Aller au contenu

RangeeOS - Défis et solutions liés au TPM

Modifié par Taha Gabdouri le 2025/12/17 10:27

À partir de RangeeOS 13, le système utilise, pour le chiffrement des données sensibles, un procédé basé sur des certificats et pris en charge par le TPM. Lors du premier démarrage, le système d’exploitation vérifie automatiquement la présence d’un module TPM fonctionnel. Si tel n’est pas le cas, un certificat standard sans prise en charge du TPM est utilisé pour le chiffrement des données.

L’utilisation d’un module TPM protège vos données contre toute lecture via du matériel tiers, mais peut toutefois entraîner des difficultés dans certains scénarios. Vous trouverez ci-après les défis possibles ainsi que les solutions correspondantes.

Défis

RangeeOS sur clé USB

Lorsque RangeeOS est démarré depuis une clé USB et doit être utilisé sur différents matériels, l’utilisation d'un certificat de chiffrement sans TPM doit être explicitement imposée. Cette option doit être exécutée une seule fois par clé USB.

Les clés TPM sont « oubliées »

En particulier sur des appareils plus anciens, il arrive qu’un module TPM valide soit détecté et que la création d’un certificat basé sur le TPM réussisse dans un premier temps, mais que celui-ci ne puisse ensuite plus être utilisé pour le déchiffrement. Dans ce cas, l’utilisation du module TPM pour le chiffrement doit être désactivée manuellement.

Solutions

En cas de problèmes liés au module TPM, son utilisation doit être désactivée. Les options permettant de contrôler l’utilisation du TPM nécessitent l’activation du mode expert de la Kommbox.

1765521601853-591.png

Désactivation ou « masquage » du module TPM dans le BIOS de l’appareil

Si RangeeOS est ensuite réinstallé, le système génère automatiquement un certificat sans prise en charge du TPM. Si le système d’exploitation est déjà installé, le certificat doit être regénéré une seule fois via :
Système → Bootloader → Régénérer le certificat de l’appareil.
L’option Activer le TPM pour le certificat de l’appareil n’a pas besoin d’être désactivée : dès que l’appareil ne détecte plus de module TPM, le système bascule automatiquement sur un certificat sans TPM.

Forcer la création d’un certificat sans TPM

  • Désactivez l’option Système → Bootloader → Activer le TPM pour le certificat de l’appareil.
  • Exécutez ensuite Régénérer le certificat de l’appareil.

L’option Activer le TPM pour le certificat de l’appareil peut également être déployée via une configuration TCMS. Cependant, elle n’influence que la création de nouveaux certificats de chiffrement. Les appareils mis à jour depuis des versions antérieures vers RangeeOS 13 contournent automatiquement le module TPM grâce à cette option. En revanche, sur les appareils où un certificat existe déjà, cette option n’a aucun effet.