Secure Boot
Qu'est-ce que Secure Boot ?
Secure BootFonctionnalite UEFI qui verifie la signature cryptographique de chaque composant de demarrage, refusant tout bootloader, noyau ou pilote non signe par une autorite de confiance.
Secure Boot est une fonction de la specification UEFI qui etablit une chaine de confiance du firmware de la plateforme jusqu'au systeme d'exploitation. A chaque etape, le firmware verifie la signature de l'etape suivante (bootloader, noyau, pilotes) avec les cles stockees dans les variables protegees: PK, KEK, db et dbx. Si la signature manque ou est revoquee, le boot est stoppe. Il protege contre les malwares pre-OS comme les bootkits et rootkits persistants (LoJax, BlackLotus). Requis par Windows 11, supporte par les distributions Linux majeures via shim, complete par Measured Boot via PCR TPM et des services comme Intel BootGuard.
● Exemples
- 01
Microsoft a revoque des binaires de boot vulnerables via le dbx UEFI apres BlackLotus.
- 02
Une distribution Linux signe GRUB via shim sous la CA UEFI Microsoft pour booter sur firmware OEM.
● Questions fréquentes
Qu'est-ce que Secure Boot ?
Fonctionnalite UEFI qui verifie la signature cryptographique de chaque composant de demarrage, refusant tout bootloader, noyau ou pilote non signe par une autorite de confiance. Cette notion relève de la catégorie Cryptographie en cybersécurité.
Que signifie Secure Boot ?
Fonctionnalite UEFI qui verifie la signature cryptographique de chaque composant de demarrage, refusant tout bootloader, noyau ou pilote non signe par une autorite de confiance.
Comment fonctionne Secure Boot ?
Secure Boot est une fonction de la specification UEFI qui etablit une chaine de confiance du firmware de la plateforme jusqu'au systeme d'exploitation. A chaque etape, le firmware verifie la signature de l'etape suivante (bootloader, noyau, pilotes) avec les cles stockees dans les variables protegees: PK, KEK, db et dbx. Si la signature manque ou est revoquee, le boot est stoppe. Il protege contre les malwares pre-OS comme les bootkits et rootkits persistants (LoJax, BlackLotus). Requis par Windows 11, supporte par les distributions Linux majeures via shim, complete par Measured Boot via PCR TPM et des services comme Intel BootGuard.
Comment se défendre contre Secure Boot ?
Les défenses contre Secure Boot combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- cryptography№ 1178
Trusted Platform Module (TPM)
Puce de securite standardisee soudee a la carte mere ou implementee en firmware, fournissant stockage de cles ancre materiellement, attestation et measured boot.
- malware№ 117
Bootkit
Malware qui infecte le processus d'amorçage — MBR, VBR ou UEFI — pour se charger avant le système d'exploitation et obtenir un contrôle privilégié persistant.
- malware№ 949
Rootkit
Logiciel malveillant furtif qui octroie et masque un accès privilégié au système d'exploitation ou au matériel, en échappant aux outils de détection courants.
- cryptography№ 462
Token materiel
Dispositif physique qui stocke des secrets cryptographiques et effectue des operations d'authentification, utilise comme facteur de possession en MFA.
- cryptography№ 321
Signature numérique
Mécanisme cryptographique à clé publique qui démontre l'authenticité, l'intégrité et la non-répudiation d'un message ou d'un document.
- cryptography№ 879
Cryptographie à clé publique
Branche de la cryptographie utilisant des paires de clés publique et privée pour assurer chiffrement, échange de clés, signatures numériques et authentification sans secret partagé préalable.
● Voir aussi
- № 445Attaque par glitch
- № 060ARM TrustZone
- № 679Microsoft Pluton
- № 460Attestation materielle