Les modes de démarrage : BIOS Legacy, UEFI et Secure Boot

Posté en

Le démarrage d’un ordinateur est un processus complexe qui a considérablement évolué au fil des décennies. Aujourd’hui, nous disposons de plusieurs technologies de démarrage, chacune avec ses particularités, ses avantages et ses contraintes. Cet article vous propose une exploration détaillée des trois principaux modes de démarrage que vous rencontrerez sur les systèmes modernes.

BIOS Legacy vs UEFI BIOS Legacy Mode 16 bits Fonctionnement limité MBR 4 partitions primaires Limite: 2 To Interface Mode texte uniquement Navigation clavier Sécurité Aucune vérification Vitesse Démarrage séquentiel UEFI Mode 32/64 bits Performance moderne GPT 128 partitions primaires Limite: 9,4 ZB Interface Mode graphique possible Support souris Sécurité Secure Boot disponible Vitesse Démarrage parallèle Évolution

Le BIOS Legacy

Historique et principe de fonctionnement

Le BIOS (Basic Input/Output System) est le système de démarrage historique qui équipe les ordinateurs depuis le début des années 1980. Développé initialement par IBM pour ses premiers PC, il est devenu un standard de facto pendant plus de trois décennies.

Le BIOS s’exécute en mode réel 16 bits, une limitation héritée de l’architecture des premiers processeurs Intel. Lors de la mise sous tension de l’ordinateur, le BIOS effectue d’abord un POST (Power-On Self-Test) pour vérifier que les composants matériels essentiels fonctionnent correctement. Une fois cette vérification terminée, le BIOS recherche un périphérique amorçable selon l’ordre de démarrage configuré.

Processus de démarrage BIOS Legacy Power ON 1. Mise sous tension POST Power-On Self-Test 2. Tests matériels CPU, RAM, Périphériques Lecture MBR Secteur 0 512 octets 3. Chargement MBR Premier secteur du disque Bootloader GRUB/LILO ou NTLDR 4. Exécution bootloader 446 octets de code Noyau Chargement en mémoire 5. Chargement du noyau Depuis la partition active Système Init / Systemd Services 6. Démarrage OS Initialisation complète Disque dur MBR Partition 1 Partition 2 Caractéristiques ✓ Mode 16 bits ✓ Séquentiel ✓ Compatible ✓ Universel ✗ Lent ✗ Pas de sécurité Mode de démarrage traditionnel depuis 1981

Le Master Boot Record (MBR)

Le BIOS Legacy utilise le schéma de partitionnement MBR (Master Boot Record). Ce système stocke les informations de partitionnement dans les 512 premiers octets du disque. Le MBR contient également un petit programme de démarrage qui sera chargé en mémoire et exécuté pour lancer le système d’exploitation.

Cette architecture présente plusieurs limitations importantes. Le MBR ne peut gérer que quatre partitions primaires, ou trois partitions primaires et une partition étendue contenant des partitions logiques. Plus contraignant encore, le MBR ne supporte que des disques d’une taille maximale de 2 To en raison de son adressage 32 bits.

Structure détaillée du Master Boot Record (MBR) Vue d’ensemble du disque Secteur 0 MBR 512 octets Partitions (Données) Jusqu’à 2 To Zoom sur le MBR Détail des 512 octets du MBR 0 446 510 512 Code Bootloader 446 octets (87,1%) Table partitions 64 octets Signature 2 octets 1. Code Bootloader Taille : 446 octets • Code exécutable • Chargé en mémoire à 0x7C00 • Lance le système d’exploitation 2. Table de partitions Taille : 64 octets (4×16) • 4 entrées de partition max • Chaque entrée = 16 octets Contenu de chaque entrée : – État bootable (1 octet) – Type de partition (1 octet) – Position et taille (12 octets) 3. Signature magique Taille : 2 octets • Valeur : 0x55AA • Identifie un MBR valide • Vérifié par le BIOS Table de partitions (64 octets) Partition 1 16 octets Partition 2 16 octets Partition 3 16 octets Partition 4 16 octets ⚠️ Limitations du MBR ✗ Maximum 4 partitions primaires ✗ Taille maximale du disque : 2 To (2048 Go) ✗ Adressage 32 bits (limite à 2³² secteurs) ✗ Pas de redondance des données ✗ Pas de CRC de vérification ✗ Incompatible avec UEFI Secure Boot

