Résumé
Il existe une faille de sécurité dans certains circuits microprogrammés du module de plateforme sécurisée (TPM). Cette vulnérabilité affaiblit la puissance des clés.
Pour en savoir plus sur cette vulnérabilité, consultez la page ADV170012.
Informations supplémentaires
Important
Étant donné que les clés Carte à puce virtuelle (VSC) ne sont stockées que dans le module TPM, tout appareil qui utilise un module TPM concerné est vulnérable.
Suivez les étapes ci-dessous pour atténuer la vulnérabilité dans le module TPM pour VSC décrite dans l’Avis de sécurité Microsoft ADV170012 lorsqu’une mise à jour du microprogramme du module TPM est disponible auprès de votre fabricant OEM. Microsoft mettra à jour ce document dès que des atténuations supplémentaires seront disponibles.
Récupérez toutes les clés BitLocker ou de chiffrement de l’appareil avant d’installer la mise à jour du microprogramme du module TPM.
Il est important de commencer par récupérer les clés. En effet, en cas de panne pendant la mise à jour du microprogramme du module TPM, la clé de récupération sera requise pour redémarrer le système si BitLocker n’est pas suspendu ou si le chiffrement de l’appareil est actif.
Si BitLocker ou le chiffrement de l’appareil est activé sur l’appareil, veillez à extraire la clé de récupération. L’exemple ci-dessous indique comment afficher la clé BitLocker ou de chiffrement de l’appareil pour un seul volume. Si plusieurs partitions de disque dur sont présentes, chaque partition peut comporter une clé de récupération distincte. Veillez à enregistrer la clé de récupération pour le volume du système d’exploitation (généralement C). Si votre système d’exploitation est installé sur un autre volume, adaptez le paramètre en conséquence.
Exécutez le script suivant dans une invite de commandes disposant des droits d’administrateur :
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
Si BitLocker ou le chiffrement de l’appareil est activé pour le volume du système d’exploitation, suspendez-le. L’exemple ci-dessous indique comment suspendre BitLocker ou le chiffrement de l’appareil. (Si votre système d’exploitation est installé sur un autre volume, adaptez le paramètre en conséquence.)
Exécutez le script suivant dans une invite de commandes disposant des droits d’administrateur :
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
Remarque Sous Windows 8 et les versions ultérieures, BitLocker et le chiffrement de l’appareil reprennent automatiquement après un redémarrage. Par conséquent, veillez à ce que BitLocker et le chiffrement de l’appareil soient suspendus immédiatement avant l’installation de la mise à jour du microprogramme du module TPM. Sous Windows 7 et les versions antérieures, BitLocker doit être réactivé manuellement après l’installation de la mise à jour du microprogramme.
Installer la mise à jour du microprogramme applicable pour mettre à jour le module TPM concerné conformément aux instructions du fabricant OEM
Il s’agit de la mise à jour publiée par votre fabricant OEM pour corriger la vulnérabilité dans le module TPM. Reportez-vous à l’étape 4 : « Appliquez les mises à jour appropriées du microprogramme » dans l’Avis de sécurité Microsoft ADV170012 pour plus d’informations sur l’obtention de la mise à jour TPM auprès de votre fabricant OEM.
Supprimer et réinscrire VSC
Une fois la mise à jour du microprogramme TPM appliquée, les clés faibles doivent être supprimées. Il est recommandé d’utiliser les outils de gestion fournis par les partenaires VSC (Intercede, par exemple) pour supprimer la carte à puce virtuelle (VSC) existante et la réinscrire.