Panneau sécurité de l'appareil : secure boot et vérif matériel

fsail · Le 26/01/2025, à 15:53

Bonjour,

Je suis en dual boot ubuntu / windows 10. En regardant par curiosité le panneau de sécurité "Sécurité de l'appareil", j'ai vu que 2 éléments étaient en rouges > "Le matériel ne valide pas les vérifications" et 'Secure Boot désactivé".

Je ne constate aucun bug ou plantage d'ubuntu.

Secure boot est activé dans le bios.

Mon boot-info indique : "BIOS/UEFI firmware: 1205(5.12) from American Megatrends Inc.
The firmware seems EFI-compatible, but this installed-session is in Legacy/BIOS/CSM mode (not in EFI mode)." C'est pour cela qu'ubuntu ne détecte pas le secure boot ??

Pourquoi ces alertes de sécurité ? Dois je m'en inquiéter ?

Florent

Dernière modification par fsail (Le 26/01/2025, à 15:58)

O_20_100_O · Le 26/01/2025, à 17:30

Bonjour,
Si tu cliques sur le logo de gauche "Les vérifications ..." , tu pourras copier dans le presse-papier la liste des vérifications faites.
Pour cela, cliquer sur "Copier le rapport technique".

Dernière modification par O_20_100_O (Le 26/01/2025, à 17:31)

fsail · Le 26/01/2025, à 18:17

Bonjour,

Le rapport :

HSI-1 Tests
  Intel Management Engine Version:               ! Fail (Non valide)
  UEFI Bootservice Variables:                      Pass (Verrouillé)
  Firmware BIOS Region:                            Pass (Verrouillé)
  TPM v2.0:                                      ! Fail (Introuvable)
  Firmware Write Protection Lock:                  Pass (Activé)
  Platform Debugging:                              Pass (Non activé)
  Intel Management Engine Manufacturing Mode:      Pass (Verrouillé)
  UEFI Secure Boot:                              ! Fail (Non activé)
  Firmware Write Protection:                       Pass (Non activé)
  Intel Management Engine Override:                Pass (Verrouillé)

HSI-2 Tests
  Intel BootGuard Fuse:                            Pass (Valide)
  Intel BootGuard Verified Boot:                 ! Fail (Non valide)
  Intel BootGuard ACM Protected:                 ! Fail (Non valide)
  Intel BootGuard:                                 Pass (Activé)
  IOMMU Protection:                              ! Fail (Introuvable)
  Platform Debugging:                              Pass (Verrouillé)
  Intel GDS Mitigation:                            Pass (Activé)

HSI-3 Tests
  Suspend To RAM:                                ! Fail (Activé)
  Intel BootGuard Error Policy:                  ! Fail (Non valide)
  Pre-boot DMA Protection:                       ! Fail (Non valide)
  Control-flow Enforcement Technology:           ! Fail (Non pris en charge)
  Suspend To Idle:                               ! Fail (Non activé)

HSI-4 Tests
  Encrypted RAM:                                 ! Fail (Non pris en charge)
  Supervisor Mode Access Prevention:               Pass (Activé)

Runtime Tests
  Firmware Updater Verification:                   Pass (Non contaminé)
  Linux Swap:                                    ! Fail (Non chiffré)
  Linux Kernel Verification:                     ! Fail (Contaminé)
  Linux Kernel Lockdown:                         ! Fail (Non activé)

Host security events

For information on the contents of this report, see https://fwupd.github.io/hsi.html

geole · Le 26/01/2025, à 20:12

Bonjour.
Comme tu bootes en mode LEGACY, le mode EFI n'est pas utilisé. Donc inutile de regarder si la sous-couche secure est opérationnelle.

Dernière modification par geole (Le 26/01/2025, à 20:13)

fsail · Le 26/01/2025, à 21:09

Bonjour Geole, ils sont en rouges car je suis en legacy ? Je ne m'en préoccupe pas ?

Florent

O_20_100_O · Le 26/01/2025, à 21:59

Si tu es en legacy, le secure boot ne te concerne pas.

