Mise à jour du 20 septembre 2021 : Microsoft a récemment proposé une nouvelle mise à jour de ses versions de test de Windows 11, bloquant la possibilité d’utiliser le système lorsque le TPM n’est pas présent, même dans le cadre d’une utilisation avec une machine virtuelle. VMware dans sa version Pro permet cette opération, les explications ont été ajoutées dans cet article.

La nouvelle configuration requise pour Windows 11, récemment annoncée, risque de créer une série de problèmes pour les personnes qui cherchent à passer au nouveau système d’exploitation de Microsoft sur leur PC actuel. Si vous avez essayé d’installer Windows 11 Insider Preview ou d’utiliser l’application Microsoft PC Health Checker, désormais désactivée, et que vous avez été accueilli par un message d’erreur indiquant « Ce PC ne peut pas exécuter Windows 11 », c’est peut-être parce que votre système ne dispose pas de deux paramètres de sécurité activés, Secure Boot et TPM 2.0.

Ces deux fonctionnalités ont été intégrées à de nombreux ordinateurs modernes et aux puces de traitement d’Intel et d’AMD, et sont désormais obligatoires pour toutes les machines exécutant Windows 11.  Si votre machine est suffisamment récente pour prendre en charge les deux, l’activation de TPM (abréviation de Trusted Platform Module) et de Secure Boot est souvent assez simple. Aucune compétence particulière n’est requise, et vous n’aurez qu’à cliquer dans des menus. Si vous n’avez jamais entendu le mot « BIOS », ne soyez pas intimidé. Avec un peu de patience et quelques explications, tout débutant peut le faire.

Que sont TPM et Secure Boot ?

Les puces TPM sont de petits dispositifs connus sous le nom de cryptoprocesseurs sécurisés. Certains TPM sont virtuels ou logiciels mais, en tant que puce, un TPM est fixé à votre carte mère lors de la construction, il est conçu pour renforcer la sécurité du matériel lors du démarrage de l’ordinateur. Le TPM est un élément technologique obligatoire sur les machines Windows depuis 2016. Les machines plus anciennes peuvent donc ne pas disposer du matériel ou du micrologiciel nécessaire. Auparavant, Microsoft exigeait des fabricants d’équipements de modèles construits pour exécuter Windows 10 qu’ils s’assurent que les machines étaient compatibles avec le TPM 1.2. TPM 2.0 est la version la plus récente requise.

Les TPM sont controversés parmi les spécialistes de la sécurité. Un TPM mis à jour et activé est un solide moyen de prévention contre les attaques de micrologiciels, qui n’ont cessé d’augmenter et d’attirer l’attention de Microsoft. Cependant, il permet également une autorisation à distance (les personnes autorisées peuvent voir quand vous apportez certaines modifications à votre ordinateur) et peut restreindre les types de logiciels que votre machine est autorisée à exécuter. Les machines équipées de TPM ne sont généralement pas livrées dans les pays où le cryptage occidental est interdit. La Chine utilise son alternative réglementée par l’État, le MTC. En Russie, l’utilisation du TPM n’est autorisée qu’avec la permission du gouvernement.

Secure Boot est une fonctionnalité du logiciel de votre ordinateur qui contrôle quels systèmes d’exploitation sont autorisés à être actifs sur la machine. C’est à la fois une bonne et une mauvaise chose pour une machine Windows. D’une part, il peut empêcher certaines catégories de logiciels malveillants invasifs de prendre le contrôle de votre machine et constitue une défense essentielle contre les ransomwares.

D’autre part, elle peut vous empêcher d’installer un deuxième système d’exploitation sur votre machine, ce qui vous permettrait d’en choisir deux lors du premier démarrage de votre ordinateur. Ainsi, si vous vouliez expérimenter les systèmes d’exploitation Linux, par exemple, Secure Boot pourrait vous en empêcher. Secure Boot joue également un rôle dans la prévention du piratage de Windows.

Quelques mises en garde

Maintenant que vous connaissez les technologies sécurisées à utiliser, il y a quelques points à garder à l’esprit avant de vous lancer dans la résolution du problème par vous-même.

Microsoft a confirmé qu’il existe quatre types de problèmes susceptibles de provoquer le message d’erreur « Ce PC ne peut pas exécuter Windows 11 » si vous avez utilisé son outil PC Health Check (l’outil a été temporairement désactivé afin que Microsoft puisse intégrer des informations plus spécifiques sur les raisons pour lesquelles votre machine n’est pas compatible). Si vous avez pu utiliser l’outil avant qu’il ne soit mis hors ligne et que vous avez constaté qu’il vous manquait le matériel nécessaire à Windows 11, les instructions ci-dessous ne vous seront d’aucune utilité – vous devrez acheter un nouveau périphérique pour exécuter le système d’exploitation. Vous pouvez également utiliser le logiciel WhyNotWin11 pour en savoir plus sur ce qu’il manque à votre machine.

