Windows 11 : comment activer BitLocker sur un PC sans puce TPM ?
Sommaire
I. Présentation
Dans ce tutoriel, nous allons voir comment activer BitLocker sous Windows 11 sur un PC qui n'est pas équipé d'une puce TPM. Si vous avez installé Windows 11 sur une machine qui ne respecte pas tous les prérequis de Windows 11, il y a des chances que vous vous retrouviez dans cette solution notamment parce que l'absence d'une puce TPM est un cas courant.
Si vous lisez cet article, c'est peut-être parce que vous avez eu la mauvaise surprise de voir le message suivant s'afficher au moment d'activer BitLocker : Ce périphérique ne peut pas utiliser un module de plateforme sécurisée (TPM). Votre administrateur doit définir l'option "Autoriser BitLocker sans un module de plateforme sécurisée compatible" dans la stratégie "Demander une authentification supplémentaire au démarrage" pour les volumes du système d'exploitation.
Nous allons voir comment régler ce problème afin de permettre l'utilisation de BitLocker.
BitLocker sans puce TPM, qu'est-ce que ça change ?
Lorsqu'un PC est équipé d'une puce TPM et que l'on active BitLocker, la clé secrète qui sert à déverrouiller l'accès à votre disque chiffré est stockée dans la puce TPM de façon sécurisée. Windows accède au contenu de la puce TPM au démarrage et vous n'avez rien à faire. Si vous n'avez pas de puce TPM, Windows ne peut pas déverrouiller l'accès au disque tout seul, alors au démarrage de votre PC vous allez devoir saisir votre clé secrète manuellement, ou utiliser un périphérique USB sur lequel la clé secrète est stockée. Sans cela, le PC ne pourra pas démarrer. C'est la principale différence.
II. Activer BitLocker sur Windows 11 sans puce TPM
Pour que l'on puisse activer BitLocker sur Windows 11 sans puce TPM, il faut que l'on modifie la stratégie locale de la machine. Effectuez un clic droit sur le bouton du menu Démarrer, et dans le menu qui apparaît cliquez sur "Exécuter". Ensuite, saisissez "gpedit.msc" et validez.
L'éditeur de la stratégie de l'ordinateur local va s'afficher. Parcourez l'arborescence de cette façon :
Configuration ordinateur > Modèles d'administration > Composants Windows > Chiffrement de lecteur BitLocker > Lecteurs du système d'exploitation.
A cet endroit, vous allez trouver un paramètre nommé "Exiger une authentification supplémentaire au démarrage". Double-cliquez sur ce paramètre pour le configurer.
Commencez par cocher l'option "Activé" en haut à gauche, puis en dessous cochez l'option "Autoriser BitLocker sans un module de plateforme sécurisée compatible (requiert un mot de passe ou une clé de démarrage sur un disque mémoire flash USB)". Laissez les autres options par défaut et validez.
Avec cette modification, vous devriez pouvoir activer BitLocker sur votre PC !
III. Chiffrer Windows 11 avec BitLocker et sans puce TPM
Il y a plusieurs façons d'activer BitLocker sous Windows 11. Pour ma part, celle que je trouve la plus simple consiste à ouvrir l'Explorateur de fichiers, à cliquer sur "Ce PC" pour ensuite faire un clic droit sur le disque à chiffrer (ici "Disque local (C:)") et cliquer sur "Activer BitLocker".
L'assistant BitLocker va s'exécuter et cette fois-ci l'erreur ne s'affiche plus. Parfait. L'étape "Choisir le mode de déverrouillage de votre lecteur au démarrage" s'affiche en premier. Vous devez choisir entre "Entrer un mot de passe" c'est-à-dire un mot de passe qu'il faudra saisir à chaque démarrage de votre PC, ou "Insérer un lecteur flash USB" cela signifie que le périphérique USB où est stocké la clé secrète doit être toujours connecté à votre machine (et c'est aussi, en soit, un élément vulnérable). Pour ma part, je préfère opter pour l'utilisation d'un mot de passe.
Il faut déterminer un mot de passe, à la fois sécurisé, mais aussi mémorisable, car je vous rappelle qu'il faudra le saisir à chaque démarrage du PC. Si une personne malintentionnée récupère ce mot de passe, elle peut déchiffrer votre disque et accéder à son contenu.
