L’avenir incertain du Secure Boot : comprendre la situation

Le Secure Boot, pierre angulaire de la sécurité informatique, se retrouve aujourd’hui au coeur d’un débat crucial. Entre enjeux de compatibilité et volonté de renforcement de la protection des systèmes, quel avenir se dessine pour ce mécanisme de sécurité ? Pour plonger au coeur de cette situation complexe, il est essentiel de comprendre les différents côtés de ce dilemme et les implications possibles sur nos pratiques informatiques.

Présentation de la technologie Secure Boot

Secure Boot est une technologie essentielle dans les spécifications UEFI. Son objectif central est d’empêcher l’exécution de logiciels non autorisés lors du démarrage de l’ordinateur. Les menaces comme les bootkits se manifestent au niveau du bootloader, le programme chargé de lancer le système d’exploitation, et sont exécutées avant ce dernier, ce qui complique leur détection et leur suppression.

Conditions de fonctionnement de Secure Boot

Pour fonctionner efficacement, Secure Boot exige que le PC utilise impérativement un BIOS UEFI au lieu de l’ancien BIOS legacy. En cas de besoin, il est possible de démarrer le système en mode UEFI CSM (Compatibility Support Mode), ce qui désactive effectivement Secure Boot.

Le rôle des certificats dans Secure Boot

Lorsque Secure Boot est activé, l’UEFI ne transfère le contrôle qu’à des bootloaders signés avec un certificat enregistré dans le firmware du BIOS. Ce certificat, généralement fourni par Microsoft, est également utilisé pour les bootloaders Linux. Pour éviter les problèmes de démarrage, le monde open source se tourne vers le composant shim, qui sert d’intermédiaire entre le firmware UEFI et le système d’exploitation à charger.

Problèmes de Secure Boot dus aux vulnérabilités

En 2023, des vulnérabilités ont permis à des bootkits comme BlackLotus de désactiver la protection Secure Boot, la rendant ainsi inefficace. La conséquence immédiate est qu’un bootloader signé avec un certificat valide ne garantit plus la sécurité. Microsoft a donc été contrainte de prendre des mesures pour contrer ces vulnérabilités.

Mesures prises par Microsoft

Microsoft a annoncé son intention de révoquer le certificat actuellement utilisé pour signer les bootloaders Windows compatibles avec Secure Boot. Un BIOS UEFI avec Secure Boot activé ne reconnaîtra plus les bootloaders Windows comme valides. De nouveaux bootloaders, signés avec un nouveau certificat, devront être intégrés dans le firmware UEFI de chaque machine.

Conséquences pour les utilisateurs

Après la révocation des anciens certificats et la distribution des nouveaux, des problèmes pourraient survenir. Les mises à jour seront distribuées via Windows Update, de sorte que les modifications seront appliquées sans que les utilisateurs soient conscients de ce qui se passe.

Comment vérifier les certificats dans le BIOS UEFI

Windows ne fournit pas d’outil intégré pour vérifier les certificats utilisés au niveau du BIOS UEFI. Cependant, les utilisateurs peuvent utiliser PowerShell pour le faire :

Install-Module -Name UEFIv2

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

Import-Module UEFIv2

Les commandes suivantes permettent d’extraire les certificats enregistrés dans le BIOS UEFI et de les enregistrer dans un fichier texte :

Get-UEFISecureBootCerts DB | fl > $env:USERPROFILEcertificats.txt

notepad $env:USERPROFILEcertificats.txt

Déterminer le certificat utilisé par le bootloader

Pour connaître le certificat utilisé pour signer le bootloader responsable du chargement de Windows, utilisez l’outil Microsoft Sigcheck. Sur les systèmes Windows 64 bits :

mountvol U: /s

c:sigchecksigcheck64 -i -h U:EFIBootBootx64.efi > %userprofile%bootloader_cert.txt

mountvol U: /d

notepad %userprofile%bootloader_cert.txt

Les tests préliminaires montrent que le nouveau bootloader, commun à Windows 10 et Windows 11, portera probablement la version 10.0.26089.1001 et expirera le 13 juin 2035.