Effacer le TPM rendra-t-il les données cryptées par BitLocker indisponibles?
J'ai appris dans cette réponse qu'à partir de Windows 10 v1607, Windows ne permettra pas de définir, enregistrer ou modifier le mot de passe du propriétaire du TPM par défaut. Ainsi, l’option permettant de réinitialiser un verrouillage TPM en saisissant le mot de passe du propriétaire ne semble plus exister.
L'alternative consiste à vider le TPM. Le scénario suivant:
- BitLocker activé avec TPM + PIN
- mauvais PIN entré> 256 fois au fil du temps
- désormais, le TPM n'autorise jamais plus d'une tentative PIN avant d'entrer en lock-out pendant plusieurs minutes.
- lors du verrouillage du TPM, la clé de récupération peut être utilisée pour accéder au système
Est-il prudent d'effacer le TPM pour réinitialiser le compteur des tentatives erronées PIN? Les données cryptées BitLocker seront-elles perdues? L'écran d'avertissement sonne grave (ci-dessous).
Comme mentionné, la clé de récupération est disponible. Cependant, je veux éviter d'avoir à le saisir à chaque démarrage de l'ordinateur.
tl; dr:
Est-il prudent d'effacer le TPM pour réinitialiser le compteur des tentatives incorrectes PIN?
Seulement si vous avez la clé de récupération BitLocker. Si vous effacez le TPM, le lecteur chiffré ne sera accessible qu'à l'aide de la clé de récupération.
Donc, dans votre cas, vous devriez pouvoir effacer la puce TPM. Ensuite, redémarrez et entrez la clé de récupération. Une fois dans Windows, vous pouvez réactiver la puce TPM et définir un nouveau code PIN.
Explication plus longue:
En règle générale, BitLocker (voir l’exception ci-dessous) utilise la puce TPM de l’ordinateur pour stocker la clé nécessaire au déchiffrement du lecteur de démarrage. Si la puce TPM est effacée, cette clé est perdue (pour toujours). Dans ce cas, le seul moyen de déchiffrer le lecteur consiste à utiliser la clé de récupération BitLocker - elle existe spécifiquement pour des cas comme celui-ci.
En pratique, si vous démarrez à partir d'un lecteur chiffré avec BitLocker et que Windows découvre qu'il ne peut pas extraire les clés de la puce TPM, il vous demandera la clé de récupération. Vous obtiendrez un écran noir et blanc laide demandant la clé. Si vous entrez la bonne clé, Windows démarrera normalement. Si vous ne pouvez pas entrer la clé - pas de chance.
Pour plus d'informations sur le fonctionnement de BitLocker, consultez également cette question sur serverfault.com: Le module de plateforme sécurisée devait être réintialisé: Un nouveau mot de passe de récupération doit-il être chargé vers AD?
Remarque:
Il est possible d'utiliser BitLocker sans TPM, même si cette option doit d'abord être activée. Dans ce cas, effacer le TPM ne fera aucune différence. Cependant, il semblerait que vous utilisiez BitLocker avec TMP. Cela ne s'applique donc pas dans votre cas.
Oui, le TPM peut être effacé en toute sécurité lorsque la clé de récupération est disponible. Pour étayer davantage la réponse de @ sleske, voici des extraits de d'un article de Technet sur la récupération Bitlocker .
Quelles sont les causes de la récupération BitLocker?
La liste suivante fournit des exemples d'événements spécifiques qui entraîneront l'entrée en mode de récupération de BitLocker lors d'une tentative de démarrage du lecteur du système d'exploitation:
- Désactiver, désactiver, désactiver ou effacer le TPM.
Qu'est-ce que la récupération BitLocker?
La récupération BitLocker est le processus par lequel vous pouvez restaurer l'accès à un lecteur protégé par BitLocker dans le cas où vous ne pouvez pas déverrouiller le lecteur normalement. Dans un scénario de récupération, vous disposez des options suivantes pour restaurer l'accès au lecteur:
- L'utilisateur peut fournir le mot de passe de récupération. Si votre organisation autorise les utilisateurs à imprimer ou à stocker des mots de passe de récupération, l'utilisateur peut taper le mot de passe de récupération à 48 chiffresqu'ils ont imprimé ou stocké sur un lecteur USB ou avec votre compte Microsoft en ligne.