Windows 11 : comment activer BitLocker sur un PC sans puce TPM ?

I. Présentation

Dans ce tutoriel, nous allons voir comment activer BitLocker sous Windows 11 sur un PC qui n'est pas équipé d'une puce TPM. Si vous avez installé Windows 11 sur une machine qui ne respecte pas tous les prérequis de Windows 11, il  y a des chances que vous vous retrouviez dans cette solution notamment parce que l'absence d'une puce TPM est un cas courant.

Si vous lisez cet article, c'est peut-être parce que vous avez eu la mauvaise surprise de voir le message suivant s'afficher au moment d'activer BitLocker : Ce périphérique ne peut pas utiliser un module de plateforme sécurisée (TPM). Votre administrateur doit définir l'option "Autoriser BitLocker sans un module de plateforme sécurisée compatible" dans la stratégie "Demander une authentification supplémentaire au démarrage" pour les volumes du système d'exploitation.

Ce périphérique ne peut pas utiliser un module de plateforme sécurisée (TPM).
Ce périphérique ne peut pas utiliser un module de plateforme sécurisée (TPM)....

Nous allons voir comment régler ce problème afin de permettre l'utilisation de BitLocker.

BitLocker sans puce TPM, qu'est-ce que ça change ?

Lorsqu'un PC est équipé d'une puce TPM et que l'on active BitLocker, la clé secrète qui sert à déverrouiller l'accès à votre disque chiffré est stockée dans la puce TPM de façon sécurisée. Windows accède au contenu de la puce TPM au démarrage et vous n'avez rien à faire. Si vous n'avez pas de puce TPM, Windows ne peut pas déverrouiller l'accès au disque tout seul, alors au démarrage de votre PC vous allez devoir saisir votre clé secrète manuellement, ou utiliser un périphérique USB sur lequel la clé secrète est stockée. Sans cela, le PC ne pourra pas démarrer. C'est la principale différence.

II. Activer BitLocker sur Windows 11 sans puce TPM

Pour que l'on puisse activer BitLocker sur Windows 11 sans puce TPM, il faut que l'on modifie la stratégie locale de la machine. Effectuez un clic droit sur le bouton du menu Démarrer, et dans le menu qui apparaît cliquez sur "Exécuter". Ensuite, saisissez "gpedit.msc" et validez.

L'éditeur de la stratégie de l'ordinateur local va s'afficher. Parcourez l'arborescence de cette façon :

Configuration ordinateur > Modèles d'administration > Composants Windows > Chiffrement de lecteur BitLocker > Lecteurs du système d'exploitation.

A cet endroit, vous allez trouver un paramètre nommé "Exiger une authentification supplémentaire au démarrage". Double-cliquez sur ce paramètre pour le configurer.

Exiger une authentification supplémentaire au démarrage

Commencez par cocher l'option "Activé" en haut à gauche, puis en dessous cochez l'option "Autoriser BitLocker sans un module de plateforme sécurisée compatible (requiert un mot de passe ou une clé de démarrage sur un disque mémoire flash USB)". Laissez les autres options par défaut et validez.

BitLocker - Exiger une authentification supplémentaire au démarrage
BitLocker - Exiger une authentification supplémentaire au démarrage

Avec cette modification, vous devriez pouvoir activer BitLocker sur votre PC !

III. Chiffrer Windows 11 avec BitLocker et sans puce TPM

Il y a plusieurs façons d'activer BitLocker sous Windows 11. Pour ma part, celle que je trouve la plus simple consiste à ouvrir l'Explorateur de fichiers,  à cliquer sur "Ce PC" pour ensuite faire un clic droit sur le disque à chiffrer (ici "Disque local (C:)") et cliquer sur "Activer BitLocker".

Option "Activer BitLocker" sur le disque système
Option "Activer BitLocker" sur le disque système

L'assistant BitLocker va s'exécuter et cette fois-ci l'erreur ne s'affiche plus. Parfait. L'étape "Choisir le mode de déverrouillage de votre lecteur au démarrage" s'affiche en premier. Vous devez choisir entre "Entrer un mot de passe" c'est-à-dire un mot de passe qu'il faudra saisir à chaque démarrage de votre PC, ou "Insérer un lecteur flash USB" cela signifie que le périphérique USB où est stocké la clé secrète doit être toujours connecté à votre machine (et c'est aussi, en soit, un élément vulnérable). Pour ma part, je préfère opter pour l'utilisation d'un mot de passe.

Il faut déterminer un mot de passe, à la fois sécurisé, mais aussi mémorisable, car je vous rappelle qu'il faudra le saisir à chaque démarrage du PC. Si une personne malintentionnée récupère ce mot de passe, elle peut déchiffrer votre disque et accéder à son contenu.

