Secure Boot est un composant important de la chaîne de sécurité du démarrage d'un ordinateur. Il vise à assurer que seul du code autorisé s'exécute dans les premiers instants du démarrage. L'ANSSI recommande son utilisation pour tous les systèmes Linux de niveau de sécurité intermédiaire ou plus [1]. Mais à quoi bon ? Cet article propose de rationaliser l'usage de cette technologie, et en évoque ses limites.
Secure Boot est une technologie faisant partie de la spécification UEFI. UEFI est une interface implémentée par le logiciel embarqué (firmware), ce dernier étant en charge de l'initialisation de la machine. Il s'agit d'un remplacement de l'antique BIOS, auquel de nombreuses additions ont été apportées. En particulier, UEFI est extensible, comme son nom l'indique : Unified Extensible Firmware Interface.
Le rôle de Secure Boot est de vérifier l'authenticité de tout code pouvant s'exécuter dans le cadre du mode privilégié d’UEFI. On parle alors de « démarrage vérifié » (verified boot). Parmi les éléments vérifiés, on peut citer, par exemple, certaines mises à jour UEFI, les différents pilotes pour des périphériques pouvant être mis en œuvre dans le cadre d'UEFI, mais aussi le chargeur de démarrage (boot loader), ou le noyau du système d'exploitation. Une fois le noyau lancé, il est en charge de quitter le mode privilégié d’UEFI, mettant fin au...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première