Une faille de sécurité majeure affecte le système Secure Boot de Microsoft. Des chercheurs ont découvert que des fichiers de démarrage obsolètes, appelés « shims », n'ont jamais été révoqués, permettant ainsi aux acteurs malveillants de contourner les protections sur Windows et Linux. Cette faille est restée inaperçue pendant plus d'une décennie avant la révocation récente de ces shims. Son exploitation serait si basique qu'elle peut être réalisée par des pirates débutants disposant d'un bref accès physique à une machine. Par ailleurs, Microsoft a suspendu la mise à jour des certificats Secure Boot en raison de problèmes d'incompatibilité avec certains appareils.Secure Boot est une fonctionnalité de sécurité essentielle de Windows qui garantit que seuls les composants fiables et signés sont autorisés à s'exécuter pendant le processus de démarrage. Les certificats actuellement utilisés dans l'écosystème Windows ont été introduits en 2011 et arrivent désormais en fin de vie. Secure Boot est un mécanisme de sécurité intégré au firmware UEFI (Unified Extensible Firmware Interface) des ordinateurs modernes.
Avant même que Windows se charge, l'UEFI du PC vérifie que les programmes qui se lancent au démarrage sont bien ce qu'ils prétendent être ; c'est le rôle du Secure Boot. Pour fonctionner, il s'appuie sur des certificats cryptographiques (semblables à des pièces d'identité numériques) qui confirment que les composants de démarrage proviennent d'une source de confiance, empêchant des maliciels de s'exécuter très tôt dans la séquence de démarrage.
Une vulnérabilité critique et historique de Secure Boot
Secure Boot a comporté une faille majeure permettant son contournement pendant treize de ses quatorze années d'existence. Des chercheurs de la société de cybersécurité ESET ont découvert que Microsoft avait omis de révoquer onze anciennes images de micrologiciels défectueuses, appelées shims, qui ont été initialement créées pour étendre cette protection aux appareils Linux et à d'autres utilitaires. Cette négligence devient une vulnérabilité grave.
Elle expose à la fois les utilisateurs de Windows et de Linux à des attaques permettant d'installer des micrologiciels malveillants, ou "bootkits", capables de s'exécuter très tôt lors du démarrage de la machine et de persister même après la réinstallation du système d'exploitation ou le remplacement d'un disque dur. De plus, la simplicité de cette méthode d'attaque est particulièrement alarmante, car elle ne requiert pas de découvrir de nouvelles failles.
Elle semble relativement simple à exploiter. « Un attaquant n’a pas besoin de techniques d’exploitation complexes : il lui suffit d’une copie d’un ancien fichier binaire de shim, toujours considéré comme fiable et non révoqué, ainsi que d’une compréhension élémentaire du fonctionnement des shims UEFI. Cela suffit pour contourner une fonctionnalité de sécurité aussi essentielle que le Secure Boot UEFI », a expliqué le chercheur Martin Smolár d'ESET.
Secure Boot a été introduit en 2012 pour contrer la menace des bootkits. Sans Secure Boot, les attaquants qui disposent d’un accès physique de courte durée à un appareil peuvent installer des bootkits similaires à LoJax, utilisé par des pirates d’État russes en 2018, à MosaicRegressor, découvert en 2020, à CosmicStrand en 2022 et à BlackLotus en 2023. Une poignée d’autres bootkits en circulation sont les suivants : ESpecter, FinSpy et MoonBounce.
Ces shims dangereux étaient tous légitimes à l'origine
À l'origine, ces shims étaient utilisés de manière tout à fait légitime par des distributeurs Linux reconnus comme Redhat, OpenSuse et Oracle, ainsi que par des logiciels tiers comme PC-Doctor du Conseil d'examen de fin d'études en Finlande. Par ailleurs, la plupart de ces shims ont été développés avant l'invention des protections de sécurité modernes (comme le SBAT ou les listes de refus MOK) ou contiennent des bogues accumulés dans leur code.
Par exemple, le shim d'Oracle signe un binaire vulnérable à l'exploit CVE-2015-5381, dont l'exploitation nécessite très peu de compétences techniques. Le véritable problème réside dans ce qui en a été fait par Microsoft : la société a tout simplement oublié de révoquer les shims concernés lorsque ces vulnérabilités ont été découvertes ; elle a laissé ces shims défectueux publiquement accessibles et signés numériquement pendant plus d'une décennie.
