Quand le gardien du démarrage dort : la faille Secure Boot qui a exposé Windows et Linux pendant 13 ans
En bref
- Secure Boot contournable pendant 13 de ses 14 ans d’existence
- 11 composants défectueux signés par Microsoft identifiés par ESET
- Windows corrigé en juin ; les utilisateurs Linux doivent vérifier manuellement
Secure Boot : un bouclier percé dès le départ
Introduit par Microsoft en 2011, Secure Boot est un mécanisme de sécurité intégré au micrologiciel des PC. Son rôle est simple : vérifier, à chaque démarrage, que seuls les logiciels portant une signature numérique reconnue sont autorisés à s’exécuter. En théorie, cela bloque les programmes malveillants avant même que le système d’exploitation ne prenne la main.
En pratique, des chercheurs de la société de cybersécurité ESET viennent de démontrer que cette protection présentait une faille béante pendant la quasi-totalité de son existence. Sur 14 ans d’existence, Secure Boot aurait été contournable pendant 13 ans, selon leurs travaux.

Des composants vulnérables jamais révoqués
Le problème se situe dans les « shims », de petits programmes d’amorçage conçus pour étendre la compatibilité de Secure Boot aux distributions Linux et à certains utilitaires tiers. Microsoft est chargé de signer numériquement ces composants. Or, les chercheurs ont identifié 11 shims présentant des failles connues qui n’ont jamais été révoqués par Microsoft, autrement dit retirés de la liste des logiciels approuvés.
Ces shims défectueux provenaient de sources variées : Red Hat, openSUSE, Oracle, ainsi que des éditeurs de logiciels tiers comme PC-Doctor. Résultat : n’importe qui disposant d’une copie d’un ancien shim toujours considéré comme valide par Microsoft aurait pu neutraliser la protection. Pas besoin d’être un expert en sécurité pour y parvenir.
Un risque concret : les bootkits, des logiciels malveillants quasi indéracinables
Ce type de vulnérabilité n’est pas anodin. En contournant Secure Boot, un attaquant aurait pu déposer un bootkit sur la machine ciblée. Ce type de programme malveillant s’exécute très tôt dans le processus de démarrage, avant le chargement du système d’exploitation.
Sa particularité la plus inquiétante : il résiste à une réinstallation complète du système, voire au remplacement du disque dur ou du SSD. Une fois installé, ce type de menace est extrêmement difficile à éliminer avec les outils classiques.
Les systèmes concernés
- Tout PC sous Windows dont les certificats Secure Boot n’auraient pas été mis à jour avant juin
- Les machines fonctionnant avec Linux en installation principale ou en double démarrage aux côtés de Windows
- Les systèmes utilisant des utilitaires tiers signés via les shims identifiés comme vulnérables
Ce qui a changé et ce qu’il reste à faire selon votre situation
Pour les utilisateurs de Windows, la situation est en principe réglée. Le déploiement des nouvelles mises à jour de certificats Secure Boot, effectué en juin, a permis à Microsoft de révoquer les 11 shims problématiques. Les machines éligibles ayant reçu ces mises à jour ne sont plus exposées à cette brèche spécifique.
Pour les utilisateurs de Linux, la démarche est moins automatique. Il est conseillé de consulter le Linux Vendor Firmware Service (disponible sur fwupd.org) afin de vérifier que les correctifs nécessaires sont bien appliqués. Le script uefi-dbx-audit permet également de contrôler le statut de révocation des shims sur sa machine.
Cette affaire illustre un angle mort récurrent dans la gestion de la sécurité informatique : ce ne sont pas toujours les nouvelles vulnérabilités qui posent le plus grand risque, mais les anciennes failles que personne n’a pensé à fermer. Treize ans de fenêtre d’exposition, c’est un rappel utile que la signature numérique ne vaut que si elle est accompagnée d’une politique rigoureuse de révocation.