Reprise du message précédent :
Bon... Mon acer n'a pas de mode Setup. J'ai donc desactivé le secureBoot pour pouvoir booter sur la clé. Puis j'ai fait un Mosby -u. Voici le resultat.
 
https://i.imgur.com/bb9LIAWh.jpeg
 
Cela m'a modifié les Current UEFI DBX. Vu que je n'ai pas de mode Setup je ne peux rien faire d'autre ?
 
J'ai fais la meme chose pour ma Tour MSI (qui posséde par contre un mode custom). Mais j'ai juste désactivé le SecureBoot. Voici le résultat.  
 
https://i.imgur.com/PsAaBdXh.jpeg
 
Pareil... Modification des Current UEFI DBX. Je tente un Mosby ?
 
Désolé pour toutes ces questions mais j'ai du mal avec ca    et surtout la tête ailleurs en ce moment

Bon au moins ça t'a installé les UEFI DBX.
Tu n'as pas l'option "clear keys" ou un truc du genre ?
 
Pour la MSI, si tu ne veux pas installer ton propre PK ça me semble inutile de lancer Mosby vu le résultat.

Pour mon Acer j'ai "Erase All Secure Boot Setting". Je fais ca et je part sur un mosby même sans mode setup ?
 
Sur mon MSI j'ai le meme resultat que ton lenovo. Avec un PK Mosby ca peut passer d'autres trucs en vert ?

Pour le ACER, ça pourrait passer la PK sur une custom, pour le reste ça devrait être identique.
 
Idem pour le MSI.

Quel avantage y a t-il puisque le reste ne bouge pas ?

Je l'ai déjà expliqué, ça bouche des failles et ça permet de signer avec ses propres certificats.

 
oui, ma clef usb ne démarre même pas, mais je soupçonne un soucis avec la dite clef.
 
l iso avec UEFI shell 2.2 sur ventoy démarre, mais le shell ne fonctionne pas - aucune commande n'est dispo. ls etc niet. Mosby non plu.
 
Il n'y a aucun mode setup dans l UEFI - qui est bloqué en mode user - et donc aucun moyen de modifier les PK et KEK sur cette vieille carte mère qui fait partie des 1eres générations avec SecureBoot (norme UEFI de 2011, ma cm est de 2013)
Donc bon, sur ce truc, je ne cherche même pas à aller plus loin..  

les mainteneurs sont rapides. Ils ont tout les 2 refusé mes suggestions de recommandation ("je ne peux pas recommander qqch que je n'utilise pas" ).
Et aussi de documentation + claire. Pour l auteur de Mosby, tout ce qu'on raconte ici est un peu "obvious" / évident (surtout la partie 'current' vs 'default', et que 'default' soit lié au firmware non modifiable), et surtout bon point pour lui, il n'a pas envie de se lancer dans une longue docu qui explique tout: son outil est un outil d'expert pour les connaisseurs..

Une alternative à Mosby pour définir un PK est d'utiliser les clefs par défaut de Windows de https://github.com/microsoft/secure [...] s/releases , comme proposé ici: https://github.com/cjee21/Check-UEF [...] /issues/31

Mosby a l'avantage de fonctionner hors Windows.

oui, et puis l autre solution semble bien plus complexe au final.
J ai refait une autre clef USB avec Mosby / UEFI Shell 2.2
Et  finalement franchi le pas de "clear all keys" ds l UEFI.
Cela force en effet le firmware en mode setup, et donc ai pu démarrer Mosby juste après.
J'ai fait les 2-3 étapes de génération et update comme toi.

Et ai désormais ceci

Donc finalement, FartMan, tu peux faire aussi pareil sur ton Acer pour avoir "tout" les current actualisé en vert

 
oui pour ton Acer: le erase all key devrait forcer le mode setup comme je viens de faire sur mon PC.
Et oui ensuite Mosby tout de suite après.
 
 
Sur tom MSI, tu n as rien à ajouter, tu as déjà tout les "current" en vert. Comme déjà dit, les "default" ne peuvent PAS être modifiés (sans flash complet du bios, mais comme il n y en a pas de + récent pour cette cm, tu restes là.)

