Qu'est-ce que le TPM (Trusted Platform Module) ?
Le TPM est soudé sur la carte mère de presque tous les PC vendus depuis 2010, mais Windows 11 en a fait une exigence obligatoire en 2021. Ce changement a révélé que des millions d’utilisateurs ignoraient jusqu’à son existence.
Au programme de cet article
Le microcontrôleur agit comme un coffre-fort pour le système
Le TPM fonctionne comme un coffre-fort isolé du reste de la machine. Lorsqu’un système demande une clé de chiffrement, il ne la récupère pas directement dans la mémoire vive où elle pourrait être interceptée. Il envoie une requête au TPM, qui valide l’identité du demandeur avant de libérer l’accès ou d’effectuer l’opération de chiffrement en interne.
Le TPM contrôle l’intégrité au démarrage
Lors de la mise sous tension, le TPM mesure chaque étape du processus de lancement. Il enregistre une empreinte numérique de chaque composant chargé, du firmware jusqu’au noyau du système d’exploitation. Si une modification non autorisée est détectée, le TPM refuse de libérer les clés nécessaires au déchiffrement du disque dur.
Contrairement à un logiciel de sécurité classique, le TPM possède son propre processeur et sa propre mémoire protégée. Même si un pirate parvient à prendre le contrôle total du processeur central, il ne peut pas accéder aux secrets stockés dans la puce TPM. Cette séparation physique est la garantie fondamentale qui empêche les attaques par injection de code malveillant au démarrage.
Le TPM matériel surpasse largement les émulations logicielles
La confusion est fréquente entre le TPM physique, soudé sur la carte mère et le TPM logiciel ( fTPM ou PTT). Le TPM matériel est une puce distincte, tandis que le TPM logiciel est une simple fonction exécutée par le processeur principal. Bien que les deux puissent accomplir des tâches similaires, leur niveau de sécurité diffère.
Un TPM logiciel partage les ressources du processeur central. Si le processeur est compromis par une faille de sécurité majeure, les secrets gérés par l’émulation logicielle deviennent vulnérables. Le TPM matériel, lui, reste hermétique à ces compromissions grâce à son architecture isolée.
| Critère | TPM Matériel (dTPM) | TPM Logiciel (fTPM) |
|---|---|---|
| Architecture | Puce physique dédiée | Fonction du processeur |
| Isolation | Totale | Partagée |
| Résistance aux attaques | Très élevée | Dépend du processeur |
| Coût | Intégré à la carte mère | Gratuit (intégré au CPU) |
| Usage cible | Entreprise et haute sécurité | Grand public et dépannage |
Pour une utilisation professionnelle ou le stockage de données hautement confidentielles, le matériel dédié est la seule option viable. L’émulation logicielle est une solution de dépannage, mais elle ne remplace pas la robustesse d’un composant physique indépendant.
La perte de la puce rend les données inaccessibles
La sécurité renforcée par le TPM a un revers : si la carte mère tombe en panne, le TPM est perdu avec elle. Comme les clés de chiffrement sont liées à cette puce spécifique, il est impossible de déplacer le disque dur vers une autre machine pour récupérer les données sans posséder les clés de récupération générées lors de la configuration initiale.
Il est impératif de conserver ces clés de récupération en dehors de la machine, sur un support externe ou dans un service de stockage sécurisé. Sans cette précaution, une défaillance matérielle banale peut se transformer en une perte de données définitive.
Mon PC possède-t-il un TPM ?
La plupart des PC récents en sont équipés. Vous pouvez vérifier son état dans Windows en tapant tpm.msc dans la barre de recherche. Cela ouvrira la console de gestion qui indique si le module est présent et prêt à l’emploi.
Le TPM ralentit-il mon ordinateur ?
Non, le TPM n’a aucun impact sur les performances globales du système. Il travaille en arrière-plan sur des opérations de chiffrement très légères qui ne sollicitent pas les ressources du processeur principal.