Activer Secure Boot et TPM 2.0 sur Gigabyte B760 DS3H (UEFI, PTT, Valorant, Windows 11)

Votre PC démarre déjà en UEFI mais Secure Boot reste désactivé et le statut du TPM 2.0 est flou ? Voici un guide exhaustif pour la Gigabyte B760 DS3H : mise à jour du BIOS, configuration correcte (PTT, CSM, clés), vérifications Windows et dépannage approfondi.

Vue d’ensemble du problème

Sur de nombreuses cartes mères Gigabyte récentes (série 700), il est possible d’être en démarrage UEFI tout en conservant un CSM actif ou un Secure Boot non initialisé. Dans ce scénario :

• msinfo32 indique Secure Boot State : Off alors que le firmware est en mode UEFI.
• Le TPM 2.0 matériel/firmware (PTT côté Intel) peut être présent mais inactif — Windows et certains jeux (dont l’anti‑triche Vanguard) exigeront pourtant un TPM 2.0 opérationnel.
• Secure Boot peut rester en état Not Active tant que ses clés ne sont pas installées ou que le CSM n’est pas désactivé.

L’objectif : mettre à jour le BIOS, convertir le disque système en GPT si besoin, désactiver le CSM, activer le TPM 2.0 (PTT), puis activer Secure Boot avec des clés valides. Ensuite, valider l’état sous Windows.

Ce qu’il faut préparer avant de commencer

Sauvegardes et prudence

• Sauvegardez vos données essentielles (image système, fichiers critiques).
• Si BitLocker ou le chiffrement de l’appareil est activé, exportez la clé de récupération (compte Microsoft/Azure AD, ou Gestion du chiffrement de l’appareil).
• Prévoyez une clé USB en FAT32 (8 Go ou plus) pour la mise à jour du BIOS via Q‑Flash ou Q‑Flash Plus.
• Débranchez tout stockage USB non nécessaire pendant l’opération pour éviter toute confusion d’ordre de démarrage.

Identifier exactement votre carte

Le libellé « B760 DS3H » existe en variantes (DDR4/DDR5, AX, etc.). Les menus BIOS restent très proches, mais les intitulés peuvent varier légèrement : Settings → Miscellaneous ou Settings → Peripherals, Trusted Computing peut se trouver dans Settings → IO Ports sur certaines révisions.

Solution pas‑à‑pas

Étape	Action dans le BIOS (touche Delete au POST)	Détails / Pourquoi
1	Mettre le BIOS à jour (Q‑Flash ou Q‑Flash Plus)	Les révisions récentes corrigent des failles UEFI et stabilisent le TPM/PTT. Une base à jour évite des états « Not Active » ou des options manquantes.
2	Vérifier le schéma de partition	Secure Boot nécessite un disque système en GPT. Convertissez le disque si nécessaire avec mbr2gpt (sans réinstallation).
3	Désactiver le CSM — Boot → CSM Support : Disabled	Le Compatibility Support Module bloque Secure Boot et empêche l’injection des clés.
4	Activer le TPM 2.0 firmware	Settings → Miscellaneous (ou Peripherals) → Intel Platform Trust Technology (PTT) : Enabled. Puis Settings → Trusted Computing → Security Device Support : Enabled. Le chipset Intel 700 expose un TPM 2.0 via PTT ; aucun module externe requis.
5	Activer Secure Boot — Boot → Secure Boot : Enabled	Si l’état reste Not Active, basculer le mode en Custom, ouvrir Key Management, Restore Factory Keys, puis revenir à Standard.
6	Enregistrer et redémarrer (F10)	Après redémarrage : msinfo32 → Secure Boot State = On ; tpm.msc → Specification Version = 2.0.

Guide détaillé pour chaque étape

Mise à jour du BIOS en toute sécurité

Q‑Flash (recommandé) :

1. Démarrez dans le BIOS (Delete au POST), passez en Mode Avancé si besoin (F2).
2. Insérez la clé USB (FAT32) contenant le fichier BIOS décompressé (ex. B760DS3H.Fxx).
3. Appuyez sur F8 ou ouvrez Q‑Flash → Update BIOS, sélectionnez le fichier, confirmez.
4. N’interrompez jamais l’alimentation. À la fin, la carte redémarre automatiquement.

Q‑Flash Plus (sans CPU ni RAM) : en cas d’échec ou de CPU non pris en charge. Copiez le BIOS sur USB selon la notice fournie avec l’archive (nom exact et port USB dédiés). Branchez l’alimentation ATX ; appuyez sur le bouton Q‑Flash Plus et attendez l’extinction de la LED.

Après mise à jour, chargez les Optimized Defaults (F7), puis reconfigurez les options utiles (XMP/EXPO, ventilateurs) avant de suivre la procédure TPM/Secure Boot.

