Auteur Sujet: Expiration des clés Secure Boot de 2011: Les impacts pour Linux  (Lu 1425 fois)

0 Membres et 3 Invités sur ce sujet

Paul

  • Abonné Free fibre
  • *
  • Messages: 4 900
  • FTTH 8 Gb/s sur Châlons-en-Champagne (51)
    • Mon site
Expiration des clés Secure Boot de 2011: Les impacts pour Linux
« Réponse #12 le: 05 juillet 2026 à 23:00:20 »
Mon PC fixe avec une carte mère fabriquée en 2025 a l'autorité 2023, mais à ma surprise, la 2011 aussi. Je ne pensais pas que ce qui était fabriqué après 2023 aurait encore l'ancienne. Ça pourrait être pour faire fonctionner des OS d'avant 2023 mais on installe très rarement un OS obsolète sur un PC fixe neuf.

turold

  • Abonné Orange Fibre
  • *
  • Messages: 1 997
  • mp fermée (sauf admin et exceptions temporaires)
    • Site officieux de Paint.NET.
Expiration des clés Secure Boot de 2011: Les impacts pour Linux
« Réponse #13 le: 05 juillet 2026 à 23:27:57 »
[...]La mise à jour des certificats est décomposée en 3 mises à jour, dès que la seconde était faite, j'avais bien le support des certificats Microsoft 2023.

C'est très simple, il suffit de cliquer pour mettre à jour et de redémarrer le PC.

[...]


Je ne sais pas comment cela se passe pour les utilisateurs de Windows 11.

[...]

Sous Windows 11 (et très probablement Windows 10), c'est très simple et en fond de tâche.
2 cas possibles:
- très majoritaire (pas mon cas), cela se fait lors d'un Patch Tuesday, en mise à jour cumulative, selon la carte mère (pas le même mois pour tout le monde). Le redémarrage est de toute façon obligatoire, mais ne concerne pas cette partie, car tout Windows reste ok sans ça.
- cas particuliers pris en charge par Windows Update (mon cas avec une carte mère Asus): c'est une mise à jour automatique de sécurité en fond de tâche, juste pour ça, et ne demande pas de redémarrer. Le KB est même mal nommé, et j'ai découvert le nouveau certificat seulement en observant l'observateur d’événements de Windows.

NB: le redémarrage n'était pas obligatoire, mais l'installation du nouveau certificat s'installait vraiment qu'avec un redémarrage. Le redémarrage devient peut être obligatoire pour tout les cas à partir de maintenant, si jamais il y aura de nouveau cas... ou des retardataires. On a en effet dépasser les 1eres dates pour les certificats de 2011.

turold

  • Abonné Orange Fibre
  • *
  • Messages: 1 997
  • mp fermée (sauf admin et exceptions temporaires)
    • Site officieux de Paint.NET.
Expiration des clés Secure Boot de 2011: Les impacts pour Linux
« Réponse #14 le: 05 juillet 2026 à 23:36:25 »
Mon PC fixe avec une carte mère fabriquée en 2025 a l'autorité 2023, mais à ma surprise, la 2011 aussi. Je ne pensais pas que ce qui était fabriqué après 2023 aurait encore l'ancienne. Ça pourrait être pour faire fonctionner des OS d'avant 2023 mais on installe très rarement un OS obsolète sur un PC fixe neuf.
C'est normal.
Ce n'est pas seulement un PC ou un OS qui est certifié, mais également les composants et les périphériques de démarrage.

Microsoft dit (contrairement à Reddit...):
- ne jamais enlever les certificats de 2011 si c'était dans la carte mère
- et côté OEM, aucune interdiction de Microsoft sur les certificats de 2011, mais chaque OEM gère son planning dessus pour assurer une transition douce (genre les PC neufs avec encore du Nvidia RTX 3000 pour du pas cher ou du destockage)

Edit-correction : OEM et fabricants de carte-mères.

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 3 024
  • Chambly (60)
Expiration des clés Secure Boot de 2011: Les impacts pour Linux
« Réponse #15 le: 06 juillet 2026 à 02:26:39 »
Note pour mon PC HP Pavilion Desktop TP01-3xxx (plus récent, avec un Core i7-12700), l'actualiseur de micrologiciel d'Ubuntu ne me propose jamais rien, alors qu'il propose régulièrement des mises à jour sur les PC Dell.[/size]
C'est une interface graphique au dessus de fwupd, qui propose les firmwares mis sur LVFS par les fabricants, ainsi que certaines mises à jour plus génériques (comme ici les certificats).
Même chez ceux qui publient des mises à jour (Dell, Lenovo, HP, ...), tous les modèles ne sont pas nécessairement couverts et parfois les dernières versions ne sont pas disponibles.

vivien

  • Administrateur
  • *
  • Messages: 53 051
    • Bluesky LaFibre.info


A priori, il est possible sur tous les PC de marque Dell possédant un UEFI compatible secure boot de récupérer les clefs Microsoft 2023.