Si vous vous réveillez un matin et que vous avez complètement oublié votre mot de passe BitLocker, et qu'en plus vous ne l'avez pas renseignée dans votre gestionnaire de mots de passe favori, vous êtes un peu coincé ! Heureusement, vous pouvez débloquer l'accès à votre système grâce à une clé de récupération qui est une sorte de code de secours. Vous pouvez l'enregistrer sur une clé USB, sur un autre volume de votre PC (sur le volume que vous souhaitez chiffrer, ce ne sera pas possible) ou vous pouvez aussi l'imprimer.
L'impression pourra s'effectuer sur l'imprimante de votre choix, y compris au format PDF sur le disque que vous souhaitez chiffrer. Ce PDF peut ensuite être déplacé sur un espace de stockage Cloud comme OneDrive ou sur votre NAS. Le tout est de ne pas le perdre.
Ce document contient un identificateur correspondant à votre machine et une clé de récupération associée qu'il faudra saisir en cas de problème. Voici un exemple :
Passez à l'étape suivante intitulée "Choisir dans quelle proportion chiffrer le lecteur".
En résumé, si vous venez d'installer Windows, choisissez l'option "Ne chiffrer que l'espace disque utilisé". De cette façon, BitLocker va chiffrer les données au fur et à mesure à la volée, en chiffrant bien sûr celles déjà sur votre disque.
Par contre, si vous utilisez votre PC depuis un bon moment déjà, ce qui est probablement le cas si vous avez fait une mise à niveau de Windows 10 vers Windows 11, il vaut mieux prendre l'option "Chiffrer tout le lecteur". BitLocker va chiffrer l'intégralité du disque dès à présent, alors autant vous dire que ça peut être long. Quel est l'intérêt ? Si vous utilisez votre PC déjà depuis plusieurs mois, il y a des chances pour que vous ayez déjà supprimé des données. Ces données peuvent être confidentielles et peut être que les espaces mémoires où étaient stockés ces données n'ont pas été réécrit pour le moment, donc ces espaces restent vulnérables aux outils de récupération de données. En bref, si vous chiffrez tout le disque dès maintenant, vous protégez votre machine contre la récupération de données sur des espaces mémoires pas encore réutilisés.
Sachez que dans tous les cas, toutes vos données actuelles et toutes les données futures seront chiffrées via BitLocker.
Puisque nous sommes sur Windows 11 et qu'il s'agit du disque système, on peut cocher l'option "Nouveau mode de chiffrement" pour utiliser le chiffrement XTS-AES. Microsoft précise qu'il améliore la gestion de l'intégrité des données.
Lorsque l'étape "Êtes-vous prêt à chiffrer ce lecteur ?" s'affiche, décochez l'option "Exécuter la vérification du système BitLocker". En fait, si vous cochez cette option, il faudra redémarrer le PC pour vérifier que BitLocker arrive à récupérer tout seul la clé secrète, ce qui n'est pas possible puisque l'on a défini un mot de passe et que le PC n'a pas de puce TPM. Du coup, il faut impérativement décocher cette option pour que ça fonctionne.
Cliquez sur "Démarrer le chiffrement".
Une notification "Chiffrement en cours" apparaît en bas à droite de l'écran, cliquez dessus.
Une fenêtre va s'ouvrir pour vous permettre de suivre précisément la progression du chiffrement.
Au niveau de l'explorateur de fichiers, le disque local apparaît avec un icône spécial qui montre que BitLocker est actif.
Si vous redémarrez votre PC (ou que vous l'arrêtez puis que vous le démarrez), le message "Entrer le mot de passe pour déverrouiller ce lecteur" va s'afficher avant le démarrage de Windows. C'est là qu'il faut saisir votre mot de passe pour déverrouiller le lecteur et permettre à Windows de démarrer.
Voilà, votre PC sous Windows 11 est désormais protégé par le chiffrement BitLocker !
Je ne sais pas si c’est toujours d’actualité, mais lors du boot et de la demande de mot de passe de bitlooker, le clavier est en US ce qui complique la saisie d’un mot de passe complex.
C’est toujours le cas à l’heure actuelle
Bonjour,
Je pense que c’est dans le bios que ça se passe. Tu dois avoir la langue qui doit être au format US.
Cordialement
Ben