Configuration et interface

L’interface du BIOS Legacy est généralement très basique, présentant uniquement du texte en mode console. La navigation s’effectue au clavier, et les options de configuration restent relativement limitées. Cette simplicité a néanmoins l’avantage de la stabilité et de la compatibilité universelle.

UEFI

Genèse et architecture

L’UEFI (Unified Extensible Firmware Interface) représente une rupture technologique majeure par rapport au BIOS traditionnel. Initialement développé par Intel sous le nom d’EFI pour les serveurs Itanium dans les années 1990, il a été standardisé et renommé UEFI en 2005 par un consortium d’industriels.

Contrairement au BIOS qui s’exécute en mode 16 bits, l’UEFI fonctionne en mode 32 ou 64 bits selon l’architecture du processeur. Cette évolution permet d’accéder à l’ensemble de la mémoire système et d’offrir des performances nettement supérieures lors du démarrage.

Processus de démarrage UEFI Power ON 1. Mise sous tension SEC Security Phase Mode 32/64 bits 2. Initialisation CPU PEI Pre-EFI Init Tests matériels 3. Init RAM & CPU DXE Driver Execution Chargement drivers 4. Drivers & Services Parallèle possible BDS Boot Device Select Lecture ESP 5. Sélection périph. Bootloader GRUB2/systemd-boot Depuis ESP 6. Exec. bootloader Système Init / Systemd Services 7. Démarrage OS Disque GPT MBR prot. GPT Header GPT Table ESP (FAT32) Partition 1 Partition 2 Partition ESP /EFI/ubuntu/ /EFI/fedora/ /EFI/Microsoft/ /EFI/BOOT/ bootx64.efi Avantages UEFI ✓ Mode 32/64 bits ✓ Démarrage rapide ✓ GPT (>2 To) ✓ Secure Boot ✓ Interface graphique ✓ Réseau intégré ✓ Multiboot facile ✓ Extensible Standard moderne Secure Boot Vérification des signatures

GPT : le nouveau standard de partitionnement

L’UEFI s’appuie sur le schéma de partitionnement GPT (GUID Partition Table), qui élimine les contraintes du MBR. Le GPT peut gérer des disques de taille théoriquement illimitée (en pratique, jusqu’à 9,4 ZB avec des secteurs de 512 octets) et supporte jusqu’à 128 partitions primaires sans nécessiter de partitions étendues.

Le GPT stocke également des copies de sauvegarde de la table de partitions à la fin du disque, offrant ainsi une meilleure résilience en cas de corruption des données. Chaque partition dispose d’un identifiant unique (GUID), d’où le nom du système.

La partition EFI System Partition (ESP)

L’UEFI nécessite la création d’une partition spéciale appelée ESP (EFI System Partition), formatée en FAT32. Cette partition contient les chargeurs de démarrage (bootloaders) des différents systèmes d’exploitation installés, organisés dans une structure de répertoires standardisée.

La partition ESP est généralement montée sur /boot/efi sous Linux. Elle contient notamment le répertoire /EFI avec un sous-répertoire pour chaque système d’exploitation. Par exemple, vous trouverez /EFI/ubuntu, /EFI/fedora, ou /EFI/Microsoft/Boot pour Windows.

Interface et fonctionnalités avancées

L’UEFI peut proposer des interfaces graphiques modernes avec support de la souris, rendant la navigation plus intuitive qu’avec le BIOS Legacy. Il offre également de nombreuses fonctionnalités avancées comme la gestion réseau intégrée permettant des mises à jour firmware via Internet, ou encore le support du démarrage depuis le réseau (PXE amélioré).

Le démarrage est généralement plus rapide avec l’UEFI, car le firmware peut initialiser plusieurs composants matériels en parallèle, contrairement au BIOS qui procède de manière séquentielle.

