Secure Boot sous Windows et Linux : les certificats expirent le 27 juin, prudence
Prudence est mère de sûreté
Plusieurs certificats de sécurité utilisés par Microsoft et Linux pour Secure Boot arriveront à échéance cette année, dont une première vague le 27 juin. Nous faisons le point sur la situation, plus simple qu’il n’y paraît. Du moins si tout se passe bien.
Pour comprendre la situation, nous devons rappeler quelques points. Secure Boot est une fonctionnalité de sécurité du firmware UEFI dont l’objectif est d’empêcher l’exécution de code malveillant avant même que le système d’exploitation démarre, c’est-à-dire à un stade où les antivirus et autres protections logicielles classiques n’ont aucune visibilité. Les bootkits sont ainsi particulièrement dangereux, car ils s’exécutent avec un niveau de privilège supérieur à celui du système et survivent à une réinstallation complète de Windows ou Linux.
Le fonctionnement repose sur une chaîne de confiance cryptographique hiérarchisée :
- La PK (Platform Key), détenue par le fabricant de la carte mère ou du PC et qui contrôle l’accès au niveau inférieur
- La KEK (Key Exchange Key), utilisée pour mettre à jour les bases de signatures
- La DB (Signature Database), qui liste les certificats de confiance autorisant tel ou tel bootloader à s’exécuter
- La DBX (base de révocation), liste noire des signatures compromises qui bloque l’exécution de bootloaders connus comme vulnérables, même quand ils possèdent une signature valide
Pendant le démarrage, le bootloader vérifie chaque maillon de la chaine l’un après l’autre en comparant leur signature à celles présentes dans les bases mentionnées. Si l’une de ces signatures ne correspond pas ou fait partie de la liste de révocation, le firmware refuse le chargement du composant lié et interrompt le démarrage.
L’origine du problème
En 2011, Microsoft a établi trois certificats centraux : la Microsoft Corporation KEK CA 2011 pour la base KEK, la Microsoft Windows Production PCA 2011 pour les composants Windows signés, et la Microsoft Corporation UEFI CA 2011 pour les logiciels tiers, comme le rappelait Security Today en avril et Ars Technica le 17 juin.
Ces certificats disposaient d’une validité de 15 ans. Chacun a sa date d’expiration : les deux certificats Corporation (KEK et UEFI) expirent respectivement les 24 et 27 juin, le certificat Production court jusqu’au 19 octobre. Deux certificats vont donc expirer dans quelques jours, tandis que l’autre aura lieu dans quatre mois. Or, cette clé UEFI CA 2011, qui expire le 27 juin, est aussi utilisée pour la signature des bootloaders tiers, dont le « shim » de Linux, que les distributions peuvent utiliser pour se rendre compatibles avec Secure Boot.
Commentaires (9)
Aujourd'hui à 09h15
Aujourd'hui à 09h22
Il y a 46 minutes
Il y a 26 minutes
Il y a 13 minutes
Aujourd'hui à 09h24
Une machine qui reçoit encore des mises à jour soit de son firmware, soit de son OS devrait récupérer les nouveaux certificats et continuer à fonctionner.
Par contre si on souhaite installer (ou peut-être utiliser) un ancien OS en secureboot, ou réinstaller une machine qui n'a pas les nouveaux certificats dans son firmware, on va avoir de gros soucis.
Si c'est le cas, ça ressemble fortement à de l'obsolescence programmé puisqu'on fixe une date de fin de fonctionnement sur un système qui est potentiellement parfaitement fonctionnel.
Aujourd'hui à 09h32
Il y a 6 minutes
Pour un parc en entreprise y-a-t-il un autre moyen de voir si l’entrée « Démarrage sécurité » est verte sans passer sur chaque machine ?
À l'instant
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?