Forum général.général Protéger un PC contre une réinstallation par un tiers.

Posté par  . Licence CC By‑SA.
Étiquettes :
3
2
avr.
2021

Bonjour.

Je souhaite mettre à disposition d'une utilisatrice un PC portable. Ce PC portable est assez récent, dispose d'un UEFI. Windows était livré préinstallé dessus ( initialement j'avais commandé le PC sans Windows mais l'utilisatrice m'a demandé d'avoir un windows avec du coup je me suis adapté …).

Le PC est donc installé avec 1 disque SSD d'origine avec Windows 10, 1 disque Linux Ubuntu (installé depuis la machine identique livrée sans OS), et un disque de données (SSD formatté lvm + ext4).

Ce que je voudrais :
- l'utilisatrice peut installer des logiciels ou les supprimer tant qu'elle le veut, sous windows et sur Linux. Par contre je ne veux pas qu'elle - ou quelqu'un d'autre - puisse réinstaller un système windows ou linux par dessus (en cas de vol par exemple) - en remplacement des système installé. Est-ce qu'il existe une combinaison possible via l'UEFI + config windows et linux pour enmpêcher ce genre de truc ? D'autre part, est-ce qu'il existe pour les particuliers, des systèmes de protection de matériel tel qu'il en existe pour les entreprises  ? ( StopTrack par exemple … je ne sais pas si vous connaissez) ?

Merci d'avance pour votre retour.

Cordialement.

  • # Secure boot

    Posté par  (Mastodon) . Évalué à 5. Dernière modification le 02 avril 2021 à 14:49.

    C'est exactement le but du sécure boot de l'UEFI.

    Si tu veux l'appliquer avec ton Linux, tu peux lire cette excellente page qui explique tout y compris comment signer ta propre installation Linux.

    Pour Windows, ce devrait aussi être possible, mais je te laisse chercher ;)

    Attention toutefois, UEFI est un standard très complet (et complexe), peu de fabricants implémentent tout, donc c'est pas garanti que ça marche avec n'importe quel PC.

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Secure boot

      Posté par  . Évalué à 1.

      C'est exactement le but du sécure boot de l'UEFI.

      C'est ce que j'en avais compris, mais je n'ai jamais eu vraiment l'occasion de le mettre en oeuvre.

      Si tu veux l'appliquer avec ton Linux, tu peux lire cette excellente page qui explique tout y compris comment signer ta propre installation Linux.

      Cool, merci. j'aurais peut-être pu c hercher de moi-même mais ce genre de lien de la part de personnes qui connaissent le sujet pourront me permettre d'éviter trop de temps à épelucher des pages et des pages avec des infos qui n'apportent rien (j'avais fait quelques recherches, mais les résultats que j'avais ne me convenaient pas).

      Pour Windows, ce devrait aussi être possible, mais je te laisse chercher ;)

      Si certains connaissent ou ont déjà fait, je suis preneur de liens ou point d'entrée pouvant m'aider … (mon souci principal étant la cohaitation des systèmes Linux/Windows : est-ce que l'UEFI, ou plutốot l'implémentation qui en est faite sur la machine en question le permettra ?).

      Attention toutefois, UEFI est un standard très complet (et complexe), peu de fabricants implémentent tout, donc c'est pas garanti que ça marche avec n'importe quel PC.

      C'est ce qui m'inquiète … Mais en tout cas merci pour ce début de piste.

      • [^] # Re: Secure boot

        Posté par  (Mastodon) . Évalué à 2.

        mais je n'ai jamais eu vraiment l'occasion de le mettre en oeuvre

        Sur la partie secure boot, moi non plus. Mais au début de l'UEFI et de Ubuntu 16.04 (de mémoire) qui était compatible au prix d'une grosse cochonnerie (il se faisait passer pour le bootloader Windows) cette page m'avait permis non seulement de tout comprendre, mais aussi de réparer mon double boot.

        mon souci principal étant la cohaitation des systèmes Linux/Windows

        C'est pas la partie qui me fait le plus peur. Non ce serait plutôt la possibilité de pusher ta propre clé (et l'implémentation du secure boot tout court).

        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Secure boot

      Posté par  (site web personnel) . Évalué à 2.

      Pour moi, SecureBoot empêche de mettre une version « personnalisée » du bootloader mais c'est tout.
      Il n'empêche pas de réinstaller l'ordi, ni de mettre un autre bootloader tout aussi officiel que le précédent.
      Quant au mot de passe du BIOS… en général, tu peux le réinitialiser (au prix d'un accès physique), par exemple en enlevant une pile ou un cavalier.

      Je ne sais pas si ce que tu veux faire est vraiment possible avec autre chose qu'un Mac, à vrai dire.

      • [^] # Re: Secure boot

        Posté par  (site web personnel, Mastodon) . Évalué à 2.

        Quant au mot de passe du BIOS… en général, tu peux le réinitialiser (au prix d'un accès physique), par exemple en enlevant une pile ou un cavalier.

        Cela dépend des marques et des modèles d'ordinateur portable. Pour certaines, il existe des mots de passe "principaux" qui passent outre le mot de passe du BIOS paramétré par l'administrateur. Dans le cas d'autres marques, il faut impérativement renvoyer l'appareil à leurs services pour un déverouillage… peut-être que c'est parce que la méthode du mot de passe "principal" n'a pas encore fuité.

        On pourra jeter un œil au projet pwgen-for-bios sur Github pour plus de renseignements sur les méthodes de certains fabricants.

  • # mot de passe dans le bios, et boot uniquement le disque dur

    Posté par  . Évalué à 4. Dernière modification le 02 avril 2021 à 15:17.

    la personne ne peut alors pas changer l'ordre du boot (donc pas démarrer depuis une clef USB, depuis un CD) sans avoir le mot de passe du bios

    c'est deja une premiere protection.

    apres rien n'empêchera la personne malveillante (le voleur) de sortir le disque dur de la machine pour le lire ou l'écrire dans une autre machine.
    là c'est alors le chiffrement du disque qui va te protéger du vol d'info, mais n'empêchera pas la reinstallation.

    reste le disque et l'OS signé et dire à l'UEFI que tu ne veux que celui là
    mais alors quid d'une grosse mise à jour windows ou linux ?

    • [^] # Re: mot de passe dans le bios, et boot uniquement le disque dur

      Posté par  . Évalué à 1.

      reste le disque et l'OS signé et dire à l'UEFI que tu ne veux que celui là

      C'est plus ou moins ce que je veux.

      mais alors quid d'une grosse mise à jour windows ou linux ?

      C'est effectivement là que le bat blesse … Mais à priori ce genre de grosse mise à jour c'est moi qui les ferai. Mais je ne sais pas trop comment les systèmes se comporteront pour les mises à jour standard. Autre question côté Windows, est-ce qu'il sera possible de faire une réinstallation de l'OS via l'outil de restauration ?

  • # Protection contre le vol

    Posté par  . Évalué à 3.

    D'autre part, est-ce qu'il existe pour les particuliers, des systèmes de protection de matériel tel qu'il en existe pour les entreprises  ? ( StopTrack par exemple…

    Sur cette question, il y a un article de 01net qui en parle (mais qui date un peu), à certainement relativiser en ce qui concerne les taux de réussite annoncés, et le calcul coût/risque reste à faire. Je ne vois que le câble (genre Kensington) pour éviter le vol par opportunité à moindre coût.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.