Hier, la version 1.18 de VeraCrypt introduisait le chiffrement des disques sur les terminaux en UEFI. Problème : Secure Boot bloquait son pilote sur les nouvelles installations de Windows 10 avec l'Anniversary Update. La version 1.18a règle le problème.
Malgré son nom, Secure Boot peut parfois aller à l'encontre de la sécurité. Hier, VeraCrypt 1.18 était publié, en introduisant le chiffrement UEFI, une fonction voulue de longue date par ses développeurs (voir notre actualité). L'étape était importante, le logiciel testé de longue date mais quelques soucis restent.
Les plus importants problèmes sont liés à Secure Boot, une sacrée épine dans le pied du projet open source. Le principal a été réglé dans la version 1.18a, publiée ce matin, avec une concession au géant de Redmond. Les moutures Linux et macOS restent en 1.18, n'étant pas concernées par le souci.
L'Anniversary Update plus stricte sur la signature des pilotes
Dans la journée, des utilisateurs ont remonté un souci bloquant : impossible d'utiliser VeraCrypt 1.18 sur une nouvelle installation de Windows 10 avec l'Anniversary Update si Secure Boot est activé. La raison : le pilote qu'utilise le logiciel pour fonctionner n'a pas été signé par Microsoft et est donc bloqué par Windows. « Il n'y a pas d'erreur de la 1.18 sur Windows 10 Anniversary Edition si on a fait une mise à jour vers cette nouvelle version » nous précise Mounir Idrassi, le développeur principal de VeraCrypt (voir notre entretien).
Introduit avec Windows 8, Secure Boot permet de vérifier l'intégrité de la chaine de démarrage pour que rien de malveillant ne puisse s'y insérer, comme des rootkits. La fonction est liée à l'UEFI, le successeur du BIOS qui ne dispose pas de cette sécurité.
Depuis l'Anniversary Update, Windows 10 n'accepte plus que les pilotes signés par Microsoft si Secure Boot est actif. L'exception : les pilotes qui disposent d'un certificat de signature émis avant le 21 juillet 2015. Manque de chance, celui utilisé par VeraCrypt 1.18 est bien ultérieur à cette date, le précédent ayant expiré en avril dernier. Il a donc fallu attendre que des utilisateurs avec un terminal équipé d'un UEFI et installant la dernière version de Windows 10 se manifestent pour constater le problème.
VeraCrypt 1.18a toujours peu compatible avec Secure Boot
Bon gré mal gré, Mounir Idrassi a dû se décider à une concession à Microsoft. Il a obtenu de l'éditeur une signature de son pilote, dans la nuit. Un processus qui a pris moins de deux heures. Ce pilote nouvellement adoubé a été introduit dans la version 1.18a publiée ce matin. « J'aurais aimé éviter cela mais Microsoft ne nous laisse pas le choix » confie-t-il.
Dans l'absolu, cela règle uniquement le problème d'installation de VeraCrypt sur la nouvelle version de Windows 10. Car pour chiffrer, le chargeur de démarrage (bootloader) du logiciel doit aussi être signé par Microsoft pour que Secure Boot le laisse se lancer. Or, Microsoft n'a pas signé celui de VeraCrypt. En clair : si le pilote signé permet l'installation de VeraCrypt, le logiciel ne peut toujours pas chiffrer à cause de Secure Boot, qui le bloque dans son démarrage.
Deux solutions s'offrent alors à l'utilisateur. La plus simple est de couper Secure Boot dans l'UEFI. Le mécanisme de sécurité disparait, mais VeraCrypt a le champ libre pour chiffrer. La seconde, plus technique, consiste à obliger Secure Boot d'accepter VeraCrypt, avec la signature de ses développeurs.
Pour cela, il faut passer Secure Boot en mode « custom » dans l'UEFI, revenir à Windows et entrer une commande Powershell (« powershell -File sb_set_siglists.ps1 »). Les instructions détaillées sont disponibles dans la documentation.
Rappelons que s'il aide bien à sécuriser le démarrage du PC, Secure Boot est loin d'être exempt de reproches. Il a été récemment découvert que Microsoft y a introduit une porte dérobée créée pour les tests des partenaires... Clés qui ont fuité, même si l'exploitation de cette bourde par un malware semble impossible, à moins d'insérer des pilotes malveillants. Le serrage de vis sur ces derniers avec l'Anniversary Update en est d'ailleurs une conséquence directe.
