Quand une mise à jour de Microsoft sème la zizanie dans les configurations multiboot Windows-Linux

Par Chloé Claessens, Spécialiste cybersécurité.

Publié le 22 août 2024 à 16h12

Une mise à jour de sécurité empêche partiellement les systèmes dual boot Windows-Linux de démarrer © Valeriia Lukashova / Shutterstock

Microsoft avait promis que l’update ne concernerait pas les utilisateurs et utilisatrices de configurations dual-boot. Et pourtant…

Microsoft a récemment déployé une mise à jour de sécurité (KB5041585) importante, censée renforcer la sécurité des systèmes Windows. Pourtant, loin de n’apporter que des bénéfices, ce correctif perturbe sérieusement les configurations en dual-boot, où Windows cohabite avec Linux. Plusieurs utilisateurs et utilisatrices se retrouvent dans l’impossibilité d’accéder à leur système Linux, provoquant une levée de boucliers dans la communauté.

Message d’erreur et démarrage Linux impossible

La mise à jour en question visait à corriger une vulnérabilité de longue date dans GRUB, logiciel libre permettant l'amorçage des systèmes GNU/Linux et Windows. Cette faille remontant à 2022 estampillée CVE-2022-2601, atteignant un score CVSS de 8,1 sur 10, permettait à des cyberattaquants de contourner le Secure Boot, technologie censée empêcher le chargement de firmwares et logiciels malveillants au démarrage du système d’exploitation. Il y aurait bien évidemment matière à questionner le délai de deux ans pris par Microsoft pour mettre au point ce correctif, mais c’est un autre problème qui agite les foules depuis une semaine. Loin de n’apporter que des améliorations, cette update, pourtant importante, empêche désormais les utilisateurs et utilisatrices de configurations dual-boot Windows-Linux de démarrer leur PC sur Linux.

Les voix se sont élevées un peu partout sur la toile, remontant le même souci. Après l'installation du patch, impossible de démarrer sous Linux. Sur Reddit et les forums Ubuntu, Mint ou autres, les témoignages se multiplient, alors que les internautes se retrouvent face au même message d’erreur cryptique : « Échec de la vérification des données shim SBAT : violation de la politique de sécurité ».

Pour beaucoup, la seule solution semble être de désinstaller la mise à jour ou de désactiver le Secure Boot. Des manœuvres qui restent complexes pour l'utilisateur moyen, et qui abaissent nécessairement le niveau de sécurité de l’ordinateur.

Une chose est sûre : pas de démarrage de l'OS, pas de problème de sécurité © DC Studio / Shutterstock

Microsoft prend acte de la situation, mais en minimise l’impact réel

Face à l’avalanche de plaintes et contactée par The Register, Microsoft n’a pas tardé à réagir. L’entreprise a d'abord confirmé être au courant des problèmes rencontrés par les utilisateurs et utilisatrices de configurations dual-boot.

« Cette mise à jour n'est pas appliquée lorsqu'une option de démarrage Linux est détectée. Nous sommes conscients que certains scénarios de démarrage secondaire posent des problèmes à certains clients, notamment lorsqu'ils utilisent des versions Linux obsolètes avec du code vulnérable. Nous travaillons avec nos partenaires Linux pour enquêter et résoudre ces problèmes. »

Moins de 24 heures plus tard, la firme a publié un post officiel sur la situation, expliquant que "la mise à jour de sécurité Windows d'août 2024 applique un paramètre de Secure Boot Advanced Targeting (SBAT) aux appareils exécutant Windows afin de bloquer les anciens gestionnaires de démarrage vulnérables. Cette mise à jour SBAT ne sera pas appliquée aux appareils sur lesquels une configuration dual-boot est détectée. Sur certains appareils, le système de détection du dual-boot n'a pas reconnu certaines méthodes personnalisées de double démarrage et a appliqué la valeur SBAT alors qu'elle n'aurait pas dû l'être.". Un banal bug, somme toute.

Des déclarations que les (trop) nombreux retours d'expérience semblent, de toute évidence, contredire. En réalité, la mise à jour incriminée aurait bien été déployée sur les systèmes dual-boot, y compris ceux faisant tourner les distributions les plus récentes, à l'image d'Ubuntu 24.04 et Debian 12.6.0. Il apparaîtrait même que de nombreux utilisateurs et utilisatrices ayant pour habitudes d’exécuter Linux à partir d’une image ISO, d’une clé USB ou d’un lecteur optique, rencontraient aussi des difficultés.