En termes de sécurité pure, je trouve que d'utiliser les PK custom de Mosby c'est justement l'inverse du principe d'une chaine de validation de certificats.
Oui, ça compense la flemme des constructeurs à mettre à jour leurs vieux matériels, mais ça crée un angle d'attaque potentiel supplémentaire.

Pourquoi ?

Mosby créant une clé privée aléatoire pour les signer, (l'utilisateur peut aussi fournir sa propre clé pour signer les PK si il le souhaite), "les PK custom de Mosby" sont à mes yeux bien plus sécurisées que celles par défaut, et c'est aussi l'avis de l'auteur:

Et ça a aussi l'avantage de permettre de signer ses propres bootloaders, et ainsi de démarrer ce que l'on souhaite sans avoir à désactiver Secure Boot.

Si tu peux fournir ta propre clé, oui. Et encore tu dois t'assurer de bien la gérer.
Sinon c'est faire confiance à un tiers, avec les risques associés.
Si les clés générées par Mosby se retrouvent dans la nature par exemple, ou si une version vérolée de l'outil injecte n'importe quoi.

La clé est générée par Mosby de manière aléatoire, au moment de l'exécution, sauf si tu fournis la tienne que tu auras préalablement généré selon tes propres critères.
 
On passe son temps à faire confiance à des tiers, le tout est de les choisir judicieusement.

On peut aussi se demander pourquoi on veut SecureBoot.
Pour les attaques logicielles, cela a du sens.
ou simplement pour pouvoir utiliser certains logiciels qui désormais exigent SecureBoot.
 
Pour les "attaques" avec un accès physique à la machine (en gros si qcq vole ton ordi), cela protège pas bcp si la clef de chiffrement du disque est dans le TPM, qui monte donc le disque déchiffré à la volée.
 
Encore plus simple, quel part de PC ont un mdp pour protéger le bios/firmware? Plusieurs ordi portable (notamment de gamme pro) exigent un mdp pour activer le SecureBoot, cela a certains sens.
 
Pour en revenir à Mosby, un angle possible d'attaque est donc l'accès physique à la clef générée. Mais bien peu probable et 2ndaire vs le mdp bios.
pour limiter, on peut penser à stocker la clef générée dans un lieu + sécurisé que de la laisser sur la clef USB?
 
En attendant, Mosby offre une solution finalement assez simple pour avoir toutes les clefs SecureBoot actives à jour, ce qui est particulièrement utile sur des vieilles machines.

J'ai mon Acer qui a reçu les certificats DB 2021/2023 le 15 mai, mais pas le KEK 2023, j'ai une erreur dans les Journaux Windows sur l'indisponibilité de ce KEK.
Le statut est maintenant In progress mais avec la clé AvailableUpdates à 0, grande probabilité que ça reste comme ça.
 
C'est la stratégie de MS ? On est proche de la date d'expiration, le fabricant n'a toujours pas fourni de KEK, on fait uniquement la mise à jour des certificats de la db ?
Il y a dans ce PC un KEK Acer qui expire en 2033, mais je ne connais pas son utilité.

C'était ptet aussi l'update du KEK qui bloquait mon win10, comme reporté ici
 
Si j'ai bien compris, l update du KEK n'est possible que si activé par le PK.
 
Avec Mosby, tu crées un nouveau PK et cela permet l update du KEK, et donc de résoudre le pb.

https://github.com/claude-boucher/CheckCA2023
 
est un autre outil pour vérifier tout les détails de l'update des certificats

Merci des indications mais désolé, je ne sais pas faire
C'est un travail de spécialiste.
C'est curieux que l'utilisateur lambda ait besoin de manips aussi compliquées et qu'il n'y ait pas une commande simple qui se charge de tout cela...
La nécessité de la mise à jour se trouve dans "sécurité des appareils"

C'est que ce n'est pas pour toi.

La mise à jour est quand même à faire

Non.

Je ne parlais pas de certificats supprimés, mais du travail de Microsoft avec certains OEM qui ont détecté des problèmes avec les certificats 2023 et prefèrent alors activer un ConfidenceLevel 'low' pour éviter que les MAJ de Windows entraînent la MAJ des certificats.
Microsoft en parle en détail ici: https://support.microsoft.com/fr-fr [...] 2eff09b5d2
En gros, ainsi, le constructeur et/ou Microsoft forcent Windows de rester avec les certificats de 2011 pour certaines machines spécifiques.

