Comment activer BitLocker sans TPM dans Windows 11 et Windows 10

Présentation

Comment BitLocker fonctionne sans module TPM dans Windows

BitLocker utilise normalement un Trusted Platform Module (TPM) compatible pour aider à protéger le lecteur du système d’exploitation et ne libérer la clé de chiffrement que lorsque l’environnement de démarrage semble fiable. Sur un ordinateur sans TPM utilisable, BitLocker peut tout de même chiffrer le lecteur Windows, mais il doit utiliser un autre protecteur de démarrage.

En pratique, activer BitLocker sans TPM signifie que Windows exigera une authentification avant le démarrage. Selon les options disponibles dans votre édition de Windows et sur votre matériel, il peut s’agir d’un mot de passe de démarrage ou d’une clé USB contenant une clé de démarrage BitLocker. Le lecteur reste chiffré, mais l’ordinateur ne peut pas le déverrouiller silencieusement avant le lancement de Windows.

ℹ️

Concept important

Sans TPM, BitLocker ne dispose pas de la même vérification d’intégrité du démarrage appuyée par le matériel. La protection chiffre toujours le lecteur, mais l’identifiant de démarrage devient beaucoup plus important.

🔐

Les données sont chiffrées

Les fichiers du lecteur système sont protégés lorsque le PC est éteint, perdu, volé ou retiré de l’ordinateur.

⌨️

Une saisie au démarrage est requise

Vous devez fournir un mot de passe de démarrage ou insérer une clé USB contenant la clé de démarrage avant que Windows puisse démarrer.

🧩

La stratégie doit être modifiée

Windows bloque cette configuration tant que la stratégie Autoriser BitLocker sans TPM compatible n’est pas activée.

Avant de commencer

Prérequis pour activer BitLocker sans TPM dans Windows 11 ou Windows 10

Avant de modifier les paramètres BitLocker, vérifiez que l’ordinateur et l’édition de Windows peuvent prendre en charge cette configuration. C’est particulièrement important sur les anciens PC, les configurations assemblées, les machines virtuelles et les ordinateurs portables où le TPM a été désactivé dans le BIOS ou l’UEFI.

Prérequis	Pourquoi c’est important	Ce qu’il faut vérifier
Édition de Windows	Le chiffrement complet de lecteur BitLocker est disponible sur Windows Pro, Enterprise, Education et certaines éditions professionnelles.	Ouvrez `winver` ou Paramètres → Système → À propos.
Compte administrateur	La modification de la stratégie BitLocker et le chiffrement du lecteur système nécessitent des autorisations élevées.	Utilisez un compte capable d’ouvrir Windows Terminal, PowerShell ou l’invite de commandes en tant qu’administrateur.
Stockage de la clé de récupération	Si le mot de passe de démarrage ou la clé USB est perdu, la clé de récupération peut être le seul moyen de déverrouiller le lecteur.	Préparez un compte Microsoft, une copie imprimée, un lecteur externe ou une entrée sécurisée dans un gestionnaire de mots de passe.
Prise en charge du démarrage USB	Si vous utilisez une clé de démarrage USB, le firmware doit pouvoir lire le lecteur USB avant le démarrage de Windows.	Confirmez que le stockage USB fonctionne en mode de démarrage BIOS/UEFI et exécutez la vérification système BitLocker.
Sauvegarde des fichiers importants	Le chiffrement modifie tout le lecteur système et une erreur avec les clés peut vous empêcher d’y accéder.	Sauvegardez vos fichiers personnels avant d’activer BitLocker sur le lecteur du système d’exploitation.

⚠️

À ne pas ignorer

Ne stockez jamais l’unique copie de la clé de récupération sur le même lecteur Windows chiffré. Si le lecteur se verrouille, cette copie sera également inaccessible.

Étape 01

Comment vérifier si votre PC Windows possède un module TPM

Commencez par vérifier si le TPM est réellement absent ou simplement désactivé. De nombreux PC modernes disposent d’un TPM 2.0 intégré au firmware, mais il peut être désactivé dans le BIOS/UEFI ou porter un autre nom, par exemple Intel PTT ou AMD fTPM.

