Mais il ne me semble pas que le mode legacy permette le secure boot, non?
Non effectivement mais ca contribue à améliorer la securité en profondeur et donc de rendre un faille d’une autre couche inexploitable ou très difficile à exploiter.
l’amorçage n’est certes pas sécurisé, mais l’un des exploit les plus important c’est de pouvoir installer des executables ou autre sur le disque, ce qui ne pourra pas se faire sur un disque chiffré.
Qu’est-ce qui n’est pas clair dans « Le secure boot n’est qu’une fonctionnalité optionnelle de l’UEFI » ?
Justement si car les fichiers servant à l’amorçage (chargeur, noyau, initramfs) ne sont pas chiffrés.
mais tu ne pourras pas modifier le système sans le mot de passe la clef ou le certificat qu va bien. Tu ne pourra que tricher sur le démarrage d’un système, mais pas modifier celui qui est chiffré
Un attaquant ayant un accès physique peut modifier à sa guise le chargeur d’amorçage, l’image du noyau et l’initramfs. C’'est suffisant pour ensuite faire faire ce qu’il veut au système lorsqu’il sera démarré et déchiffré par son utilisateur légitime, comme intercepter la clé de chiffrement, installer un rootkit ou un cheval de Troie…
il lui faut donc déjà avoir un accès physique, ce qui limite pas mal les possibilités.
Pour rappel, si le risque d’accès physique n’existe pas le chiffrement du disque ne sert à pas à grand-chose.
Sur une machine multiboot si.
Ou sur un host hyperviseur, car il est difficile de chiffrer le host (je ne suis même pas sur que ce soit possible).
Au lieu d’accès physique j’aurais plutôt dû écrire accès au disque sans passer par l’OS, ce qui inclut également l’ accès par l’hyperviseur ou par un autre OS.
Et le plus comique dans cette histoire de virus et d’UEFI secure boot, c’est de constater que, le plus souvent, ce sont des applications signées par Microsoft lui même qui sont utilisées comme vecteurs de propagation par ces virus.
Il n’y a qu’à aller voir de temps en temps : https://www.cert.ssi.gouv.fr/
Le problème c’est qu’il y a des machines pour lesquelles seul l’UEFI est disponible,il n’y a même pas de legacy
Quel rapport avec la choucroute ?