Voici un exemple avec un des premier PC proposant le secure boot : l'Inspiron 3847.

Le Dell Inspiron 3847 est un ordinateur de bureau lancé en 2013, il repose sur le chipset H81 et prend en charge les processeurs Intel Core de 4e génération ainsi que jusqu'à 16 Go de mémoire DDR3-1333/1600 (DIMM).

La dernière mise à jour de l'UEFI a été proposée en 2019 (6 ans de mise à jour) et n'intègre pas les certificats de 2023, toutefois, il est possible de l'ajouter simplement avec l'interface graphique au-dessus de fwupd.

Conne c'est un des premiers PC grand public avec secure boot, j'imagine que toute la gamme Dell est prise en charge. Ce n'est pas la même chose pour d'autres marques comme HP ou Intel Nuc.

Capture d'écran aprés la mise à jour :



Paul

  • Abonné Free fibre
  • *
  • Messages: 4 900
  • FTTH 8 Gb/s sur Châlons-en-Champagne (51)
    • Mon site
Intéressant. J'ai un Precision de 2016, j'essaierai. Si ça fonctionne avec une ISO live, ça me faciliterait absolument massivement la tâche.

Trellen

  • Abonné Bbox fibre
  • *
  • Messages: 263
UEFI CA et UEFI dbx sont fournis respectivement par Microsoft et la Linux Foundation par https://fwupd.org/, ça devrait fonctionner chez Dell, Hp et autres sans soucis à mon avis.

vivien

  • Administrateur
  • *
  • Messages: 53 051
    • Bluesky LaFibre.info
J'ai quand même l'impression qu'il y a fonctionnement par marque.

Dell : J'ai des mises à jour, même sur de vieux PC.

HP : fwupd ne propose rien

Exemple : HP Pavilion Desktop TP01-3119nf PC (662J3EA) lancé en 2022.

Le dernier firmware F.30 Rev.A est sorti le 23 sept. 2024 et je pense que cela sera la dernière version (2 ans de support, c'est vraiment faible, même pour une game grand public, sachant que HP propose 8 ans de mise à jour pour les games pro).
Mais surtout, aucune mise à jour pour rien proposé sur fwupd et la mise à jour du BIOS nécessite Windows (là où Dell permet de le faire via l'UEFI, donc de façon indépendante du système d'exploitation).



Aucune mise à jour proposée pour UEFI CA et UEFI dbx :


vivien

  • Administrateur
  • *
  • Messages: 53 051
    • Bluesky LaFibre.info
Autre exemple avec un NUC Intel DN2820FYKH.

C'est un NUC Intel équipé d'une carte mère Intel DN2820FYK et d'un CPU Intel Celeron N2830 (2 cœurs base Atom à 2,16 GHz, c'est super lent, mais cela se rapproche d'un Raspberry Pi en termes de puissance, de consommation et de prix tout en étant compatible x86 64bits).

Lancé en 4éme trimestre 2013, il a eu des mises à jour jusqu'en 2020 (7 ans de mise à jour merci Intel).

Problème : mokutil ne reconnait même pas son sécure boot
$ mokutil --db
This system doesn't support Secure Boot
$ mokutil --kek
This system doesn't support Secure Boot




fwupd ne propose vraiment pas grand-chose :



L'UEFI Intel est sympathique, avec pleins de fonctions, et le secure boot est bien activé :



D'autres copies d'écran de ce VisualBIOS (qui intègre une fonction de copie d'écran, qui est sauvegardé sous forme d'un fichier .BMP) :




hwti

  • Abonné Orange Fibre
  • *
  • Messages: 3 024
  • Chambly (60)
Expiration des clés Secure Boot de 2011: Les impacts pour Linux
« Réponse #21 le: Aujourd'hui à 00:46:13 »
Pour le HP, les GUID de "UEFI CA" sont les même que sur le Dell, et l'interface indique "peut être mis à jour", donc c'est bizarre que la mise à jour ne soit pas proposée.
Est-ce qu'il y a des réglages liés au mode Secure Boot ou aux clés dans le BIOS ?