L'avenir incertain du Secure Boot : comprendre la situation
Windows

L’avenir incertain du Secure Boot : comprendre la situation

Par Jean-Luc Pircard , le juin 9, 2024 , mis à jour le juin 9, 2024 — comprendre la situation, l'avenir incertain, secure boot, sécurité informatique, technologie - 4 minutes de lecture
Notez-moi

Le Secure Boot, pierre angulaire de la sécurité informatique, se retrouve aujourd’hui au coeur d’un débat crucial. Entre enjeux de compatibilité et volonté de renforcement de la protection des systèmes, quel avenir se dessine pour ce mécanisme de sécurité ? Pour plonger au coeur de cette situation complexe, il est essentiel de comprendre les différents côtés de ce dilemme et les implications possibles sur nos pratiques informatiques.

Présentation de la technologie Secure Boot

Secure Boot est une technologie essentielle dans les spécifications UEFI. Son objectif central est d’empêcher l’exécution de logiciels non autorisés lors du démarrage de l’ordinateur. Les menaces comme les bootkits se manifestent au niveau du bootloader, le programme chargé de lancer le système d’exploitation, et sont exécutées avant ce dernier, ce qui complique leur détection et leur suppression.

Conditions de fonctionnement de Secure Boot

Hands adjusting UEFI settings to enable Secure Boot feature.

Pour fonctionner efficacement, Secure Boot exige que le PC utilise impérativement un BIOS UEFI au lieu de l’ancien BIOS legacy. En cas de besoin, il est possible de démarrer le système en mode UEFI CSM (Compatibility Support Mode), ce qui désactive effectivement Secure Boot.

Le rôle des certificats dans Secure Boot

Lorsque Secure Boot est activé, l’UEFI ne transfère le contrôle qu’à des bootloaders signés avec un certificat enregistré dans le firmware du BIOS. Ce certificat, généralement fourni par Microsoft, est également utilisé pour les bootloaders Linux. Pour éviter les problèmes de démarrage, le monde open source se tourne vers le composant shim, qui sert d’intermédiaire entre le firmware UEFI et le système d’exploitation à charger.

Problèmes de Secure Boot dus aux vulnérabilités

Group of cybersecurity experts discussing strategies to address Secure Boot vulnerabilities.

En 2023, des vulnérabilités ont permis à des bootkits comme BlackLotus de désactiver la protection Secure Boot, la rendant ainsi inefficace. La conséquence immédiate est qu’un bootloader signé avec un certificat valide ne garantit plus la sécurité. Microsoft a donc été contrainte de prendre des mesures pour contrer ces vulnérabilités.

Mesures prises par Microsoft

Microsoft a annoncé son intention de révoquer le certificat actuellement utilisé pour signer les bootloaders Windows compatibles avec Secure Boot. Un BIOS UEFI avec Secure Boot activé ne reconnaîtra plus les bootloaders Windows comme valides. De nouveaux bootloaders, signés avec un nouveau certificat, devront être intégrés dans le firmware UEFI de chaque machine.

Conséquences pour les utilisateurs

New certificates being distributed to users through an automated process.

Après la révocation des anciens certificats et la distribution des nouveaux, des problèmes pourraient survenir. Les mises à jour seront distribuées via Windows Update, de sorte que les modifications seront appliquées sans que les utilisateurs soient conscients de ce qui se passe.

Comment vérifier les certificats dans le BIOS UEFI

Windows ne fournit pas d’outil intégré pour vérifier les certificats utilisés au niveau du BIOS UEFI. Cependant, les utilisateurs peuvent utiliser PowerShell pour le faire :


Install-Module -Name UEFIv2
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
Import-Module UEFIv2

Les commandes suivantes permettent d’extraire les certificats enregistrés dans le BIOS UEFI et de les enregistrer dans un fichier texte :


Get-UEFISecureBootCerts DB | fl > $env:USERPROFILEcertificats.txt
notepad $env:USERPROFILEcertificats.txt

Déterminer le certificat utilisé par le bootloader

Detailed instructions on how to identify the certificate used by the bootloader.

Pour connaître le certificat utilisé pour signer le bootloader responsable du chargement de Windows, utilisez l’outil Microsoft Sigcheck. Sur les systèmes Windows 64 bits :


mountvol U: /s
c:sigchecksigcheck64 -i -h U:EFIBootBootx64.efi > %userprofile%bootloader_cert.txt
mountvol U: /d
notepad %userprofile%bootloader_cert.txt

Les tests préliminaires montrent que le nouveau bootloader, commun à Windows 10 et Windows 11, portera probablement la version 10.0.26089.1001 et expirera le 13 juin 2035.

  • Comprendre des situations de formation : formation de formateurs à l'analyse Jean Donnay, Evelyne Charlier De Boeck-Wesmael
    Jean Donnay, Evelyne Charlier
  • A l'écoute du cheval : situations et solutions pratiques pour comprendre les chevaux Lesley Bayley Gründ
    Lesley Bayley
  • Comprendre les comptes annuels et améliorer la situation financière de l'entreprise Damien Péan Gereso
    Damien Péan
Jean-Luc Pircard

Jean-Luc Pircard

Je suis un passionné de l'informatique qui aime les défis et les nouvelles technologies. J'aime découvrir de nouveaux systèmes et s'améliorer constamment.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.