contenu sécurisé, créant une chaîne complète où les secrets liés au chiffrement du disque restent inaccessibles si la machine démarre sans les signatures requises.



Microsoft veut sans-doutes pousser l’enveloppe plus loin question sécurité, comme le fait Apple.

votre avatar

Mon vieux Dell Latitude E6500 dispose d’une puce TPM 1.2 et non 2.0. Il restera donc en double boot Ubuntu / Windows 10.

votre avatar

Antérieur à 2010 non ?

votre avatar

Mon i7-6700K ne supporte pas la Trusted Platform et les cartes mères de l’époque Z170 n’avaient pas de puce. Pourtant tout date de fin 2015 et tourne sans aucun souci. Par contre il y a un slot 14-1 TPM, qui supporte le 2.0 sur module externe.
Je ne vois pas ce qui ne serait pas compatible au delà de cette absence de support firmware et TPM interne.

votre avatar

Merci pour la découverte du PTT, moi qui m’embarrassais d’un mot de passe sur bitlocker :chinois:



Fonctionne parfaitement avec le combo gigabyte z270x ultra gaming + i7-7700k sans puce tpm supplémentaire

votre avatar

Oui, c’est un Core 2 Duo. Mais il fait le taf pour une utilisation web + mail + bureautique + netflix.
J’aime pas jeter. :D

votre avatar

Mon ancien PC avec la version juste apres i7 4771 a un slot pour TPM2.0 , donc t es passe tout près… Ca fait quand meme une bonne longévité je trouve , surtout au vu des failles et des arnaques qui se développent a vitesse grand V et qui profitent des failles des vieux matériels …

votre avatar

Mais ça implique que sur Windows 11 Bitlocker sera obligatoirement activé ?



Et question subsidiaire: WIndows 11 ne pourra pas être virtualisé du coup ?

votre avatar

Ma carte mère (MSI) dispose juste du connecteur TPM : si j’achète une puce TPM 2.0 de n’importe quelle marque (ASRock par exemple) ça fonctionnera ou bien il existe des problèmes de compatibilité ?

votre avatar

Cm Asus z87-a … y’a le header mais pas le module TPM. J’ai une 4790k mais pas de ptt intégré. Dommage…

votre avatar

Merci pour l’article bien utile
Mon Asus Maximus VI Hero (2014) ne semble pas avoir cela, il y a un connecteur TPM dessus… A voir si cela vaut la peine d’en acheter un. Elle fait encore très bien le taff la bougresse, c’est juste dommage.

votre avatar

Sur Core 6th Gen, PTT doit être présent




eglyn a dit:


Mais ça implique que sur Windows 11 Bitlocker sera obligatoirement activé ?


Non




Et question subsidiaire: WIndows 11 ne pourra pas être virtualisé du coup ?


Il pourra l’être




OliverTrets a dit:


Ma carte mère (MSI) dispose juste du connecteur TPM : si j’achète une puce TPM 2.0 de n’importe quelle marque (ASRock par exemple) ça fonctionnera ou bien il existe des problèmes de compatibilité ?


Comme dit plus haut et dans l’article, acheter un tel module ne sert à rien. Si tu es TPM 2.0 tu peux sans doute activer fTPM/PTT.




Nightlight a dit:


Cm Asus z87-a … y’a le header mais pas le module TPM. J’ai une 4790k mais pas de ptt intégré. Dommage…


Oui apparemment PTT est postérieur à cette génération

votre avatar

Perso, après avoir activé le fTPM (plateforme AMD Ryzen), l’outil indique que je ne suis pas compatible, ce serait pas mal que MS détaille les conditions

votre avatar

Pour reprendre une expression récente servie ici, pour les mêmes raisons, ce Windows 11 est un bien mauvais signal… Mais, une aubaine pour les constructeurs (hasard fortuit ?)

votre avatar

C’est pas impossible qu’il indique qu’une configuration comme non compatible parce que pas encore testée.
J’imagine que l’outil est restrictif au début pour éviter des migrations potentiellement foireuses, puis ils ouvriront les vannes au fur et à mesure.

votre avatar

Tu peux utiliser un TPM virtuel.

votre avatar

Bon, visiblement, on aurait juste besoin d’un TPM 1.2
docs.microsoft.com Microsoft




Hard Floor:
CPU: Core >= 2 and Speed >= 1 GHz
System Memory: TotalPhysicalRam >= 4 GB
Storage: 64 GB
Security: TPM Version >= 1.2 and SecureBootCapable = True
Smode: Smode is false, or Smode is true and C_ossku in (0x65, 0x64, 0x63, 0x6D, 0x6F, 0x73, 0x74, 0x71)


Et “rien” pour dx12/wddm2 par contre.



Le pb du TPM reste donc un vrai point dur pour les VM/ESXi, car le vTPM n’est pas dispo “hors” vCenter :/

votre avatar

Ryzen de première génération ? (Si oui ils ne sont pas dans la liste de compatibilité CPU pour le moment).

votre avatar

Oui on a vu l’article de base a été mis à jour on adapte les deux autres là :chinois:

votre avatar

Rhoo, je suis trop deg’ …. sur la P8Z77-V ‘normale’ il y a un connecteur TPM, mais pas sur la version PRO de la carte …. j’hallucine ….. le comble ….

votre avatar

Idem que pour beaucoup, sur ma ASUS ROG HERO VI C2 de 2013, le TPM était en option et même en mettant à jour le BIOS dans la dernière version disponible (2014) rien trouvé concernant TPM / fTPM ou PPT ou autres éléments de sécurité.



Dommage car ce PC tourne comme une horloge (avec I7 4770K) et je travail dès que je peux dessus plutôt que sur mon PC Pro qui est anémique (i3 d’il y a 3ans je pense).

votre avatar

Un truc que je me demande avec l’activation de fTPM: ça ne m’enpêcherait pas de changer de CPU ?

votre avatar

Non

votre avatar

Ma carte mere Asus sabertooth z77 n’est pas compatible :cartonrouge: et je ne trouve pas ce connecteur 13 broches non plus… Pourtant mon PC fonctionne encore super bien avec CPU i7 generation 3 que j’avais assemblé en 2013. Triste :reflechis:

votre avatar

Thx :)
En fait, je crois commencer à comprendre la différence entre les specs du pdf, et les specs du site:




This specification defines the minimum hardware requirements for types of devices designed for Windows 11. Microsoft will build and validate the Windows 11 OS against the requirements described in this specification.


Le pdf liste donc les specs pour les “Devices Made for Windows 11”, donc un peu similaire aux specs attendues pour les NOUVEAUX pc Windows 10, qui ont déjà cette obligation d’avoir un TPM 2.0



A priori, ça pourrait donc avoir un requirement différent sur un “upgrade” de PC existant :)
Ce qui rassure un peu !

votre avatar

Carte Mère achetée en 2019 et module optionnel on board (Modèle Gigabyte X470 Aorus Gaming).



