par MSI a répondu à son implémentation défectueuse de “Secure Boot” qui a été récemment mise en évidence par le chercheur open source, Dawid Potocki.
MSI clarifie sa position sur la mise en œuvre du démarrage sécurisé sur près de 300 cartes mères, d’autres, y compris ASUS, pourraient également être affectées
La fonctionnalité de démarrage sécurisé sur les dernières cartes mères garantit que seul le logiciel/code approuvé par le fournisseur de matériel est démarré par le périphérique. Le micrologiciel intégré au matériel est censé fonctionner via une signature cryptographique qui comprend les pilotes UEFI, les applications EFI et le système d’exploitation. Selon The Register, Potocki a publié un long article de blog où il a détaillé ses découvertes sur les quelque 300 cartes mères qu’il a testées.
Ses découvertes ont montré qu’environ 300 cartes mères MSI exécutant certaines versions spécifiques du micrologiciel autorisent par défaut le démarrage des fichiers binaires en cas de violation de la politique, n’offrant ainsi aucune sécurité supplémentaire par rapport à la désactivation du démarrage sécurisé. La liste complète des cartes mères dotées de cette implémentation peut être consultée ici.
Maintenant, MSI a une déclaration officielle sur la question publiée sur le sous-reddit Gaming de MSI qui peut être lue ci-dessous :
MSI a implémenté le mécanisme de démarrage sécurisé dans nos produits de carte mère en suivant les directives de conception définies par Microsoft et AMI avant le lancement de Windows 11. Nous avons défini de manière préventive le démarrage sécurisé comme activé et “Toujours exécuter” comme paramètre par défaut pour offrir un environnement convivial. qui permet à plusieurs utilisateurs finaux de créer leurs systèmes PC avec des milliers (ou plus) de composants incluant leur ROM optionnelle intégrée, y compris des images de système d’exploitation, ce qui se traduit par des configurations de compatibilité plus élevées. Pour les utilisateurs très préoccupés par la sécurité, ils peuvent toujours définir “Politique d’exécution d’image” sur “Refuser l’exécution” ou d’autres options manuellement pour répondre à leurs besoins de sécurité.
En réponse au rapport faisant état de problèmes de sécurité avec les paramètres bios prédéfinis, MSI déploiera de nouveaux fichiers BIOS pour nos cartes mères avec “Deny Execute” comme paramètre par défaut pour des niveaux de sécurité plus élevés. MSI conservera également un mécanisme de démarrage sécurisé entièrement fonctionnel dans le BIOS pour les utilisateurs finaux afin qu’ils puissent le modifier en fonction de leurs besoins.
via MSI Gaming Reddit
Nous avons des informations disponibles qui montrent qu’une implémentation similaire pourrait également affecter les cartes d’autres fabricants tels qu’ASUS et Gigabyte fonctionnant sur des versions de firmware spécifiques. Notez que, tout comme dans le cas de MSI, ce firmware est étiqueté comme BETA et non comme une version officielle.
Violation du démarrage sécurisé ASUS :
Violation du démarrage sécurisé Gigabyte :
MSI a également mentionné que les utilisateurs peuvent toujours définir manuellement l’option nécessaire via leur BIOS, mais ils déploieront également un nouveau BIOS qui permet de définir le paramètre “Deny Execute” par défaut. Le nouveau BIOS conservera également le mécanisme de démarrage sécurisé entièrement fonctionnel dans le BIOS pour que les utilisateurs puissent l’ajuster manuellement.
