Sécurité : la date limite de mise à jour des clés Secure Boot approche pour Windows et Linux

Une échéance critique pour la sécurité des ordinateurs

Utilisateurs de Windows et de Linux, une échéance importante se profile pour la sécurité de vos machines. À compter du 24 juin 2026, trois certificats cryptographiques signés par Microsoft arriveront à expiration. Ces certificats sont au cœur du mécanisme Secure Boot, un dispositif de sécurité conçu pour vérifier l'intégrité du logiciel et du micrologiciel chargé au démarrage de l'ordinateur. Sans mise à jour, les systèmes d'exploitation pourraient ne plus recevoir de correctifs critiques pour la phase de démarrage, selon des informations concordantes.

Secure Boot, développé par Microsoft, établit une chaîne de confiance en contrôlant la signature numérique de chaque élément de micrologiciel – de la carte mère aux pilotes – qui s'exécute lors du démarrage. Ce processus a pour objectif de prévenir les infections par des UEFI bootkits, un type de malware particulièrement redoutable. Ces programmes malveillants s'attaquent à l'interface Unified Extensible Firmware Interface (UEFI), le successeur du BIOS, et se chargent avant le système d'exploitation et les logiciels antivirus. Cette antériorité rend leur détection difficile et leur persistance redoutable : même après une réinstallation complète du système d'exploitation, un bootkit peut réinfecter la machine.

Qu'est-ce qu'un bootkit ?

Les bootkits ne sont pas un phénomène récent. Leurs premières manifestations remontent au début des années 1980 avec des malwares ciblant les ordinateurs Apple II, diffusés via des disquettes contenant des jeux piratés. Côté Windows, le premier bootkit notable a été BootRoot, présenté lors de la conférence Black Hat en 2005. Il infectait l'interface de pilote réseau (Network Driver Interface). Par la suite, d'autres preuves de concept ont émergé, comme Vbootkit, le Stoned Bootkit et Mebroot.

En 2012, une nouvelle génération de bootkits est apparue, ciblant cette fois non plus le BIOS ou le secteur d'amorçage, mais l'EFI. Un premier a attaqué les systèmes Mac OS X, tandis qu'un autre, plus rudimentaire, visait Windows 8. En 2013, un chercheur a démontré un bootkit UEFI plus avancé nommé Dreamboat. La première attaque réelle contre l'UEFI a été découverte en 2018 avec le malware LoJax, une version détournée d'un logiciel antivol légitime, attribué au groupe de pirates soutenu par le Kremlin, connu sous les noms de Sednit, Fancy Bear ou APT 28. Ce malware était installé à distance grâce à des outils capables de lire et d'écrire dans la mémoire flash du micrologiciel UEFI. Une deuxième instance de malware UEFI réel a été découverte en 2020, lors de laquelle le micrologiciel vérifiait, à chaque redémarrage, la présence d'un composant malveillant.

Que faire avant le 24 juin ?

Pour les utilisateurs de Windows, les mises à jour de sécurité standard fournies par Microsoft incluront normalement les nouveaux certificats. Cependant, les experts recommandent de vérifier que le système est à jour via Windows Update. Pour les utilisateurs de Linux, la procédure est légèrement plus technique : ils doivent s'assurer que leur distribution a bien intégré les nouveaux certificats via un paquet de mise à jour du micrologiciel ou du chargeur de démarrage (comme shim). Dans certains cas, une intervention manuelle dans les paramètres du micrologiciel de la carte mère (UEFI) peut être nécessaire pour révoquer les anciens certificats et ajouter les nouveaux.

Conséquences de l'inaction

Si les clés Secure Boot ne sont pas mises à jour avant la date limite, les systèmes d'exploitation cesseront de recevoir des correctifs de sécurité critiques destinés à la phase de démarrage. Cette situation pourrait créer une vulnérabilité que des bootkits UEFI pourraient exploiter. Bien que le système continue de fonctionner, la protection contre les infections au niveau du micrologiciel serait compromise.

Les enjeux sont de taille : les bootkits UEFI sont parmi les menaces les plus difficiles à éradiquer. Ils peuvent survivre à la réinstallation du système d'exploitation et même au remplacement du disque dur, car ils résident dans la mémoire flash du micrologiciel. Une fois actifs, ils peuvent charger des malwares dans le système d'exploitation pour voler des identifiants, ouvrir des portes dérobées ou exécuter d'autres actions malveillantes.

Un appel à la vigilance

Les autorités de cybersécurité et les éditeurs de logiciels appellent les utilisateurs à la vigilance. Il est conseillé de vérifier, sans attendre le 24 juin, que son système d'exploitation et son micrologiciel sont à jour. Pour les entreprises et les administrations, cette vérification est d'autant plus cruciale que les infrastructures critiques pourraient être ciblées. La mise à jour des clés Secure Boot est une opération de maintenance essentielle pour préserver la sécurité à long terme des parcs informatiques.