J’ai des questions: que Windows dise si le TPM fonctionne est une chose, est-ce que Windows 10 peut exploiter le secure boot? Quel impact sur les performances? Cela signifie-t-il que tout est chiffré ou ça sert uniquement à vérifier la signature du noyau au boot? Merci pour les réponses.

votre avatar

Non, un Ryzen 5 2600 :‘(

votre avatar

Il est bien dans la liste de compatibilité. Mais bon l’outil va être mis à jour on aura sans doute plus de détails à ce moment là.

votre avatar

Et ben quand on voit tout ce bordel avec le TPM (obligatoire, oui, mais en fait non, enfin le 1.2 mais pas la 2, etc…), on peut se dire que la communication de Microsoft est bien ratée, mais comment font-ils ?
On dirait qu’ils improvisent en permanence :transpi:

votre avatar

est ce que l’on sait pourquoi M$ pousse l’obligation du module TPM 2.0 ?



en cherchant trusted technology sur ark.intel.com je vois que les cpu non K ont ce module depuis super longtemps tandis que les version K l’ont que depuis le 8700K.
ça reviens à faire de l’obsolescence en obligeant un module présent depuis pas si longtemps ça poussera les gens à remplacer ou à migrer sur d’autre OS. En plus d’etre attaquable en justice M$ se prive tout une partie d’utilisateur potentiel sur W11, non je ne vois pas pourquoi ils font ça hormis s’il y a complicité avec les fabricants de pc pour forcer le remplacement du parc info un peu partout.

votre avatar

Ce n’est pas dans le CPU (attention à ne pas confondre avec TXT au passage)

votre avatar

J’ai une carte mére Asrock Fatal1ty X470 Gaming K4, il y a juste le connecteur TPM

votre avatar

X470 = Ryzen = fTPM (faudrait vraiment lire les articles avant de commenter)

votre avatar

P7P55D LE et i7-860 avec GTS250…
Tout ça a pourtant bien été honorablement vendu.
Ça fait 11 ans maintenant que ça tourne encore !

votre avatar

PTT n’est pas = à TXT ? car c’est bien des techno CPU contrairement à TPM qui est une puce dédiée sur la carte mère.
PTT d’après l’article c’est dans intel ME/CSM donc dans la section du bios réservé au CPU
quand c’est écris TXT c’est quoi alors ? des instructions cpu hardware spécifiques ? comment tu sais que ce n’est pas dans le ME/CSM ?

votre avatar

J’ai testé l’outil de test de compatibilité de Crosoft pour savoir si mon PC de 2 ans d’âge pouvait supporter Windows 11…. et c’est niet! :craint:
J’ai eu beau regarder, je n’ai rien trouvé (ou alors, j’ai mal vu) qui m’expliquait pourquoi il n’était pas compatible!! :mad:



Çà m’a rappelé les MAJ windows qui plantaient au 34 de l’install à cause d’une erreur 0x012345… ç’était trop compliqué de mettre “espace disque insuffisant” (pour moi, il y avait la place…. mais j’avais oublié que des répertoires system étaient dupliqué avec les grosses MAJ…) :cartonrouge:



Heureusement, NextInpact et Inpact Hardware sont là! Un petit tour dans l’UEFI, activer fTPM …. et miracle!! Mon PC est compatible!! :bravo:
Merci de l’info!! :yes:

votre avatar

Bon cet histoire de TPM m’a fait compulser le manuel de ma carte mère … J’ai un emplacement pour connecter un module TPM sur ma MEG X570 Godlike. J’ai cherché sur MSI j’ai trouvé deux références :



TPM 2.0 (MS-4462)




  • SPI interface
    -Supports Intel 400 series / AMD 500 series motherboards



TPM 2.0 (MS-4136)




  • MSI AMD 400 and X570 Series Motherboards



C’est quasiment introuvable, sauf en import most expansive par rapport au prix du module…



Suis-je le cas échéant obligé d’utilisé un de ces modules, ou puis-je en mettre simplement un autre compatible ?



J’avoue que je suis perdu là … :keskidit:

votre avatar

Dit dans l’article, dit dans des commentaires : Ryzen : fTPM

votre avatar

D’accord autant pour moi, j’ai pas percuté ! :yes:

votre avatar

Le module TPM 2.0 ou comment forcer le changement de matériel… l’obsolescence programmée dans toute sa splendeur… avec la perpective d’avoir en 2022 un TPM 3.0…



Cette idée de merde est repris de chez Appleu…



Espérons qu’un petit malin nous sortent un patch pour passer outre.

votre avatar

Comme dit, TPM à une bonne dizaine d’année, il est exigé depuis 5 ans. On a vu plus brutal (sachant que 2.0 est optionnel comme dit dans les article sur le sujet)

votre avatar

J’espère que je ne me plante pas complètement… (sinon n’hésitez pas à me ridiculiser ;) Mais avec des arguments qui tiennent la route SVP)



Mais cet article me pose problème car il ne présente qu’un seul aspect de TPM : le coffre-fort tout gentil.
Et de ce que j’ai compris, il est plus que ça.
Le coffre-fort en théorie ne me poserai pas plus de problème que ça.
Mais, c’est un coffre-fort dont on a pas la clé même en étant le propriétaire de la machine.
Et là, ça me pose problème.
Et si ça peut probablement se justifier (plus ou moins) pour certaines situations (surtout pour des devices pro), je n’aime pas du tout le principe de ne pas avoir les clés de chez-moi.



Ce sont les applications qui y enregistres des secrets qui en ont les clés, et les gens qui les ont créées et les contrôles, enfin ça on ne sais pas bien, ça dépend de pleins de choses.



Et, ça pose aussi le problème de migrer ces secrets vers une nouvelle machine. Je suis sûr que MS à une solution à ce problème …grâce …au compte Microsoft. Si! Si! Vous verrez si ce n’est pas déjà le cas, ça viendra.



Donc si TPM me permet d’avoir une sorte de master key qui permet de consulter/modifier/effacer(*) tous les secrets stockés dedans, quand je le veux (On est d’accord que si je me la fait piquer, je n’aurais que mes yeux pour pleurer), alors ça va. C’est peut-être pas si mal.
Mais si n’importe quel éditeur de soft que j’ai installé peut y stocker n’importe quoi à mon insu sans que je puisse l’en empêcher, ça va pas. Et je crois que le “gentil” coffre de TPM, c’est justement plutôt ça.



