Résoudre « PCR7 binding is not supported » et activer le chiffrement d’appareil sous Windows 11

Introduction

Windows 11 propose un chiffrement d’appareil intégré sur les systèmes compatibles. Ce chiffrement automatique est plus léger que BitLocker et dépend du matériel. Sur certains PC, la fonction semble manquer et le panneau Informations système affiche souvent « PCR7 binding is not supported ». Ce guide explique pourquoi, comment corriger l’erreur et quelles alternatives choisir.

Définitions rapides

• TPM 2.0 : module matériel pour stocker des clés de chiffrement. Utile pour l’intégrité du système.
• Secure Boot : mécanisme UEFI qui n’autorise que le firmware signé par le fabricant.
• Modern Standby : état d’économie d’énergie moderne qui influence le chiffrement d’appareil.

Pourquoi le chiffrement d’appareil est absent

Le chiffrement d’appareil intégré dépend du matériel et du micrologiciel. Contrairement à BitLocker, il n’est pas disponible si l’un des éléments suivants est manquant ou désactivé :

• TPM 2.0 activé dans l’UEFI/BIOS.
• Support Modern Standby.
• Firmware UEFI (le BIOS hérité n’est pas pris en charge).

Même si Windows 11 est installé (et que TPM 2.0 est présent), TPM ou Secure Boot peuvent être désactivés. Le message « PCR7 binding is not supported » indique principalement un problème lié à Secure Boot ou à l’état du TPM.

Vérifier l’état de Secure Boot et du chiffrement dans Informations système

1. Appuyez sur la touche Win et tapez “Informations système”.
2. Ouvrez l’application Informations système en mode administrateur.
3. Dans le volet droit, cherchez Secure Boot State. Si la valeur est Off, Secure Boot est désactivé.
4. Vérifiez aussi la section Sécurité matérielle pour voir l’état du TPM et le message lié à PCR7.

Important : si le rapport indique “Hardware Security Test Interface failed” ou “device is not Modern Standby supported”, votre matériel peut ne pas prendre en charge le chiffrement d’appareil natif.

Activer Secure Boot dans l’UEFI/BIOS

Étapes générales :

1. Sauvegardez votre travail et éteignez l’ordinateur.
2. Allumez-le et appuyez plusieurs fois sur la touche d’accès au BIOS/UEFI. Les touches courantes sont F2, F10, F12, F1 ou Del selon le fabricant.
3. Dans l’interface UEFI, naviguez vers l’onglet de démarrage ou de sécurité (Boot or Security).
4. Repérez l’option Secure Boot et sélectionnez Enabled.
5. Si présent, activez l’option UEFI boot si votre système utilisait Legacy BIOS.
6. Enregistrez les modifications et quittez.
7. Redémarrez Windows, ouvrez Informations système et confirmez que Secure Boot State est maintenant On.

Notes sur les touches d’accès selon le fabricant

• HP : souvent F10 ou Esc puis F10.
• Dell : F2.
• Lenovo : F1 ou la touche Novo.
• ASUS : Del ou F2.

Si la touche n’est pas connue, consultez la documentation constructeur.

Activer TPM 2.0 dans l’UEFI/BIOS

Si TPM est présent mais désactivé, activez-le :

1. Entrez dans l’UEFI/BIOS comme décrit ci-dessus.
2. Cherchez une section Sécurité ou Advanced.
3. Recherchez TPM, fTPM (pour AMD) ou PTT (Platform Trust Technology pour Intel).
4. Mettez l’option sur Enabled ou Active.
5. Enregistrez et redémarrez.

Important : certaines cartes mères anciennes ne proposent pas TPM 2.0. Dans ce cas, l’activation n’est pas possible sans module TPM physique ou mise à jour du firmware.

Vérifier le support Modern Standby

Modern Standby est requis par le chiffrement d’appareil sur certains appareils. Pour vérifier :

1. Ouvrez une invite PowerShell en administrateur.
2. Exécutez :

powercfg /a

La commande liste les états de veille pris en charge. Si Modern Standby n’apparaît pas, l’appareil peut ne pas être compatible.

Que faire si le matériel ne prend pas en charge le chiffrement d’appareil

Options pratiques :

• Passer à Windows 11 Pro et activer BitLocker. BitLocker fonctionne même si Modern Standby manque, car il permet des méthodes de chiffrement alternatives.
• Utiliser un logiciel tiers fiable : VeraCrypt, DiskCryptor, ou solutions commerciales d’entreprise.
• Installer un module TPM 2.0 compatible (sur desktop) si la carte mère le permet.