Secure Boot

Principe de fonctionnement

Le Secure Boot est une fonctionnalité de sécurité introduite avec UEFI 2.3.1, devenue particulièrement répandue à partir de Windows 8 en 2012. Son principe repose sur la vérification cryptographique de chaque composant logiciel chargé lors du démarrage.

Lorsque Secure Boot est activé, l’UEFI vérifie la signature numérique du bootloader avant de l’exécuter. Si la signature est valide et correspond à une clé de confiance présente dans le firmware, le démarrage se poursuit. Dans le cas contraire, le chargement est bloqué, empêchant ainsi l’exécution de code malveillant au niveau du démarrage.

La chaîne de confiance

Le Secure Boot établit une chaîne de confiance depuis le firmware jusqu’au système d’exploitation. Le firmware UEFI vérifie le bootloader, qui à son tour vérifie le noyau du système d’exploitation, qui vérifie ensuite les drivers et modules chargés. Cette vérification en cascade garantit qu’aucun composant non autorisé ne s’exécute.

Chaîne de confiance Secure Boot Firmware UEFI Clés de confiance (PK, KEK, db, dbx) ✓ Vérifié Bootloader (shim/GRUB) Signé avec clé reconnue ✓ Vérifié Noyau Linux / Windows Signature vérifiée par bootloader ✓ Vérifié Modules et Drivers Signature vérifiée par le noyau Système démarré Bloqué par Secure Boot • Bootkit • Rootkit • Code non signé Bases de clés PK: Platform Key KEK: Key Exchange db: Autorisées dbx: Révoquées Clés Microsoft généralement incluses

Gestion des clés de sécurité

Le Secure Boot utilise plusieurs bases de données de clés stockées dans la mémoire non volatile du firmware. La base PK (Platform Key) contient la clé principale du fabricant. La base KEK (Key Exchange Keys) contient les clés intermédiaires. La base db contient les signatures autorisées, tandis que la base dbx liste les signatures révoquées ou interdites.

Microsoft fournit des clés largement reconnues qui permettent le démarrage de Windows et de nombreuses distributions Linux certifiées. Les fabricants de matériel incluent généralement ces clés par défaut dans leurs firmwares.

Implications pour Linux

Le Secure Boot a longtemps posé des défis pour les utilisateurs de Linux. Aujourd’hui, la plupart des distributions majeures comme Ubuntu, Fedora, openSUSE ou Debian proposent des bootloaders signés qui fonctionnent directement avec Secure Boot activé.

Pour les distributions non signées ou les noyaux personnalisés, plusieurs solutions existent. Vous pouvez désactiver Secure Boot dans les paramètres UEFI, bien que cette approche réduise la sécurité du système. Une alternative consiste à générer vos propres clés et à signer vous-même vos bootloaders et noyaux, puis à enregistrer ces clés dans le firmware.

Certaines distributions utilisent également un mécanisme appelé MOK (Machine Owner Key) qui permet d’ajouter des clés supplémentaires via le bootloader shim signé par Microsoft, offrant ainsi un compromis entre sécurité et flexibilité.

Compatibilité et mode CSM

Le mode de compatibilité

De nombreux firmwares UEFI incluent un module CSM (Compatibility Support Module) qui permet d’émuler un BIOS Legacy. Ce mode de compatibilité facilite la transition et permet d’exécuter d’anciens systèmes d’exploitation qui ne supportent pas l’UEFI natif.

Cependant, l’utilisation du CSM présente des inconvénients. Vous perdez les avantages de l’UEFI comme le support GPT complet, le démarrage rapide, ou encore le Secure Boot. Il est donc recommandé de n’utiliser le CSM que si absolument nécessaire et de privilégier une installation UEFI native.

Dual boot et considérations pratiques

La cohabitation de plusieurs systèmes d’exploitation nécessite une attention particulière au mode de démarrage. Si vous installez un système en mode UEFI et un autre en mode Legacy sur le même ordinateur, vous devrez systématiquement changer le mode de démarrage dans le firmware pour basculer entre les deux, ce qui s’avère rapidement fastidieux.

