Qu’est-ce que TPM (Trusted Platform Module) et TPM dans Windows 10, 11

TPM (Trusted Platform Module) est une technologie de sécurité présente dans le matériel de votre PC.
On peut traduire cela par module de plateforme sécurisée.

Il se compose d'une puce informatique (microcontrôleur) qui peut stocker en toute sécurité les artefacts utilisés pour authentifier votre PC ou ordinateur portable.

Le module de plateforme sécurisée (TPM) permet notamment :

  • Générez, stockez et limitez l'utilisation des clés cryptographiques.
  • Utilisez la technologie TPM pour l'authentification des appareils de la plate-forme en utilisant la clé RSA unique du TPM, qui est gravée sur elle-même.
  • Aidez à garantir l'intégrité de la plate-forme en prenant et en stockant des mesures de sécurité.

Le système d'exploitation peut utiliser cette technologie pour protéger l'accès à votre PC. Par exemple BitLocker peut l'utiliser pour chiffrer vos disques.
Voici quelques explications autour de TPM.
Qu'est-ce que TPM et comment ça marche ?
En fin d'article comment activer TPM sur votre PC, dans le BIOS ou Windows ?

Qu'est-ce que TPM (Trusted Platform Module) ?

Qu'est-ce que TPM (Trusted Platform Module) ?

C'est donc une technologie qui utilise les puces électroniques de votre PC pour gérer des clés cryptographiques.
Celles-ci peuvent alors être utilisé pour l'authentification et l'attestation d'un utilisateur.
Enfin TPM peut également être utilisé pour stocker des mesures de plate-forme qui aident à garantir que la plate-forme reste digne de confiance.

Schéma de fonctionnement de TPM
Schéma TPM 1.2

Le TPM est un module cryptographique qui améliore la sécurité informatique et la confidentialité. La protection des données par le cryptage et le décryptage, la protection des informations d'authentification et la preuve du logiciel exécuté sur un système sont des fonctionnalités de base associées à la sécurité informatique. Le TPM aide avec tous ces scénarios et plus encore.

C'est donc un élément important pour sécuriser tout appareil comme un PC, une tablette, un smartphone et même les caméras.
Un module de plateforme sécurisée (TPM) se compose d'emplacements protégés (mémoire) et de capacités protégées qui sont des fonctions qui fonctionnent sur des emplacements protégés.

Ainsi, les OEM implémentent le TPM en tant que composant dans une plate-forme informatique de confiance, telle qu'un PC, une tablette ou un téléphone. Les plates-formes informatiques fiables utilisent le TPM pour prendre en charge des scénarios de confidentialité et de sécurité que les logiciels seuls ne peuvent pas réaliser.

Architecture TPM avec la séparation matérielle et logiciel
source : https://www.researchgate.net/publication/297732884_Operating_System_Support_for_Run-Time_Security_with_a_Trusted_Execution_Environment

La sécurité matérielle peut améliorer la protection des VPN, des réseaux sans fil, du chiffrement des fichiers (comme dans BitLocker de Microsoft) et de la gestion des mots de passe / PIN ou autres informations d’identification.
La spécification du TPM est indépendante du système d'exploitation et des piles de logiciels existent pour plusieurs systèmes d'exploitation.

Architecture TPM avec la zone de confiance et non sûre
source : https://www.researchgate.net/publication/297732884_Operating_System_Support_for_Run-Time_Security_with_a_Trusted_Execution_Environment

C'est le Trusted Computing Group (TCG) qui publie la spécification TPM en tant que norme internationale ISO / CEI 11889.

TPM 1.2 VS TPM 2.0 : les différences

Comme toute spécification, des améliorations sont ajoutées au fil des nouvelles versions.
Ainsi, il existe des différences entre le module TPM 1.2 et TPM 2.0.

TPM dans Windows 10 et Windows 11

Depuis Windows 8 et donc dans Windows 10, l'OS expose certaines propriétés TPM spéciales.
Ainsi Windows 10 mets à disposition des applications certaines fonctionnalités cryptographies via des API dites Cryptographic API: Next Generation (CNG). Les applications qui utilisent la cryptographie peuvent utiliser l'API commune sans connaître les détails de la mise en œuvre d'un algorithme et encore moins l'algorithme lui-même.
S'il est implémenté via du matériel, le fournisseur de cryptographie communique avec le matériel derrière l'interface logicielle de CNG.

Sur les plates-formes qui incluent un TPM, Windows peut utiliser le fournisseur de chiffrement de plate-forme pour fournir le stockage de certificats électroniques.
Les modèles de certificat peuvent spécifier qu'un TPM utilise le fournisseur de chiffrement de plate-forme pour protéger la clé associée à un certificat.