Disque système : vérifier GPT et convertir sans réinstaller

Windows nécessite UEFI+GPT pour Secure Boot. Pour vérifier :

• Gestion des disques → clic droit sur le disque système → Propriétés → Volumes → Style de partition : Table de partition GUID (GPT) attendu.
• Ou en PowerShell (administrateur) : Get-Disk → PartitionStyle doit être GPT.

Conversion MBR→GPT in‑place (Windows 10/11, administrateur) :

mbr2gpt /validate /allowFullOS
mbr2gpt /convert /allowFullOS

Conditions clés : disque système, schéma MBR avec ≤ 3 partitions principales, espace suffisant pour la partition EFI (~100 Mo). Un redémarrage en UEFI est nécessaire ensuite (Windows Boot Manager en première position).

Désactiver le CSM et forcer l’UEFI pur

• Dans BIOS → Boot : CSM Support : Disabled.
• Si des sous‑options existent (Video/Storage/Other PCI devices), laissez tout en UEFI uniquement.
• Assurez‑vous que le Windows Boot Manager est l’entrée de démarrage n° 1.

Le CSM impose des chemins de démarrage « legacy » (winload.exe) incompatibles avec Secure Boot. En UEFI pur, Windows utilise winload.efi.

Activer le TPM 2.0 via Intel PTT

• Settings → Miscellaneous (ou Peripherals) → Intel Platform Trust Technology (PTT) : Enabled.
• Settings → Trusted Computing → Security Device Support : Enabled.
• Vérifiez que la banque PCR inclut SHA‑256 (TPM 2.0).

Vous n’avez pas besoin d’un module TPM externe : PTT fournit un TPM 2.0 conforme pour Windows 11 et les anti‑triches modernes.

Activer Secure Boot et initialiser les clés

• Boot → Secure Boot : Enabled.
• Secure Boot Mode : Standard. Si Not Active persiste : basculez sur Custom, ouvrez Key Management, cliquez Restore Factory Keys (PK, KEK, db, dbx), puis remettez Standard.
• Image Execution Policy (si présent) : laissez par défaut (Always Execute pour Removable Media peut empêcher un boot USB sécurisé ; préférez l’UEFI‑USB signé au besoin).

Enregistrer et redémarrer

Appuyez sur F10 → Save & Exit. Au retour sous Windows :

• msinfo32 → Secure Boot State : On.
• tpm.msc → Status : The TPM is ready for use & Specification Version : 2.0.
• PowerShell (admin) : Get-Tpm → TpmReady : True, SpecVersion : 2.0.

Validation et contrôles sous Windows

Outil	Chemin	Ce qu’il faut voir
Informations système	Win + R → msinfo32	Mode BIOS : UEFI ; État de Secure Boot : Activé.
Gestion du TPM	Win + R → tpm.msc	Version de spécification : 2.0 ; Prêt à l’emploi.
PowerShell	Get-Tpm	TpmPresent : True ; TpmReady : True ; SpecVersion incluant 2.0.
BCD	bcdedit /enum {current}	Chemin \Windows\system32\winload.efi (et non winload.exe).

Dépannage approfondi

Secure Boot reste « Not Active »

• CSM doit être Disabled avant d’activer Secure Boot.
• En mode Custom, faites : Clear Secure Boot Keys (si disponible) → Restore Factory Keys → repassez en Standard.
• Vérifiez l’ordre de boot : Windows Boot Manager doit être en tête. Retirez les entrées « Legacy » résiduelles.
• Reflashez le BIOS si les options « Key Management » manquent ou refusent l’initialisation.

Le TPM n’apparaît pas dans Windows

• Dans le BIOS, réactivez Intel PTT et Security Device Support.
• Si un module TPM externe a été branché, retirez‑le : mélange PTT/mod TPM peut perturber la détection.
• Après modification, arrêt complet (pas seulement redémarrer) pour forcer la réinitialisation du contrôleur.

Écran noir après avoir désactivé le CSM

• Certains GPU anciens n’ont pas de VBIOS UEFI. Solution : mettre à jour le VBIOS (si le fabricant le propose) ou réactiver temporairement le CSM pour flasher, puis retenter.
• Assurez‑vous que votre câble vidéo est connecté à la carte graphique principale et non à l’iGPU (si désactivé).

Disque cloné ou multiboot

• Un clonage de MBR vers GPT peut laisser d’anciennes entrées ; régénérez la partition EFI proprement si nécessaire (bootrec / bcdboot).
• Pour Linux en dual‑boot, préférez une distribution signée (shim signé) afin d’éviter le mode « Custom Keys ». Sinon, conservez vos propres clés PK/KEK/db.

BitLocker et demandes de clé

• Après modification du TPM/BIOS, Windows peut demander la clé de récupération au premier démarrage. Ayez‑la sous la main.
• Une fois l’environnement stabilisé, vérifiez l’état de protection : manage-bde -status.

Jeux et anti‑triche

• Une fois Secure Boot et TPM 2.0 actifs, si le jeu refuse toujours de démarrer, réinstallez ou mettez à jour l’anti‑triche.
• Assurez‑vous que Windows est bien à jour (pilotes chipset/MEI inclus).

