Le Secure Boot, censé être la forteresse imprenable des systèmes modernes, vient de prendre un sérieux coup dans l’aile. Des chercheurs ont éventré une faille critique dans l’UEFI permettant d’injecter des bootkits furtifs, même sur des machines Windows 11 fraîchement installées. Derrière cette brèche se cache un certificat Microsoft vieux de 14 ans, toujours actif et exploitable en 2025.
Comment un simple certificat Microsoft met en péril des millions de PC
Officiellement, le Secure Boot est inviolable. En réalité, le certificat Microsoft UEFI CA 2011 sert de passe-partout aux attaquants depuis 2022 sans que personne ne s’en aperçoive. Ce sésame numérique, conçu à l’origine pour des tablettes industrielles, ouvre en grand les portes des BIOS Dell, HP et Lenovo.
| Constructeurs touchés | Modèles vulnérables |
|---|---|
| Acer, Asus | Portables professionnels |
| Gigabyte, Samsung | Cartes mères récentes |
| Intel NUC, AMD Ryzen | Mini-PC et stations de travail |
La technique ? Manipuler une variable NVRAM mal protégée (IhisiParamBuffer) pour désactiver silencieusement les protections avant même le chargement de Windows. Exactement le genre de faille qui rend obsolètes les solutions comme les mises à jour classiques de Windows 11.
Bootkits furtifs : la menace qui survit aux réinstallations
Contrairement aux malwares traditionnels, ces bootkits UEFI persistent même après :
- Un formatage complet du disque
- Le remplacement du SSD
- La réinstallation de Windows 10 ou 11
- La mise à jour du BIOS
Leur mode opératoire rappelle étrangement les attaques contre certaines mises à jour Windows 10 bloquantes, mais avec une dangerosité décuplée. Ils peuvent :
Hydroph0bia : la faille jumelle qui inquiète les experts
Dans l’ombre de la CVE-2025-3052, une seconde vulnérabilité surnommée Hydroph0bia (CVE-2025-4275) cible spécifiquement les firmware InsydeH2O. Présents sur 60% des portables grand public, ces BIOS vulnérables nécessitent des correctifs urgents – surtout pour les utilisateurs tentés par une migration vers Linux comme solution alternative.
| Composant vulnérable | Impact | Solution |
|---|---|---|
| Module de mise à jour UEFI | Désactivation Secure Boot | Patch DBX juin 2025 |
| Firmware InsydeH2O | Exécution code non signé | MàJ constructeur |
La parade Microsoft : 14 modules blacklistés dans le DBX
Microsoft a réagi en injectant dans Windows Update une mise à jour critique du fichier DBX (Database of forbidden signatures). Cette liste noire contient désormais les empreintes des 14 modules compromis, dont :
- 5 drivers de virtualisation
- 3 outils de diagnostic matériel
- 6 utilitaires OEM signés
Pour les administrateurs, l’enjeu est crucial : retarder cette mise à jour revient à laisser la porte ouverte à des attaques rendant caduques même les solutions comme Ollama avec GPU Nvidia sous Proxmox. Les entreprises utilisant des PC recyclés sous Windows 11 sont particulièrement exposées.
Pourquoi cette faille change la donne en cybersécurité
Cette vulnérabilité démontre que même les mécanismes les plus fondamentaux comme l’UEFI peuvent être retournés contre le système. Elle pose des questions troublantes sur :
- La durée de vie réelle des certificats racine
- L’efficacité des modèles de révocation actuels
- La résilience des firmware face aux attaques persistantes
Un dilemme bien connu des administrateurs confrontés aux choix cornéliens lors des installations Windows 11. La seule parade immédiate ? Appliquer le patch DBX avant que les bootkits n’exploitent massivement cette brèche.
Source: www.ilsoftware.it
- Financement public pour l’hôpital d’Ogdensburg toujours en suspens ; mais une subvention indépendante de 4,9 millions de dollars pour la cybersécurité accordée aujourd’hui - décembre 14, 2025
- L’Autorité de Cybersécurité Envisage d’Interdire l’Accès des Mineurs aux Sites à Contenu Adulte - décembre 14, 2025
- La start-up israélienne Armis spécialisée en cybersécurité en négociations pour une acquisition par ServiceNow jusqu’à 7 milliards de dollars – rapport - décembre 14, 2025
