Reprise du message précédent :
ce que j'ai expliqué c'est ce que ca va donner au X99 de UMI avec un certificat qui commence en 2023 et un bios dont la derniere version date de 2022    

Justement, comme secure boot version 2011 est troué de partout, il ne protège pas vraiment d'un bootkit.

Et personne ne jettera son PC si il ne démarre plus à cause de SB, ils feront appel à quelqu'un qui sait faire.

T'as rien compris au bouzin, ce n'est pas l'année du BIOS qui importe, même ma CM avec un BIOS de 2026 a encore le certificat de 2011, et les fabricants ne peuvent pas faire autrement au risque de planter la machine (même si une simple désactivation de SB suffit à la faire repartir).

C'est Windows qui installe le certificat 2023, mais à ce moment-là il ne sera plus possible de démarrer avec SB actif avec un bootloader encore en 2011, c'est là tout le problème.

ce qui faut tu comprends c'est les certificats de 2011 vont expirés en octobre 2026
 
 
Pour la majorité des utilisateurs grand public, il n'y a pas d'action manuelle à prévoir. Si le Secure Boot est activé, le firmware à jour et les mises à jour Windows Update actives, les nouveaux certificats s'installeront automatiquement. La vigilance est surtout de mise dans les environnements professionnels, où la gestion du parc informatique est plus complexe. Microsoft recommande aux administrateurs de vérifier l'état des machines et de tester le déploiement sur un périmètre pilote.

Le Secure Boot n'est pas une simple option dans le BIOS, il est le pilier de la chaîne de confiance de votre ordinateur. Il valide le chargeur de démarrage de Windows, les pilotes UEFI et même certains firmwares. Si une machine continue de s'appuyer sur des certificats périmés après l'échéance, elle s'expose à de graves dysfonctionnements.
 
https://www.generation-nt.com/actua [...] te-2069130
 
Les expirations s'étaleront de juin à octobre 2026 et touchent des éléments clés :

    Microsoft Corporation KEK CA 2011 (expire en juin 2026)
    Microsoft Corporation UEFI CA 2011 (expire en juin 2026)
    Microsoft Windows Production PCA 2011 (expire en octobre 2026)

Oui donc en bref RAS si on a le "Secure Boot" désactivé !

comme l'explique microsoft les nouveaux certificats commencent a l'année 2023
 
Le démarrage sécurisé est une fonctionnalité de sécurité du microprogramme UEFI (Unified Extensible Firmware Interface) qui permet de garantir que seuls les logiciels approuvés s’exécutent pendant la séquence de démarrage (démarrage) d’un appareil. Il fonctionne en vérifiant la signature numérique du logiciel de prédémarrage par rapport à un ensemble de certificats numériques approuvés (également appelés autorité de certification ou autorité de certification) stockés dans le microprogramme de l’appareil. En tant que standard du secteur, le démarrage sécurisé UEFI définit la façon dont le microprogramme de plateforme gère les certificats, authentifie le microprogramme et comment le système d’exploitation interagit avec ce processus. Pour plus d’informations sur UEFI et le démarrage sécurisé, consultez Démarrage sécurisé.
 
https://support.microsoft.com/fr-fr [...] b95457578e

 
oui mais le fond du probleme est c'est secure boot ton pc peut subir des attaques de virus de démarrage  

 
Il y a pas de vraies alternatives...  
 
Je veux dire c'est soit :  
 
- secure boot activé et mise à jour
- secure boot pas activé et/ou pas mise à jour et il faut dégager Windows 10 et utiliser autre chose.
 

Si un bootkit réussit à s'installer, ta machine a déjà été compromise.
 

Non, SB activé ou pas, tu recevras toujours les mises à jour (modulo celles concernant SB si celui-ci est désactivé).

Exactement. Et ça prend 30 secondes à désactiver au besoin.
Mais il faut faire peur, c'est ce qui fait vendre.

