Windows 11 a cassé le “Secure Boot” sur les cartes mère MSI

[Yves B.]

Salut à tous 👋🏼!!

Tout est dans le titre !

Une des exigences (Secure Boot), pour installer Windows 11, est mal paramétrée depuis un peu plus d'un an sur plusieurs modèles de cartes mère MSI.

Citation

One of the major security features Microsoft made mandatory as a system requirement for Windows 11 was Secure Boot. The idea behind Secure Boot is to prevent malicious software from loading when a system boots. This is done by verification of signed drivers and authenticating Windows boot files. With MSI, however, it looks like Secure Boot settings inside its motherboards have been set wrong for over a year.

Français :

L'une des principales fonctions de sécurité rendues obligatoires par Microsoft pour Windows 11 est le démarrage sécurisé. L'idée derrière Secure Boot est d'empêcher le chargement de logiciels malveillants au démarrage d'un système. Cela se fait par la vérification des pilotes signés et l'authentification des fichiers de démarrage de Windows. Dans le cas de MSI, cependant, il semble que les paramètres de Secure Boot dans ses cartes mères aient été mal réglés depuis plus d'un an.

 

Citation

Polish security researcher Dawid Potocki discovered the issue on an MSI Pro Z790-A WiFi. All options under the "Image Execution Policy" inside Secure Boot settings are set to "Always Execute" which meant the motherboard would accept every OS image whether trusted or not.

Français :

Le chercheur en sécurité polonais Dawid Potocki a découvert le problème sur une MSI Pro Z790-A WiFi. Toutes les options de la section "Image Execution Policy" des paramètres Secure Boot sont réglées sur "Always Execute", ce qui signifie que la carte mère accepte toutes les images du système d'exploitation, qu'elles soient fiables ou non.

Voici le lien vers l'article qui énumère tous les modèles affectés : https://www.neowin.net/news/beware-windows-11-system-requirement-secure-boot-broken-on-msi-motherboards-full-list-here/

Ceci ne touche que Windows 11 !!

A+

[zelandonii]

C'est l'installation elle-même qui fait ça ou le paramétrage des CM ?

[calisto06]

Merci @Yves B.ma carte B5601 n'est pas dans la liste 

[calisto06]

il y a 14 minutes, zelandonii a dit :

C'est l'installation elle-même qui fait ça ou le paramétrage des CM ?

Visiblement c'est le paramétrage 

[Yves B.]

Salut !

il y a 49 minutes, zelandonii a dit :

C'est l'installation elle-même qui fait ça ou le paramétrage des CM ?

C'est le paramétrage de la CM, mais cette modification a été effectué par MSI.

Citation

When we enter the menu, we can see the disappointing default settings. It's doing no verification. It's useless. It's just there to satisfy Windows 11 requirements.

Français :

Quand on entre dans le menu, on peut voir les décevants paramètres par défaut. Il ne fait aucune vérification. C'est inutile. Il est juste là pour satisfaire les exigences de Windows 11.

 

Est-ce que cela rendait moins problématique l'installation de Windows 11 ??? Il semblerait !!!

A+

 

[calisto06]

Si on a la possibilité de les modifier cela résout-il le soucis ? 

[Yves B.]

Salut !

il y a 5 minutes, calisto06 a dit :

Si on a la possibilité de les modifier cela résout-il le soucis ? 

Il semblerait qu'en activant le “Secure Boot”, cela causerait un problème avec le UEFI 🤷‍♂️ ???

Citation

To change the settings to something saner, we have to change "Always Execute" to "Deny Execute" for "Removable Media" and "Fixed Media". What's funny is that "Allow Execute" and "Query User" options are breaking UEFI specification, though I'm not really sure what's the difference between "Allow Execute" and "Always Execute".

Français :

Pour changer les paramètres en quelque chose de plus sain, nous devons changer "Always Execute" en "Deny Execute" pour "Removable Media" et "Fixed Media". Ce qui est amusant, c'est que les options "Allow Execute" et "Query User" enfreignent les spécifications de l'UEFI, bien que je ne sois pas vraiment sûr de la différence entre "Allow Execute" et "Always Execute".

Voici la conclusion de celui qui a fait cette découverte :

Citation

Don't trust that whatever security features you enabled are working, TEST THEM! Somehow I was the first person to document this, even though it has been first introduced somewhere in 2021 Q3.

Français :

Ne croyez pas que les fonctions de sécurité que vous avez activées fonctionnent, TESTEZ-LES ! D'une manière ou d'une autre, j'ai été la première personne à documenter ce point, même s'il a été introduit pour la première fois quelque part en 2021 Q3.

Très rassurant !!

Tout cela pour accommoder les exigences de Windows 11 !!

A+

[rodrigue7800be]

hello j'ai mis desactivé  secure boot après j'installer windows 11 et ca réussir :D

mon cm b360 carbon pro gaming est ok

[Yves B.]

Salut @rodrigue7800be,

Si tu n'as pas changé les paramètres de “Image Execution Policy”, ton activation du “Secure Boot” est sans valeur (malgré que tu l'aies activé). L'exécution d'un démarrage s'effectuera même si une des composantes logiciels, drivers, ou autres, n'a pas de signature légitime. D'où la menace pour ton système (virus, cheval de Troie, et autres malwares).

C'est un peu plus clair chez : https://www.bleepingcomputer.com/news/security/msi-accidentally-breaks-secure-boot-for-hundreds-of-motherboards/

Bleeping Computer suggère de mettre à jour tous les BIOS des CM MSI qui ont été listées.

A+