Secure Boot est une norme de l’industrie qui garantit que les appareils Windows ne chargent pas de microprogrammes ou de logiciels malveillants pendant le processus de démarrage. Si vous l’avez activé, comme vous le devriez dans la plupart des cas, et c’est le paramètre par défaut mandaté par Microsoft, c’est bon pour vous. Cependant, si vous utilisez l’un des plus de 300 modèles de cartes mères fabriqués par le fabricant MSI au cours des 18 derniers mois, vous ne serez peut-être pas protégé.
Introduit en 2011, Secure Boot établit une chaîne de confiance entre le matériel et le logiciel ou le micrologiciel qui démarre un appareil. Avant Secure Boot, les appareils utilisaient un logiciel connu sous le nom de BIOS, qui était installé sur une petite puce, pour leur indiquer comment démarrer et reconnaître et démarrer les disques durs, les processeurs, la mémoire et d’autres matériels. Une fois terminé, ce mécanisme a chargé le chargeur de démarrage, qui active les tâches et les processus de chargement de Windows.
Le problème était le suivant : le BIOS chargeait tout chargeur de démarrage situé dans le répertoire approprié. Cette permissivité a permis aux pirates qui avaient un bref accès à un appareil d’installer des chargeurs de démarrage malveillants qui, à leur tour, exécuteraient des micrologiciels malveillants ou des images Windows.
Lorsque Secure Boot s’effondre
Il y a une dizaine d’années, le BIOS a été remplacé par l’UEFI (Unified Extensible Firmware Interface), un système d’exploitation à part entière qui pouvait empêcher le chargement de pilotes système ou de chargeurs de démarrage qui n’étaient pas signés numériquement par leurs fabricants de confiance.
L’UEFI s’appuie sur des bases de données de signatures approuvées et révoquées que les OEM chargent dans la mémoire non volatile des cartes mères au moment de la fabrication. Les signatures répertorient les signataires et les hachages cryptographiques de chaque chargeur de démarrage autorisé ou application contrôlée par UEFI, une mesure qui établit la chaîne de confiance. Cette chaîne garantit que l’appareil démarre en toute sécurité en utilisant uniquement un code connu et fiable. Si un code inconnu doit être chargé, Secure Boot arrête le processus de démarrage.
Un chercheur et étudiant a récemment découvert que plus de 300 modèles de cartes mères de MSI basé à Taiwan, par défaut, n’implémentent pas Secure Boot et autorisent l’exécution de n’importe quel chargeur de démarrage. Les modèles fonctionnent avec divers matériels et micrologiciels, dont beaucoup d’Intel et d’AMD (la liste complète est ici). La lacune a été introduite au cours du troisième trimestre de 2021. Le chercheur a accidentellement découvert le problème en tentant de signer numériquement divers composants de son système.
« Le 2022-12-11, j’ai décidé de configurer Secure Boot sur mon nouveau bureau avec l’aide de sbctl », a écrit Dawid Potocki, un chercheur né en Pologne qui vit maintenant en Nouvelle-Zélande. « Malheureusement, j’ai découvert que mon micrologiciel était… acceptant chaque image de système d’exploitation que je lui ai donnée, qu’elle soit fiable ou non. Ce n’était pas la première fois que j’auto-signais Secure Boot, je ne le faisais pas mal.
Potocki a déclaré n’avoir trouvé aucune indication que les cartes mères des fabricants ASRock, Asus, Biostar, EVGA, Gigabyte et NZXT souffrent de la même lacune.
Le chercheur a poursuivi en signalant que le démarrage sécurisé cassé était le résultat de la modification inexplicable de ses paramètres par défaut par MSI. Les utilisateurs qui souhaitent implémenter Secure Boot – qui devrait vraiment être tout le monde – doivent accéder aux paramètres de leur carte mère concernée. Pour ce faire, maintenez enfoncé le bouton Suppr du clavier pendant le démarrage de l’appareil. De là, sélectionnez le menu qui dit SecuritySecure Boot
ou quelque chose à cet effet, puis sélectionnez le Image Execution Policy
sous-menu. Si votre carte mère est affectée, les supports amovibles et les supports fixes seront définis sur « Toujours exécuter ».
Pour résoudre ce problème, remplacez « Toujours exécuter » pour ces deux catégories par « Refuser l’exécution ».
Dans un post Reddit publié jeudi, un représentant de MSI a confirmé les conclusions de Potocki. Le représentant a écrit :
Nous définissons de manière préventive Secure Boot comme activé et « Toujours exécuter » comme paramètre par défaut pour offrir un environnement convivial qui permet à plusieurs utilisateurs finaux de créer leurs systèmes PC avec des milliers (ou plus) de composants qui incluent leur option intégrée. ROM, y compris les images du système d’exploitation, résultant en des configurations de compatibilité plus élevées. Pour les utilisateurs très préoccupés par la sécurité, ils peuvent toujours définir « Politique d’exécution d’image » sur « Refuser l’exécution » ou d’autres options manuellement pour répondre à leurs besoins de sécurité.
Le message indiquait que MSI publierait de nouvelles versions de firmware qui modifieraient les paramètres par défaut en « Deny Execute ». Le sous-reddit ci-dessus contient une discussion qui peut aider les utilisateurs à résoudre tout problème.
Comme mentionné, Secure Boot est conçu pour empêcher les attaques dans lesquelles une personne non fiable obtient subrepticement un bref accès à un appareil et altère son micrologiciel et son logiciel. Ces hacks sont généralement connus sous le nom d' »attaques Evil Maid », mais une meilleure description est « attaques Stalker Ex-Boyfriend ».