Quelques mois à peine après avoir intégré la prise en charge complète de Markdown dans son application Bloc‑notes, Microsoft révèle avoir identifié une faille permettant à cette fonctionnalité d’être exploitée pour exécuter du code à distance.
Rejoignez-nous de 17 à 19h, un mercredi sur deux, pour l’émission UNLOCK produite par Frandroid et Numerama ! Actus tech, interviews, astuces et analyses… On se retrouve en direct sur Twitch ou en rediffusion sur YouTube !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !
Quinze ans que les mêmes certificats Secure Boot tournent sur tous les PC Windows de la planète. Et Microsoft n'en avait jamais changé les clés depuis 2011. Alors là on est donc sur un moment historique puisque c'est la première rotation de l'histoire. Autant dire que ça va piquer un peu pour ceux qui n'ont pas fait leurs mises à jour.
Ces certificats UEFI, ce sont eux qui vérifient que votre machine démarre bien avec un système d'exploitation légitime et pas un malware planqué dans le firmware.
Microsoft a donc commencé à déployer de nouveaux certificats via Windows Update, avec sa mise à jour KB5074109 de janvier. Si vous êtes sous Windows 11, normalement c'est transparent, ça va se faire tout seul en arrière-plan. Les constructeurs comme Dell, HP et Lenovo ont également bossé de leur côté pour mettre à jour le firmware de leurs machines.
Après le hic, c'est la deadline qui est pour fin juin 2026. C'est à cette date que les anciens certificats expirent. Et là, les machines qui n'auront pas reçu les nouveaux vont se retrouver dans ce que Microsoft appelle un "état de sécurité dégradé". En gros, le démarrage sécurisé continuera de fonctionner, mais avec des clés périmées...
Pour ceux qui ont acheté un PC en 2024 ou après, pas de panique, les nouveaux certificats "Windows UEFI CA 2023" sont déjà intégrés dans le firmware. Mais si vous avez une machine plus ancienne, là faudra aller dans Paramètres > Windows Update et vérifier manuellement que tout est bien passé.
Et pour les amateurs de bootkits en tout genre , bonne nouvelle... la base de données DBX (celle qui blackliste les signatures compromises) est aussi mise à jour dans la foulée.
Mais attention, si vous êtes encore sous Windows 10, c'est là que ça se corse. En effet, Microsoft ne fournira les nouveaux certificats qu'aux utilisateurs qui ont souscrit le programme ESU (Extended Security Updates)... qui est payant. Du coup, tous les PC sous Windows 10 sans ESU vont rester avec les vieilles clés.
Je sens que vous êtes content ^^.
Pour vérifier votre situation, ouvrez donc PowerShell en admin et tapez Confirm-SecureBootUEFI. Si ça renvoie "True", c'est bon. Si ça renvoie "False" ou que ça ne marche pas, c'est que votre BIOS n'a peut-être jamais activé le Secure Boot. Ensuite, vérifiez dans Windows Update que la KB5074109 est bien installée. Après sur du matériel d'entreprise, votre admin sys a probablement déjà géré le truc (enfin j'espère).
Si KB5074109 est bien passée vous pouvez dormir tranquille.
Enfin... jusqu'à la prochaine faille. Niark niark !
Les certificats Secure Boot utilisés par Windows depuis 2011 arrivent à expiration en 2026. Microsoft prépare la transition mais certains PC risquent un « état de sécurité dégradé » s’ils ne sont pas mis à jour.
Cet article Windows 11 et Secure Boot, des certificats arrivent à expiration, voici ce que vous devez faire a été publié en premier par GinjFo.
Rejoignez-nous de 17 à 19h, un mercredi sur deux, pour l’émission UNLOCK produite par Frandroid et Numerama ! Actus tech, interviews, astuces et analyses… On se retrouve en direct sur Twitch ou en rediffusion sur YouTube !
Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).
Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).
Chaque matin, WhatsApp s’anime avec les dernières nouvelles tech. Rejoignez notre canal Frandroid pour ne rien manquer !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !
Aujourd'hui, on va aller un peu plus loin que les simples bidouilles habituelles car je vais vous présenter Reinstall , un outil qui va peut-être vous changer la vie si vous gérez des serveurs distants.
Vous connaissez la chanson... vous avez un VPS sous Debian et vous voulez passer sous Arch pour faire votre malin. Sauf que pour opérer ce changement, c'est la galère assurée !! Faut passer par l'interface web de l'hébergeur, booter sur une ISO via une console VNC qui rame sa maman, et prier pour que le réseau revienne après le reboot.
Eh bien ça c'est terminé grâce à ce script Reinstall. Vous lui balancez une commande, le script s'occupe de tout, et hop, votre serveur redémarre sur le nouvel OS de votre choix. Pas besoin d'accès IPMI, pas besoin de supplier le support technique, ça marche tout seul.
Et ça supporte pas mal d'OS... Côté Linux, y'a 19 distributions majeures : Alpine, Debian (de 9 à 13), Ubuntu (de 16.04 à 25.10), toute la famille Red Hat (AlmaLinux, Rocky, Oracle), Fedora, Arch, Gentoo, NixOS... Bref, y'a tout ce qu'il faut.
Et le truc qui va plaire à ceux qui font du cloud, c'est également le support de Windows. En effet, le script permet d'installer Windows Vista, 7, 8.1, 10, 11 et même Windows Server 2025.
Et rassurez-vous, il n'utilise pas des images bricolées par on ne sait qui, mais les ISO officielles de chez Microsoft. Lui se content d'injecter automatiquement les drivers VirtIO pour que ça tourne comme un charme sur n'importe quel cloud (AWS, GCP, Oracle Cloud...).
Aussi, le point le plus chiant quand on réinstalle un serveur distant, c'est la config réseau. Si on se loupe, on perd l'accès SSH et c'est fini. Reinstall gère ça intelligemment puisqu'il détecte votre IP (statique ou dynamique), gère l'IPv6, les passerelles exotiques et même les serveurs ARM.
Un petit avertissement quand même... Ce script ne gère pas les conteneurs type OpenVZ ou LXC. Faut que ce soit une vraie VM (KVM, VMware, Hyper-V) ou un serveur bare-metal.
C'est là que ça devient drôle. Pour installer un nouveau Linux (disons Debian 13) depuis votre système actuel, il suffit de faire un petit :
Connexion# Télécharger le script
curl -O https://raw.githubusercontent.com/bin456789/reinstall/main/reinstall.sh
# Lancer la réinstallation
bash reinstall.sh debian 13 --password "VotreMotDePasse"
Si vous voulez tenter l'aventure Windows :
bash reinstall.sh windows --image-name "Windows 11 Enterprise LTSC 2024" --lang fr-fr
Le script tourne même depuis Windows (via un .bat) si vous voulez faire l'inverse et repasser sous Linux.
Perso, je trouve ça quand même génial pour tester des trucs sans passer des plombes à configurer des ISO. Ça dépanne grave quand on veut repartir on une base saine en un clin d'œil. D'ailleurs, si vous avez besoin de sécuriser vos serveurs après l'install, j'avais parlé de Fail2Ban il y a quelques temps, et c'est toujours une bonne idée. Et si vous avez peur de perdre vos données, jetez un œil à Restic pour vos backups.
Bref, si vous gérez des VPS et que vous en avez marre des consoles web préhistoriques, foncez tester ce truc (sur une machine de test d'abord, hein, venez pas pleurer après).
Bon, je vous laisse… Je vais aller me faire un petit café !