Failles UEFI et importance des mises à jour

Des vulnérabilités UEFI découvertes ces dernières années ont permis de contourner ou d’invalider Secure Boot. Installez toujours le dernier BIOS disponible pour la B760 DS3H avant d’activer la fonction, et appliquez les éventuelles mises à jour de la liste de révocation (dbx) via Windows Update.

Réinitialisation matérielle du BIOS

• Si le système boucle au POST, coupez l’alimentation, clear CMOS (jumper ou retrait de la pile quelques minutes), reconfigurez, puis reprenez la procédure.
• Évitez d’activer Fast Boot durant les tests ; il masque certains écrans de diagnostic.

Bonnes pratiques et astuces

• Notez les valeurs d’origine avant de modifier ; photographiez les écrans clés du BIOS.
• Activez l’XMP/EXPO après validation de Secure Boot/TPM pour isoler les causes en cas d’instabilité.
• Conservez une clé USB d’installation Windows 11 en UEFI : utile pour réparer le chargeur (bcdboot C:\Windows /l fr-FR si besoin).

Cheat‑sheet commandes utiles

Contexte	Commande	But
Vérifier TPM	Get-Tpm	Affiche la présence et l’état du TPM.
Info démarrage	bcdedit /enum {current}	Vérifie l’usage de winload.efi.
Style disque	Get-Disk	Confirme GPT/MBR.
Conversion MBR→GPT	mbr2gpt /validate /allowFullOS puis mbr2gpt /convert /allowFullOS	Convertit le disque système sans réinstallation.
BitLocker	manage-bde -status	État du chiffrement des volumes.

Glossaire rapide

• UEFI : firmware moderne remplaçant le BIOS legacy, nécessaire à Secure Boot.
• CSM : couche de compatibilité « Legacy » à désactiver pour Secure Boot.
• TPM 2.0 : puce ou firmware de sécurité (sur Intel : PTT) pour clés, mesures d’intégrité, BitLocker.
• Secure Boot : vérifie la signature des éléments de démarrage via PK/KEK/db/dbx.
• PK/KEK/db/dbx : Platform Key, Key Exchange Keys, base de signatures autorisées et liste de révocations.
• Q‑Flash / Q‑Flash Plus : outils intégrés Gigabyte pour mettre à jour le BIOS (Plus fonctionne même sans CPU/RAM).

FAQ ciblée

Est‑ce que cela réduit les performances ?
Non. TPM 2.0 et Secure Boot n’ont pas d’impact sensible sur les FPS ou la latence. Ils agissent surtout au démarrage et pour l’intégrité.

Puis‑je activer seulement le TPM 2.0 ?
Oui, mais la plupart des exigences récentes combinent TPM 2.0 + Secure Boot. Activez les deux pour éviter les refus de lancement.

Dois‑je acheter un module TPM ?
Non pour cette carte : le firmware TPM (Intel PTT) suffit pour Windows 11 et les jeux modernes.

Pourquoi Secure Boot reste « Off » dans Windows alors que je l’ai activé ?
Clés non restaurées, CSM encore actif, ou chargeur Windows non UEFI. Suivez la section Dépannage pour ré‑initialiser les clés et l’ordre de boot.

Je suis en dual‑boot avec Linux, est‑ce compatible ?
Oui, si la distribution utilise un shim signé. Sinon, utilisez le mode Custom pour vos propres clés ou démarrez la distribution avec Secure Boot désactivé (au prix de la compatibilité avec certains jeux).

Checklist finale

• BIOS à jour, Optimized Defaults appliqués.
• Disque système en GPT.
• CSM : Disabled.
• Intel PTT : Enabled + Security Device Support : Enabled.
• Secure Boot : Enabled, Mode : Standard, clés d’usine restaurées.
• Ordre de démarrage : Windows Boot Manager en premier.
• Windows : msinfo32 = Secure Boot State : On, tpm.msc = 2.0, Get-Tpm = Ready.
• Anti‑triche/jeux : relance, mise à jour éventuelle.

Annexe : parcours type dans l’interface BIOS Gigabyte

Mode Avancé (F2) → Settings :

• Miscellaneous : Intel Platform Trust Technology → Enabled.
• Trusted Computing : Security Device Support → Enabled.

Boot :

• CSM Support → Disabled.
• Secure Boot → Enabled, Secure Boot Mode : Standard.
• Key Management → Restore Factory Keys si nécessaire.
• Boot Option #1 → Windows Boot Manager.

Save & Exit : Save & Exit Setup (F10).

Conclusion

En appliquant méthodiquement ces réglages sur la Gigabyte B760 DS3H, vous passez d’un simple démarrage UEFI à un environnement sécurisé (Secure Boot) et conforme (TPM 2.0/Intel PTT) pour Windows 11 et les jeux exigeants. La clé du succès tient dans l’ordre des opérations : BIOS à jour → GPT → CSM Off → PTT On → Secure Boot On + clés, puis vérification sous Windows.