Quinze ans que les mêmes certificats Secure Boot tournent sur tous les PC Windows de la planète. Et Microsoft n'en avait jamais changé les clés depuis 2011. Alors là on est donc sur un moment historique puisque c'est la première rotation de l'histoire. Autant dire que ça va piquer un peu pour ceux qui n'ont pas fait leurs mises à jour.

Ces certificats UEFI, ce sont eux qui vérifient que votre machine démarre bien avec un système d'exploitation légitime et pas un malware planqué dans le firmware.

Microsoft a donc commencé à déployer de nouveaux certificats via Windows Update, avec sa mise à jour KB5074109 de janvier. Si vous êtes sous Windows 11, normalement c'est transparent, ça va se faire tout seul en arrière-plan. Les constructeurs comme Dell, HP et Lenovo ont également bossé de leur côté pour mettre à jour le firmware de leurs machines.

Après le hic, c'est la deadline qui est pour fin juin 2026. C'est à cette date que les anciens certificats expirent. Et là, les machines qui n'auront pas reçu les nouveaux vont se retrouver dans ce que Microsoft appelle un "état de sécurité dégradé". En gros, le démarrage sécurisé continuera de fonctionner, mais avec des clés périmées...

Pour ceux qui ont acheté un PC en 2024 ou après, pas de panique, les nouveaux certificats "Windows UEFI CA 2023" sont déjà intégrés dans le firmware. Mais si vous avez une machine plus ancienne, là faudra aller dans Paramètres > Windows Update et vérifier manuellement que tout est bien passé.

Et pour les amateurs de bootkits en tout genre , bonne nouvelle... la base de données DBX (celle qui blackliste les signatures compromises) est aussi mise à jour dans la foulée.

Mais attention, si vous êtes encore sous Windows 10, c'est là que ça se corse. En effet, Microsoft ne fournira les nouveaux certificats qu'aux utilisateurs qui ont souscrit le programme ESU (Extended Security Updates)... qui est payant. Du coup, tous les PC sous Windows 10 sans ESU vont rester avec les vieilles clés.

Je sens que vous êtes content ^^.

Pour vérifier votre situation, ouvrez donc PowerShell en admin et tapez Confirm-SecureBootUEFI. Si ça renvoie "True", c'est bon. Si ça renvoie "False" ou que ça ne marche pas, c'est que votre BIOS n'a peut-être jamais activé le Secure Boot. Ensuite, vérifiez dans Windows Update que la KB5074109 est bien installée. Après sur du matériel d'entreprise, votre admin sys a probablement déjà géré le truc (enfin j'espère).

Si KB5074109 est bien passée vous pouvez dormir tranquille.

Enfin... jusqu'à la prochaine faille. Niark niark !

Source

Les certificats Secure Boot utilisés par Windows depuis 2011 arrivent à expiration en 2026. Microsoft prépare la transition mais certains PC risquent un « état de sécurité dégradé » s’ils ne sont pas mis à jour.

Cet article Windows 11 et Secure Boot, des certificats arrivent à expiration, voici ce que vous devez faire a été publié en premier par GinjFo.

Imaginez Malcolm, maintenant un homme adulte, sirotant un café dans un café tranquille, contemplant le chaos de son enfance. Le téléphone vibre : c’est un message de ses parents, Hal et Lois, qui le convoquent pour leur 40e anniversaire de mariage. On peut presque sentir la tension dans l’air, un mélange de nostalgie et de réticence. Sommes-nous […]

Le post Malcolm au milieu : Reboot – Date de sortie, distribution, bande-annonce et détails est apparu en premier sur Moyens I/O.

Le rire de Skeletor résonne à travers Eternia, un ricanement aussi sec que les os de son homonyme. Musclor, les muscles tendus contre son armure de combat décidément minimale, rugit un défi, son épée scintillante. C’est une scène tellement exagérée, tellement merveilleusement absurde, qu’on ne peut s’empêcher de se demander : sont-ils dans le coup […]

Le post Maîtres de l’Univers Reboot : Le réalisateur dit « Niais »! est apparu en premier sur Moyens I/O.

Le rugissement d’une tronçonneuse. Le goût métallique du sang dans l’air. Puis, la réalisation glaçante : Leatherface est de retour, et cette fois, il vient dans votre salon. Après une année de bras de fer, A24 a réussi à mettre la main sur les droits de Massacre à la tronçonneuse. Selon Deadline, le studio derrière Civil […]

Le post Massacre à la tronçonneuse au Texas : Reboot A24 et série télévisée est apparu en premier sur Moyens I/O.

Découvrez comment convertir le démarrage d'une machine Debian de MBR à EFI pour profiter du Secure boot.

L’article Convertir une machine Debian en EFI (avec Secure Boot) est apparu en premier sur The Abyss Project.

Ah, les install parties… On y vient pour respirer le parfum du libre, réanimer de vieux PC et prouver qu’un pingouin bien motivé vaut mieux qu’un écran bleu. 🐧Cette fois, c’est un Acer Aspire ES15 équipé d’un vaillant Pentium N4200 qui a décidé de jouer les rebelles. Tout semblait prêt : clé Rufus, ISO officielle, […]

Cet article Installer Linux Mint (LMDE 7) sur un Acer Aspire ES15 récalcitrant a été publié en premier sur Framboise 314, le Raspberry Pi à la sauce française.....

Dans un premier article, nous avons découvert le boîtier Pironman 5 Max, son montage sans accroc et sa configuration logicielle bien pensée. Nous poursuivons ici avec l’exploitation des deux SSD NVMe : configuration du RAID 0 ou RAID 1, démarrage sans carte microSD, et mise en place d’un NAS maison. Le tout, toujours avec un Raspberry […]

Cet article PironMan 5 Max de SunFounder : Transformez votre Raspberry Pi en PC (2/2) a été publié en premier sur Framboise 314, le Raspberry Pi à la sauce française.....