Ce n’est pas une erreur, mais une décision qui se traduit par un paramétrage par défaut défavorable.
Dawid Potocki est un expert polonais en sécurité a récemment publié un article de blog, dans lequel il explique que certaines cartes mères MSI utilisent par défaut un paramètre de démarrage sécurisé non sécurisé. Comme vous le savez, Secure Boot lui-même est une fonction de sécurité dans les firmwares UEFI, qui vise à garantir que la carte mère n’exécute que du code logiciel signé provenant d’une source fiable pendant le processus de démarrage, évitant ainsi le lancement de divers bootkits et rootkits UEFI nuisibles.
Secure Boot fait effectivement son travail, mais les fabricants proposent également différents paramètres pour la fonction. Normalement, c’est idéal si le système n’autorise pas l’exécution de logiciels provenant de sources non fiables pendant le processus de démarrage, mais en même temps, il peut y avoir une situation où l’utilisateur souhaite ignorer cela, et pour cette raison, l’ensemble du service peut être paramétrable, c’est-à-dire qu’il peut même être configuré pour que tous exécutent des logiciels.
Dans le cas de cartes mères MSI individuelles, il semble que le paramètre dit Always Execute soit la configuration de base du démarrage sécurisé, ce qui en soi n’est pas une erreur, car l’existence de ce paramètre est importante, mais sur la base de considérations de sécurité, il est une décision très discutable de l’utiliser comme mode d’usine par défaut. Au lieu de cela, le paramètre Refuser l’exécution, qui n’autorise que les sources fiables, doit être utilisé par défaut, puis l’utilisateur peut le modifier s’il le souhaite.
En plus de ce qui précède, Secure Boot lui-même fonctionne sur certaines cartes mères MSI, donc fonctionnellement tout va bien, seul le paramétrage par défaut peut être considéré comme un choix étrange. La société a réagi à la situation et, selon sa déclaration, elle souhaitait offrir un environnement convivial avec le paramètre Always Execute, tandis que Deny Execute peut éventuellement être utilisé pour ceux qui ont des besoins de sécurité plus élevés. De cette façon, on peut dire que c’est la position de l’entreprise, et c’est compréhensible de certains points de vue, mais il faut garder à l’esprit que beaucoup de gens ne savent même pas ce qu’est Secure Boot. Les utilisateurs moins préparés ne penseront probablement pas à changer manuellement le fonctionnement par défaut en un fonctionnement plus sécurisé, et de ce point de vue, la question se pose de savoir dans quelle mesure le fabricant du produit est responsable de la sécurité de ses clients. Il est difficile de répondre très clairement à cela, mais MSI a révélé qu’ils sont en train de créer des BIOS où le paramètre Deny Execute sera la valeur par défaut, s’adaptant ainsi aux besoins de leurs clients.
Ce qui relève clairement de la responsabilité de MSI de ne pas documenter la modification du paramètre par défaut de Secure Boot. Dans les anciens BIOS de chaque carte mère, le paramètre Deny Execute était la base, et à partir d’une version plus récente, il s’agit de Always Execute. Même si le fabricant pensait que cette décision était meilleure pour ses clients, un avertissement devrait être émis concernant le changement afin que les utilisateurs ne remarquent pas que Secure Boot n’est pas exactement sécurisé. Ergo, un fabricant a la possibilité de modifier un réglage précédemment accepté, il est seulement important d’en informer les clients par les voies officielles. MSI a oublié de le faire et c’était une erreur.
En ce qui concerne l’affaire, il est Page GitHub ci-dessous collecte les cartes mères MSI concernées et, pour des raisons de sécurité, il est également utile d’utiliser manuellement l’option Deny Execute sur les BIOS concernés.