Vérifier le TPM avec tpm.msc

Appuyez sur Win + R.
Tapez tpm.msc et appuyez sur Enter.
Regardez la section État.
Si le message indique Le TPM est prêt à être utilisé, votre PC dispose d’un TPM fonctionnel.
Si un TPM compatible est introuvable, continuez avec la configuration BitLocker sans TPM ou vérifiez d’abord le BIOS/UEFI.

Vérifier le TPM avec PowerShell

Get-Tpm

Si TpmPresent vaut False, Windows ne détecte actuellement aucun TPM. Si TpmPresent vaut True mais que TpmReady vaut False, le module existe, mais il peut devoir être activé, initialisé ou réparé.

✅

Meilleure option si disponible

Si votre ordinateur possède un TPM mais qu’il est désactivé, l’activer dans le BIOS/UEFI est généralement préférable à l’utilisation de BitLocker sans TPM. BitLocker basé sur TPM peut se déverrouiller plus facilement et offrir une meilleure protection de l’état de démarrage.

Étape 02

Activer la stratégie « Autoriser BitLocker sans TPM compatible »

Par défaut, Windows peut afficher l’erreur Cet appareil ne peut pas utiliser un module de plateforme sécurisée lorsque vous essayez de chiffrer le lecteur du système d’exploitation. Pour autoriser BitLocker sans TPM, modifiez d’abord un paramètre de stratégie de groupe locale.

      Configuration ordinateur
      →
      Modèles d’administration
      →
      Composants Windows
      →
      Chiffrement de lecteur BitLocker
      →
      Lecteurs du système d’exploitation
    

Appuyez sur Win + R, tapez gpedit.msc, puis appuyez sur Enter.
Accédez à Configuration ordinateur → Modèles d’administration → Composants Windows → Chiffrement de lecteur BitLocker → Lecteurs du système d’exploitation.
Double-cliquez sur Demander une authentification supplémentaire au démarrage.
Sélectionnez Activé.
Cochez Autoriser BitLocker sans TPM compatible (nécessite un mot de passe ou une clé de démarrage sur un lecteur flash USB).
Laissez les options liées au TPM inchangées, sauf si vous configurez également BitLocker pour des ordinateurs qui possèdent un TPM.
Cliquez sur Appliquer, puis sur OK.

Forcer l’actualisation de la stratégie

Vous pouvez redémarrer Windows ou exécuter cette commande dans une invite de commandes avec élévation de privilèges :

gpupdate /force

💡

Nom de stratégie à retenir

Le paramètre essentiel est Demander une authentification supplémentaire au démarrage. La case à cocher dans cette stratégie est ce qui autorise BitLocker sur un lecteur de système d’exploitation sans TPM compatible.

Étape 03

Comment activer BitLocker sans TPM après avoir modifié la stratégie

Une fois la stratégie activée, démarrez BitLocker depuis le Panneau de configuration. Cette méthode est plus sûre pour la plupart des utilisateurs, car Windows affiche l’assistant de configuration, demande où enregistrer la clé de récupération et peut effectuer une vérification système avant le début du chiffrement.

Ouvrir le chiffrement de lecteur BitLocker

Appuyez sur Win + R.
Tapez control /name Microsoft.BitLockerDriveEncryption et appuyez sur Enter.
Recherchez le lecteur du système d’exploitation, généralement C:.
Cliquez sur Activer BitLocker.
Choisissez la méthode de démarrage proposée par l’assistant : mot de passe ou clé de démarrage USB.
Enregistrez la clé de récupération en dehors du lecteur système chiffré.
Choisissez Chiffrer uniquement l’espace disque utilisé pour un nouveau PC, ou Chiffrer tout le lecteur pour un PC qui contenait déjà des données personnelles.
Sélectionnez le nouveau mode de chiffrement pour les lecteurs système internes Windows 10/11, sauf si vous avez besoin d’une compatibilité avec d’anciennes versions de Windows.
Exécutez la vérification système BitLocker lorsqu’elle est proposée, puis redémarrez le PC.