Échaudée, à raison, la communauté Linux craint maintenant que d'autres mises à jour de sécurité ne viennent aggraver le problème. En attendant, Microsoft a promis de travailler sur un nouveau correctif, mais sans donner de délai précis. Les utilisateurs et utilisatrices concernés devront donc faire preuve de patience ou explorer des solutions alternatives pour rétablir leur environnement dual-boot.

Windows 11

Refonte graphique de l'interface réussie
Snap amélioré
Groupes d'ancrage efficaces

8 / 10

Télécharger

Lire le test

Sources : The Register, Microsoft, Reddit, Ubuntu, Linux Mint

Par Chloé Claessens

Spécialiste cybersécurité

Débarquée chez Clubic en 2020 pour parler logiciels, applications et systèmes d’exploitation, je me suis peu à peu spécialisée dans le domaine de la cybersécurité. J’écris essentiellement sur les VPN, mais je couvre aussi les sujets liés à la sécurité des systèmes et des réseaux.

Articles de Chloé Claessens

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Aegis

Ça semble difficile d’avoir du multiboot et secure boot. Secure boot est là pour empêcher l’exécution de code tiers au démarrage, Linux est du code tiers.

Si on part sur du multi bout il faut en accepter les conséquences, désactiver certaines options de sécurité et être à risque d’être attaqué.

Squeak

La cohabitation de Windows et Linux a en effet été rendue plus compliquée par les nouvelles fonctions de sécurité qu’il faut parfois désactiver. Des manœuvres qui peuvent être complexes pour l’utilisateur moyen? Mais à partir du moment où on commence à installer Linux et Windows en dual boot je pense qu’on a un peu dépassé le stade d’utilisateur moyen et qu’on s’est intéressé aussi à ce qu’il faut faire. Je dirais que si la configuration le permet, si on est utilisateur régulier de Windows, un Linux dans une machine virtuelle fait amplement le travail. Et vice versa aussi parfois.

Klauss

Heuuu non …
Le SecureBoot contient une base de certificat DB (autorisé à se connecter) et DBX (interdit de se connecter.
Donc pas de souci pour qu’on puise faire fonctionner un MultiBoot.
Il suffit d’avoir les bon certificats implémenté dans le Bios.

Aegis

La news a l’air de dire que cette configuration autorise l’exécution de grub et que grub est défaillant.
Contrairement à ce qu’indique l’article (ce serait d’ailleurs bien de le corriger), la CVE-2022-2601 concerne grub, pas Microsoft.

F_Bombyx

Perso je n’ utilise pas le secureboot… Manjaro Linux n’est pas compatible avec. Je me contente de désactiver l’ USB boot.

F_Bombyx

Comment on le fait?
J’utilise Manjaro Linux.

serged

Ça se règle dans les options du BIOS. Donc ça dépend de la machine.

Aegis

Après une recherche rapide, voilà ma compréhension de la situation:

la CVE-2022-2601 est sortie il y a deux ans, c’est une faille critique dans Grub permettant de bypasser secure boot
deux ans plus tard Microsoft black list les versions de grub vulnérables. Cela n’a probablement pas été fait avant pour éviter un impact massif sur la communauté Linux
comme certaines versions vulnérables de grub n’ont toujours pas été patches, Microsoft essaye à l’installation de détecter si ces versions sont utilisées. Si oui le patch n’est pas installé. C’est ce qu’on appelle du grandfather
la détection de versions vulnérables ne marchent pas dans certains cas et le patch est tout de même installé, black listant les systèmes en double boot

Ça donne une autre vue de la situation: Microsoft essaye de se protéger d’une faille d’un logiciel tiers, et fait de son mieux pour ne pas impacter les personnes qui ne sont pas à jour. “De son mieux” n’a pas suffit et les personnes, où distributions, qui n’ont pas corrigées une faille critique de deux ans sont impactées.

Aegis

Tu suis ces indications pour être à jour: Grub2 | Secure Boot Bypass and other issues - Update highly recommended - Notices - Manjaro Linux Forum

Laurent_Marandet

Le dual-boot c’est vraiment un concept d’il y a dix ou vingt ans, quand les machines n’avaient pas beaucoup de ram ! Même pour des tests, VirtualBox est mille fois plus pratique à utiliser.
La meilleure pratique, à mon avis, est d’avoir une distribution Linux 64 bits sur l’hôte et 16 GB de ram et un bon SSD NVMe de 1 TB ou plus, et là, on peut faire tourner des Windows récents ouy anciens, 32 ou 64 bits.