Et l’aspect pas du tout abordé par l’article, c’est l’identification, TPM permet aux applications qui y ont accès, d’identifier de façon unique le PC. Elles ont déjà d’autres moyens plus ou moins fiable, pour le faire, mais si ça devient obligatoire, celui-là est royale, l’identifiant unique du Pentium, à côté, c’est du pipi de chat.



En gros, il a tout ce qu’il faut pour servir de super cookie (je ne veux pas dire par-là que les sites que l’on visite depuis le PC ‘y auront (directement) accès. Mais au niveau de l’OS et des appli ça devrait permettre un tracking beaucoup plus fin et poussé qu’avant).



Il y a apparemment aussi un aspect surveillance des appli qui tournent sur le PC (même si je ne suis pas sûr d’avoir tout compris à ce niveau, c’est peut-être parfaitement inoffensif, ou pas)



Donc c’est bien un coffre-fort, mais pas seulement, et surtout ce n’est pas le coffre-fort du propriétaire de la machine (comme pourrait l’être un Firefox Lockwise (en local) ou un Keepass).
Ça permet de protéger des secrets de la curiosité des “méchants”, mais aussi de la curiosité du propriétaire de la machine.



Et ça non merci.



Je comprends bien que certains “gains” en sécurité peuvent nécessiter des compromis sur certaines libertés. Mais je ne pense pas que le choix de MS de rendre obligatoire ce truc soit vraiment dans mon intérêt, c’est surtout dans leur intérêt à eux, je pense.



(*) effacer, c’est apparemment possible. Mais tout d’un coup, pas de granularité, et sans pouvoir consulter avant ce qui est effacé. Un bon gros reset des familles.

votre avatar

Youpi : cette fois, ma vieille P6T deluxe + i7 [email protected] + 24 Go… ne pourra pas passer à Windows 11 à cause du TPM pas présent. Enfin, à moins d’acheter un module.

votre avatar

Le constructeur et ses partenaires présentent cela comme un firmware TPM (fTPM). Chez Intel, cette fonctionnalité se nomme la Platform Trust Technology (PTT) introduite au sein de sa plateforme en 2013


Je suis pas sur de comprendre, c’est dans le SoC de la puce ? C’est simulé par le CPU ?

votre avatar

Y a-t-il une différence en termes de sécurité entre utiliser le fTPM / Intel PTT via l’UEFI et utiliser un module à brancher ou souder sur la CM ? Ou s’il n’y a aucune différence ou avantage à utiliser l’un ou l’autre? Si tel est le cas, alors l’achat du module est inutile et son activation dans l’UEFI est plus que suffisante.

votre avatar

(reply:58085:Chocolat-du-mendiant)


Tu confonds l’outil et son usage (avec une bonne grosse dose de spéculation personnelle), et le besoin pour les services/applications de respecter les lois en vigueur.



Toute solution peut être utilisée à des fins malveillantes (même du papier peut couper), et en matière d’identification il y a bien plus simple que de passer par TPM.



D’ailleurs tu opposes TPM et Keepass, ce qui montre à quel point tu passes à côté du sujet. Keepass pourrait très bien stocker une masterkey dans TPM pour la protéger plutôt que de l’avoir sur la machine accessible à tous.



Opposer les deux n’a pas de sens. Pour rappel, GnuPG a notamment été mis à jour récemment pour un stockage plus sécurisé dès clefs privées dans TPM pour éviter de nécessiter une enclave tierce comme une smart card. Ces solutions sont utilisées depuis des années pour la sécurité en entreprise et pour des tas d’usages divers.



Concernant MS, ils imposent TPM 2.0 depuis 2016 comme évoqué, notamment parce que quand des machines sont vendues (aux particuliers mais aussi aux entreprises), assurer une chaîne de confiance dans l’exécution matérielle/logicielle est nécessaire (sinon on va venir parler d’attaque supply chain, evil maid toussa).




(reply:58090:Ramiel the Arbiter)


Chaque approche a ses avantages et inconvénients.

votre avatar

Bon, ma vieille GA-EX58-UD4P intègre un module TPM (infineon), mais je pense qu’il est TPM 1.2.



En soit, ce n’est pas très grave, étant donné que mes PCs fonctionnent sous linux, que mes Windows sont tous dans des VMs, et que qemu propose un périphérique TPM virtuels

votre avatar

Comme dit dans l’article la version se vérifie assez facilement (même sous Linux mais les outils peuvent dépendre des distributions de mémoire)

votre avatar

l’outil est une version alpha, il s’ra mis à jours prochainement

votre avatar

Bonjour,
la vrai question est comment installer Windows 11 sans le TPM dont je n’ai pas l’utilité. Désolé mettre des “secrets” à mon insu et même s’il y a d’autre moyen pour le faire c’est très peu pour moi.
Le TPM est un moyen supplémentaire et complémentaire contrôler la machine (d’où le TRUSTED”) .

votre avatar

Il y a déjà eu une mise à jour hier soir, mais comme c’était fait à la va-vite, apparemment les nouveau textes n’ont été mis que pour la version anglaise du coup la française ne montre aucun changement 🤷‍♂️

votre avatar

ronaldo1 a dit:


Bonjour, la vrai question est comment installer Windows 11 sans le TPM dont je n’ai pas l’utilité.


Microsoft n’a pour le moment rien précisé. Windows 11 arrivera à l’automne, ce sera sans doute éclairci (et modifié) d’ici là




Désolé mettre des “secrets” à mon insu et même s’il y a d’autre moyen pour le faire c’est très peu pour moi.


Il n’est pas question de ça. Enfin pour être précis par rapport au propos qui est confusant, des tas d’applications utilisent des secrets constamment, TPM est juste une manière de les stocker de manière sécurisée, puisque ne permettant pas à un attaquant de les récupérer simplement.




Le TPM est un moyen supplémentaire et complémentaire contrôler la machine (d’où le TRUSTED”) .


Non

votre avatar

Authentification forte, FIDO2, chaine de sécurité dès le boot loader.

votre avatar

La communication de MS est clair le problème est la presse informatique qui mélange deux types de specs l’une s’adresse aux machines qui vont sortir, l’autre aux machines qui vont upgrade. Ce ne sont pas les mêmes, pour celles qui vont upgrade un TPM 1.2 fait l’affaire.

votre avatar

Hey, P7P55D et i7-875K ici ! Autant dire que le TPM, hein…

votre avatar

Par exemple dans l’avenir des sociétés (Netflix ou autre) pourront mettre en secret la nationalité du pc et ne plus permette de regarder la version américaine. Il faudra passer par un RAZ et tout réinstaller. C’est un moyen de contrôle. Ici on peut considérer mon exemple comme légitime mais ça ne sera pas toujours le cas.



Comme j’ai dis plus haut, il y a d’autres moyens faire ça mais l’avantage TPM c’est que tout est enregistré sur le pc et qu’il n’y a pas besoin de connexion Internet.

votre avatar

Merci à David et à cet article !