Gardez à l’esprit que ces instructions sont rédigées de manière aussi générale que possible. En effet, les machines Windows varient tellement qu’il n’est pas possible de couvrir toutes les façons possibles d’activer le TPM et Secure Boot sur tous les appareils. Dans la plupart des cas, cependant, le processus est suffisamment similaire d’une machine à l’autre pour que vous puissiez utiliser les instructions comme guide et, si votre ordinateur diffère, identifier le menu ou l’étiquette équivalente dans votre propre système.

Si votre machine est encore couverte par une garantie, consultez toujours le fabricant avant de faire quoi que ce soit qui puisse potentiellement l’annuler. Si votre machine est détenue et entretenue par votre entreprise ou votre école, elle peut avoir une configuration de sécurité unique que votre personnel informatique devra gérer. C’est aussi une bonne idée de prendre contact avec votre atelier de réparation de PC local; voir un professionnel qualifié est un bon moyen de se dépanner si vous vous retrouvez dans une impasse ou si vous rencontrez des obstacles. Si vous êtes débrouillard, vous pouvez simplement poser votre question sur le forum d’entraide Windows 10 et Windows 11.

Sauvegardez toujours vos fichiers importants avant d’apporter des modifications importantes à votre ordinateur. Toujours. Faites-le, tout simplement. Vous nous remercierez plus tard.

Si c’est la première fois que vous travaillez dans un menu du BIOS, suivez les instructions et ne vous éloignez pas trop des sentiers battus. Notre mission est très simple, et rien de ce qu’on recommande ci-dessous n’endommagera votre machine ou vos données, mais la modification des paramètres du micrologiciel dans le menu du BIOS peut avoir un impact considérable. Il y a peu de garde-fous ici, et vous pouvez perdre beaucoup de données importantes très rapidement. Certaines erreurs peuvent être irréversibles pour vos données et, dans la plupart des cas, il n’y aura pas de pop-ups vous demandant gentiment si vous êtes sûr de vouloir faire ces erreurs. Evitez donc de modifier des paramètres ou d’enregistrer des modifications sans être sûr de comprendre précisément ce qui va se passer.

Mon appareil est-il capable de supporter TPM 2.0 et Secure Boot ?

Si le logiciel de compatibilité a suggéré que le TPM n’est pas activé, vous devez d’abord vérifier si ce diagnostic est exact. Voici comment procéder.

1. Sur votre bureau, appuyez sur la touche Windows + R. Cela fera apparaître une boîte de dialogue. Vous pouvez aussi simplement faire un clic-droit sur le bouton Windows > Exécuter

2. Dans le champ de texte de la boîte, tapez tpm.msc et appuyez sur Entrée. Cela devrait faire apparaître une nouvelle fenêtre intitulée « Gestion de module de plateforme sécurisée sur l’ordinateur local ».

3. Regardez la partie « Statut ». Si vous voyez un message disant « Le module de plateforme sécurisée (TPM) est prêt à être utilisé », alors le logiciel vous a mal diagnostiqué et les étapes ci-dessous ne vous aideront pas. À ce stade, il existe plusieurs raisons pour lesquelles vous pouvez recevoir un message d’erreur erroné de la part du logiciel Microsoft ou d’un autre logiciel de compatibilité. Vous pouvez simplement attendre la prochaine version du logiciel Microsoft qui sera plus aboutie.

Si vous ne voyez pas ce message, mais plutôt « Module de plateforme sécurisé compatible introuvable » ou un autre message indiquant que le TPM est peut-être désactivé, suivez les étapes suivantes.

Comment puis-je activer TPM 2.0 ?

Vous allez devoir accéder au menu du BIOS pour pouvoir accéder à votre commutateur TPM, et il y a deux façons de le faire. Nous allons découvrir les deux ici. La première est destinée aux PC les plus récents, la seconde méthode à ceux qui ont quelques années de plus. Quelle que soit la méthode que vous choisissez, vous devrez redémarrer votre machine. Sauvegardez donc votre travail et fermez toutes les fenêtres ou programmes ouverts avant de poursuivre.

Depuis le menu Démarrer de Windows 10

Si votre machine est récente et fonctionne sous Windows 10, le temps de démarrage est peut-être trop rapide pour que vous puissiez utiliser la méthode traditionnelle consistant à appuyer sur une touche particulière pour accéder au menu du BIOS avant le chargement complet de Windows. Voici comment y accéder à partir de votre bureau.

