Qu'est-ce que Secure Boot, et comment une faille vieille de dix ans est-elle passée inaperçue ?

Secure Boot est une couche de sécurité fondamentale intégrée aux ordinateurs modernes pour protéger le processus de démarrage. Lorsqu'une machine s'allume, Secure Boot vérifie que chaque élément logiciel exécuté avant le chargement du système d'exploitation provient d'une source fiable, afin d'empêcher les logiciels malveillants de s'infiltrer durant cette phase précoce et vulnérable.
Cette vérification repose sur des signatures numériques. Chaque composant est signé cryptographiquement par son fabricant, et le micrologiciel de l'ordinateur est conçu pour n'autoriser l'exécution que des signatures reconnues comme fiables. En théorie, cela rend pratiquement impossible pour un logiciel non autorisé de détourner le processus de démarrage.
Mais des chercheurs en sécurité ont révélé que cette protection pouvait en réalité être contournée depuis plus de dix ans. La racine du problème se situe dans ce que l'on appelle les « shims », de petits composants logiciels permettant à différents systèmes d'exploitation de fonctionner aux côtés de Secure Boot.
Certains de ces shims sont d'anciennes versions, développées il y a des années, qui comportent des vulnérabilités connues. En temps normal, les signatures numériques de ces composants défectueux auraient dû être révoquées, les retirant ainsi de la liste des logiciels fiables. Or, les chercheurs ont découvert que de nombreux shims anciens et oubliés étaient restés considérés comme fiables pendant des années, sans jamais avoir été révoqués.
Cette négligence signifie qu'un attaquant pourrait exploiter l'un de ces shims obsolètes et vulnérables pour contourner entièrement Secure Boot. En chargeant l'ancien composant sur un système, un attaquant peut effectivement exécuter un logiciel non fiable alors que la machine le considère comme fiable.
La faille est particulièrement dangereuse car un contournement réussi de Secure Boot peut permettre l'installation d'un bootkit — un logiciel malveillant intégré si profondément dans le processus de démarrage qu'il peut persister même après une réinstallation complète du système d'exploitation. Ce type de logiciel malveillant fonctionne à un niveau situé sous celui où opèrent habituellement les antivirus classiques, ce qui le rend extrêmement difficile à détecter.
Les experts estiment que la complexité technique de l'écosystème des shims explique en partie pourquoi le problème est passé inaperçu aussi longtemps. Avec des milliers de shims différents en circulation dans le monde, suivre ceux qui comportent des vulnérabilités — et les révoquer — représente une tâche véritablement ardue.
Microsoft affirme avoir accéléré le processus de révocation des shims connus pour être vulnérables depuis que le problème a été mis au jour. Les chercheurs en sécurité avertissent toutefois que la mise à jour des listes de révocation sur des millions d'appareils dans le monde prendra du temps.
Pour les utilisateurs ordinaires, la principale défense consiste simplement à maintenir à jour le système d'exploitation et le micrologiciel. Ces mises à jour intègrent les listes de révocation les plus récentes, garantissant que les composants obsolètes et vulnérables ne sont plus considérés comme fiables.
L'épisode est aujourd'hui discuté dans la communauté de la sécurité comme un rappel que les systèmes de confiance basés sur les signatures ne valent que par leur processus de révocation — délivrer correctement des signatures compte, mais retirer la confiance à temps, une fois qu'elle n'est plus justifiée, compte tout autant.
À lire ensuite

25 ans de Google Images : comment la recherche visuelle a évolué
Google célèbre le 25e anniversaire de Google Images avec une nouvelle galerie propulsée par l'IA, qui se met continuellement à jour en fonction des centres d'intérêt de l'utilisateur. Cette refonte rappelle le chemin parcouru par cet outil depuis ses débuts comme simple moteur de correspondance par mots-clés.

Les boutiques d'applications tierces arrivent sur Android : ce que change le litige Google-Epic
Google et Epic Games ont conjointement retiré leur tentative de règlement du long litige qui redéfinit le fonctionnement des boutiques d'applications Android, ouvrant la voie à l'application d'une décision de justice. Google indique qu'il commencera à héberger des boutiques d'applications concurrentes au sein de son propre Play Store dès la semaine prochaine.

Le PDG de DeepMind appelle à un organisme indépendant pour tester les modèles d'IA de pointe
Le PDG de Google DeepMind, Demis Hassabis, propose la création d'un « organisme de normalisation » indépendant pour l'IA, sur le modèle des organismes d'autorégulation du secteur financier, chargé de tester les modèles de pointe et d'élaborer des bonnes pratiques avant leur mise sur le marché. Cette idée ajoute une nouvelle dimension au débat sur qui devrait superviser l'IA avancée.

Qu'est-ce que la « divulgation complète » en cybersécurité, et quand les chercheurs y recourent-ils ?
La divulgation publique d'une vulnérabilité dans Cursor, un éditeur de code assisté par IA très utilisé, a remis en lumière une pratique de cybersécurité débattue de longue date : la divulgation complète. C'est l'option à laquelle recourent les chercheurs en dernier ressort lorsqu'ils jugent la réponse d'un éditeur trop lente pour protéger les utilisateurs.

Pénurie de puces mémoire : pourquoi elle fait chuter les expéditions de smartphones
Une pénurie mondiale de puces mémoire pèse sur la production de smartphones, faisant chuter les expéditions globales à des niveaux historiquement bas, alors même qu'Apple et Samsung, disposant de l'échelle nécessaire pour sécuriser leur approvisionnement, gagnent en part de marché relative. Les analystes attribuent cette tension à la demande de puces mémoire des centres de données d'IA.