Je me rends ainsi compte que j’avais plus que “survolé” le sujet et lu vraiment en diagonale le manuel de ma X570 GB…



Je pensais candidement qu’avant d’activer le fameux fTPM, il me fallait installer un module physique TPM. Bah du coup, je viens grâce à vous d’activer cette option dans le BIOS… Et ça marche parfaitement, et en plus, j’allais avoir besoin de m’en servir !



Don NXI / INpact Hardware, je plussoie : Que des articles précis et intéressants, factuels et non spéculatifs. Ça fait toujours du bien aux neurones :ouioui: Merci :smack:

votre avatar

David_L a dit:


Tu confonds l’outil et son usage (avec une bonne grosse dose de spéculation personnelle), et le besoin pour les services/applications de respecter les lois en vigueur.



Toute solution peut être utilisée à des fins malveillantes (même du papier peut couper), et en matière d’identification il y a bien plus simple que de passer par TPM.


Oui, mais cet outil permet de nouveaux usages, en tout cas les “sécurise” d’une façon qui n’était pas possible avant. Et cette façon de faire en excluant la possibilité à l’utilisateur, et même au propriétaire (quand ce n’est pas la même personne) de le contrôler me pose problème. Il rend possible un ransomware off-line (bon! s’il arrive à utiliser TPM, ce qui n’est sans doute pas du tout gagné) ou par exemple donne la possibilité à MS de copier Google et Apple en retirant les droits root au propriétaire de la machine sans possibilité de le contourner (trop facilement) car dépendant d’un secret gardé dans TPM. Actuellement ce n’est pas possible, sauf à ce que ce secret soit en-dehors de la machine, par exemple en ligne (ce qui pose d’autres problèmes et le rend globalement impraticable à l’échelle d’un Windows complet).




David_L a dit:


D’ailleurs tu opposes TPM et Keepass, ce qui montre à quel point tu passes à côté du sujet. Keepass pourrait très bien stocker une masterkey dans TPM pour la protéger plutôt que de l’avoir sur la machine accessible à tous.



Opposer les deux n’a pas de sens. Pour rappel, GnuPG a notamment été mis à jour récemment pour un stockage plus sécurisé dès clefs privées dans TPM pour éviter de nécessiter une enclave tierce comme une smart card. Ces solutions sont utilisées depuis des années pour la sécurité en entreprise et pour des tas d’usages divers.


Je ne les opposent pas dans ce sens (fonctionnalité de stocker un secret) je les oppose dans le sens où le propriétaire de Keepass peut accéder (lire/modifier) tous les secrets contenu dans son Keepass. Le propriétaire d’un TPM ne peux pas.




David_L a dit:


Concernant MS, ils imposent TPM 2.0 depuis 2016 comme évoqué, notamment parce que quand des machines sont vendues (aux particuliers mais aussi aux entreprises), assurer une chaîne de confiance dans l’exécution matérielle/logicielle est nécessaire (sinon on va venir parler d’attaque supply chain, evil maid toussa).


Mais comme indiqué dans mon autre commentaire sur NI, sur mon HP grand publique de 2018, il est là. Mais désactivé par défaut. A moins qu’ils aient une procédure pour le réactiver à l’install de W11 (ou que mon cas soit un cas isolé), c’est comme s’ils n’existaient pas pour la très grosse majorité du parc.
(bon, ce point là est plutôt positif pour moi, qui ne souhaite pas que le TPM actuel devienne obligatoire :8 )




David_L a dit:


Chaque approche a ses avantages et inconvénients.


Oui, et j’ai bien conscience que ce que je voudrai, peut être vu comme une backdoor, compte tenu du concept même de TPM. Mais pour moi la solution de TPM a comme principal inconvénient de pouvoir rapprocher l’univers PC de celui des smartphone en donnant la possibilité technique de retirer au propriétaire du PC son pouvoir de contrôle. Ne plus être le vrai admin de sa machine (je ne dit pas que c’est le cas pour W11, ça peut parfaitement attendre W12. Mais c’est une brique très utile pour y arriver).



Et si tu pense que je serai moins inquiet si ce n’était pas Microsoft (d’où peut-être l’exemple de GnuPG) tu as en partie raison :) . Mais je pense que si une prochaine version du noyau Linux rendait obligatoire le TPM actuel, ça ne me plairait pas non plus.

votre avatar

J’ai testé dans la foulée (activation dans le BIOS + installation des outils de gestion) c’est bien un TPM 1.2.
D’un autre côté, cette CM n’est pas UEFI (gigabyte a été lent à basculer dessus), donc pas de TPM 2 possible.



Les outils dépendent aussi de la version TPM ciblée



wiki.archlinux.org archlinux
votre avatar

Non, comme dit plus haut, MS a revu ce point, c’est TPM 2.0 ou rien, précisé partout dans toutes les documentations. La presse n’a rien à voir avec les errements de la comm” de MS.




ronaldo1 a dit:


Par exemple dans l’avenir des sociétés (Netflix ou autre) pourront mettre en secret la nationalité du pc et ne plus permette de regarder la version américaine.


Elles le font déjà sans TPM. Pour rappel, le meilleur ciblage là dessus c’est le moyen de paiement.




Il faudra passer par un RAZ et tout réinstaller. C’est un moyen de contrôle. Ici on peut considérer mon exemple comme légitime mais ça ne sera pas toujours le cas.


L’outil n’est pas l’usage




Comme j’ai dis plus haut, il y a d’autres moyens faire ça mais l’avantage TPM c’est que tout est enregistré sur le pc et qu’il n’y a pas besoin de connexion Internet.


On peut accéder à n’importe quelle donnée stockée/chiffrée sans connexion internet sans TPM. Comme dit, ça n’a aucun rapport, tu fais de la prospective qui détaille sur la base de rien.




Eviv_Bulgroz a dit:


Merci à David et à cet article !



Je me rends ainsi compte que j’avais plus que “survolé” le sujet et lu vraiment en diagonale le manuel de ma X570 GB…


Alors que tu aurais du l’apprendre par coeur :D




Don NXI / INpact Hardware, je plussoie : Que des articles précis et intéressants, factuels et non spéculatifs. Ça fait toujours du bien aux neurones :ouioui: Merci :smack:


Heureux d’être utile :chinois:




(quote:58107:Chocolat-du-mendiant)
Oui, mais cet outil permet de nouveaux usages, en tout cas les “sécurise” d’une façon qui n’était pas possible avant.


Oui, et il le fait depuis plus de 10 ans en fait




Et cette façon de faire en excluant la possibilité à l’utilisateur, et même au propriétaire (quand ce n’est pas la même personne) de le contrôler me pose problème.


