Pour butler_fr : Moi aussi, je ne m'attendais pas à ce que des versions mineures de distribution nécessitent l'autorité de certification 2023 (ex: Ubuntu 26.04.1).

Pour Sylv_01 :

Quels sont les impacts d'une absence des certificats Microsoft 2023 pour Linux ?

À court terme : Aucun blocage immédiat du démarrage. Tant que les fichiers actuels (shim, grub, noyau) ne changent pas et sont signés avec la clé 2011, la plupart des micrologiciels UEFI continueront de charger les distributions Linux normalement, car ils ne bloquent pas activement les certificats expirés pour le boot existant.

Les limitations vont venir quand les distributions Linux vont cesser de signer leurs chargeurs de démarrage (shim) avec la clé de 2011 obsolète et utiliseront exclusivement la clé 2023. Cela pourait arriver dans les prochaines semaines. Canonical Annonce que Ubuntu 26.04.1 (mise à jour mineur qui sort en aout 2026) pourraient nécessiter l'autorité de certification 2023.

Conséquence : Si vous tentez d'installer une future version de Linux (ou de mettre à niveau vers une version majeure) qui intègre un shim exclusivement signé en 2023, votre PC affichera une erreur de violation de sécurité au démarrage. Pour votre Linux actuel, il ne recevra plus de mises à jour de sécurité pour le chargeur de démarrage shim sans le CA 2023. De ce fait, il ne sera plus possible d'appliquer les mises à jour aux autres composants de la pile de démarrage, ce qui pourrait permettre des attaques par rétrogradation sur des éléments tels que GRUB ou fwupd.

c'est si problématique que ça de continuer à signer avec l'ancien?
les utilisateurs qui vont rester sur le carreau par manque de connaissance ça va se compter en millions la

Ok je vois ce que tu veux dire.

Mais bon, si le scénario est "envoie d'une option 17 non reconnue entraînant par hasard l'activation du CGNAT", ça m'a tout l'air d'être un soit bug côté Orange, soit une mauvaise manip de l'utilisateur. Il ne s'agit pas seulement d'envoyer une option 17 quelconque qui contiendrait par hasard des "octets suspensifs de l'application du CGNAT" à 0. Il faut envoyer la sub-option 2, et il faut l'envoyer avec le "Private Enterprise Number" d'Orange. Autrement dit il faut que le paquet commence par 0x000005580002, et ça n'est pas quelque chose qui va arriver par hasard.

Ce que je veux dire, c'est que l'option 125/17 c'est "Vendor-Specific Information Option", qui est juste un conteneur pour des sous-options spécifiques à chaque vendeur. Il faut non seulement choisir d'envoyer l'option 17, mais aussi donner les sous-options à envoyer. Je ne vois pas comment un routeur pourrait décider de lui-même d'envoyer une sous-option pour le vendor 0x0558 (Orange), et qui plus est la sous-option 2, qui n'a pas l'air documentée (officiellement ou officieusement).

A part si Ubiquiti a une base de vendors avec pour chacun une liste de sub-options à envoyer, il me semble plus probable qu'Orange ait activé de lui même le CGNAT en l'absence d'une sub-option 2 qui aurait indiqué la volonté contraire.

La réponse est celle ci :
Pour avoir le CGNAT il faut :
- envoyer une option 17 montant en IPv6
- que celle-ci indique sa configuration pour savoir si c'est non elligible.

Donc :
- si tu envoie une option 17
- avec un code au hazard mais qui ne contient pas les bons octets suspensif de l'application du CGNAT
Cela peut logiquement être interprété comme : je veux du CGNAT

Si tu n'envoie PAS d'option 17, c'est interprété comme : je ne veut PAS de CGNAT

L'envoi de l'option 17 (ipv6) est un choix délibéré, cela ne se fait pas tout seul dans les routeurs.

LeVieux

Bonjour,

Lorsque je me connecte sur l'interface admin de la box et que je clique sur séparer les réseaux 2.4 et 5 GHz il ne se passe rien.

C'est une Bbox Wifi 7 avec l'offre b&you pure fibre à 24€99 par mois.

Merci d'avance pour votre aide