• info@migliore.eu
  • Lun - Ven: 9:30 - 18:00

Secure Boot compromis – Encore 2 failles signées Microsoft

Secure Boot compromis : Quand les failles viennent de l’intérieur

La sécurité informatique ressemble parfois à un château fort dont les clés ont été confiées à un gardien distrait. C’est exactement ce qui vient de se produire avec les récentes vulnérabilités découvertes dans Secure Boot, le système censé protéger nos ordinateurs dès leur démarrage.

Deux failles majeures signées Microsoft

Les chercheurs en sécurité ont récemment identifié deux vulnérabilités critiques (CVE-2025-3052 et CVE-2025-47827) qui compromettent sérieusement l’intégrité de Secure Boot. Le plus ironique? Ces failles exploitent des outils légitimement signés par Microsoft pour contourner les protections que… Microsoft a elle-même conçues.

CVE-2025-3052 : L’utilitaire traître

La première vulnérabilité utilise un utilitaire de flashage firmware développé par DT Research, signé avec le certificat « UEFI CA 2011 » de Microsoft. Ce certificat est celui auquel Secure Boot fait confiance par défaut. Résultat? L’utilitaire peut désactiver Secure Boot sans déclencher d’alarme, affectant potentiellement des matériels de plus de 50 fabricants différents.

CVE-2025-47827 : Le module Linux compromis

La seconde faille concerne un module kernel Linux développé par IGEL pour la gestion des volumes logiques. Ce module est signé par le certificat « 3rd Party UEFI CA » de Microsoft. Avec un accès physique de quelques minutes, un attaquant peut charger un bootloader malveillant qui contourne complètement les protections.

Des conséquences graves et persistantes

Ces vulnérabilités sont particulièrement dangereuses car elles permettent l’installation de bootkits – des malwares qui s’installent au niveau du firmware UEFI. Contrairement aux virus classiques, ces infections survivent au formatage du disque, à la réinstallation du système d’exploitation et même aux outils de nettoyage les plus puissants.

La lenteur de réaction de Microsoft

Le plus préoccupant reste la lenteur de Microsoft à révoquer les certificats compromis. Bien que l’entreprise dispose d’un mécanisme appelé DBX (Database of Revoked Keys) pour blacklister les certificats problématiques, plusieurs mois peuvent s’écouler entre la découverte d’une faille et sa révocation effective.

Le Patch Tuesday de juin 2025 a finalement apporté des mises à jour qui blacklistent les outils compromis, mais ces correctifs ne s’appliquent pas automatiquement sur tous les systèmes.

Comment se protéger?

  1. Appliquez immédiatement les mises à jour DBX de Microsoft et des distributions Linux
  2. Renforcez vos paramètres BIOS/UEFI avec des mots de passe et en désactivant les périphériques de boot externes non essentiels
  3. Réévaluez votre confiance envers les certificats Microsoft – envisagez de désactiver le certificat « 3rd Party UEFI CA » si possible
  4. Investissez dans du monitoring firmware avec des outils comme ceux de Binarly ou Eclypsium

Conclusion

Cette situation nous rappelle une vérité fondamentale en sécurité informatique : la seule chose pire qu’un système non sécurisé est un système qui croit l’être. Secure Boot n’est pas intrinsèquement défaillant, mais sa dépendance à des autorités centralisées comme Microsoft crée des points de vulnérabilité critiques.

La sécurité absolue n’existe pas, mais la vigilance et les mises à jour régulières restent nos meilleures défenses contre ces menaces sophistiquées.

Sources:

Blason_La_Veuve
100px-Blason_Compertrix.svg_

Bienvenue

Tout est là où vous l’avez laissé.