Depuis le Patch Tuesday d’avril, certains serveurs Windows Server 2025 pouvaient réclamer une clé de récupération BitLocker au redémarrage. Microsoft annonce avoir corrigé le problème dans sa mise à jour de juin.
Il avait surgi dès le Patch Tuesday d’avril, au meilleur moment, vous en conviendrez, pour les équipes IT chargées de déployer les correctifs de sécurité sur l’ensemble de leur parc. Deux mois plus tard, Microsoft indique (enfin !) avoir fait un sort au bug BitLocker qui pouvait déclencher l’écran de récupération au redémarrage de systèmes Windows Server 2025, après l’installation des mises à jour concernées. Le correctif a été intégré au Patch Tuesday de juin, via KB5094125.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Une combinaison de réglages qui coinçait BitLocker
Pour rappel, le bug ne touchait pas toutes les machines Windows, loin de là. Il concernait essentiellement des environnements administrés réunissant plusieurs conditions de configuration très précises, mêlant BitLocker, TPM, PCR7, Secure Boot et transition vers les certificats Windows UEFI CA 2023. Après l’installation du Patch Tuesday d’avril, les systèmes Windows Server 2025 exposés à ce cas de figure pouvaient alors réclamer la clé de récupération BitLocker au premier redémarrage.
D’après les éléments communiqués par Microsoft, le problème résultait plus précisément de réglages TPM incompatibles, notamment de configurations PCR7 invalides. Avec KB5094125, l’éditeur évite une nouvelle demande inattendue de clé en empêchant ces systèmes d’installer le Windows Boot Manager signé en 2023. Autrement dit, le correctif ne force pas la transition sur les machines mal alignées, il la bloque pour éviter de déclencher BitLocker au redémarrage suivant.
Ce qu’il faut vérifier après l’installation du correctif
Après installation de KB5094125, les administrateurs et administratrices peuvent repérer les systèmes encore concernés grâce à l’événement 1032, consigné dans le journal système. Il indique que la mise à jour Secure Boot du Boot Manager 2023 n’a pas été appliquée en raison d’une incompatibilité connue avec la configuration BitLocker actuelle.
Si vous administrez un parc concerné, vous pouvez rebasculer la stratégie « Configurer le profil de validation de la plateforme TPM pour les configurations de firmware UEFI natives » sur « Non configuré », afin de ne plus forcer l’inclusion de PCR7 dans le profil de validation TPM et laisser Windows utiliser le profil PCR par défaut. Cette remise au propre permet ensuite d’installer le Windows Boot Manager signé 2023 sans provoquer de nouvelle demande de clé BitLocker. Autre possibilité, suspendre temporairement BitLocker le temps d’installer ce Boot Manager, avant de redémarrer le système et de réactiver la protection.
BitLocker s’appuie sur le TPM (Trusted Platform Module) pour « sceller » la clé de chiffrement à un état précis de la machine au démarrage. Cet état est décrit par des mesures stockées dans des registres appelés PCR (Platform Configuration Registers), qui reflètent notamment des éléments du firmware et de la chaîne de boot. PCR7 est généralement lié au démarrage UEFI avec Secure Boot, et peut être inclus dans le profil de validation BitLocker selon la stratégie appliquée. Si les valeurs attendues changent (ou si la configuration PCR7 est considérée invalide/incompatible), le TPM refuse de libérer la clé automatiquement. Windows bascule alors en mode récupération et exige la clé BitLocker pour démarrer.
Qu’est-ce que Secure Boot et pourquoi le changement de certificat « Windows UEFI CA 2023 » peut affecter le démarrage ?Secure Boot est un mécanisme UEFI qui n’autorise au démarrage que des composants signés par des certificats approuvés (bootloader, gestionnaire de démarrage, etc.). Il vise à bloquer les bootkits et modifications malveillantes avant le chargement de l’OS. La transition vers « Windows UEFI CA 2023 » correspond à une évolution des certificats utilisés pour signer des composants de démarrage, dont le Windows Boot Manager. Un composant signé avec un nouveau certificat peut modifier les mesures de démarrage enregistrées (PCR), ou être accepté/refusé selon l’état de la base de confiance UEFI. Dans un environnement où BitLocker valide finement ces mesures, ce changement peut suffire à déclencher une récupération si l’alignement TPM/PCR/Secure Boot n’est pas correct.
Que fait concrètement la mise à jour KB5094125 pour éviter la demande de clé BitLocker sur Windows Server 2025 ?KB5094125 empêche l’installation du Windows Boot Manager signé en 2023 sur les systèmes identifiés comme ayant une configuration BitLocker/TPM incompatible. L’idée est de ne pas appliquer une modification de la chaîne de démarrage susceptible de changer les mesures PCR et de provoquer une récupération BitLocker au redémarrage. Ce correctif agit donc comme un garde-fou : il bloque la transition tant que la configuration n’est pas remise en conformité. Les machines concernées peuvent être repérées via un événement système indiquant que la mise à jour Secure Boot du Boot Manager 2023 n’a pas été appliquée. Une fois la configuration TPM/PCR corrigée (ou BitLocker temporairement suspendu), l’installation du Boot Manager 2023 peut être retentée sans déclencher de récupération.