Comparaison rapide

• Chiffrement d’appareil Windows 11 : activation automatique sur matériel compatible. Simple pour l’utilisateur grand public.
• BitLocker : plus complet, options de gestion et récupération, nécessite Windows Pro pour certaines fonctionnalités.
• VeraCrypt : chiffrement open source, flexible, fonctionne sur toutes les versions, nécessite configuration manuelle.

Méthodologie recommandée pour diagnostiquer et corriger l’erreur

1. Vérifier dans Informations système l’état de Secure Boot et du TPM.
2. Si Secure Boot Off, activer dans l’UEFI/BIOS.
3. Vérifier TPM et activer s’il est désactivé.
4. Vérifier Modern Standby via powercfg.
5. Redémarrer et revalider dans Informations système.
6. Si l’un des composants manque, choisir BitLocker ou chiffrement tiers.

Playbook détaillé pour administrateurs et utilisateurs

Checklist pour un administrateur IT

• Confirmer la version de Windows.
• Vérifier l’UEFI vs Legacy BIOS.
• Vérifier et activer TPM 2.0.
• Activer Secure Boot.
• Tester Modern Standby.
• Mettre à jour firmware/UEFI si nécessaire.
• Documenter la procédure de récupération BitLocker si migration vers Pro.

Checklist pour un utilisateur

• Sauvegarder les données importantes.
• Suivre les étapes pour activer Secure Boot et TPM.
• Si impossible, envisager BitLocker ou VeraCrypt.

Incident runbook si le PC ne démarre après modification

1. Rentrer dans l’UEFI et revenir à la configuration précédente (Undo changes) si existante.
2. Si l’OS ne démarre plus, réinitialiser Secure Boot en Mode Setup ou déverrouiller les clés OEM.
3. Utiliser un média de récupération Windows pour réparer le démarrage.
4. Contacter le support constructeur si le problème persiste.

Modèle de décision rapide

flowchart TD
  A[Erreur PCR7 détectée] --> B{Secure Boot activé ?}
  B -- Non --> C[Activer Secure Boot dans l'UEFI]
  B -- Oui --> D{TPM 2.0 activé ?}
  D -- Non --> E[Activer TPM / installer module TPM]
  D -- Oui --> F{Modern Standby supporté ?}
  F -- Non --> G[Moment: passer à BitLocker ou solution tierce]
  F -- Oui --> H[Relancer vérification Informations système]
  C --> H
  E --> H
  G --> I[Configurer BitLocker ou VeraCrypt]
  H --> J[Erreur résolue ?]
  J -- Oui --> K[Terminé]
  J -- Non --> L[Consulter technicien ou mise à jour firmware]

Contre-exemples et limites

• Certains anciens PC ont TPM 2.0 matériel mais la carte mère ne propose que TPM 1.2. Le chiffrement d’appareil ne fonctionnera pas.
• Les systèmes convertis d’un BIOS hérité à UEFI sans conversion correcte du disque (MBR vs GPT) peuvent ne pas démarrer après activation du Secure Boot.
• Les ordinateurs fournis par l’entreprise peuvent avoir des politiques de sécurité qui bloquent l’activation automatique de Secure Boot.

Sécurité et confidentialité

• Activer Secure Boot et TPM améliore l’intégrité du démarrage et la sécurité des clés.
• Sauvegardez vos clés de récupération BitLocker avant toute modification. Sans clé, la récupération des données peut être impossible.

Résumé

Activer Secure Boot et TPM 2.0 corrige la plupart des cas de « PCR7 binding is not supported ». Si le matériel ou le firmware ne permet pas ces fonctions, utilisez BitLocker (Windows Pro) ou une solution de chiffrement tierce pour protéger vos données. Effectuez toujours une sauvegarde avant toute manipulation de l’UEFI/BIOS.

Important : ne changez pas le firmware si vous ne maîtrisez pas la procédure. Une mauvaise manipulation peut rendre le système non bootable.

Questions fréquentes

Q : Puis-je installer un module TPM sur un portable ?

R : Généralement non. Les modules TPM sont souvent disponibles pour les desktops dont la carte mère a un connecteur TPM.

Q : BitLocker remplace-t-il le chiffrement d’appareil ?

R : BitLocker offre plus d’options et de contrôle. Sur Windows Pro, BitLocker est la solution recommandée si le chiffrement d’appareil natif n’est pas disponible.

Q : L’activation de Secure Boot efface mes données ?

R : Non, Secure Boot ne modifie pas vos fichiers, mais des changements mal configurés d’UEFI peuvent empêcher le démarrage. Sauvegardez avant toute modification.