Par contre, il faudra chercher ce que signifie 'Linux kernel contaminé"

geole · Le 26/01/2025, à 22:39

Est-ce que ce logiciel est au point?
Il est possible de douter de ses affirmations. Surtout lorsque tu ne bootes pas en EFI
Pourquoi ne pas envisager de migrer en EFI si ton ordinateur est récent?

Dernière modification par geole (Le 26/01/2025, à 22:48)

fsail · Le 26/01/2025, à 22:54

De ce que j'ai pu trouver, le linux kernel contaminé pourrait être lié à des pilotes propriétaires. Ce qui est mon cas avec ma carte graphique nvidia et ma carte wifi (driver propriétaire Broadcom)

Résultat de la commande journalctl -k | grep taint :

kernel: wl: loading out-of-tree module taints kernel.
kernel: wl: module license 'MIXED/Proprietary' taints kernel.
kernel: Disabling lock debugging due to kernel taint
kernel: wl: module license taints kernel.
kernel: nvidia_uvm: module uses symbols nvUvmInterfaceDisableAccessCntr from proprietary module nvidia, inheriting taint.

Il y a bien nvidia mais les lignes précédentes que veulent t'elles dire ? C'est le pilote Broadcom ?

Basculer en EFI ? Comment ? Il me semblait que si l'installation avait été effectué en legacy il était impossible de le changer en EFI ?

Dernière modification par fsail (Le 26/01/2025, à 23:05)

geole · Le 26/01/2025, à 23:25

Lis le paragraphe 4.1
Mais certains ordinateurs ne connaisent pas EFI.

fsail · Le 26/01/2025, à 23:56

Ok merci. Je verrais dans la semaine.

J'ai vite regardé ce passage "Vérifiez que votre disque a une table de partition GPT et pas MBR, si besoin faites la conversion avec gdisk."
Ma partition où est installée linux ainsi que le grub est mbr. Si je la convertis vais je perdre l'accès à ubuntu ou aux données présentes ?

J'ai 2 ssd chacun mbr :
SSD1 (sda) avec windows et son boot
SSD2 (sdb) où se trouve le grub ,une partition commune windows / linux en ntfs + une partition pour ubuntu.
Dans le bios j'ai paramétré un démarrage du 2e disque pour avoir le grub qui se lance. Je voulais garder la partition/ssd mbr windows intacte au cas où.

Est ce que j'ai vraiment un intérêt à me lancer dans ce process si tout fonctionne correctement ?

Dernière modification par fsail (Le 26/01/2025, à 23:57)

geole · Le 27/01/2025, à 00:08

Si tu disposes de windows et qu'il boote en legacy reste comme cela.
Les vieux windows ne connaisent pas EFI.
Mais comme ubuntu est installé sur un autre disque, tu peux vérifier si windows accepte de passer en EFI

Dernière modification par geole (Le 27/01/2025, à 00:17)

iznobe · Le 27/01/2025, à 01:32

Bonjour , mon avis , c ' est que tu feras les transformations la prochaine fois que tu devras reinstaller .
BIOS, Disques avec table GPT , reinstallations .

il ne faut pas se lancer la dedans sans avoir du temps devant soi , et sans s ' etre bien renseigné avant . Dans la majorité des cas , ca se passe bien , mais il ya toujours des cas difficile ... et là , il faut du courage et de l' aide en general .

chez moi , je n' ai pas ca :

En regardant par curiosité le panneau de sécurité "Sécurité de l'appareil"

ca provient d' ou ce panneau ?

nany · Le 27/01/2025, à 03:56

Bonjour,

iznobe a écrit :

ca provient d' ou ce panneau ?

C’est dans Paramètres ⇒ Vie privée et sécurité ⇒ Sécurité de l’appareil.

fsail · Le 27/01/2025, à 08:45

iznobe a écrit :

Bonjour , mon avis , c ' est que tu feras les transformations la prochaine fois que tu devras reinstaller .
BIOS, Disques avec table GPT , reinstallations .
il ne faut pas se lancer la dedans sans avoir du temps devant soi , et sans s ' etre bien renseigné avant . Dans la majorité des cas , ca se passe bien , mais il ya toujours des cas difficile ... et là , il faut du courage et de l' aide en general .

chez moi , je n' ai pas ca :
En regardant par curiosité le panneau de sécurité "Sécurité de l'appareil"
ca provient d' ou ce panneau ?

