
Des chercheurs en sécurité ont révélé une vulnérabilité majeure affectant le système Secure Boot de Microsoft, présent depuis treize ans. Ce mécanisme, conçu pour protéger les ordinateurs au démarrage contre les logiciels malveillants, pouvait être contourné par des attaquants pour installer des malwares tant sur Windows que sur Linux.
En début d’année, Microsoft avait averti les utilisateurs de Windows sur l’importance de mettre à jour les certificats de démarrage sécurisé Secure Boot. Ce système, lancé en 2011, a pour but de filtrer les logiciels au démarrage afin de n’autoriser que ceux ayant été signés numériquement. Les certificats, expirés en juin dernier, ont été mis à jour sur les machines éligibles, renforçant la sécurité contre les malwares au démarrage.
Cependant, une faille significative dans la gestion des signatures a compromis l’efficacité de Secure Boot.
Secure Boot contournable pendant 13 ans sur 14 années d’existence
Des chercheurs de chez ESET ont découvert qu’un important trou de sécurité a persisté pendant une grande partie de l’existence de Secure Boot. Ils affirment que ce système aurait été contournable pendant 13 des 14 années de son existence, ayant identifié 11 images de micrologiciels, appelées « shims », qui étaient défectueuses mais toujours signées par Microsoft. Cela a permis à des acteurs malveillants de contourner la protection.
D’après ESET, Microsoft, responsable de la signature numérique de ces composants, n’aurait pas révoqué les versions vulnérables, ce qui constitue une situation délicate pour l’entreprise. Selon leurs analyses, un attaquant n’aurait pas besoin de compétences avancées pour exploiter cette faille, une simple copie d’un ancien shim toujours approuvé par Microsoft suffisant à neutraliser Secure Boot.
Une épée de Damoclès pour les utilisateurs de Windows et Linux
Cette vulnérabilité impacte non seulement les utilisateurs de Windows, mais également ceux ayant installé Linux en double boot. Les shims concernés proviennent de diverses sources, dont Redhat, OpenSuse, Oracle, et des logiciels tiers comme PC-Doctor. En contournant ce dispositif de sécurité, un attaquant aurait pu installer un bootkit, un type de malware s’exécutant très tôt dans le processus de démarrage et persistant même après une réinstallation complète du système d’exploitation ou un changement de support de stockage.
La bonne nouvelle est que ce problème semble être résolu pour les utilisateurs de Windows. Avec le déploiement en juin des dernières mises à jour de certificats Secure Boot, Microsoft a révoqué les 11 shims problématiques.
Pour les utilisateurs de Linux, Ars Technica recommande de consulter le Linux Vendor Firmware Service pour s’asr que leur système est à jour. De plus, le script uefi-dbx-audit peut vérifier le statut de révocation des shims vulnérables.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :Ars Technica