1. Démarrez votre ordinateur normalement et ouvrez le menu Démarrer en cliquant sur le bouton Windows à l’extrême gauche de votre écran. Cliquez sur l’icône Paramètres en forme d’engrenage sur le côté gauche du menu.

2. Dans la fenêtre Paramètres qui s’affiche, cliquez sur Mise à jour et sécurité. Dans le volet de gauche qui s’affiche, cliquez sur Récupération. Sous l’en-tête Démarrage avancé, cliquez sur Redémarrer maintenant.

Votre ordinateur redémarre immédiatement, et au lieu de redémarrer et de vous amener à l’écran normal du bureau, vous serez amené à un écran bleu avec quelques options.

3. Cliquez sur Dépannage, puis sur Options avancées, puis sur « Changer les paramètres du microprogramme UEFI ». Votre appareil va redémarrer.

À partir de là, passez à l’étape 2 de la section ci-dessous et suivez les étapes restantes.

Ou à partir du démarrage

Vous allez devoir agir très rapidement pour l’étape 1. Vous n’aurez que quelques secondes pour entrer dans le BIOS avant le chargement de votre système d’exploitation. Si vous ratez votre fenêtre, pas de problème, vous n’aurez qu’à redémarrer l’ordinateur et réessayer. Après l’étape 1, vous pouvez prendre tout votre temps.

1. Redémarrez votre ordinateur, et pendant qu’il démarre, vous devriez voir un message vous indiquant d’appuyer sur une certaine touche pour entrer dans le BIOS, qu’il utilise ce mot ou un autre. Sur la plupart des Dell, par exemple, vous devriez voir « Press F2 to enter Setup ». D’autres messages peuvent être « Setup = Del » ou « System Configuration : F2. » Appuyez sur la touche que l’invite vous indique et entrez dans le menu de configuration.

Selon le type d’ordinateur que vous possédez, une touche différente peut être nécessaire pour accéder au menu de configuration. Il peut s’agir de F1, F8, F10, F11, Suppr ou d’une autre touche. Si aucun message d’instructions ne s’affiche à l’écran, la règle générale est d’appuyer sur la touche lorsque vous voyez le logo du fabricant, mais avant le chargement de Windows. Pour savoir quelle touche vous permettra d’entrer, recherchez en ligne la marque et le modèle de votre ordinateur portable ainsi que l’expression « touche BIOS ».

2. Dans le BIOS ou le menu UEFI, il doit y avoir au moins une option ou un onglet intitulé « Sécurité ». À l’aide de votre clavier, accédez à cette option et appuyez sur la touche Entrée. Sur certains systèmes, vous devrez peut-être utiliser la touche + pour développer un sous-menu.

3. Une fois que vous êtes dans la section Sécurité, vous allez chercher les paramètres du TPM. Cela peut être clairement étiqueté « TPM Device », « TPM Security » ou une variante. Sur les machines Intel, il sera parfois étiqueté « PTT » ou « Intel Trusted Platform Technology ». Il peut également apparaître sous le nom de « AMD fTPM Switch ».

Attention : Restez vigilant ici. Dans la plupart des menus de paramètres TPM, vous avez généralement la possibilité d’effacer votre TPM, de le mettre à jour ou de le restaurer aux valeurs d’usine. Ne faites pas cela maintenant. L’effacement du TPM vous fera perdre toutes les données cryptées par le TPM et toutes les clés de cryptage. Cette action ne peut pas être annulée ou inversée.

4. Depuis l’intérieur du menu des paramètres du TPM, vous avez une seule mission : Trouver l’interrupteur qui allume le TPM. Vous ne touchez à rien d’autre. Recherchez parmi les options de ce menu celle qui présente une forme de bascule ou d’interrupteur à côté du mot « Enable » ou « Unavailable » ou même simplement « Off ». Utilisez vos touches fléchées pour basculer ce commutateur ou cet interrupteur.  

5. 5. Une fois que vous avez activé le TPM, recherchez « Save » sur l’écran ou « Sauvegarder et quitter » en français. Une fois que vous avez enregistré ce paramètre, redémarrez l’ordinateur.

Cas particulier : avec une machine virtuelle VMware

Certains utilisateurs font tourner Windows 11 sur une machine virtuelle, avec un logiciel qui va permettre de faire tourner un système d’exploitation dans un autre système d’exploitation. Actuellement seul VMware dans sa version Pro permet d’émuler la présence de la puce TPM.

Il est possible de l’activer en se servant de l’assistant d’installation de matériel du programme. Voici comment réaliser l’opération.

• En pratique : comment activer le TPM pour installer Windows 11 avec VMware

Comment activer Secure Boot ?