Les principes de précaution je connais. Mon 1er os linux, je l'ai installé il y a presque 20 ans et j'ai toujours un petit pc en full linux en dépannage Pour mon fixe je suis revenu cette année avec la note de microsoft et la fin du suivi de windows 10.

L'installation en legacy a été réfléchie et volontaire. Le démarrage, avant installation et via le live cd était indiqué en mode legacy et windows installé ainsi (pc monté par un assembleur à l'époque). Je ne voulais pas modifier le bios et tout foutre en l'air. C'est pour cela que j'ai laissé intact le sdd "windows" en installant le mbr + ubuntu sur le ssd2.
Avec le recul c'est certainement cette installation atypique qui fait ces alertes. Au final, il n'y a pas de pb réels puisque l'alerte sur le matériel est justifiée par les pilotes nvidia et broadcom, et le secure boot est lié au mode legacy.

Merci pour ton intervention qui pourrait servir à d'autres se lançant dans l'aventure

O_20_100_O · Le 27/01/2025, à 09:00

ca provient d' ou ce panneau ?

En complément de nany, je précise que c'est dans l'environnement Gnome.
Dans KDE c'est "Sécurité du micro logiciel".

Chez moi les deux alertes sont activées car je n'ai pas signé le module pour virtualbox et j'ai désactivé le secure boot. La totale

elitedesk kernel: vboxdrv: module verification failed: signature and/or required key missing - tainting kernel

Il a fallu la question de fsail pour que j'aille voir ce truc, je n'ai aucune idée du moment où ils ont débuté ces contrôles.
Dans le nombre il y a aussi, comme pour Windows11, le TPM V2. Il est noté OK une fois sur deux, alors que ma machine n'en est pas équipée.

For information on the contents of this report, see Host Security ID Specification
https://fwupd.github.io/libfwupdplugin/hsi.html

Dernière modification par O_20_100_O (Le 27/01/2025, à 09:41)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 26/01/2025, à 15:53

Panneau sécurité de l'appareil : secure boot et vérif matériel

#2 Le 26/01/2025, à 17:30

Re : Panneau sécurité de l'appareil : secure boot et vérif matériel

#3 Le 26/01/2025, à 18:17

Re : Panneau sécurité de l'appareil : secure boot et vérif matériel

#4 Le 26/01/2025, à 20:12

Re : Panneau sécurité de l'appareil : secure boot et vérif matériel

#5 Le 26/01/2025, à 21:09

Re : Panneau sécurité de l'appareil : secure boot et vérif matériel

#6 Le 26/01/2025, à 21:59

Re : Panneau sécurité de l'appareil : secure boot et vérif matériel

#7 Le 26/01/2025, à 22:39

Re : Panneau sécurité de l'appareil : secure boot et vérif matériel

#8 Le 26/01/2025, à 22:54

Re : Panneau sécurité de l'appareil : secure boot et vérif matériel

#9 Le 26/01/2025, à 23:25

Re : Panneau sécurité de l'appareil : secure boot et vérif matériel

#10 Le 26/01/2025, à 23:56

Re : Panneau sécurité de l'appareil : secure boot et vérif matériel

#11 Le 27/01/2025, à 00:08

Re : Panneau sécurité de l'appareil : secure boot et vérif matériel

#12 Le 27/01/2025, à 01:32

Re : Panneau sécurité de l'appareil : secure boot et vérif matériel

#13 Le 27/01/2025, à 03:56

Re : Panneau sécurité de l'appareil : secure boot et vérif matériel

#14 Le 27/01/2025, à 08:45

Re : Panneau sécurité de l'appareil : secure boot et vérif matériel

#15 Le 27/01/2025, à 09:00

Re : Panneau sécurité de l'appareil : secure boot et vérif matériel

Pied de page des forums