Depuis août 2024, une mise à jour Windows mal calibrée empêchait de nombreuses configurations dual boot d’accéder à Linux. Microsoft avait promis un correctif, la communauté a attendu. Neuf mois plus tard, c’est enfin chose faite.
L’article donne l’impression que Microsoft est seul responsable du blocage des systèmes dual boot, alors qu’en réalité, le cœur du problème vient des distributions Linux qui n’ont pas correctement mis à jour leur chaîne de démarrage. La mise à jour KB5041585 visait des versions de GRUB2 contenant des vulnérabilités critiques, capables de compromettre le Secure Boot et donc, indirectement, la sécurité de l’installation Windows.
Il est important de comprendre que GRUB2 peut démarrer Windows. Si une version compromise de GRUB2 est présente, même sur une partition Linux, elle devient une porte d’entrée exploitable pour injecter du code malveillant avant le lancement de Windows. Microsoft a donc fait ce que toute plateforme responsable aurait fait : bloquer les bootloaders vulnérables via SBAT.
Le problème, c’est que certaines distributions Linux n’avaient pas intégré les versions corrigées de shim et GRUB2, ou ne les avaient pas fait signer par Microsoft, comme le processus Secure Boot l’exige. Ce n’est pas une surprise, c’est un manquement de leur côté. Et la mise à jour cumulative de mai ne “répare” pas une erreur de Microsoft, elle lève simplement un verrou qui avait été mis en place pour une bonne raison, et que certaines distributions n’ont pas anticipé ou corrigé à temps.
Bref, ce n’est pas Microsoft qui a mis Linux à genoux, c’est Linux qui a tardé à se mettre au niveau de Secure Boot.
3 « J'aime »
Le fait que les distributions Linux doivent se faire signer par Microsoft est abusif à mon sens.
Le secure boot est une véritable fumisterie, il y a de plus en plus d’attaques de ransomwares et ce n’est absoluement pas le secure boot qui les empêche !
1 « J'aime »
Le secure boot ne protège pas des ransomwares, mais des cochonneries s’insérant bas niveau et quasiment indétectables! Ce n’est qu’une diminution importante de la surface d’attaque, mais bien sûr que cela ne résout pas tout.
Et « faire signer par Microsoft » me semble une mauvaise terminologie, c’est juste qu’il faut UNE signature valide, chose basique et indispensable, surtout pour ce qui touche le boot! Ce n’est pas la même chose.
Si tu as plusieurs distribs mais pas de Windows sur ta machine, le problème est strictement le même. Il faut minimiser les risques et avoir un Grub le plus fiable possible.