La nouvelle version de Windows exige la présence d’un module de sécurité de dernière génération. La bonne nouvelle, c’est qu’il est probable que votre ordinateur dispose déjà d’un tel composant.
Pour pouvoir installer Windows 11 sur un ordinateur, il faudra respecter une configuration matérielle minimale. Celle-ci spécifie, entre autres, la présence d’un « Trusted Platform Module » (TPM) en version 2.0. Un TPM, c’est un coffre-fort cryptographique qui permet de créer, gérer et stocker des clés secrètes et des données très sensibles du système. Ce composant permet de créer un espace de calcul totalement séparé de celui du système d’exploitation et l’accès à ses données est hautement sécurisé, afin de se protéger au maximum d’un éventuel pirate qui arriverait à infecter la machine.
Utilisé par BitLocker pour chiffrer les disques
Au sein de Windows 10 le module TPM est utilisé de différentes manières. Il sert à chiffrer les données du disque dur, que ce soit dans la cadre de « BitLocker Drive Encryption » (disponible sur les versions Pro et Entreprise) ou de sa version édulcorée « Device Encryption » (disponible sur les versions Windows grand public). Dans le cadre d’un processus baptisé « Measured Boot », il permet aussi de surveiller et vérifier les différentes étapes du démarrage de la machine.
Le TPM permet également de générer et stocker des clés secrètes et les données cryptographiques pour les applications du système (« Platform Crypto Provider »), et notamment pour Windows Hello, la fonction de contrôle d’accès biométrique, et Windows Defender, le logiciel anti-malware de Windows. Dans les environnements professionnels, le TPM peut par ailleurs jouer le rôle d’une carte à puce (« Virtual Smart Card ») et protéger les jetons d’accès aux différentes ressources de l’entreprise (« Credential Guard »). Selon Microsoft, l’utilisation de ces différentes mesures de protection permettrait de réduire de 60% la probabilité d’être infecté par des malwares.
Un composant désormais très courant
En somme, le TPM est aujourd’hui une brique de sécurité essentielle sur laquelle s’appuient de plus en plus de fonctionnalités de Windows et d’applications tierces. Et sous Windows 11, ce composant va forcément gagner en importance. Pour faire tourner Windows 10, la présence d’un TPM 2.0 n’est pas obligatoire. Toutefois, Microsoft a contraint ses partenaires fabricants à en intégrer un systématiquement depuis juillet 2016. Si votre PC n’est pas trop vieux, il y a donc de grandes chances que vous en disposiez un. S’il n’est pas activé, vous pouvez le faire au travers du menu de votre BIOS UEFI.
A quoi ressemble concrètement un TPM? Par le passé, ces composants ont systématiquement pris la forme d’une puce autonome, soudée sur la carte mère et connectée par un bus LPC ou SPI. Avec la version 2.0, ce module peut également être implémenté au niveau du firmware sous la forme d’un espace d’exécution séparée. Ces « firmware TPM » (ou fTPM) permettent d’économiser de la place sur la carte mère et d’économiser de l’énergie, tout en ayant un niveau de sécurité similaire. C’est la forme la plus courante des TPM et les principaux fournisseurs de puces disposent d’une telle technologie. Elle s’appelle « Platform Trust Technology » (PTT) chez Intel, « fTPM » chez AMD et « TrustZone » chez ARM.
Windows se met à niveau des OS mobiles
Si Microsoft impose désormais la présence d’un TPM 2.0 pour Windows 11, c’est pour élever le niveau de sécurité générale de son système d’exploitation. Comme les attaques informatiques deviennent de plus en plus sophistiquées, faire l’impasse sur un coffre-fort cryptographique serait aujourd’hui suicidaire. Les acteurs du monde mobile l’on bien compris. Les smartphones Android et iOS disposent depuis des années d’un genre de TPM, appelé respectivement « TrustZone » et « Secure Enclave ». Par ailleurs, Microsoft ne peut pas se contenter de la version précédente TPM 1.2, dont les services proposés sont devenus désuets. En effet, celle-ci n’intégrait que les algorithmes cryptographiques SHA-1 et RSA, sachant qu’AES était en option. Son successeur propose une palette beaucoup plus solide, en ajoutant SHA-256, ECC, HMAC et AES 128 bits.
Source : Microsoft