Comment démarrer et installer Linux sur un PC UEFI avec démarrage sécurisé
Les nouveaux PC Windows sont livrés avec le micrologiciel UEFI et le démarrage sécurisé activé. Le démarrage sécurisé empêche les systèmes d’exploitation de démarrer à moins qu’ils ne soient signés par une clé chargée dans UEFI – par défaut, seuls les logiciels signés par Microsoft peuvent démarrer.
Microsoft exige que les fournisseurs de PC autorisent les utilisateurs à désactiver le démarrage sécurisé, vous pouvez donc désactiver le démarrage sécurisé ou ajouter votre propre clé personnalisée pour contourner cette limitation.
Sommaire
Comment fonctionne le démarrage sécurisé
Les PC fournis avec Windows 10 ou Windows 11 incluent le micrologiciel UEFI au lieu du BIOS traditionnel. Par défaut, le micrologiciel UEFI de la machine ne démarrera que les chargeurs de démarrage signés par une clé intégrée dans le micrologiciel UEFI. Cette fonctionnalité est connue sous le nom de « Secure Boot » ou « Trusted Boot ». Sur les PC traditionnels sans cette fonctionnalité de sécurité, un rootkit pourrait s’installer et devenir le chargeur de démarrage. Le BIOS de l’ordinateur chargerait alors le rootkit au démarrage, qui démarrerait et chargerait Windows, se cachant du système d’exploitation et s’intégrant à un niveau profond.
Secure Boot bloque cela – l’ordinateur ne démarrera que des logiciels de confiance, de sorte que les chargeurs de démarrage malveillants ne pourront pas infecter le système.
Sur un PC Intel x86 (pas sur les PC ARM), vous contrôlez le démarrage sécurisé. Vous pouvez choisir de le désactiver ou même d’ajouter votre propre clé de signature. Les organisations pourraient utiliser leurs propres clés pour s’assurer que seuls les systèmes d’exploitation Linux approuvés pourraient démarrer, par exemple.
Options d’installation de Linux
Vous avez plusieurs options pour installer Linux sur un PC avec Secure Boot :
- Choisissez une distribution Linux prenant en charge le démarrage sécurisé: Les versions modernes d’Ubuntu – à commencer par Ubuntu 12.04.2 LTS et 12.10 – démarreront et s’installeront normalement sur la plupart des PC avec Secure Boot activé. En effet, le chargeur de démarrage EFI de première étape d’Ubuntu est signé par Microsoft. Cependant, un développeur Ubuntu note que le chargeur de démarrage d’Ubuntu n’est pas signé avec une clé requise par le processus de certification de Microsoft, mais simplement une clé que Microsoft déclare être « recommandée ». Cela signifie qu’Ubuntu peut ne pas démarrer sur tous les PC UEFI. Les utilisateurs devront peut-être désactiver Secure Boot pour utiliser Ubuntu sur certains PC.
- Désactiver le démarrage sécurisé: Secure Boot peut être désactivé, ce qui échangera ses avantages en matière de sécurité contre la possibilité de faire démarrer n’importe quoi sur votre PC, tout comme les PC plus anciens avec le BIOS traditionnel. Cela est également nécessaire si vous souhaitez installer une ancienne version de Windows qui n’a pas été développée avec Secure Boot à l’esprit, comme Windows 7.
- Ajouter une clé de signature au micrologiciel UEFI: Certaines distributions Linux peuvent signer leurs chargeurs de démarrage avec leur propre clé, que vous pouvez ajouter à votre micrologiciel UEFI. Cela ne semble pas être courant pour le moment.
Vous devriez vérifier quel processus votre distribution Linux de choix recommande. Si vous devez démarrer une ancienne distribution Linux qui ne fournit aucune information à ce sujet, il vous suffit de désactiver le démarrage sécurisé.
Vous devriez pouvoir installer les versions actuelles d’Ubuntu – soit la version LTS, soit la dernière version – sans aucun problème sur la plupart des nouveaux PC. Reportez-vous à la dernière section pour obtenir des instructions sur le démarrage à partir d’un périphérique amovible.
Comment désactiver le démarrage sécurisé
Vous pouvez contrôler le démarrage sécurisé à partir de l’écran Paramètres du micrologiciel UEFI. Pour accéder à cet écran, vous devez accéder au menu des options de démarrage dans Windows 10 ou Windows 11. Pour ce faire, cliquez sur le bouton d’alimentation dans le menu Démarrer et maintenez la touche Maj enfoncée lorsque vous cliquez sur Redémarrer. Dans Windows 11, cela semblera légèrement différent, mais c’est la même opération.
Votre ordinateur redémarrera dans l’écran des options de démarrage avancées. Cliquez sur l’option Dépannage ici.
Ensuite, vous voudrez cliquer sur « Options avancées » sur l’écran suivant.
Et maintenant, enfin, vous êtes à l’écran des options avancées, qui semble avoir pu apparaître sur le dernier écran, mais peu importe. Vous pouvez maintenant cliquer sur le bouton Paramètres du micrologiciel UEFI ici. (Vous ne verrez peut-être pas l’option Paramètres UEFI sur quelques PC Windows, même s’ils sont livrés avec UEFI – consultez la documentation de votre fabricant pour obtenir des informations sur l’accès à son écran de paramètres UEFI dans ce cas.)
Vous serez redirigé vers l’écran Paramètres UEFI, où vous pourrez choisir de désactiver le démarrage sécurisé ou d’ajouter votre propre clé. Cela sera différent sur chaque ordinateur et ne sera probablement pas aussi flou sur votre ordinateur dans la vraie vie.
Démarrer à partir d’un support amovible
Vous pouvez démarrer à partir d’un support amovible en accédant au menu des options de démarrage de la même manière – maintenez la touche Maj enfoncée pendant que vous cliquez sur l’option Redémarrer. Insérez le périphérique de démarrage de votre choix, sélectionnez Utiliser un périphérique et sélectionnez le périphérique à partir duquel vous souhaitez démarrer.
Après avoir démarré à partir du périphérique amovible, vous pouvez installer Linux comme vous le feriez normalement ou simplement utiliser l’environnement en direct à partir du périphérique amovible sans l’installer.
Gardez à l’esprit que Secure Boot est une fonction de sécurité utile. Vous devez le laisser activé, sauf si vous devez exécuter des systèmes d’exploitation qui ne démarrent pas avec Secure Boot activé.
