Microsoft a confirmé que la mise à jour de sécurité KB5083769 d'avril 2026 pour Windows 11, publiée le 14 avril, entraîne le démarrage direct de certains appareils sur l'écran de récupération BitLocker au lieu d'aller sur le bureau. Les utilisateurs concernés doivent entrer la clé de récupération BitLocker pour que le système démarre normalement.

Microsoft indique qu'il s'agit d'un problème ponctuel et qu'après avoir saisi la clé, les redémarrages futurs devraient se poursuivre normalement. Il semble que le problème n'affecte que les appareils ayant une combinaison spécifique de paramètres BitLocker et de démarrage sécurisé, et que la plupart des utilisateurs ayant installé la mise à jour ne sont pas affectés.

Causes déclenchant le problème

L'invite de récupération BitLocker apparaît lorsque plusieurs conditions sont remplies sur un appareil :

  • BitLocker doit être activé sur le lecteur du système d'exploitation, et le paramètre de stratégie de groupe pour le profil de validation de plateforme TPM doit inclure PCR7.
  • Les informations système doivent indiquer que l'état de démarrage sécurisé est Impossible pour la liaison PCR7. De plus, le certificat UEFI CA 2023 doit être présent dans la base de données de signatures de démarrage sécurisé, et l'appareil ne doit pas exécuter le chargeur Windows signé en 2023.

Microsoft pense qu'il s'agit d'une configuration BitLocker non recommandée qui pourrait déclencher ce comportement.

Comment se sortir de l'écran de récupération BitLocker

Les utilisateurs se trouvant sur l'écran de récupération BitLocker ont besoin de la clé de récupération pour continuer. Ils peuvent trouver la clé en l'associant au nom du PC et à l'ID de clé affichés sur l'écran de récupération, en se connectant à leurs comptes Microsoft sur un appareil séparé.

Une fois la clé saisie et après avoir cliqué sur le bouton continuer, le système démarrera sur le bureau et ne demandera plus la clé lors des redémarrages suivants.

Comment éviter cela avant d'installer KB5083769

Les utilisateurs qui n'ont pas encore installé KB5083769 et qui souhaitent éviter l'invite de récupération peuvent proactivement réinitialiser la configuration de la stratégie de groupe. Pour ce faire, ouvrez l'Éditeur de stratégie de groupe en recherchant 'gpedit' dans le menu Démarrer.

Ensuite, allez dans Configuration de l'ordinateur, Modèles d'administration, Composants Windows, Chiffrement de lecteur BitLocker, Lecteurs du système d'exploitation.

Pour les configurations de firmware UEFI locales, faites un clic droit pour configurer le profil de validation de plateforme TPM et sélectionnez Modifier.

Changez le paramètre en Non configuré, puis cliquez sur Appliquer et OK. Ensuite, ouvrez l'Invite de commandes en tant qu'administrateur et exécutez les commandes nécessaires. manage-bde -protectors -enable C:

Cette opération reconnecte BitLocker au profil PCR par défaut et empêche l'apparition de l'écran de récupération après l'installation de la mise à jour.

Les utilisateurs commerciaux qui ne peuvent pas modifier les paramètres de stratégie de groupe peuvent contacter Microsoft pour une mise à jour de récupération de problème connu qui pourrait annuler la configuration incorrecte.