BitLocker : Etats d’une puce TPM

Il existe 8 modes opérationnels pour une puce TPM, définis à travers trois variables : enabled, activatedet owned. Ces booléens représentent respectivement le fait que la puce est inactive et sans possibilité d’en devenir propriétaire, le fait que la puce est inactive mais que l’on peut effectuer l’opération de prise de possession (TakeOwnership) et enfin le fait que la puce ait été initialisée par un propriétaire via l’opération takeownership.

L’outil tpm.msc (inclus dans Windows 7) permet d’effectuer des actions sur la puce TPM afin de modifier son état. Ainsi, il est possible d’arriver à l’état 0, 6 ou 7 comme illustré sur le schéma précédent et la capture d’écran ci-dessous :

Le changement d'état de la puce TPM nécessite l'autorisation du propriétaire de la puce (via l'utilisation du mot de passe de propriétaire) ou bien un consentement via une démonstration de la présence physique. Ainsi, le fait de modifier l’état d’une puce TPM n’ayant encore aucun propriétaire définit impose de redémarrer l’ordinateur et d’appuyer physiquement sur une touche pour valider le changement de configuration.

Par défaut, la prise de possession de la puce TPM s’effectue en trois étapes, nécessite deux redémarrages et impose la présence physique d’un opérateur. Lors de la prise de possession de la puce TPM, le mot de passe du propriétaire est définit et la puce va créer la clef SRK (Storage Root Key).

Pour automatiser la prise de possession de la puce TPM, il faut que la puce se trouve dans état correct pour la prise de possession, c'est-à-dire dans l’état enabled et activated. Il est dans ce cas nécessaire de flasher le BIOS et la mémoire CMOS contenant la configuration du BIOS.

Note : Le fait de réinitialiser ( Clear TPM) une puce TPM efface la SRK et toutes les clefs cryptographiques dérivées. Si BitLocker est activé avec un protecteur de type TPM, alors au prochain démarrage BitLocker entre alors en mode de récupération.