 
Je parlais de celles-ci (s'il y en a)

Alors pourquoi dis-tu "il faut dégager Windows 10 et utiliser autre chose" ?

Hermes pense probablement au cas théorique où le PC qui ne recoit plus de MAJ du BootManager ne sera donc pas protégé contre un malware qui attaquerait spécifiquement les "vieux" boot manager.
Si ce malware est spécifique à Windows, utiliser "autre chose" est donc une solution.
si le malware s'attaque à tout les boot manager, il n'y a plus vraiment de solution.
 
Reste à voir si un tel malware existera un jour...

Encore une fois, si un malware arrive à installer un bootkit, c'est que le PC est déjà compromis.

pas si sûr pour "Mme Michou"...

Sur la question désactiver SecureBoot vs garder SecureBoot actif avec les certificats de 2011, j'ai posé la question sur le fil de discussion de Microsoft AskMeAnything sur SecureBoot. On m'a répondu ainsi:

tant que cela fonctionne, il reste préférable d'avoir SecureBoot actif avec les certificats de 2011 que complètement désactivé, afin de se protéger au moins de certaines vieilles attaques.
Tout cela est évidemment théorique mais chacun peut ainsi mieux mesurer ses propres risques...

et de la même réponse, j'ai aussi reçu les détails sur les fichiers actifs sur la partition EFI:

donc sur sa partition EFI (qu'on peut monter avec 'mount x: /s'), si le fichier \EFI\Microsoft\boot\bootmgfw.efi  ('dir x:EFI\Microsoft\Boot\bootmgfw.efi'):

• correspond à celui de C:\Windows\Boot\EFI\bootmgfw.efi -> les certificats de 2011 sont encore utilisés
• correspond à celui de C:\Windows\Boot\EFI_EX\bootmgfw.efi ou bootmgfw_EX.efi -> les certificats de 2023 sont utilisés

Si, jusqu'en octobre 2026 avec un compte Microsoft et en étant en Europe  

voilà voilà  
https://x.com/tomwarren/status/2020207160597319931

 
Merci, j'avais entendu cette histoire de certificats mais pas pris le temps de m'y plonger. Résultat des courses sur une machine.
 
false
false
false
false
 

 
Maj du bios de 2022 sur B450
Va falloir s'occuper de ca encore    
+ vérifier les machines au boulot      
et celles des collègues        
 
L'article de cowcot mentionne que les maj ESU devraient les installer, avant juin 2026 et qu'il faut plus prêter attention à ladite installation, vous validez ?
"Windows 10, le vrai point de vigilance
 
Sur Windows 11, la transition devrait se faire automatiquement via les mises à jour cumulatives normales, tant que la machine reste supportée et à jour. En revanche, la situation est beaucoup plus délicate pour Windows 10.
 
Si un PC sous Windows 10 n’est pas sur une version LTSC ou inscrit au programme Extended Security Updates après la fin du support, il se peut qu’il ne reçoive jamais la mise à jour des certificats Secure Boot. Et dans ce cas, en 2026, la machine risque de ne plus faire confiance aux nouveaux composants signés.
 
Autrement dit, si vous comptez garder Windows 10 au-delà de 2025, il faut impérativement vérifier que le système recevra bien les mises à jour nécessaires à cette transition Secure Boot.
 
Que faut-il faire concrètement
 
La recommandation de Microsoft est simple mais cruciale :
 
- Maintenir les systèmes supportés à jour
- Vérifier que les certificats Secure Boot 2023 sont bien installés avant mi-2026
- Ne pas supposer que Windows 10 sera automatiquement couvert sans un canal de support actif
- Passer à Windows 11
Le premier jalon important arrive en juin 2026. Plus on s’en approche sans la nouvelle chaîne de confiance Secure Boot, plus le risque de casse logicielle augmente.
 
À noter que Microsoft a déjà commencé à pousser ces changements via les mises à jour cumulatives, comme par exemple le KB5073724 pour Windows 10."