Pourquoi ? Et en quoi ce serait plus le cas qu’un fichier qui serait chiffré sur la machine et illisible de la part de l’utilisateur par exemple ? J’insiste : tu confonds outil et usage.




Il rend possible un ransomware off-line


:keskidit:




(bon! s’il arrive à utiliser TPM, ce qui n’est sans doute pas du tout gagné)


N’importe quelle application peut utiliser TPM




ou par exemple donne la possibilité à MS de copier Google et Apple en retirant les droits root au propriétaire de la machine sans possibilité de le contourner (trop facilement) car dépendant d’un secret gardé dans TPM.
Actuellement ce n’est pas possible, sauf à ce que ce secret soit en-dehors de la machine, par exemple en ligne (ce qui pose d’autres problèmes et le rend globalement impraticable à l’échelle d’un Windows complet).


MS n’a aucun intérêt à le faire (parce que le PC est la plateforme libre par essence, ce qui fait son succès), par contre ils ont intérêt à ce que les machines vendues soient protégées par des mécaniques comme Secure Boot pour limiter les surface d’attaque. C’est le cas depuis des années, comme dit dans l’article.



Et à mon avis, s’il y a du mouvement à l’avenir, c’est plutôt pour une libération de ce qu’il est possible de faire avec les appareils actuellement trop verrouillés (que ce soit volontaire ou poussé par le législatif).




Je ne les opposent pas dans ce sens (fonctionnalité de stocker un secret) je les oppose dans le sens où le propriétaire de Keepass peut accéder (lire/modifier) tous les secrets contenu dans son Keepass. Le propriétaire d’un TPM ne peux pas.


Et donc potentiellement un attaquant. Tu as donc compris l’intérêt de TPM




Mais comme indiqué dans mon autre commentaire sur NI, sur mon HP grand publique de 2018, il est là. Mais désactivé par défaut. A moins qu’ils aient une procédure pour le réactiver à l’install de W11 (ou que mon cas soit un cas isolé), c’est comme s’ils n’existaient pas pour la très grosse majorité du parc. (bon, ce point là est plutôt positif pour moi, qui ne souhaite pas que le TPM actuel devienne obligatoire :8 )


On verra ce que MS et ses partenaires feront là dessus. Si TPM 2.0 reste une caractéristiques “dure”, il faudra un moyen facile de l’activer pour les utilisateurs peu au fait du BIOS/UEFI. On verra.




Oui, et j’ai bien conscience que ce que je voudrai, peut être vu comme une backdoor, compte tenu du concept même de TPM. Mais pour moi la solution de TPM a comme principal inconvénient de pouvoir rapprocher l’univers PC de celui des smartphone en donnant la possibilité technique de retirer au propriétaire du PC son pouvoir de contrôle.


Outil/Usage




Ne plus être le vrai admin de sa machine (je ne dit pas que c’est le cas pour W11, ça peut parfaitement attendre W12. Mais c’est une brique très utile pour y arriver).


TPM ne change rien à qui est admin de sa machine (d’ailleurs c’est une notion OS, pas système).




Et si tu pense que je serai moins inquiet si ce n’était pas Microsoft (d’où peut-être l’exemple de GnuPG) tu as en partie raison :) . Mais je pense que si une prochaine version du noyau Linux rendait obligatoire le TPM actuel, ça ne me plairait pas non plus.


C’est le problème de ce genre de réaction en fait : elle ne repose que sur le fait que ça concerne MS. On peut broder tout ce que l’on veut autour, c’est le seul fait véritablement reproché. In fine, ça rend la critique un peu courte.

votre avatar

Plutôt que d’indiquer des années, il serait plus simple je pense d’indiquer à partir de quelle génération de corei on est bon !

votre avatar

linconnu a dit:


Plutôt que d’indiquer des années, il serait plus simple je pense d’indiquer à partir de quelle génération de corei on est bon !


Ça dépend surtout de la carte-mère. Si elle permet d’accueillir/embarque un module TPM 2.0. C’est donc au cas par cas

votre avatar

(reply:58107:Chocolat-du-mendiant)


retirant les droits root au propriétaire de la machine



Il est impossible d’obtenir les droits roots sur Windows sans les clefs cryptographique de MS et le seul process qui peut faire ça n’est même pas visible depuis Windows même en explorant la mémoire, car Windows n’est qu’un sous système.

votre avatar

Faut que tu arrêtes House of Card & co, ça ils peuvent déjà le faire sans aucun problème TPM ou pas.

votre avatar

Désolé de n’a pas avoir été assez claire sur mon premier post, en parlant de moyen “supplémentaire et complémentaire” sous-entendait que d’autres moyens existaient déjà.

votre avatar

La sécurité du TPM est plus que discutable. Le mode par défaut consiste à crypter le disque dur sans demander de mot de passe. La sécurité se limite donc au vol seul du disque dur puisque si c’est la machine entière qui est volée, ce qui est très souvent le cas car plus pratique, le disque est parfaitement lisible puisqu’il n’a pas changé de machine, il y a tout pour le lire.

votre avatar

Et bah en tout cas, on peut dire que malgré les teasers pourri et la prestation pas terrible de Panos Panay, le buzz et l’engouement autour de W11 ne cesse de croitre !

votre avatar

L’avantage c’est d’obliger les personnes à faire des sauvegardes :)
Mais pour l’occasion vous parlez du bitlocker.

votre avatar

linconnu a dit:


La sécurité du TPM est plus que discutable. Le mode par défaut consiste à crypter le disque dur sans demander de mot de passe.


Non, tu confonds TPM et ce qu’en font certains OS. Là tu sembles évoquer Bitlocker qui peut se reposer sur TPM pour stocker ses clés de chiffrement (crypter ne correspond d’ailleurs à rien pour rappel).




La sécurité se limite donc au vol seul du disque dur puisque si c’est la machine entière qui est volée, ce qui est très souvent le cas car plus pratique, le disque est parfaitement lisible puisqu’il n’a pas changé de machine, il y a tout pour le lire.


Tu peux compléter TPM par d’autres protections de mémoire (mais ce n’est pas fait en général pour éviter de devoir taper un mot de passe long comme le bras au démarrage). Tu sembles aussi oublier que TPM est utilisé dans d’autres scénario/fonctionnalités et pas que pour l’OS.




eingrossfilou a dit:


Ça dépend surtout de la carte-mère. Si elle permet d’accueillir/embarque un module TPM 2.0. C’est donc au cas par cas


Comme dit dans l’article, TPM n’est plus un module physique lié à la carte mère depuis longtemps. Cela peut l’être mais ce n’est plus vraiment le cas par défaut (plutôt fTPM/PTT). Du coup ça dépend plutôt du CPU/Plateforme que de la seule carte mère (qui doit avoir l’option dans le BIOS/UEFI mais c’est toujours le cas en général).




linconnu a dit:


Plutôt que d’indiquer des années, il serait plus simple je pense d’indiquer à partir de quelle génération de corei on est bon !