Si vous vous réveillez un matin et que vous avez complètement oublié votre mot de passe BitLocker, et qu'en plus vous ne l'avez pas renseignée dans votre gestionnaire de mots de passe favori, vous êtes un peu coincé ! Heureusement, vous pouvez débloquer l'accès à votre système grâce à une clé de récupération qui est une sorte de code de secours. Vous pouvez l'enregistrer sur une clé USB, sur un autre volume de votre PC (sur le volume que vous souhaitez chiffrer, ce ne sera pas possible) ou vous pouvez aussi l'imprimer.

L'impression pourra s'effectuer sur l'imprimante de votre choix, y compris au format PDF sur le disque que vous souhaitez chiffrer. Ce PDF peut ensuite être déplacé sur un espace de stockage Cloud comme OneDrive ou sur votre NAS. Le tout est de ne pas le perdre.

Ce document contient un identificateur correspondant à votre machine et une clé de récupération associée qu'il faudra saisir en cas de problème. Voici un exemple :

Passez à l'étape suivante intitulée "Choisir dans quelle proportion chiffrer le lecteur".

En résumé, si vous venez d'installer Windows, choisissez l'option "Ne chiffrer que l'espace disque utilisé". De cette façon, BitLocker va chiffrer les données au fur et à mesure à la volée, en chiffrant bien sûr celles déjà sur votre disque.

Par contre, si vous utilisez votre PC depuis un bon moment déjà, ce qui est probablement le cas si vous avez fait une mise à niveau de Windows 10 vers Windows 11, il vaut mieux prendre l'option "Chiffrer tout le lecteur". BitLocker va chiffrer l'intégralité du disque dès à présent, alors autant vous dire que ça peut être long. Quel est l'intérêt ? Si vous utilisez votre PC déjà depuis plusieurs mois, il y a des chances pour que vous ayez déjà supprimé des données. Ces données peuvent être confidentielles et peut être que les espaces mémoires où étaient stockés ces données n'ont pas été réécrit pour le moment, donc ces espaces restent vulnérables aux outils de récupération de données. En bref, si vous chiffrez tout le disque dès maintenant, vous protégez votre machine contre la récupération de données sur des espaces mémoires pas encore réutilisés.

Sachez que dans tous les cas, toutes vos données actuelles et toutes les données futures seront chiffrées via BitLocker.

Puisque nous sommes sur Windows 11 et qu'il s'agit du disque système, on peut cocher l'option "Nouveau mode de chiffrement" pour utiliser le chiffrement XTS-AES. Microsoft précise qu'il améliore la gestion de l'intégrité des données.

Lorsque l'étape "Êtes-vous prêt à chiffrer ce lecteur ?" s'affiche, décochez l'option "Exécuter la vérification du système BitLocker". En fait, si vous cochez cette option, il faudra redémarrer le PC pour vérifier que BitLocker arrive à récupérer tout seul la clé secrète, ce qui n'est pas possible puisque l'on a défini un mot de passe et que le PC n'a pas de puce TPM. Du coup, il faut impérativement décocher cette option pour que ça fonctionne.

Cliquez sur "Démarrer le chiffrement".

Une notification "Chiffrement en cours" apparaît en bas à droite de l'écran, cliquez dessus.

Une fenêtre va s'ouvrir pour vous permettre de suivre précisément la progression du chiffrement.

Chiffrement BitLocker en cours sous Windows 11
Chiffrement BitLocker en cours sous Windows 11

Au niveau de l'explorateur de fichiers, le disque local apparaît avec un icône spécial qui montre que BitLocker est actif.

Si vous redémarrez votre PC (ou que vous l'arrêtez puis que vous le démarrez), le message "Entrer le mot de passe pour déverrouiller ce lecteur" va s'afficher avant le démarrage de Windows. C'est là qu'il faut saisir votre mot de passe pour déverrouiller le lecteur et permettre à Windows de démarrer.

Démarrage d'un PC Windows 11 protégé par BitLocker mais sans puce TPM
Démarrage d'un PC Windows 11 protégé par BitLocker, mais sans puce TPM

Voilà, votre PC sous Windows 11 est désormais protégé par le chiffrement BitLocker !

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3369 posts and counting.See all posts by florian

2 thoughts on “Windows 11 : comment activer BitLocker sur un PC sans puce TPM ?

  • Je ne sais pas si c’est toujours d’actualité, mais lors du boot et de la demande de mot de passe de bitlooker, le clavier est en US ce qui complique la saisie d’un mot de passe complex.

    Répondre
  • Bonjour,

    Je pense que c’est dans le bios que ça se passe. Tu dois avoir la langue qui doit être au format US.
    Cordialement
    Ben

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.