secure-os.org
Tous les guidesQubes OSTailsWhonixLinux durciChiffrement disqueModèle de menace
security

Qu'est-ce que Secure Boot ? Comment il bloque les malwares au démarrage (2026)

secure-os· Mis à jour 16 juillet 2026· 5 min de lecture #security#uefi#boot#hardening
Gros plan d'une puce électronique sur un circuit imprimé

En bref : Secure Boot est une fonction du firmware UEFI qui vérifie la signature numérique de tout ce qui tente de s’exécuter au démarrage de votre ordinateur, et refuse de charger quoi que ce soit qui ne soit pas signé par une clé de confiance. Son unique rôle est d’arrêter les malwares qui se chargent avant votre système d’exploitation - le genre de menace autrement presque impossible à détecter. Ce n’est pas une protection totale à lui seul, mais il ferme une porte qui était auparavant grande ouverte.

Ce qu’est vraiment Secure Boot

Quand vous allumez un PC moderne, le firmware UEFI s’exécute en premier, puis passe la main à un bootloader, qui charge le kernel du système d’exploitation. Secure Boot insère une vérification dans cette chaîne : avant que le firmware ne lance le bootloader, et avant que le bootloader ne lance le kernel, il vérifie une signature cryptographique face à une base de données de clés de confiance stockées dans le firmware. Si le code est correctement signé, il s’exécute. S’il n’est pas signé ou s’il a été altéré, Secure Boot le bloque.

Autrement dit, Secure Boot applique une règle simple : seul un logiciel pour lequel quelqu’un de confiance s’est porté garant est autorisé à démarrer votre machine.

Pourquoi c’est important : arrêter les bootkits

L’intérêt de cette protection tient au moment où elle agit. Un malware qui se charge au démarrage - un bootkit ou un rootkit de niveau boot - s’exécute avant le système d’exploitation et avant votre antivirus. Une fois qu’il prend le contrôle aussi tôt, il peut se dissimuler à tout ce qui se charge ensuite, ce qui explique précisément pourquoi les infections au niveau du boot sont si difficiles à détecter et à supprimer. Voyez notre explication sur ce qu’est un rootkit pour mesurer à quel point cela peut être grave.

Secure Boot s’attaque au problème à la source : si le code de démarrage altéré ou non signé ne peut pas passer la vérification de signature, il ne s’exécute jamais. C’est une position bien plus solide que d’essayer de le trouver et de le supprimer après qu’il a déjà été chargé.

Gros plan d'une carte mère d'ordinateur. Secure Boot réside dans le firmware UEFI et vérifie les signatures avant que le moindre code du système d'exploitation ne s'exécute.

Comment ça fonctionne sous le capot

Secure Boot repose sur un petit ensemble de clés et de listes conservées dans le firmware :

  • La Platform Key (PK) et les Key Exchange Keys (KEK) établissent qui est autorisé à gérer les réglages de confiance.
  • La base db (autorisée) contient les signatures et les clés des logiciels autorisés à s’exécuter.
  • La base dbx (interdite) liste les signatures révoquées - par exemple, des bootloaders révélés vulnérables par la suite.

À chaque étape du démarrage, la signature du composant est vérifiée face à db et dbx. Sur la plupart des PC grand public, les clés de confiance proviennent de Microsoft et du fabricant du matériel, c’est pourquoi Secure Boot est activé par défaut et est requis pour Windows 11.

Secure Boot et Linux

Un mythe répandu veut que Secure Boot bloque Linux. Ce n’est pas le cas. Les grandes distributions comme Ubuntu et Fedora prennent en charge Secure Boot au moyen d’un petit programme signé appelé shim, qui est reconnu par les clés standard puis charge le bootloader et le kernel signés propres à la distribution. Si vous compilez des kernels personnalisés ou utilisez certains pilotes hors arbre, vous pouvez enregistrer vos propres clés via MOK (Machine Owner Key) plutôt que de désactiver la protection. Désactiver Secure Boot est possible, et parfois nécessaire pour des configurations de niche, mais cela revient à renoncer à la protection au niveau du boot - préférez donc l’enregistrement de clés à sa désactivation.

Les limites honnêtes

Secure Boot est précieux, mais c’est une couche, pas un champ de force :

  • Il protège la chaîne de démarrage, pas tout ce qui vient après. Un malware qui arrive par un lien de phishing ou un téléchargement malveillant, et qui s’exécute une fois le système démarré, est un tout autre problème.
  • Il a connu de vraies faiblesses au fil des ans - des bootloaders signés mais vulnérables (la classe de failles « BootHole ») ont montré qu’une signature de confiance ne vaut que ce que vaut le code qui se cache derrière, ce qui explique l’existence de la liste de révocation dbx.
  • Il dépend d’un firmware tenu à jour pour que les composants révoqués et vulnérables soient réellement rejetés.

Considérez-le comme une base solide sur laquelle d’autres défenses s’appuient, et non comme la seule chose qui se dresse entre vous et un attaquant.

FAQ

Devrais-je garder Secure Boot activé ? Pour la quasi-totalité des gens, oui. C’est une défense peu coûteuse et à forte valeur contre les malwares de niveau boot, elle est activée par défaut, et les distributions Linux modernes fonctionnent avec. Ne la désactivez que si vous avez une raison technique précise, et préférez alors l’enregistrement de vos propres clés.

Secure Boot ralentit-il mon PC ? Non. Les vérifications de signature n’ont lieu que pendant le démarrage et n’ajoutent aucun délai notable, et elles n’ont aucun effet sur les performances une fois le système en marche.

Secure Boot est-il la même chose que le TPM ? Non, même s’ils sont souvent mentionnés ensemble. Secure Boot vérifie les signatures des logiciels de démarrage ; un TPM est une puce distincte qui stocke des clés et des mesures. Windows 11 et certains systèmes anti-triche demandent les deux, mais ils remplissent des rôles différents.

Pour résumer : Secure Boot garantit que seuls des logiciels signés et de confiance peuvent démarrer votre ordinateur, écartant les malwares de niveau boot qui se cachent de tout le reste. Gardez-le activé, gardez votre firmware à jour, et considérez-le comme la base solide d’une défense en couches - y compris les systèmes modernes et durcis que nous couvrons dans les distributions Linux immuables.