Je doute fortement que Mosby regarde le ConfidenceLevel et le BucketHash des clefs de registres de Windows.
Mais j'en sais rien en fait, j'ai demandé à l'auteur de Mosby: https://github.com/pbatard/Mosby/issues/37

Je ne comprends pas comment ça s'installe...  

ca ne s'installe pas, il faut l'exécuter.
mais tu peux facilement en faire un exe, je viens de le faire.
pour ce faire, il faut installer PS2exe en terminal :

ensuite il faut mettre un .ico à coté et lancer toujours en terminal admin

l'exe fonctionnera si tu l'exécute en admin

En fait, je faisais allusion à ceci :  
 

Si tu n'as pas git d'installer, sur le bouton vert Code, tu sélectionnes Download ZIP, une fois téléchargé, tu décompresses le ZIP, tu lances un PowerShell en administrateur et tu le lances.
 
Si souci de signature (script venant d'internet), tu débloques le script avec la commande :

Merci !

mise a jour faites automatiquement par windows update, certificats a jour
 
fin du probleme!

 
cela devrait  en effet être la procédure normale, mais qui ne fonctionne pas tjs bien, en particulier sur la partie KEK et sur les PC > 4 ou 5 ans.

J'ai vu passer ça dans l'observateur d'évênements d'un de mes PC (Elitebook intel gen8).

Bon les deux commandes powershell restent false. Je verrai ça plus tard.

 
réponse limpide: Mosby n'a PAS besoin de regarder la confidence database de MS pour la simple raison que Mosby applique les certificats SecureBoot 2023 (CA2023) avec SecureBoot mode "setup" alors que les autres solutions, par ex Windows Update, appliquent les CA2023 avec SecureBoot actif.
 
Le mode setup est d'ailleurs un point essentiel de Mosby vs Windows qu'il serait bon de rappeler 2 fois dès le 1er message.

Logique.

À noter que l'auteur souhaiterait ajouter la fonction d'update vers les certificats 2023 sans avoir à mettre SB en mode Setup: https://github.com/pbatard/Mosby/issues/35

Merci pour votre aide même purement morale lol
Alors pour ma machine Acer Aspire 3, voici ce que j'ai trouvé et il y a certainement l'équivalent pour les autres constructeurs.
A noter qu'a priori ma machine n'est pas touchée par la nécessité de mettre le BIOS à jour, ne faisant pas partie de la liste donnée
Donc attendre patiemment Windows Update ?
 
https://community.acer.com/fr/kb/ar [...] er-protege

 
whaou, Acer est vachement à la bourre pour sortir ses MAJ bios: la majorité semble prévue pour fin juin/juillet.
 
et pas un mot sur la très grande majorité d appareil trop vieux pour recevoir une MAJ bios.
surtout, cela n'indique pas combien de temps un PC est supporté chez Acer: il faudrait savoir la date de sortie de la plus vielle machine listée.
edit: j'ai demandé à chatgpt qui me dit:
 

 
Pas mal, en demandant pour les autres constructeurs:
 

 
voilà, c'est bien ce que j'avais estimé à la louche: peu ou pas de MAJ bios avec CA2023 pour les PC avant 2020.
à chacun sa chance...

Merci pour la recherche.
Mon Aspire 3 a été acheté en septembre 2023 très exactement
Et celui de ma femme, un Aspire 3 également, un peu plus grand, en août 2022

date d'achat != date de lancement.
Le produit peut bien être resté des années avant d’être vendu.
à toi de voir le modèle exact, avec le no de série.
La date du bois le plus vieux listé donne déjà une bonne piste.

Si j'ai bien compris, pour ceux-là, ils ne pourront pas installer un OS sorti après juin 2026 sans désactiver Secure Boot (ce qui n'est pas non-plus très grave dans l'absolu).
Si on veut garder Secure Boot il faudra trouver un moyen d'installer les certificats 2023, Mosby étant une des solutions possibles, et sans-doute une des plus simples.

J'ai le numéro de série mais pour avoir la date, c'est la galère.
La version de Windows, elle, est marquée comme datant du 11/10/2024 (?). Curieux, j'ai acheté l'appareil en septembre 2023