Comprendre SBAT et l’essor du dual boot Windows et Linux

L’essor du dual boot entre Windows et Linux a suscité un intérêt croissant parmi les professionnels de l’informatique, en particulier en raison des avantages qu’offre SBAT (Secure Boot Anti-Tamper). Ce mécanisme de sécurité, conçu pour protéger le processus de démarrage, requiert une compréhension approfondie des deux systèmes d’exploitation afin de garantir une installation fluide et sécurisée. En intégrant le dual boot dans leur environnement de travail, les utilisateurs peuvent tirer parti des fonctionnalités uniques de chaque système tout en respectant les normes de sécurité imposées par SBAT. Dans ce contexte, il est essentiel de connaître les étapes clés et les meilleures pratiques pour naviguer efficacement entre ces deux écosystèmes.

Le rôle du Secure Boot dans l’intégration de SBAT

L’évolution du Secure Boot dans le BIOS UEFI vise à créer un environnement sécurisé, empêchant l’exécution de code non autorisé au niveau du noyau du système d’exploitation. Chaque composant de la chaîne de démarrage, du firmware au bootloader et jusqu’au noyau, doit être vérifié et signé numériquement. Si un composant est jugé non fiable, le démarrage du système est interrompu.

Qu’est-ce que SBAT ?

SBAT (Secure Boot Advanced Targeting) est un projet né de la collaboration entre la communauté Linux et Microsoft. Il a été conçu pour gérer efficacement les vulnérabilités dans la chaîne de démarrage à grande échelle. Le SBAT opère en attribuant une version de « génération de sécurité » à chaque composant de démarrage, mise à jour à chaque résolution d’une vulnérabilité.

L’introduction de SBAT

Introduit en 2012, SBAT utilise un mécanisme basé sur les versions des bootloaders et d’autres composants chargés au démarrage. Chaque composant critique, tel que GRUB, déclare une « génération de sécurité », un numéro qui représente l’état de sécurité d’un composant. Si la génération de sécurité d’un composant est inférieure à celle requise par les mises à jour actuelles, le composant est considéré comme non fiable et le démarrage est bloqué.

Le lien entre SBAT et Shim

Shim est un petit bootloader intermédiaire entre le firmware UEFI et le bootloader principal, comme GRUB. Il permet l’exécution de bootloaders et kernels Linux non signés par Microsoft mais toujours jugés fiables dans le cadre du Secure Boot. Shim vérifie la génération de sécurité des composants suivants et bloque le démarrage si une version est inférieure à celle requise, affichant le message d’erreur « Something has gone seriously wrong ».

Le problème du dual boot Windows et Linux

Un problème est survenu en août 2024 lorsque Microsoft a mis à jour SBAT dans Windows pour déclarer non fiables toutes les versions de GRUB avec une génération de sécurité inférieure à une certaine version. Certaines distributions Linux n’avaient pas encore diffusé les versions mises à jour de GRUB, ce qui a bloqué le démarrage de Linux sur les systèmes en dual boot. Microsoft souhaitait initialement appliquer cette mise à jour uniquement aux systèmes Windows standalone, mais l’extension au dual boot a causé des problèmes notables.

Responsabilité et coordination

Microsoft aurait dû mieux tester l’impact de cette mise à jour sur les systèmes en dual boot, tandis que certaines distributions Linux ont tardé à fournir les mises à jour nécessaires de GRUB. Cette situation souligne la nécessité d’une meilleure coordination entre les développeurs des systèmes d’exploitation pour éviter des perturbations majeures pour les utilisateurs finaux.