Voir la réponse au-dessus

votre avatar

Merci pour les articles.



Pour les cartes ASUS AMD, il y a 3 modes possibles : none, discrete ou firmware.
Il faut sélectionner firmware. (j’avais discrete, le TPM 2.0 n’était pas actif)



C’est fou que l’outil de Microsoft ne sortent pas les raisons de la non compatibilité de W11.

votre avatar

Discrete = une puce TPM physique



Pour l’outil il le fait, mais uniquement dans sa version anglais pour le moment. Mais il y a des outils tiers plus complets qui ont été développés depuis :chinois:

votre avatar

Je peux comprendre l’intérêt d’un tel dispositif, mais dès qu’on active le sécure boot et TPM, ont a pas mal de soucis lorsqu’on veux un double boot avec linux. Par exemple, l’installation de mageia et le secure boot ne sont pas compatibles car il faudrait que le projet mageia dispose d’une clé et cela représente un coût pour le projet. Je crains qu’avec l’arrivée de windows 11, c’est le début de la fin pour le double boot windows/linux si celui ci impose le secure boot.

votre avatar

Je croyais que TPM était un élément obligatoire pour Secure Boot, lui même obligatoire depuis Windows 8 ?



Tu peux activer TPM et désactiver sans pb SecureBoot :)

votre avatar

(reply:58090:Ramiel the Arbiter)


Sans rentrer dans les détails, certains aspects sécuritaires des TPM “discrètes” ont été cassés, d’une façon qui serait beaucoup plus compliquée à mettre en œuvre sur des fTPM.

votre avatar

Je ne vais pas dire que c’est une protection complète, mais si tu as volé la machine et que tu la démarres pour te voir demander le mot de passe du compte Windows, c’est pas encore gagné… (c’est pas non plus perdu ;))

votre avatar

Personnellement, je pense que MS a rempli leurs objectifs: tout le monde parle de W11.
Le reste, je parie que MS analyse les retours avant de statuer plus définitivement parce qu’ils ont l’opportunité de faire une rupture technologique en somme avec W11 sans trainer toute la backward derrière eux.

votre avatar

Chez MSI c’est dans Security > Trusted Computing > Security Device Support normalement.
C’est là que j’ai trouvé l’option (MPG B550)

votre avatar

Le script git hub me renvoie bien le KO sur le TPM …



Carte mère Asus Z-170A (6700K) : rien dans le bios mais j’ai bien un connecteur physique … donc faut acheter un module TPM …
@david tu me confirmes ?



flemme de changer de CM, forza horizon 4 tourne en ultime en 4k à 144fps (32go de ram + RX6900XT).



Merci pour l’article ;)

votre avatar

Je confirme qu’il faut lire l’actu ;) Si tu n’as rien dans le BIOS c’est sans doute que tu as mal regardé.

votre avatar

J’ai bien regardé dans le bios dans la section advanced > PCH configuration, rien.
Je confirme que j’ai rien dans le bios sur du PTT ou TPM.
J’ai aussi fait une recherche sur le PDF du manuel, rien en PTT et un j’ai le port physique pour module additionnel TPM.



Après si c’est une autre appellation pour Asus je suis preneur.

votre avatar

Il faut bidouiller le BIOS mais avec un CPU K c’est pas sur que ça soit possible d’avoir l’option qui va bien, ici même CPU et même carte mère mais pas possible d’avoir l’option ou elle ne reste pas activée : https://www.win-raid.com/t9091f39-Cannot-enable-Intel-PTT-TPM-at-ASUS-Z-A.html

votre avatar

Je ne me vois pas bidouiller à ce niveau le bios …



J’ai trouvé un des derniers modules TPM en vente sur amazon, on verra ce que ca donne.



Mais je pense que d’ici la réception du colis, les commentaires de la news seront fermés, donc je ne pourrai pas vous donner le résultat ^^

votre avatar

Hé zut. J’ai bien suivi pour activer le TPM sur mon Zenbook Pro…. il affiche bien que la fonctionnalité est activée…. mais en 12 seulement ! :-O Zut alors ! Un bô Zenbook Pro à 16Go de Ram, 1 To de SSD, un i7 quad core…. qui fonctionne comme au premier jour ! :craint:

votre avatar

Un TPM prérequis pour exécuter un OS ??? Et ça ne choque personne ?

votre avatar

D’un point de vue historique Microsoft a toujours eu intérêt à faire tourner les derniers windows sur une majorité de machines (un peu comme Blizzard pour WoW sur le registre des jeux-vidéos).



C’est tout de même fou de voir qu’on a toujours pu faire tourner les derniers windows sur des bécanes qui datent de Babel, et maintenant MS qui demande à tout le monde de racheter une conf on croirait voir Hidalgo interdire les critair 3.



Donc vu que la plupart des gens vont gueuler un grand coup, je pense que MS fera machine arrière.

votre avatar

Microsoft sont tombés sur un vieux dossier longhorn à l’époque ça avait fait moult discussions



Qui dit TPM dit chaine de confiance

votre avatar

«…élément de sécurité permet de stocker une ou des informations secrètes…»
C’est quoi les secrets d’un particulier ? Cacher à son épouse ses visites à des sites de fesses fraîches, pour masquer au percepteur le fric qu’on a caché à l’étranger ? Informations confidentielles OK pour les entreprises ou pour un particulier de la pègre mais pour M. Toulemenonde c’est simplement de l’obsolescence forcée si c’est imposé.
Les constructeurs de bécanes ont aussi tendance à souder les composants et tout coller et à rendre indépannable leur matériel et de figer les composants difficile par ex. d’avoir un ordi avec un processeur puissant et une petite carte graphique ce qui en ce moment peut doubler la facture… (désolé, c’est hors sujet)

votre avatar

“Secret” est un terme générique pour une information à protéger. Les particuliers en utilisent au quotidien dans le savoir grâce à ces technologies, comme évoqué dans l’article.



PS : ceux qui pensent n’avoir aucun secret (légitime) sont soit fous soit incompétents en matière de sécurité.



