Deux mois plus tard, Microsoft corrige enfin le bug Windows qui déclenchait BitLocker au redémarrage




Depuis le Patch Tuesday d’avril, certains serveurs Windows Server 2025 pouvaient réclamer une clé de récupération BitLocker au redémarrage. Microsoft annonce avoir corrigé le problème dans sa mise à jour de juin.


Il avait surgi dès le Patch Tuesday d’avril, au meilleur moment, vous en conviendrez, pour les équipes IT chargées de déployer les correctifs de sécurité sur l’ensemble de leur parc.

Deux mois plus tard, Microsoft indique (enfin !) avoir fait un sort au bug BitLocker qui pouvait déclencher l’écran de récupération au redémarrage de systèmes Windows Server 2025, après l’installation des mises à jour concernées.

Le correctif a été intégré au Patch Tuesday de juin, via KB5094125.


Une combinaison de réglages qui coinçait BitLocker

Pour rappel, le bug ne touchait pas toutes les machines Windows, loin de là.

Il concernait essentiellement des environnements administrés réunissant plusieurs conditions de configuration très précises, mêlant BitLocker, TPM, PCR7, Secure Boot et transition vers les certificats Windows UEFI CA 2023.

Après l’installation du Patch Tuesday d’avril, les systèmes Windows Server 2025 exposés à ce cas de figure pouvaient alors réclamer la clé de récupération BitLocker au premier redémarrage.

D’après les éléments communiqués par Microsoft, le problème résultait plus précisément de réglages TPM incompatibles, notamment de configurations PCR7 invalides.

Avec KB5094125, l’éditeur évite une nouvelle demande inattendue de clé en empêchant ces systèmes d’installer le Windows Boot Manager signé en 2023.

Autrement dit, le correctif ne force pas la transition sur les machines mal alignées, il la bloque pour éviter de déclencher BitLocker au redémarrage suivant.


Ce qu’il faut vérifier après l’installation du correctif

Après installation de KB5094125, les administrateurs et administratrices peuvent repérer les systèmes encore concernés grâce à l’événement 1032, consigné dans le journal système.

Il indique que la mise à jour Secure Boot du Boot Manager 2023 n’a pas été appliquée en raison d’une incompatibilité connue avec la configuration BitLocker actuelle.

Si vous administrez un parc concerné, vous pouvez rebasculer la stratégie « Configurer le profil de validation de la plateforme TPM pour les configurations de firmware UEFI natives » sur « Non configuré », afin de ne plus forcer l’inclusion de PCR7 dans le profil de validation TPM et laisser Windows utiliser le profil PCR par défaut.

Cette remise au propre permet ensuite d’installer le Windows Boot Manager signé 2023 sans provoquer de nouvelle demande de clé BitLocker.

Autre possibilité, suspendre temporairement BitLocker le temps d’installer ce Boot Manager, avant de redémarrer le système et de réactiver la protection.