Tutoriel 📝 Corriger les erreurs BitLocker liées au TPM défectueux ou incompatible

[Sylvain*]

Corriger les erreurs BitLocker liées au TPM défectueux ou incompatible

Introduction

Ce tutoriel aborde les problèmes rencontrés lors de l’utilisation des fonctionnalités avancées de BitLocker avec un module TPM (Trusted Platform Module) sur Windows. Ces difficultés surviennent souvent lorsqu’un TPM est défectueux, désactivé dans le BIOS/UEFI ou non conforme aux exigences de BitLocker. Cela empêche l’activation du chiffrement ou provoque des erreurs de validation de l’environnement de démarrage.

---

Prérequis

• Connaissances générales sur la sécurité et le chiffrement dans Windows

• Accès au BIOS/UEFI pour vérifier et configurer le TPM

• Permissions administrateur sur le poste pour exécuter et configurer BitLocker

---

Différentes Approches

• Approche #1 : CMD – Vérifier et activer le TPM, gérer BitLocker manuellement

• Approche #2 : PowerShell – Automatiser la vérification du TPM et configuration BitLocker

• Approche #3 : Script .PS1 pour configurer BitLocker sans TPM (mode USB ou mot de passe)

---

Niveau de difficulté

• Approche #1 : Facile

• Approche #2 : Moyen

• Approche #3 : Moyen à Avancé

---

Les Avantages

• Approche #1 : Diagnostic rapide et accessible sans script

• Approche #2 : Automatisation efficace sur plusieurs postes

• Approche #3 : Permet d’activer BitLocker même sans TPM valide

---

Les Inconvénients

• Approche #1 : Nécessite des manipulations manuelles en cas d’erreur

• Approche #2 : Requiert PowerShell en mode administrateur

• Approche #3 : Moins sécurisé que l’usage du TPM natif

---

Approche #1

Ouvrir CMD en tant qu’administrateur

Vérifier l’état du TPM

manage-bde -status

Activer manuellement le TPM dans le BIOS si nécessaire

Activer BitLocker avec TPM

manage-bde -on C: -tpm

Vérifier que la protection est active

manage-bde -status C:

---

Approche #2

Ouvrir PowerShell en tant qu’administrateur

Vérifier l’état du TPM

Get-WmiObject -Namespace "Root\CIMv2\Security\MicrosoftTpm" -Class Win32_Tpm

Activer BitLocker avec TPM si le TPM est prêt

Enable-BitLocker -MountPoint "C:" -TpmProtector

Vérifier l’état du chiffrement

Get-BitLockerVolume

---

Approche #3

Créer un fichier .ps1 pour activer BitLocker sans TPM

Exemple de script

$policy = "HKLM:\SOFTWARE\Policies\Microsoft\FVE"
New-Item -Path $policy -Force
Set-ItemProperty -Path $policy -Name UseAdvancedStartup -Value 1
Set-ItemProperty -Path $policy -Name EnableBDEWithNoTPM -Value 1
Enable-BitLocker -MountPoint "C:" -PasswordProtector

Lancer le script en administrateur

powershell -ExecutionPolicy Bypass -File "C:\Scripts\BitLocker_NoTPM.ps1"

Vérifier que BitLocker fonctionne avec authentification par mot de passe

---

Astuce

Mettre à jour le firmware du TPM via le constructeur de la carte mère pour corriger certains bugs de compatibilité.

---

Mise en garde

L’utilisation de BitLocker sans TPM peut exposer les données à des attaques physiques si le mot de passe est compromis. Toujours utiliser une clé USB ou un PIN sécurisé en complément.

---

Conseil

Configurer les GPO Ordinateur > Modèles d'administration > Composants Windows > BitLocker pour forcer ou restreindre l’usage de BitLocker selon la présence du TPM.

---

Solution alternative

Utiliser des outils spécialisés pour le diagnostic TPM et gestion BitLocker :

• TPM Management Console (tpm.msc)

• Recherche Google – BitLocker sans TPM

---

Références

• Support Microsoft

• Microsoft Learn

• Recherche Google

• Recherche Github

---

Conclusion

Les erreurs liées à l'utilisation de BitLocker avec un TPM défectueux ou incompatible peuvent bloquer le chiffrement complet du disque. Grâce à des vérifications manuelles via CMD ou à des scripts PowerShell adaptés, il est possible de diagnostiquer l'état du TPM, d'activer BitLocker ou de contourner temporairement l'exigence du TPM. Il est cependant recommandé d’utiliser un TPM fonctionnel pour bénéficier d’une sécurité optimale.