⚠️

Exécutez la vérification système

La vérification système BitLocker confirme que la méthode de démarrage sélectionnée fonctionne avant que Windows ne s’engage complètement dans le processus de démarrage chiffré. C’est particulièrement important avec une clé de démarrage USB.

Protection au démarrage

BitLocker sans TPM : mot de passe de démarrage ou clé de démarrage USB

Lorsque le TPM n’est pas disponible, le protecteur de démarrage devient la clé pratique du lecteur système chiffré. Choisissez une option que vous pouvez utiliser de façon fiable à chaque démarrage de l’ordinateur.

Option	Fonctionnement	Avantages	Risques
Mot de passe de démarrage	Vous saisissez un mot de passe avant le démarrage de Windows.	Aucune clé USB n’est requise. Plus simple pour les ordinateurs portables et les déplacements.	Un mot de passe faible réduit la sécurité. Un mot de passe oublié nécessite la clé de récupération.
Clé de démarrage USB	Windows lit un fichier de clé spécial depuis une clé USB avant le démarrage.	Aucune saisie de mot de passe au démarrage. Utile pour les postes fixes dans des environnements contrôlés.	La clé USB peut être perdue, copiée, endommagée ou laissée dans le PC.
Clé de récupération	Une clé d’urgence à 48 chiffres déverrouille le lecteur lorsque le protecteur de démarrage normal échoue.	Solution de secours essentielle si l’authentification au démarrage échoue.	Si elle est perdue, les données chiffrées peuvent devenir irrécupérables.

Recommandé

Utilisez un long mot de passe de démarrage si l’assistant propose une authentification au démarrage par mot de passe.
Utilisez une clé USB dédiée si vous choisissez une clé de démarrage.
Conservez au moins une copie de la clé de récupération hors ligne.
Testez le premier redémarrage avant de vous fier à la configuration.

À éviter

Ne stockez pas la clé de récupération uniquement sur C:.
Ne laissez pas une clé de démarrage USB insérée en permanence dans un ordinateur portable.
N’utilisez pas de mots de passe courts, évidents, réutilisés ou partagés.
Ne modifiez pas les paramètres de démarrage du BIOS immédiatement après l’activation du chiffrement, sauf si vous avez la clé de récupération.

Récupération

Comment sauvegarder la clé de récupération BitLocker avant de chiffrer

La clé de récupération est votre méthode d’accès d’urgence. Si Windows ne peut pas utiliser le mot de passe de démarrage ou la clé de démarrage, il peut demander la clé de récupération à 48 chiffres avant de déverrouiller le lecteur.

Endroits sûrs pour stocker la clé de récupération

Enregistrez-la dans votre compte Microsoft si l’assistant propose cette option.
Imprimez-la et conservez la copie papier dans un endroit sûr.
Enregistrez-la sur un lecteur externe séparé qui n’est pas chiffré par la même configuration BitLocker.
Stockez-la dans un gestionnaire de mots de passe fiable comme note sécurisée.
Pour les PC professionnels, suivez la stratégie de sauvegarde des clés de récupération de votre organisation.

Endroits dangereux pour stocker la clé de récupération

Le Bureau, le dossier Documents ou le dossier Téléchargements sur le même lecteur Windows chiffré.
Une capture d’écran stockée uniquement sur le même ordinateur.
Un fichier texte non protégé nommé bitlocker key.txt sur une clé USB partagée.
Un dossier cloud synchronisé automatiquement avec des comptes que vous ne contrôlez pas.

🚫

Pas de contournement

Si BitLocker est correctement configuré et que vous perdez à la fois le protecteur de démarrage normal et la clé de récupération, Windows ne peut pas simplement contourner le chiffrement. Vous pourrez peut-être réinstaller Windows, mais les fichiers chiffrés sur le volume verrouillé ne sont pas récupérables sans protecteur valide.