Notamment cela permet :

  • Protection des clés. Le fournisseur de chiffrement de plate-forme peut créer des clés dans le TPM avec des restrictions sur leur utilisation.
  • Protection contre les attaques de dictionnaire et attaques par bruteforce

De plus, Windows 10 et Windows 11 configure automatiquement un TPM, mais si l’utilisateur réinstalle le système d’exploitation, il devra peut-être indiquer au système d’exploitation de provisionner à nouveau explicitement le TPM avant de pouvoir utiliser toutes les fonctionnalités du TPM.

Les fonctionnalités de sécurité de Windows se basant sur TPM ne sont pas disponibles pour les éditions familles/Home de Windows.

TPM : Sécuriser le démarrage de Windows

Par exemple, on peut utiliser TPM pour sécuriser le démarrage de Windows.

Pendant le processus de démarrage d'un système, le code de démarrage chargé (y compris le micrologiciel et les composants du système d'exploitation) peut être mesuré et enregistré dans le TPM.
Les mesures d'intégrité peuvent être utilisées comme preuve de la façon dont un système a démarré et pour s'assurer qu'une clé basée sur TPM a été utilisée uniquement lorsque le logiciel approprié a été utilisé pour démarrer le système.

TPM et le secure boot sur les PC UEFI
source docs.microsoft.com

C'est un des apports de l'UEFI (Unified Extensible Firmware Interface) qui prend en charge le chemin de démarrage, et utilise le TPM pour mesurer l'intégrité de chaque instance de micrologiciel, pilote de périphérique ou module de système d'exploitation avant son chargement.

TPM rentre donc dans le mécanisme du démarrage sécurisé dit Secure Boot

Windows Hello et TPM

Les mots de passe sont de plus en plus difficiles à retenir.
Dans le milieu de l'entreprise, cela peut poser des problèmes de sécurité.
C'est pour cela que Microsoft, dans Windows 10, 11 pousse à d'autres méthodes d'authentification (code PIN, reconnaissance digitale, etc).

Windows Hello Entreprise combine les informations fournies sur chaque appareil (c'est-à-dire la clé cryptographique) avec des informations supplémentaires pour authentifier les utilisateurs.
Sur un système doté d'un TPM, le module de plateforme sécurisée peut protéger la clé.
Si un système ne dispose pas de TPM, des techniques basées sur des logiciels protègent la clé.
Les informations supplémentaires fournies par l'utilisateur peuvent être une valeur PIN ou, si le système dispose du matériel nécessaire, des informations biométriques, telles que l'empreinte digitale ou la reconnaissance faciale.
Pour protéger la confidentialité, les informations biométriques sont utilisées uniquement sur l'appareil provisionné pour accéder à la clé provisionnée: elles ne sont pas partagées entre les appareils.

TPM et BitLocker et le chiffrement de disque

BitLocker peut s'appuyer sur la technologie TPM pour chiffrer vos disques dur.
Cela permet de déverrouiller automatiquement le lecteur de votre PC lors de son démarrage afin que vous puissiez vous connecter simplement en tapant votre mot de passe de connexion Windows.

Si un attaquant altère le PC ou supprime le lecteur de l'ordinateur et tente de le décrypter, il est impossible d'y accéder sans la clé stockée dans le TPM. Le TPM ne fonctionnera pas non plus s’il est déplacé sur la carte mère d’un autre PC.

Windows Defender Credential Guard

Windows Device Guard est un groupe de fonctionnalités clés, conçu pour durcir un système informatique contre les logiciels malveillants. Son objectif est d'empêcher l'exécution de code malveillant en garantissant que seul un bon code connu peut s'exécuter.

Cette technologie de protection Windows Defender se base sur TPM (Trusted Platform Module).

Plus de détails :

L'attestation d'intégrité de l'appareil dans Windows 10, 11 et Windows Server

Enfin dans les réseaux d'entreprise, TPM peut s'utiliser à travers l' l'attestation d'intégrité de l'appareil (Device Health attestation).
Ces mécanismes de sécurité sont disponibles pour Windows 10 Pro, Windows Server 2016 et Windows Server 2019.

Avec l'attestation d'intégrité de l'appareil, vous pouvez configurer un serveur MDM pour interroger un service d'attestation d'intégrité qui autorisera ou refusera à un appareil géré l'accès à une ressource sécurisée.

Certaines choses que vous pouvez vérifier sur l'appareil sont:

  • La prévention de l'exécution des données est-elle prise en charge et activée?
  • Le chiffrement de lecteur BitLocker est-il pris en charge et activé?
  • SecureBoot est-il pris en charge et activé?

Plus de détails sur le site de Microsoft : Trusted Platform Module Technology Overview

Comment activer TPM dans le BIOS du PC ?

Ensuite vous pouvez activer ou désactiver TPM dans le BIOS de votre PC ou sur l'OS Windows 10.
L'article suivante donne la démarche complète :

Liens

C'est donc un mécanisme important pour la sécurité de votre PC.
Pour connaître toutes les protections de Windows 10 suivez ce lien :