Selon un nouveau rapport de Phoronix, certains des nouveaux ordinateurs portables AMD Ryzen 6000 de Lenovo associés à la puce de sécurité Pluton de Microsoft ne démarreront aucun autre système d’exploitation que Windows par défaut. L’expert en sécurité Linux Matthew Garrett a initialement découvert le problème dans son article de blog lorsqu’il a essayé de démarrer Linux à partir d’une clé USB sur son ThinkPad Z13.
Le principal problème avec la mesure de sécurité de Lenovo est qu’elle n’offre aucun avantage de sécurité supplémentaire en verrouillant d’autres systèmes d’exploitation. De plus, ces nouveaux ordinateurs portables, par défaut, ne font pas confiance aux chargeurs de démarrage signés avec les clés CA UEFI tierces de Microsoft pour maintenir une sécurité plus élevée, ce que Garrett est inutile.
Garrett souligne que la principale mesure de sécurité bénéfique pour les ordinateurs portables de Lenovo est liée au TPM et aux données de sécurité qu’il contient. Lorsqu’un nouveau système d’exploitation non Windows est chargé sur le système qui prend en charge Secure Boot et TPM, les clés du système d’exploitation précédent sont effacées en raison de l’autorité de certification tierce, ce qui les rend inutiles pour que les attaquants s’emparent du système. Pour cette raison, il n’y a aucune raison de verrouiller les systèmes d’exploitation autres que Windows puisque toutes les données critiques sont effacées et remplacées.
Heureusement, ce problème ne sera pas un problème grave pour la plupart des utilisateurs, car la plupart des pays du monde utilisent des systèmes d’exploitation Windows. Mais cela pourrait être un problème très problématique pour les quelques purs et durs qui utilisent Linux. Il est possible que ce verrouillage du système d’exploitation puisse être modifié dans le BIOS, mais cela n’a pas été confirmé.
Pour clarifier, ce problème est spécifique à Lenovo et n’intègre pas de faille dans le nouveau processeur de sécurité Pluton de Microsoft. Pluton est un nouveau coprocesseur offrant une sécurité supplémentaire au module TPM ou Trusted Platform Module d’un système en émulant virtuellement un module TPM sur le CPU. Sans Pluton, les attaquants peuvent physiquement détourner le bus de communication du TPM pour récupérer des clés et des informations sensibles.