PS 2 : Mêmer l’obscolescene à tout ça n’a guère de sens non plus.

votre avatar

Pour les particuliers ?
Les données des comptes bancaires, les actes de propriété, les copies des passeports, permis divers, ceux du conjoint, des enfants, des vieux parents. Les documents médicaux, les contrats d’assurance, les épargnes, actions, titres. Les diplômes, résultats scolaires, d’université aussi.

votre avatar

(reply:58180:ryô)


Oui j’ai fini par trouver ! Mais je te remercie quand-même pour le coup de pouce !:chinois:

votre avatar

bonjour, j’ai un soucis pour activer le TPM sur une machine CM asus X570 PRO et proc ryzen 3850



Dans le Bios j’ai pour TPM deux lignes
la 1 choix entre Discrete et Firmware
la 2 enable et disable
pour la ligne 2 enable me semble évident.
pour la 1 c’est sur Discréte par défaut
Puis que la MAJ sur win 11 bloque à cause du TPM j’imagine que je dois choisir firmware. Mais j’hésite car je ne comprends pas bien la mise en garde associée qui est en anglais.
remarque : Bitlocker n’est pas activé sur mes DD ou SSD
merci pour vos conseils éventuels.

votre avatar

(reply:58238:Philippe Caron)


firmware/enable

votre avatar

David_L a dit:


Oui, et il le fait depuis plus de 10 ans en fait


Si ça n’est pas activé par défaut, ça ne compte pas.
Pour un usage grand publique, c’est actuellement marginal.
Et c’est bien avec Win11 que ça pourrai changer.




David_L a dit:


Pourquoi ? Et en quoi ce serait plus le cas qu’un fichier qui serait chiffré sur la machine et illisible de la part de l’utilisateur par exemple ? J’insiste : tu confonds outil et usage.


Non, j’insiste, je ne confond pas.
Un des intérêt (et encore, je trouve que ça se discute) et le danger de cet outil est sa capacité à soustraire une info au proprio de la machine.
Peu importe l’usage!



Le fichier chiffré que tu prend en exemple, s’il est chiffré sur la machine et peut y être déchiffré, alors le proprio de la machine peut y accéder.
Des logiciels peuvent essayer de le camoufler comme ils peuvent. Tant que le proprio est maître de sa machine il peut d’une façon ou d’une autre y accéder (moi, je n’y arriverai certainement pas, mais d’autres plus compétent que moi peuvent m’y aider. Et le simple fait que ce soit possible sert de garde fou).
Il y a de plus en plus d’exceptions à ce que je dit, avec l’aide de matériel déjà existants, en général dans un but assez spécifique comme les DRM. Ou encore en utilisant des services en lignes pour faire une partie du traitement (encore des choses qui ne peuvent plus être sous le contrôle du proprio de la machine, puisque justement ce n’est plus dessus), mais ça pose encore des pb, et ne permet pas tout.
TPM non plus ne permettra pas tout, mais il retire encore un peu de contrôle au proprio de la machine sur sa propre machine.



Secure boot pose le même genre de problème en ne permettant pas au proprio de la machine de choisir lui-même à qui il souhaite faire confiance. Il y a des palliatifs (MS qui permet à certaines distrib de signer leurs noyaux avec une clé qui lui appartient, ou une sorte de noyau minimal signé (avec la clé de MS, je crois), qui permet de lancer ensuite ce qu’on veut sur un secure boot actif). Mais c’est l’outils qui est foireux à la base en ne permettant pas au proprio de la machine le contrôle.
Peu importe l’usage




David_L a dit:


:keskidit:


Oui, désolé, je me plante probablement la-dessus :transpi:
L’idée était que si un ransomware peut exploiter TPM, ça peut l’aider. Un des but d’un ransomware est d’utiliser et soustraire un secret au proprio de la machine (la clé qui permettra de déchiffrer les données) et il doit être crédible dans sa capacité à la fournir sous conditions. Je me dit que si la clé est sur la machine c’est pas plus mal pour sa crédibilité.
Mais vu qu’il faut à un moment où un autre que celui qui a conçus le ransomware sache qu’il a été payé pour (dans l’hypothèse où c’est un ransomware “honnête”) libérer le secret.
Et là ça implique forcément des échanges avec l’extérieur si la clé est dans TPM.




David_L a dit:


N’importe quelle application peut utiliser TPM


Là encore j’espère qu’il a une forme de contrôle et que le proprio de la machine y aura son mot à dire.
A minima sous une sorte de liste d’autorisation. C’est peut-être déjà le cas?




David_L a dit:


MS n’a aucun intérêt à le faire (parce que le PC est la plateforme libre par essence, ce qui fait son succès), par contre ils ont intérêt à ce que les machines vendues soient protégées par des mécaniques comme Secure Boot pour limiter les surface d’attaque. C’est le cas depuis des années, comme dit dans l’article.



Et à mon avis, s’il y a du mouvement à l’avenir, c’est plutôt pour une libération de ce qu’il est possible de faire avec les appareils actuellement trop verrouillés (que ce soit volontaire ou poussé par le législatif).


J’espère que tu as raison.
Mais Microsoft à déjà fait une tentative pour essayer de lancer une plateforme verrouillée (RT).
Qu’ils la verrouillent, ou l’ouvrent à tous en les obligeant tous à passer par eux, même gratuitement, pour moi ça revient au même. C’est un pb avec Google ou Apple, ça en sera un avec MS.
Le législatif, pour améliorer la situation ? Possible, mais c’est pas gagné, ça pourrait même être le contraire, et en tout cas ça prendra du temps.




David_L a dit:


Et donc potentiellement un attaquant. Tu as donc compris l’intérêt de TPM


Oui, et son principal défaut.
Le problème qu’ils n’ont pas réussi (ou pas voulu) résoudre, c’est mettre les secrets à l’abri de tout le monde, sauf du proprio.
Si l’appli qui a déposé le secret peut y accéder (lire, ou parfois juste l’utiliser sans elle-même le connaître), le proprio de la machine devrait avoir un moyen de faire de même.
S’ils peuvent mettre en place une chaîne de confiance pour l’appli d’origine, il peuvent le faire aussi pour le proprio de la machine. Peut-être TPM 3.0 si ça prend la tournure que j’espère ?




David_L a dit:


On verra ce que MS et ses partenaires feront là dessus. Si TPM 2.0 reste une caractéristiques “dure”, il faudra un moyen facile de l’activer pour les utilisateurs peu au fait du BIOS/UEFI. On verra.


Oui, on verra. Mais s’ils ne peuvent pas l’activer simplement à la place du proprio, c’est à mon avis foutu pour la majorité des anciennes machines pourtant (potentiellement) compatibles.
Et s’ils peuvent l’activer simplement sans action du proprio, pour la confiance, il faudra repasser.



On revient toujours au même point, qui contrôle quoi. Qui est le vrai propriétaire de la machine et peut en dernière ressort décider ce qu’elle peut faire, ou pas. Y compris parfois de mauvais choix.




David_L a dit:


Outil/Usage


Non, c’est l’outil qui permettra par sa nature ce type d’usage, alors qu’il pourrait en être autrement.
C’est un choix de conception de l’outil.