Commandes

Commandes utiles pour BitLocker sans TPM

Ces commandes vous aident à vérifier l’état, confirmer les protecteurs et surveiller le chiffrement. Exécutez l’invite de commandes, PowerShell ou Windows Terminal en tant qu’administrateur.

Vérifier l’état de BitLocker

manage-bde -status C:

Afficher les protecteurs BitLocker du lecteur système

manage-bde -protectors -get C:

Vérifier BitLocker avec PowerShell

Get-BitLockerVolume -MountPoint "C:"

Ouvrir l’applet BitLocker du Panneau de configuration

control /name Microsoft.BitLockerDriveEncryption

Actualiser la stratégie de groupe

gpupdate /force

Si vous utilisez des scripts pour le déploiement de BitLocker, testez-les d’abord sur une machine non critique. Les protecteurs de démarrage, le stockage de la clé de récupération, le comportement du firmware et les différences entre éditions de Windows peuvent modifier le résultat.

Notes sur les éditions

Que faire si gpedit.msc est absent dans Windows ?

Si gpedit.msc est absent, vérifiez d’abord votre édition de Windows. Les éditions Windows Home n’incluent généralement pas l’Éditeur de stratégie de groupe locale et ne fournissent pas non plus l’expérience complète de gestion BitLocker utilisée dans les éditions Pro, Enterprise et Education. Certains appareils Windows Home prennent en charge le Chiffrement de l’appareil, mais ce n’est pas la même chose que la configuration manuelle de BitLocker complet sans TPM.

Édition de Windows	Configuration de BitLocker sans TPM	Action recommandée
Windows Pro	Pris en charge via la stratégie de groupe locale et le chiffrement de lecteur BitLocker.	Utilisez `gpedit.msc`, activez la stratégie d’authentification au démarrage, puis lancez BitLocker.
Windows Enterprise / Education	Pris en charge et souvent géré par une stratégie informatique, Intune ou Active Directory.	Consultez votre administrateur avant de modifier les protecteurs de démarrage.
Windows Home	La configuration complète de BitLocker n’est normalement pas disponible.	Utilisez le Chiffrement de l’appareil s’il est pris en charge, ou passez à Pro si vous avez besoin de la gestion complète de BitLocker.

ℹ️

Modifications du Registre

Il existe des changements de stratégie BitLocker basés sur le Registre, mais l’utilisation de la stratégie de groupe locale est plus claire, plus sûre et plus facile à auditer. Pour la plupart des utilisateurs à domicile, le problème gpedit.msc absent signifie généralement que l’édition de Windows ne prend pas en charge le flux de travail BitLocker prévu.

Correctifs

Corriger les problèmes de BitLocker sans TPM dans Windows

Les problèmes les plus courants sont dus à une stratégie non appliquée, à une édition de Windows non prise en charge, à un firmware incapable de lire la clé de démarrage USB ou à des erreurs de sauvegarde de la clé de récupération.

Problème	Cause probable	Solution
Cet appareil ne peut pas utiliser un module de plateforme sécurisée	La stratégie requise est désactivée ou n’a pas été actualisée.	Activez Demander une authentification supplémentaire au démarrage, cochez la case sans TPM, puis exécutez `gpupdate /force` ou redémarrez.
L’option BitLocker est absente	Windows Home, droits administrateur manquants ou fonctionnalité BitLocker désactivée sur un PC géré.	Vérifiez l’édition de Windows avec `winver` et ouvrez le Panneau de configuration en tant qu’administrateur.
La clé de démarrage USB n’est pas détectée avant le démarrage	Le firmware ne peut pas lire la clé USB, la prise en charge du démarrage USB est désactivée ou le port n’est pas disponible en mode pré-démarrage.	Essayez un autre port USB, activez la prise en charge USB dans le BIOS/UEFI, utilisez une simple clé USB FAT32 et lancez la vérification système BitLocker.
Une demande de clé de récupération apparaît après des modifications du BIOS	La configuration de démarrage a changé après le chiffrement.	Saisissez la clé de récupération, vérifiez l’ordre de démarrage, puis suspendez BitLocker avant de futures mises à jour du firmware.
Le mot de passe ou la clé fonctionne à un démarrage mais pas à un autre	Disposition du clavier, prise en charge du clavier avant démarrage, clé USB endommagée ou chemin de démarrage modifié.	Utilisez des caractères simples pour les mots de passe de démarrage, testez un autre clavier ou port USB et gardez une copie de la clé de récupération disponible.

