Auteur Sujet: Expiration des clés Secure Boot de 2011: Les impacts pour Linux  (Lu 1293 fois)

0 Membres et 4 Invités sur ce sujet

Paul

  • Abonné Free fibre
  • *
  • Messages: 4 899
  • FTTH 8 Gb/s sur Châlons-en-Champagne (51)
    • Mon site
Expiration des clés Secure Boot de 2011: Les impacts pour Linux
« Réponse #12 le: 05 juillet 2026 à 23:00:20 »
Mon PC fixe avec une carte mère fabriquée en 2025 a l'autorité 2023, mais à ma surprise, la 2011 aussi. Je ne pensais pas que ce qui était fabriqué après 2023 aurait encore l'ancienne. Ça pourrait être pour faire fonctionner des OS d'avant 2023 mais on installe très rarement un OS obsolète sur un PC fixe neuf.

turold

  • Abonné Orange Fibre
  • *
  • Messages: 1 997
  • mp fermée (sauf admin et exceptions temporaires)
    • Site officieux de Paint.NET.
Expiration des clés Secure Boot de 2011: Les impacts pour Linux
« Réponse #13 le: 05 juillet 2026 à 23:27:57 »
[...]La mise à jour des certificats est décomposée en 3 mises à jour, dès que la seconde était faite, j'avais bien le support des certificats Microsoft 2023.

C'est très simple, il suffit de cliquer pour mettre à jour et de redémarrer le PC.

[...]


Je ne sais pas comment cela se passe pour les utilisateurs de Windows 11.

[...]

Sous Windows 11 (et très probablement Windows 10), c'est très simple et en fond de tâche.
2 cas possibles:
- très majoritaire (pas mon cas), cela se fait lors d'un Patch Tuesday, en mise à jour cumulative, selon la carte mère (pas le même mois pour tout le monde). Le redémarrage est de toute façon obligatoire, mais ne concerne pas cette partie, car tout Windows reste ok sans ça.
- cas particuliers pris en charge par Windows Update (mon cas avec une carte mère Asus): c'est une mise à jour automatique de sécurité en fond de tâche, juste pour ça, et ne demande pas de redémarrer. Le KB est même mal nommé, et j'ai découvert le nouveau certificat seulement en observant l'observateur d’événements de Windows.

NB: le redémarrage n'était pas obligatoire, mais l'installation du nouveau certificat s'installait vraiment qu'avec un redémarrage. Le redémarrage devient peut être obligatoire pour tout les cas à partir de maintenant, si jamais il y aura de nouveau cas... ou des retardataires. On a en effet dépasser les 1eres dates pour les certificats de 2011.

turold

  • Abonné Orange Fibre
  • *
  • Messages: 1 997
  • mp fermée (sauf admin et exceptions temporaires)
    • Site officieux de Paint.NET.
Expiration des clés Secure Boot de 2011: Les impacts pour Linux
« Réponse #14 le: 05 juillet 2026 à 23:36:25 »
Mon PC fixe avec une carte mère fabriquée en 2025 a l'autorité 2023, mais à ma surprise, la 2011 aussi. Je ne pensais pas que ce qui était fabriqué après 2023 aurait encore l'ancienne. Ça pourrait être pour faire fonctionner des OS d'avant 2023 mais on installe très rarement un OS obsolète sur un PC fixe neuf.
C'est normal.
Ce n'est pas seulement un PC ou un OS qui est certifié, mais également les composants et les périphériques de démarrage.

Microsoft dit (contrairement à Reddit...):
- ne jamais enlever les certificats de 2011 si c'était dans la carte mère
- et côté OEM, aucune interdiction de Microsoft sur les certificats de 2011, mais chaque OEM gère son planning dessus pour assurer une transition douce (genre les PC neufs avec encore du Nvidia RTX 3000 pour du pas cher ou du destockage)

Edit-correction : OEM et fabricants de carte-mères.

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 3 023
  • Chambly (60)
Note pour mon PC HP Pavilion Desktop TP01-3xxx (plus récent, avec un Core i7-12700), l'actualiseur de micrologiciel d'Ubuntu ne me propose jamais rien, alors qu'il propose régulièrement des mises à jour sur les PC Dell.[/size]
C'est une interface graphique au dessus de fwupd, qui propose les firmwares mis sur LVFS par les fabricants, ainsi que certaines mises à jour plus génériques (comme ici les certificats).
Même chez ceux qui publient des mises à jour (Dell, Lenovo, HP, ...), tous les modèles ne sont pas nécessairement couverts et parfois les dernières versions ne sont pas disponibles.

vivien

  • Administrateur
  • *
  • Messages: 53 046
    • Bluesky LaFibre.info
Expiration des clés Secure Boot de 2011: Les impacts pour Linux
« Réponse #16 le: Aujourd'hui à 14:01:04 »


A priori, il est possible sur tous les PC de marque Dell possédant un UEFI compatible secure boot de récupérer les clefs Microsoft 2023.

Voici un exemple avec un des premier PC proposant le secure boot : l'Inspiron 3847.

Le Dell Inspiron 3847 est un ordinateur de bureau lancé en 2013, il repose sur le chipset H81 et prend en charge les processeurs Intel Core de 4e génération ainsi que jusqu'à 16 Go de mémoire DDR3-1333/1600 (DIMM).

La dernière mise à jour de l'UEFI a été proposée en 2019 (6 ans de mise à jour) et n'intègre pas les certificats de 2023, toutefois, il est possible de l'ajouter simplement avec l'interface graphique au-dessus de fwupd.

Conne c'est un des premiers PC grand public avec secure boot, j'imagine que toute la gamme Dell est prise en charge. Ce n'est pas la même chose pour d'autres marques comme HP ou Intel Nuc.

Capture d'écran aprés la mise à jour :



Paul

  • Abonné Free fibre
  • *
  • Messages: 4 899
  • FTTH 8 Gb/s sur Châlons-en-Champagne (51)
    • Mon site
Expiration des clés Secure Boot de 2011: Les impacts pour Linux
« Réponse #17 le: Aujourd'hui à 15:21:40 »
Intéressant. J'ai un Precision de 2016, j'essaierai. Si ça fonctionne avec une ISO live, ça me faciliterait absolument massivement la tâche.

Trellen

  • Abonné Bbox fibre
  • *
  • Messages: 263
Expiration des clés Secure Boot de 2011: Les impacts pour Linux
« Réponse #18 le: Aujourd'hui à 15:24:44 »
UEFI CA et UEFI dbx sont fournis respectivement par Microsoft et la Linux Foundation par https://fwupd.org/, ça devrait fonctionner chez Dell, Hp et autres sans soucis à mon avis.