Lorsque une personne ou organisation mal intentionnée souhaite introduire du code malveillant dans Windows, il doit veiller à ne pas être détecté.
Une solution consiste à se charger en mémoire avant Windows, pendant le démarrage.
C’est ce qu’on appelle les Root Kit, devenus populaires grâce à la découverte du Rootkit placé par Sony sur les PC par Mark Russinovich (un résumé ici : https://www.silicon.fr/le-systeme-de-drm-de-sony-en-question-rootkit-ou-pas-13016.html).
Il a donc fallu sécuriser le Boot de Windows (et d’autres systèmes d’exploitations par la suite), et pour ceci Microsoft à inventé Secure Boot.
Comment Secure Boot fonctionne ?
Avant Secure Boot, le boot UEFI se contentait de charger le firmware présent qui lui même lançait le boot de Windows, sans aucune forme de vérification ou d’intégrité.
Désormais avec Secure Bboot, le programme de démarrage du PC (POST) vérifie que le firmware est signé numériquement, puis la signature du bootloader est vérifiée.
Le boot loader charge ensuite les principaux composants du noyau de Windows en utilisant Trusted Boot.
Plus d’infos ici : Tout sur le boot de Windows 10 et 11 en UEFI
Comment fonctionne Trusted Boot
Trusted boot est le process interne à Windows chargé de vérifier les composants du noyau de Windows avant de les charger.
La séquence complète de Windows est donc protégée, à l’aide de UEFI et de la puce TPM et seuls les composants signés et reconnus peuvent être chargés.
Bien sur il existe une procédure permettant de changer le boot, et d’utiliser des OS non sécurisés, dès lors que l’utilisateur enlève Secure Boot dans l’UEFI.
Qu’est ce que le Mesured Boot
C’est le process qui permet ce contrôler et certifier le process de démarrage via un serveur, toujours base sur la ‘certification’ du process de démarrage
Source https://learn.microsoft.com/en-us/windows/security/operating-system-security/system-security/secure-the-windows-10-boot-process
Sources :
Secure the Windows boot process – Windows Security | Microsoft Learn