Microsoft a résolu un problème connu qui obligeait certains appareils sous Windows Server 2025 à démarrer en mode de récupération BitLocker après l’installation de la mise à jour de sécurité d’avril 2026.
La fonction de sécurité BitLocker chiffre les disques de stockage pour empêcher le vol de données. Elle force habituellement les ordinateurs Windows à entrer en mode de récupération après des modifications matérielles ou des événements, comme des mises à jour du module de plateforme sécurisée (TPM), afin de permettre le regain d’accès aux disques protégés.
« Certains appareils avec une configuration de stratégie de groupe BitLocker non recommandée pourraient devoir saisir leur clé de récupération BitLocker au premier redémarrage après l’installation de cette mise à jour », avait indiqué Microsoft lorsqu’il a reconnu ce problème après le Patch Tuesday d’avril 2026.
« Dans ce scénario, la clé de récupération BitLocker ne doit être saisie qu’une seule fois. Les redémarrages suivants ne déclencheront pas d’écran de récupération BitLocker, tant que la configuration de la stratégie de groupe reste inchangée. »
Bien que ce problème puisse aussi toucher certains systèmes sous Windows 11, Microsoft estime qu’il est peu probable qu’il affecte les appareils personnels, car les configurations concernées se trouvent généralement uniquement sur les systèmes d’entreprise gérés par des équipes informatiques professionnelles.
Comme Microsoft l’avait alors précisé, cela ne se produit que pour des configurations très spécifiques, sur les appareils qui remplissent toutes les conditions suivantes :
- BitLocker est activé sur le disque du système d’exploitation.
- La stratégie de groupe « Configurer le profil de validation de la plateforme TPM pour les configurations de microprogramme UEFI natif » est configurée, et PCR7 est inclus dans le profil de validation (ou la clé de registre équivalente est définie manuellement).
- L’outil Informations système (msinfo32.exe) indique que la liaison PCR7 de l’état de démarrage sécurisé est « Impossible« .
- Le certificat Windows UEFI CA 2023 est présent dans la base de données de signatures de démarrage sécurisé (DB) de l’appareil, ce qui rend l’appareil éligible pour que le gestionnaire de démarrage Windows signé 2023 soit défini par défaut.
- L’appareil n’exécute pas déjà le gestionnaire de démarrage Windows signé 2023.
Écran de récupération BitLocker (Microsoft)
Lors du Patch Tuesday de ce mois-ci, soit deux mois après avoir confirmé le problème, Microsoft a corrigé ce bug dans les mises à jour cumulatives KB5094125 (Windows Server 2025) et KB5093998 (Windows 11 23H2).
« Cette mise à jour résout un problème où certains appareils pourraient entrer en récupération BitLocker après la mise à jour des fichiers de démarrage sur les systèmes avec certains paramètres de validation du module de plateforme sécurisée (TPM), y compris des configurations PCR7 (Registre de configuration de la plateforme 7) non valides », a déclaré Microsoft dans ses avis mis à jour.
« Pour éviter l’invite inattendue de la clé de récupération BitLocker, l’installation du gestionnaire de démarrage Windows signé 2023 est empêchée sur les appareils avec cette configuration de stratégie de groupe incompatible. Si votre appareil a été touché, vous verrez l’ID d’événement 1032 dans le journal des événements système lors de l’installation des mises à jour Windows », a-t-il ajouté dans une alerte de service consultée par BleepingComputer.
Il est conseillé aux administrateurs informatiques qui ne peuvent pas encore déployer les mises à jour de ce mois-ci pour résoudre le problème de supprimer la configuration de la stratégie de groupe avant d’installer la mise à jour KB5082063 et les mises à jour ultérieures, et de s’assurer que les liaisons BitLocker utilisent le profil PCR7.
Ceux qui ne peuvent pas supprimer la stratégie de groupe avant le déploiement peuvent également appliquer un Known Issue Rollback (KIR) sur les appareils affectés pour empêcher le passage automatique au gestionnaire de démarrage 2023, qui déclenche les invites de récupération BitLocker.
En août 2024, Microsoft avait traité un autre problème connu qui déclenchait des invites de récupération BitLocker sur toutes les versions de Windows prises en charge après l’installation des mises à jour de sécurité de juillet 2024.
Plus récemment, en mai 2025, Microsoft avait publié des mises à jour d’urgence pour résoudre un problème similaire qui provoquait l’entrée en récupération BitLocker des systèmes Windows 10 après l’installation des mises à jour de sécurité de mai 2025.