Vous vous épargnerez des maux de tête si vous gardez à l’esprit une chose concernant l’activation de Secure Boot. Parfois, après avoir activé Secure Boot sur une machine qui exécute un logiciel incompatible, la machine refusera de charger Windows correctement au redémarrage. Si cela se produit, ne paniquez pas. Vous n’avez rien cassé.

Quelle que soit la méthode que vous avez utilisée pour accéder au menu de démarrage au départ – soit via le menu Démarrer de Windows 10, soit par la méthode traditionnelle consistant à appuyer sur une touche spécifique pendant le démarrage – vous pouvez toujours utiliser la méthode traditionnelle pour revenir au menu de démarrage et désactiver Secure Boot à nouveau.

Depuis le menu Windows 10

Suivez les étapes ci-dessus pour accéder aux paramètres du micrologiciel UEFI.

1. Une fois que vous êtes dans l’UEFI, vous allez chercher le paramètre Secure Boot. Il y a plusieurs endroits où il peut se trouver – vérifiez sous les onglets intitulés Boot, Security ou Authentication.

2. Une fois que vous avez vérifié les onglets et trouvé le paramètre Secure Boot, basculez l’interrupteur à côté pour l’activer ou le désactiver.

3. Trouvez la fonction Enregistrer et, après avoir enregistré vos modifications et quitté le menu, votre ordinateur devrait redémarrer et vous ramener à un bureau Windows normal.

Sur certains PC, il se peut que vous ne trouviez pas facilement le paramètre Secure Boot. Certains ordinateurs chargeront les clés d’amorçage sécurisé sous un onglet personnalisé. Certains ordinateurs ne vous permettront pas d’activer le démarrage sécurisé tant que certains paramètres d’usine n’auront pas été restaurés. Si vous ne parvenez pas à accéder à Secure Boot ou si vous êtes bloqué ici, il est préférable de demander l’aide d’un professionnel plutôt que de prendre des risques.

Depuis le démarrage

Si votre PC ne propose pas l’UEFI, vous devriez pouvoir activer Secure Boot dans le BIOS.

1. Comme vous l’avez fait pour activer votre TPM, appuyez sur F2 (ou sur la touche spécifiée par votre fabricant) lorsque votre ordinateur démarre et entrez dans le menu du BIOS. 

2. Allez à l’onglet ou à l’option qui dit Configuration du BIOS, puis sélectionnez Avancé.

3. Ensuite, sélectionnez Boot Options (Options de démarrage) et une liste de celles-ci devrait apparaître.

4. Dans cette liste, trouvez Secure Boot. Activez-la.

5. Cliquez sur Enregistrer, quittez le système de menus et redémarrez votre ordinateur s’il ne redémarre pas automatiquement.

Que faire si je n’ai pas de puce TPM ?

Les fabricants de cartes mères lésinent parfois sur l’installation de la puce TPM réelle et envoient plutôt les cartes avec seulement la partie qui permet à la puce de se connecter à la carte. Si vous découvrez que votre puce TPM n’a pas été installée lors de l’achat de votre PC, et que vous ne disposez pas d’une version TPM virtuelle ou logicielle, il vous reste quelques options.

Votre première option est d’essayer de retourner votre machine via la garantie de votre fabricant. Cela suppose, bien sûr, que celui-ci est toujours sous garantie et que le fabricant de votre machine est disposé à installer la puce qu’il vous a déjà vendue, ou à remplacer votre modèle par un autre équipé d’une puce. La deuxième option, la plus coûteuse, consiste à acheter une machine plus récente après avoir vérifié qu’elle est bien équipée d’une puce compatible TPM 2.0.

Si votre garantie est déjà annulée, votre troisième option – moins coûteuse, mais peut-être plus difficile – est d’acheter une carte mère entièrement neuve avec une puce TPM 2.0 installée, puis d’échanger les cartes vous-même ou de demander à un atelier de réparation local de s’en charger. Sachez toutefois que la pénurie mondiale de puces a réduit l’offre mondiale de cartes mères, ce qui les rend plus difficiles à trouver et fait grimper les prix pour certaines marques.

Enfin, vous ou un atelier de réparation pouvez essayer la quatrième option : trouver une puce TPM avec les bonnes spécifications pour votre carte mère et l’installer. Nos confrères de ZDNet US ont tenté l’expérience et montre les instructions étape par étape avec une galerie d’images utiles pour vous guider.

Quelle que soit la voie que vous choisissez, nous vous conseillons vivement de consulter d’abord le fabricant ou un spécialiste de la réparation des appareils avant d’essayer de démonter votre machine. Il vous suffira peut-être de passer quelques instants avec un professionnel compétent pour transformer le cauchemar de la non mise à niveau vers Windows 11 en une solution rapide.

• A lire aussi : prix, configuration, dates  etc, tout savoir sur Windows 11

Article de CNET.com adapté par CNET France