Messages récents41
Linux / Expiration des clés Secure Boot de 2011: Les impacts pour Linux
« Dernier message par vivien le Aujourd'hui à 09:27:12 »
Le 24 juin 2026, les anciennes autorités Secure Boot de 2011 expirent !
L'expiration des certificats de démarrage sécurisé Microsoft émis en 2011 (notamment l'autorité Microsoft Corporation UEFI CA 2011, qui arrive à échéance le 24 juin 2026) pose une question cruciale pour les utilisateurs Windows, mais aussi Linux. Par exemple, Ubuntu s'appuie historiquement sur ce certificat pour signer son chargeur de démarrage initial (shim).
Il faut ajouter les clés Microsoft UEFI CA 2023, via une mise à jour du BIOS / UEFI.
Dell par exemple indique la version minimum du BIOS pour prendre en chrage CA 2023 sur cette page.
Sous Linux, comment savoir si CA 2023 est installé ?
Il suffit de lancer dans un terminal la commande mokutil --db | grep "Subject:" (ou mokutil --kek | grep 'Subject:')
Si "Microsoft UEFI CA 2023" apparaît, vous êtes déjà protégé.
Quels sont les impacts d'une absence des certificats Microsoft 2023 pour Linux ?
À court terme : Aucun blocage immédiat du démarrage. Tant que les fichiers actuels (shim, grub, noyau) ne changent pas et sont signés avec la clé 2011, la plupart des micrologiciels UEFI continueront de charger les distributions Linux normalement, car ils ne bloquent pas activement les certificats expirés pour le boot existant.
Les limitations vont venir quand les distributions Linux vont cesser de signer leurs chargeurs de démarrage (shim) avec la clé de 2011 obsolète et utiliseront exclusivement la clé 2023. Cela pourait arriver dans les prochaines semaines. Canonical Annonce que Ubuntu 26.04.1 (mise à jour mineur qui sort en aout 2026) pourraient nécessiter l'autorité de certification 2023.
Conséquence : Si vous tentez d'installer une future version de Linux (ou de mettre à niveau vers une version majeure) qui intègre un shim exclusivement signé en 2023, votre PC affichera une erreur de violation de sécurité au démarrage. Pour votre Linux actuel, il ne recevra plus de mises à jour de sécurité pour le chargeur de démarrage shim sans le CA 2023. De ce fait, il ne sera plus possible d'appliquer les mises à jour aux autres composants de la pile de démarrage, ce qui pourrait permettre des attaques par rétrogradation sur des éléments tels que GRUB ou fwupd.
Si votre machine ne reçoit plus de mises à jour de BIOS/UEFI de la part du fabricant pour injecter les clés 2023, le plus simple est de désactiver le Secure Boot : En désactivant le Secure Boot dans les paramètres UEFI (BIOS) de votre PC, vous contournez complètement la vérification des certificats Microsoft. Linux démarrera et se mettra à jour sans aucune restriction.
C'est une opération qui se fait en allant dans les paramètres UEFI de votre PC. Canonical, l'éditeur d'Ubuntu, a prévu de publier prochainement des instructions à ce sujet.
Il est aussi possible d'injecter manuellement les nouvelles clés de 2023 dans la base de données de la carte mère, mais c'est souvent compliqué à réaliser.
L'expiration des certificats de démarrage sécurisé Microsoft émis en 2011 (notamment l'autorité Microsoft Corporation UEFI CA 2011, qui arrive à échéance le 24 juin 2026) pose une question cruciale pour les utilisateurs Windows, mais aussi Linux. Par exemple, Ubuntu s'appuie historiquement sur ce certificat pour signer son chargeur de démarrage initial (shim).
Il faut ajouter les clés Microsoft UEFI CA 2023, via une mise à jour du BIOS / UEFI.
Dell par exemple indique la version minimum du BIOS pour prendre en chrage CA 2023 sur cette page.
Sous Linux, comment savoir si CA 2023 est installé ?
Il suffit de lancer dans un terminal la commande mokutil --db | grep "Subject:" (ou mokutil --kek | grep 'Subject:')
Si "Microsoft UEFI CA 2023" apparaît, vous êtes déjà protégé.
Quels sont les impacts d'une absence des certificats Microsoft 2023 pour Linux ?
À court terme : Aucun blocage immédiat du démarrage. Tant que les fichiers actuels (shim, grub, noyau) ne changent pas et sont signés avec la clé 2011, la plupart des micrologiciels UEFI continueront de charger les distributions Linux normalement, car ils ne bloquent pas activement les certificats expirés pour le boot existant.
Les limitations vont venir quand les distributions Linux vont cesser de signer leurs chargeurs de démarrage (shim) avec la clé de 2011 obsolète et utiliseront exclusivement la clé 2023. Cela pourait arriver dans les prochaines semaines. Canonical Annonce que Ubuntu 26.04.1 (mise à jour mineur qui sort en aout 2026) pourraient nécessiter l'autorité de certification 2023.
Conséquence : Si vous tentez d'installer une future version de Linux (ou de mettre à niveau vers une version majeure) qui intègre un shim exclusivement signé en 2023, votre PC affichera une erreur de violation de sécurité au démarrage. Pour votre Linux actuel, il ne recevra plus de mises à jour de sécurité pour le chargeur de démarrage shim sans le CA 2023. De ce fait, il ne sera plus possible d'appliquer les mises à jour aux autres composants de la pile de démarrage, ce qui pourrait permettre des attaques par rétrogradation sur des éléments tels que GRUB ou fwupd.
Si votre machine ne reçoit plus de mises à jour de BIOS/UEFI de la part du fabricant pour injecter les clés 2023, le plus simple est de désactiver le Secure Boot : En désactivant le Secure Boot dans les paramètres UEFI (BIOS) de votre PC, vous contournez complètement la vérification des certificats Microsoft. Linux démarrera et se mettra à jour sans aucune restriction.
C'est une opération qui se fait en allant dans les paramètres UEFI de votre PC. Canonical, l'éditeur d'Ubuntu, a prévu de publier prochainement des instructions à ce sujet.
Il est aussi possible d'injecter manuellement les nouvelles clés de 2023 dans la base de données de la carte mère, mais c'est souvent compliqué à réaliser.
Énergie
Starlink
Évolution de LaFibre.info, bugs et critiques
Actus Orange
Remplacer la Bbox par un routeur