Ce type de bug peut faire paniquer !
Une nouvelle fois, le Patch Tuesday ne se déroule pas comme prévu. L’installation des derniers correctifs tourne mal pour des ordinateurs. Certains PC sous Windows affichent l’écran de récupération BitLocker au démarrage et exigent la fameuse clé de récupération à 48 chiffres.
Microsoft confirme le problème dans sa documentation. Il concerne Windows 10, Windows 11, Windows Server 2022 et Windows Server 2025. Sachant que BitLocker est censé protéger les données du PC en cas de modification sensible du démarrage ou du matériel, le voir apparaître juste après une mise à jour classique de Windows donne l’impression que la machine s’est verrouillée toute seule. De plus sans la bonne clé de récupération, le système peut refuser de démarrer normalement.
La relative bonne nouvelle est que ce bug affecte un nombre limité de machine. Il n’apparaît que dans un scénario très spécifique. Il faut que plusieurs conditions techniques soient réunies en même temps, à savoir que
BitLocker soit activé sur le disque système,
que la politique de groupe “Configurer le profil de validation de la plateforme TPM pour les configurations natives du firmware UEFI” soit configurée, et que PCR7 soit inclus dans le profil de validation,
Les informations système (msinfo32.exe) signalent la liaison PCR7 en état de démarrage sécurisé comme « Impossible ».
que le certificat UEFI CA 2023 de Windows existe dans la base de données “Secure Boot Signature” de l’appareil,
et que l’appareil ne fonctionne pas encore sous le gestionnaire de démarrage Windows signé 2023.
Microsoft propose une solution
Sur le fond, ce bug touche surtout des machines configurées de manière avancée ce qui limite normalement sa portée aux PCs Grand Public. Microsoft recommande aux entreprises d’auditer leurs stratégies BitLocker avant le déploiement et de vérifier notamment l’état de la liaison PCR7 dans msinfo32.exe.
Microsoft propose une démarche aux administrateurs système pour contourner le bug avant la distribution des correctifs. Il faut supprimer la configuration de la Stratégie de Groupe avant d’installer la mise à jour.
Ouvrez l’Éditeur stratégie de groupe (gpedit.msc) ou votre console de gestion stratégie de groupe.
Accédez à : Configuration ordinateur > Modèles d’administration > Composants Windows > Chiffrement de lecteur BitLocker > lecteurs du système d’exploitation.
Définissez « Configurer le profil de validation de plateforme TPM pour les configurations de microprogramme UEFI natives » sur « Non configuré ».
Exécutez la commande suivante sur les appareils affectés pour propager la modification de stratégie : gpupdate /force
Exécutez la commande suivante pour suspendre BitLocker (où BitLocker est activé sur le lecteur C
: manage-bde -protectors -disable C :Exécutez la commande suivante pour reprendre BitLocker (où BitLocker est activé sur le lecteur C
: manage-bde -protectors -enable C :Cela met à jour les liaisons BitLocker pour utiliser le profil PCR par défaut sélectionné par Windows.
merci à Ginjfo
