Windows 11 KB5089549 Boucle Recuperation BitLocker HP

> Avant toute manipulation : retrouvez votre cle de recuperation BitLocker MAINTENANT. Connectez-vous a [account.microsoft.com/devices/recoverykey](https://account.microsoft.com/devices/recoverykey) depuis un telephone ou un autre PC, ou consultez le portail Microsoft Entra / Intune sous "Appareils -> Cles BitLocker". Si votre cle n'a ete enregistree que sur une cle USB locale et que la machine est verrouillee, ne reinitialisez pas, ne reflasher pas le BIOS, n'effacez pas le disque — vos donnees deviennent irrecuperables.

Qu'est-ce que la boucle BitLocker KB5089549 sur HP ?

Apres l'installation de la mise a jour cumulative de mai 2026 KB5089549 sur Windows 11 23H2, 24H2 ou 25H2, beaucoup de HP Commercial Notebooks, Commercial Desktops et Workstations Z demarrent directement sur l'ecran de recuperation BitLocker qui exige la cle de 48 chiffres. Saisir la bonne cle donne acces au bureau une fois, mais le redemarrage suivant redemande la cle — une vraie boucle. Microsoft a confirme la regression PCR7 / TPM-binding comme known issue, et HP a publie l'avis HPSBHF03991 reconnaissant la cause cote BIOS : une mise a jour BIOS HP distribuee via Windows Update debut avril 2026 gere mal le certificat Secure Boot Windows UEFI CA 2023, ce qui modifie les mesures PCR7 a chaque demarrage a froid.

Quand cela se produit-il ?

• Immediatement apres l'installation de KB5089549 et le redemarrage de finalisation.
• Sur HP EliteBook 840 / 845 / 860 G10 et G11, ProBook 450 / 460 G10, Elite x360, Workstations Z2 / Z4 / Z6 G5.
• Apres l'application des mises a jour firmware HP datees du 03 au 22 avril 2026 via Windows Update.
• Au reveil de S4 (mise en veille prolongee) ou apres une decharge Modern Standby a 0%.
• A la premiere jointure de l'appareil a Microsoft Entra ID ou Intune apres la mise a jour.
• En appuyant sur F10 pour entrer dans le BIOS puis reprendre le boot — PCR7 change en cours de boot.

Causes courantes

• KB5089549 remesure PCR7 contre le nouveau certificat Windows UEFI CA 2023 alors que le BIOS HP reference encore le certificat 2011, cassant le scellement TPM.
• La mise a jour BIOS HP du package d'avril 2026 ecrit le Secure Boot DBX de maniere non idempotente, produisant un PCR7 different a chaque demarrage a froid.
• BitLocker etait configure en protecteur "TPM-seul" (sans PIN), donc la moindre derive de PCR7 force le passage par la cle de recuperation.
• Microsoft Entra / Intune n'a pas sauvegarde la cle de recuperation parce que l'appareil est tombe dans la boucle *avant* la fin de la synchro de strategie.
• Une installation precedente de KB5083769 (avril 2026) a laisse une valeur pcr7-config figee a BindingPossibleButNotBound dans msinfo32.
• HP Sure Start revalide le BIOS a chaque boot et applique sa propre mesure, amplifiant la derive.

Correctifs etape par etape

1. Deverrouillez une fois avec la cle de recuperation et capturez l'etat PCR7. Saisissez la cle, ouvrez une session, lancez PowerShell en admin et executez manage-bde -protectors -get C: plus Get-Tpm et msinfo32 | findstr /i "pcr7". Sauvegardez la sortie — vous en aurez besoin.
2. Suspendez BitLocker avant le prochain redemarrage. Dans le meme PowerShell admin : manage-bde -protectors -disable C: -RebootCount 3. Cela saute la verification du scellement TPM pour les 3 prochains boots et casse la boucle assez longtemps pour appliquer le patch.
3. Installez le patch de rollback d'urgence Microsoft KB5089573. Telechargez le MSU depuis le [catalogue Microsoft Update](https://www.catalog.update.microsoft.com/) et installez avec wusa C:\chemin\windows11.0-kb5089573-x64.msu /quiet /norestart. KB5089573 ramene la logique de mesure PCR7 au comportement d'avant KB5089549.
4. Bloquez la mauvaise mise a jour BIOS HP. Ouvrez Parametres -> Windows Update -> Options avancees -> Mises a jour facultatives, decochez toute entree "HP - Firmware". Puis lancez l'outil "Show or hide updates" (wushowhide.diagcab) pour masquer le KB firmware et eviter qu'il ne soit reproposé.
5. **Reactivez BitLocker seulement quand PCR7 est Bound.** Relancez msinfo32 | findstr /i "pcr7". Si la valeur indique Binding, executez manage-bde -protectors -enable C: et redemarrez une fois pour confirmer qu'aucune invite de recuperation n'apparait.
6. Si HP Sure Start declenche, retrogradez le BIOS a la version mars 2026. Depuis le site support HP, recuperez le BIOS de votre modele exact date 2026-03 ou anterieur (ex. EliteBook 840 G11 BIOS V01.10.00). Lancez l'installeur depuis Windows (n'utilisez PAS la mise a jour F.10 dans le BIOS pendant que BitLocker est suspendu). Redemarrez.
7. Sauvegardez la cle de recuperation a plusieurs endroits. manage-bde -protectors -get C: > %USERPROFILE%\Desktop\bitlocker-keys.txt, puis televersez sur OneDrive ET imprimez une copie papier. Notez l'ID de cle et la cle. NE sautez PAS cette etape — le prochain push firmware pourrait redeclencher la boucle.
8. Pour les flottes geres par Intune, deployez la mitigation Microsoft via Known Issue Rollback (KIR). Importez le MSI de strategie KIR depuis le [portail KIR Microsoft](https://learn.microsoft.com/en-us/windows/deployment/update/known-issue-rollback) et ciblez la strategie KB5089549 240608 240612 BitLocker Recovery Mitigation sur le groupe d'appareils touche. Redemarrez.

Si ca ne marche toujours pas

Si KB5089573 est deja installe et que la boucle persiste, l'appareil est touche par le bug cote HP plutot que cote Microsoft — flashez le BIOS de mars 2026 (etape 6), et si l'installeur Windows est bloque par Sure Start, creez une cle USB de recuperation HP (HP Cloud Recovery Tool), demarrez dessus et choisissez "Restore BIOS". Pour les Workstations Z avec vPro / AMT, un rollback BIOS hors bande via HP Integrated Lights-Out (iLO) est le plus rapide. Ouvrez un ticket HP Enterprise Support en citant l'avis HPSBHF03991 — les clients entreprise touches sont prioritises pour un reflash BIOS gratuit sur site. Si la cle n'a jamais ete echappee vers Entra/Intune et que votre cle USB locale est perdue, le disque chiffre est mathematiquement irrecuperable ; restaurez depuis votre derniere sauvegarde plutot que de perdre du temps avec des outils tiers de "recuperation BitLocker", qui ne cassent pas AES-XTS.