Ça peut justement dépendre de l’usage, du contexte d’utilisation. Du coût/risque.



Mais les caractéristiques de l’outil vont déterminer les usages qui seront possibles, faciles, compliqués, impossibles avec.




David_L a dit:


TPM ne change rien à qui est admin de sa machine (d’ailleurs c’est une notion OS, pas système).


Je peux me tromper, mais si un OS qui ne donne pas de vrai droits admin peut chiffrer des données à l’insu du proprio, ça peut compliquer les choses pour tenter de contourner cette limitation.
Mais c’est peut-être plus secure boot qui est important dans ce cas (en bloquant l’exécution d’un élément de l’OS qui aurait été modifié)
Pour moi, si une telle limitation peut être facilement contournée, il ne la feront pas. Si elle est très compliquée à contourner, ils seront tenté de le faire.




David_L a dit:


C’est le problème de ce genre de réaction en fait : elle ne repose que sur le fait que ça concerne MS. On peut broder tout ce que l’on veut autour, c’est le seul fait véritablement reproché. In fine, ça rend la critique un peu courte.


Heu… j’ai justement dit que si le noyau Linux annonçait la même chose ça ne me plairait pas non plus.
J’ai un mauvais “a priori” sur MS, c’est indéniable.
Je n’ai pas une parfaite maîtrise du sujet, on ne va pas se voiler la face. Mais qui l’a ici ?
Mais non, ce n’est pas le seul fait véritable que je reproche.



Je reproche depuis le début l’impossibilité de complètement contrôler TPM par le proprio de la machine.
Tu as le droit de penser que ça n’est pas important.
Que ça dépendra de l’usage de l’outil.
Il me semble que tu n’as pas beaucoup d’argument non plus.
Tu as peut-être raison.



Mais perso, je ne vois pas l’utilité de protéger contre moi, les secrets des appli qui tournent sur mon système. Elles y ont peut-être un intérêt, mais pas moi.

votre avatar

(reply:58246:Chocolat-du-mendiant)


Qu’est-ce que tu appelles contrôle ? Tu veux pouvoir accéder à l’un des secrets stockés dans TPM ? Tu veux pouvoir accéder à celui de ta carte bancaire ? Toute la sécurité de ces systèmes repose sur le fait que les secrets sont constamment innaccessibles. Tout le reste, c’est une backdoor.

votre avatar

(quote:58246:Chocolat-du-mendiant)
Mais perso, je ne vois pas l’utilité de protéger contre moi, les secrets des appli qui tournent sur mon système. Elles y ont peut-être un intérêt, mais pas moi.


Parce que le seul fait de te permettre d’accéder au contenu de ton propre TPM implique de facto quelqu’un d’autre que toi y accéderas aussi, rendant caduque tout l’intérêt de la solution.



Et puis as-tu besoin de connaitre la clé de chiffrement du certificat de ta banque ? As-tu besoin de connaitre la clé de chiffrement de ton disque dur lié à ton ordinateur par sécurité ? Tout cela tu n’en as pas besoin, tu as juste besoin de savoir si ces clés sont fiables et protégées. Le TPM t’apportes l’assurance que tes clés seront inaltérables par un tiers ni extractibles. Si c’est le fait que ce soit Windows qui manipule ce mécanisme t’inquiètes il n’y a pas de souci à se faire car le fonctionnement est complètement autonome et non limité à ce dernier. Un secret utilisé/généré sous Windows sera utilisable sous un autre système sur le même ordinateur au besoin (par exemple encore un disque dur chiffré pourra être lu sous Win et Linux si le soft existe sur les deux systèmes).

votre avatar

Bonsoir,
Peut on autoriser ou non d’écrire dans le TPM ?
Peut on connaitre le titre du “secret” (sans connaitre son contenu) ?
Peut on supprimer un enregistrement sans à avoir tout supprimer ?



Je vois tout à fait l’intérêt des éditeurs de logiciels et même l’intérêt de l’utilisateur mais ce TPM ressemble plus à un mouchard qu’à quelque chose de positif.

votre avatar

Il y a pas mal d’outils pour faire des requêtes sur TPM, mais comme dit plus haut, il faut voir ça comme un espace de stockage. Ton HDD/SSD peut être utilisé pour te pister sans que tu le saches. Un simple fichier perdu au nom obscur y suffit. On peut aussi faire ça avec un enregistrement dans la mémoire qu’on peut décider de faire persister par différentes manières. TPM n’est ici pas plus utile que 200 autres moyens bien plus pratiques.



Ce que sait faire TPM en revanche, c’est générer des clé/certificats et les utiliser pour signer/(dé)chiffrer sans jamais livrer le secret qui permet ces actions. En terme de pistage c’est peu utile. Pour la sécurité c’est essentiel. On peut en être méfiant si on le souhaite : ça se désactive. Mais c’est comme ceux qui utilisent 50 extensions pour ne pas être pisté en ligne mais vont faire leur courses avec une CB et une carte de fidélité. C’est faussement se rassurer face à un problème. Pas le combattre.

votre avatar

Merci pour cet article très intéressant.



Je me demande néanmoins pourquoi le TPM est désactivé par défaut ? J’imagine qu’il y a une raison ? Baisse de performances par exemple ?



En dehors de la compatibilité Windows 11, est-il préférable de l’activer ? Il n’y aura pas d’impact sur le PC ?

votre avatar

David_L a dit:


Mais c’est comme ceux qui utilisent 50 extensions pour ne pas être pisté en ligne mais vont faire leur courses avec une CB et une carte de fidélité. C’est faussement se rassurer face à un problème. Pas le combattre.


Utiliser 50 extenstions pour ne pas être pisté, est, je pense, pire que la carte de fidélité :transpi:
Suffit de lire les autorisations, le petit côté Android assez badant sur les modules complémentaires de navigateurs depuis quelques temps est plutôt parlant en plus.



EDIT:



Le minimum reste quand même le mieux.
La bite, le couteau et un peu de cerveau. Et ça devrait bien se passer.

votre avatar

Aucune raison particulière. C’est un peu comme BAR qui est désactivé par défaut, ERP ou la virtualisation.



Le paramétrage par défaut d’un UEFI est sans doute basé sur ce qui est obligatoire pour que ça fonctionne, les fonctionnalités optionnelles ne le sont jamais par défaut.



Après, sur un portable pro, TPM est activé par défaut tout comme la virtualisation.

votre avatar

Ok merci !

Qu’est-ce que TPM 2.0, comment le détecter et l’activer ?

  • Une question de sécurité

  • Une solution de moins en moins rare...

  • ... via AMD fTPM ou Intel PTT

  • Comment activer (f)TPM ou PTT ?

  • Comment vérifier l'activation sous Windows ?

Fermer