La puce TPM 2.0 a suscité beaucoup d'attention lors du lancement de Windows 11, car elle est désormais requise pour installer le système d'exploitation. Cette puce, attachée à la carte mère, joue un rôle important dans la génération et le stockage de clés de chiffrement pour protéger les données d'authentification sensibles, telles que les identifiants, les empreintes digitales, les clés et les certificats, contre les attaques extérieures. Cependant, des chercheurs chez Quarkslab ont découvert deux nouvelles vulnérabilités, l'une en lecture (CVE-2023-1017) et l'autre en écriture (CVE-2023-1018), dans la TPM 2.0, qui pourraient affecter des "milliards" d'appareils. Les attaquants pourraient exploiter ces vulnérabilités pour obtenir des privilèges dans le système et voler des données sensibles.Le Centre de coordination CERT souligne que "un attaquant qui a accès à une interface de commande TPM peut exécuter des commandes malveillantes pour exploiter ces vulnérabilités". Il y a deux scénarios possibles : "soit l'attaquant a un accès en lecture seule aux données sensibles, soit il peut écraser les données normalement protégées disponibles uniquement pour le TPM (comme les clés cryptographiques)".Les chercheurs recommandent vivement aux fournisseurs d'adopter une version corrigée de la plateforme TPM, telle que TMP 2.0 v1.59 Errata version 1.4 ou supérieure, TMP 2.0 v1.38 Errata version 1.13 ou supérieure, ou TMP 2.0 v1.16 Errata version 1.6 ou supérieure. Pour garantir la sécurité de leurs systèmes, les utilisateurs doivent appliquer rapidement toutes les mises à jour fournies par les fabricants de matériel et de logiciels. Selon le Trusted Computing Group (TCG), il peut être nécessaire de mettre à jour le micrologiciel des puces TPM.Jusqu'à présent, Lenovo est le seul fabricant de renom à avoir communiqué sur ces vulnérabilités, mais d'autres fabricants pourraient suivre prochainement. Il convient de noter que bien que ces failles nécessitent un accès local authentifié à un appareil, les malwares exécutés sur l'appareil remplissent généralement cette condition. En outre, bien que Linux prenne également en charge les puces TPM, le système d'exploitation ne les impose pas aux utilisateurs. Cependant, il existe des outils Linux permettant aux applications et aux utilisateurs de sécuriser les données dans les TPM.