Ce n'est qu'en juin 2026, sous la pression des chercheurs d'ESET qui ont alerté le CERT et Microsoft, que ces 11 shims ont finalement été révoqués dans une mise à jour mensuelle. Les experts ne désignent pas de groupe de hackers spécifiques ayant exploité ces 11 shims en particulier dans la nature.
Les conséquences pour les systèmes Windows et Linux
Selon les chercheurs, la menace s'étend indifféremment aux utilisateurs de Windows et de Linux, car ces anciens shims peuvent être installés sur les deux systèmes d'exploitation. Avec un bref accès physique à l'appareil, un attaquant peut subvertir la chaîne de confiance numérique pour installer un micrologiciel malveillant, ou bootkit, qui se charge au tout début du processus de démarrage. Le système devient ainsi vulnérable à d'autres attaques.
Ce type de menace est particulièrement dangereux, puisqu'il est persistant et survit même à la réinstallation du système d'exploitation ou au remplacement du disque dur. Bien que Microsoft ait finalement révoqué ces certificats lors de sa mise à jour mensuelle de juin 2026, de nombreux utilisateurs sont restés exposés aux bootkits pendant des années. Actuellement, les utilisateurs de Windows 11 ayant installé cette mise à jour ne sont plus vulnérables.
Quant aux utilisateurs de Linux, ils doivent vérifier l'état de leur système auprès de leurs distributeurs. Pour rappel, les chercheurs précisent que la méthode d'exploitation de cette vulnérabilité est si basique qu'elle peut être réalisée par des pirates débutants disposant d'un bref accès physique à une machine.
Origine : la complexité de Secure Boot est mise en cause
La cause probable de cette longue faille réside dans la complexité extrême du fonctionnement de Secure Boot et de son système de révocation. Le système s'appuie sur des bases de données de certificats dont l'espace de stockage est très limité, une conception qui oblige Microsoft à utiliser d'autres mécanismes de révocation basés sur des numéros de version et des métadonnées, ce qui rend la gestion des composants obsolètes particulièrement ardue.
Cette situation a suscité de vives critiques de la part des experts en sécurité concernant l'architecture même du système, où Microsoft agit comme la principale racine de confiance. Microsoft a longtemps vanté la solidité de Secure Boot et sa protection qu'il offre aux utilisateurs. HD Moore, expert en sécurité des micrologiciels, souligne la gravité de la situation en déclarant : « c'est une solide réprimande de l'ensemble du modèle de démarrage sécurisé ».
De son côté, Microsoft n’a pas encore expliqué comment ni pourquoi cette faille s’est produite. Face à ces multiples défauts et à l'incapacité du système à évoluer correctement, HD Moore a déclaré : « l'écosystème tout entier est quelque peu brisé et a besoin d'un redémarrage ».
Microsoft suspend la mise à jour des certificats de sécurité
Microsoft déploie actuellement une mise à jour de Secure Boot sur les appareils utilisant des certificats émis en 2011, qui ont expiré le 24 juin 2026. Le nouveau certificat de 2023 est appliqué via Windows Update, mais des problèmes sur des appareils dotés d’un micrologiciel défectueux ont contraint Microsoft à suspendre ce déploiement. Et sans certificats correctement mis à jour, « la fonctionnalité Secure Boot de Windows cessera de fonctionner ».
Vous pouvez vérifier si Secure Boot est activé et à jour dans Paramètres > Confidentialité et sécurité > Sécurité Windows > Sécurité de l'appareil > Démarrage sécurisé. Ce sous-menu vous indique l'état actuel de Secure Boot, notamment si les nouveaux certificats ont bien été appliqués.
Par ailleurs, certains appareils plus anciens, ou ceux qui ne reçoivent plus de mises à jour de la part de leur fabricant d’équipement d’origine (OEM), ne pourront pas bénéficier des protections offertes par Secure Boot et le gestionnaire de démarrage. Microsoft a précisé que cela entraîne une diminution progressive de la...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.