TL;DR : L’essentiel
- Trois certificats de chiffrement essentiels, signés par Microsoft et datant de 2011, arrivent à expiration ce 24 juin, fragilisant le mécanisme de démarrage sécurisé de millions de machines.
- Ces clés de sécurité garantissent qu’aucun code malveillant ne s’exécute avant le système d’exploitation, faisant obstacle aux redoutables bootkits capables de résister à une réinstallation complète.
- La transition vers de nouvelles signatures émises en 2023 vise notamment à neutraliser la faille LogoFail, une vulnérabilité critique affectant l’affichage des logos des constructeurs au démarrage.
La sécurité de nos machines repose sur un fil invisible, une chaîne de confiance cryptographique si discrète qu’on l’oublie jusqu’à ce qu’elle arrive à échéance. En analysant les derniers correctifs système, j’ai mesuré l’importance cruciale de la date butoir de ce 24 juin. C’est à ce moment précis que trois certificats maîtres, piliers de la technologie Secure Boot conçue par Microsoft, cessent d’être valides, forçant une mise à jour globale des parcs informatiques Windows et Linux.
Pourquoi la mise à jour de Secure Boot est vitale pour la sécurité des ordinateurs
Le dispositif Secure Boot vérifie la signature numérique de chaque composant logiciel qui se charge lors du démarrage de l’ordinateur. Ce protocole s’assure que le micrologiciel provient d’une source de confiance reconnue par le constructeur de la carte mère. Sans ce contrôle cryptographique, des logiciels malveillants très sophistiqués pourraient s’insérer au cœur même de la séquence d’initialisation de la machine.
Ces programmes malicieux, appelés bootkits UEFI, ciblent l’interface moderne qui a succédé au traditionnel BIOS. Parce qu’ils s’exécutent avant le système d’exploitation et la majorité des solutions de sécurité, ces codes sont extrêmement complexes à détecter. Un pirate parvenant à installer un tel outil peut implanter des accès dérobés de manière persistante, capables de voler des identifiants ou de créer des portes dérobées tout en survivant à une réinstallation complète du système.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Comment la faille LogoFail contourne la sécurité de Secure Boot
Le protocole Secure Boot doit faire face à de nouvelles menaces, comme l’a démontré la découverte de LogoFail. Cette faille critique, identifiée par des chercheurs en sécurité, réside dans le logiciel chargé d’analyser et d’afficher le logo du constructeur lors du démarrage. Un attaquant exploitant ce bogue d’analyse d’image peut contourner le démarrage sécurisé et infecter le micrologiciel UEFI avec un code malveillant non autorisé.
Comme le détaille le magazine Wired, les systèmes Windows 10 et Windows 11 reçoivent ces modifications de manière automatisée lors des mises à jour mensuelles. Du côté de l’écosystème Linux, les distributeurs de logiciels libres déploient également de nouveaux chargeurs d’amorçage intermédiaires, appelés « shims », pour faire le pont avec ces nouvelles clés de chiffrement.
Bien que les ordinateurs ne se bloquent pas immédiatement en cas d’absence de mise à jour, ils perdront toute protection face aux futures menaces exploitant LogoFail. Cette réfection globale des clés cryptographiques de Secure Boot demeure donc indispensable pour prémunir les systèmes contre de futures cyberattaques ciblant la phase d’amorçage.
Questions fréquentes sur la sécurité de Secure Boot
Qu’est-ce que le protocole Secure Boot et à quoi sert-il ?
Conçu par Microsoft en collaboration avec les fabricants de matériel, Secure Boot est un standard de sécurité qui vérifie les signatures cryptographiques des logiciels lancés au démarrage de l’ordinateur. Il empêche le chargement de composants non autorisés ou modifiés, faisant ainsi office de barrière contre les codes malveillants qui tentent de s’exécuter avant le système d’exploitation.
Quel est le risque si les clés de sécurité ne sont pas mises à jour ?
Les ordinateurs qui ne reçoivent pas les nouvelles signatures de 2023 continueront de fonctionner normalement au quotidien. Cependant, ils resteront vulnérables à des attaques complexes exploitant des failles de démarrage comme LogoFail, privant le système de sa protection contre l’installation de logiciels malveillants de démarrage (bootkits) persistants au niveau du micrologiciel.
Comment vérifier si mon système d’exploitation Windows a reçu la mise à jour ?
Les utilisateurs de Windows peuvent s’assurer de l’état de sécurité de leur machine en accédant aux paramètres de sécurité de l’appareil, puis dans l’onglet Sécurité des appareils pour consulter l’état de Secure Boot. La présence d’une coche verte indique que la transition vers les nouveaux certificats a été correctement effectuée de manière automatique.
Comment les systèmes Linux gèrent-ils cette transition de certificats ?
Pour les distributions Linux, la mise à jour s’effectue via le déploiement de nouveaux shims, qui sont de petits chargeurs d’amorçage servant de pont de confiance entre les clés de Secure Boot et le chargeur principal. Les utilisateurs de ces systèmes doivent appliquer les mises à jour proposées par leur distribution pour intégrer ces nouveaux micrologiciels de confiance.
Pour approfondir le sujet
Presque tous les appareils Windows et Linux sont vulnérables à la nouvelle attaque de firmware LogoFAIL.
Les interfaces UEFI de démarrage des appareils Windows et Linux peuvent être piratées par des images de logo malveillantes. Lire la suite
Cette veille vous a fait gagner du temps ?
Aidez DCOD à payer ses serveurs et à rester 100% gratuit et indépendant.