Conseil de maintenance sûre

Avant les mises à jour du BIOS, les changements d’ordre de démarrage, le clonage de disque, les opérations sur les partitions ou les modifications importantes du firmware, suspendez temporairement BitLocker et réactivez-le une fois la maintenance terminée.

manage-bde -protectors -disable C:
manage-bde -protectors -enable C:

FAQ

FAQ sur BitLocker sans TPM

Q Puis-je activer BitLocker sans TPM dans Windows 11 ? ▼

Oui, sur les éditions qui incluent la gestion complète de BitLocker, vous pouvez activer la stratégie qui autorise BitLocker sans TPM compatible, puis utiliser un mot de passe de démarrage ou une clé de démarrage USB.

Q BitLocker sans TPM est-il aussi sécurisé que BitLocker avec TPM ? ▼

Il chiffre toujours le lecteur, mais il ne fournit pas les mêmes vérifications d’intégrité du démarrage appuyées par le TPM. La sécurité dépend fortement du mot de passe de démarrage ou de la clé de démarrage USB, ainsi que de la manière dont vous stockez la clé de récupération.

Q Ai-je besoin d’une clé USB pour BitLocker sans TPM ? ▼

Pas toujours. Certaines configurations autorisent un mot de passe de démarrage. Si vous choisissez une clé de démarrage USB, la clé doit être disponible à chaque démarrage de l’ordinateur et doit être lisible avant le démarrage de Windows.

Q Pourquoi Windows indique-t-il encore que le TPM est requis après la modification de la stratégie ? ▼

La stratégie n’a peut-être pas été actualisée, la mauvaise stratégie a été modifiée, la case n’a pas été cochée ou BitLocker est contrôlé par une stratégie d’organisation. Exécutez gpupdate /force, redémarrez et vérifiez le chemin de stratégie sous Lecteurs du système d’exploitation.

Q Windows Home peut-il activer BitLocker sans TPM ? ▼

Windows Home n’inclut généralement pas les contrôles complets du chiffrement de lecteur BitLocker. Certains appareils Windows Home prennent en charge le Chiffrement de l’appareil, mais il s’agit d’une fonctionnalité différente qui dépend normalement d’une prise en charge matérielle de sécurité moderne.

Q Que faire si je perds la clé de démarrage USB ? ▼

Utilisez la clé de récupération BitLocker à 48 chiffres pour déverrouiller le lecteur, puis créez un nouveau protecteur de démarrage. Si vous avez également perdu la clé de récupération, les données chiffrées peuvent ne pas être récupérables.

🔐 Résumé : activez BitLocker sans TPM avec prudence

Pour activer BitLocker sans module TPM, ouvrez d’abord gpedit.msc, activez Demander une authentification supplémentaire au démarrage et cochez Autoriser BitLocker sans TPM compatible. Ensuite, activez BitLocker depuis le Panneau de configuration et choisissez la méthode de démarrage proposée par l’assistant.

La règle de sécurité la plus importante est simple : sauvegardez la clé de récupération avant le début du chiffrement et conservez-la en dehors du lecteur Windows chiffré. Sans TPM, votre mot de passe de démarrage ou votre clé de démarrage USB devient essentiel, et la clé de récupération est votre méthode d’accès d’urgence si l’authentification au démarrage échoue.