Il est fortement recommandé d’installer tous vos systèmes d’exploitation dans le même mode, de préférence UEFI. Les gestionnaires de démarrage modernes comme GRUB2 ou rEFInd gèrent parfaitement le multiboot en mode UEFI.

Comparaison synthétique

Performance et capacités

L’UEFI offre des temps de démarrage significativement réduits par rapport au BIOS Legacy, particulièrement sur des configurations matérielles modernes avec de nombreux périphériques. Le mode 64 bits permet également une meilleure gestion de la mémoire et des performances accrues.

La limitation à 2 To pour les disques en MBR devient problématique avec les disques de grande capacité actuels. Le GPT utilisé par l’UEFI élimine cette contrainte et permet de tirer pleinement parti des disques de 4 To, 8 To ou plus.

Sécurité

Le Secure Boot représente une avancée majeure en matière de sécurité, particulièrement face aux menaces de type rootkit ou bootkits qui s’installent au niveau du démarrage. Ces malwares sont extrêmement difficiles à détecter et à éradiquer, car ils s’exécutent avant le système d’exploitation et ses mécanismes de sécurité.

Cependant, le Secure Boot n’est pas une panacée. Il ne protège que contre les menaces au démarrage et ne remplace pas les autres mesures de sécurité comme les antivirus, les pare-feux, ou les bonnes pratiques d’hygiène numérique.

Flexibilité

Le BIOS Legacy reste pertinent dans certains contextes spécifiques, notamment pour des environnements industriels utilisant du matériel ancien ou des applications legacy qui nécessitent un démarrage en mode réel 16 bits. Sa simplicité peut également faciliter la récupération en cas de problème grave.

L’UEFI offre néanmoins une flexibilité bien supérieure avec ses capacités d’extension, ses protocoles réseau intégrés, et son architecture modulaire qui permet aux fabricants d’ajouter des fonctionnalités personnalisées.

Recommandations pratiques

Pour une installation nouvelle

Sur un système moderne, privilégiez systématiquement l’UEFI avec Secure Boot activé. Assurez-vous de créer une partition ESP d’au moins 512 Mo (certaines distributions recommandent même 1 Go) pour avoir suffisamment d’espace pour plusieurs bootloaders et les futures mises à jour.

Utilisez le schéma de partitionnement GPT, même si votre disque fait moins de 2 To, pour garantir la compatibilité future et bénéficier de la robustesse supérieure du GPT.

Vérification du mode de démarrage

Sous Linux, vous pouvez vérifier si votre système a démarré en mode UEFI en examinant le répertoire /sys/firmware/efi. S’il existe, vous êtes en mode UEFI. La commande [ -d /sys/firmware/efi ] && echo "UEFI" || echo "BIOS" vous donnera une réponse claire.

Sous Windows, ouvrez l’outil « Informations système » (msinfo32.exe) et consultez la ligne « Mode BIOS » qui indiquera « UEFI » ou « Hérité ».

Migration d’un système existant

Il est possible de convertir une installation existante de BIOS Legacy vers UEFI, mais cette opération comporte des risques et nécessite une sauvegarde complète préalable. Des outils comme gdisk sous Linux permettent de convertir un disque MBR en GPT sans perte de données, mais vous devrez ensuite réinstaller le bootloader en mode UEFI.

Pour Windows, Microsoft fournit l’outil MBR2GPT qui automatise en grande partie ce processus. Néanmoins, pour éviter tout problème, une réinstallation complète en mode UEFI reste l’approche la plus sûre.

Pour finir

L’évolution du BIOS Legacy vers l’UEFI représente un progrès technique majeur qui répond aux besoins des systèmes informatiques modernes. Le Secure Boot ajoute une couche de sécurité essentielle face aux menaces actuelles, même si son implémentation nécessite parfois des ajustements pour les utilisateurs de Linux.

Aujourd’hui, sauf contraintes spécifiques liées à du matériel ancien ou des applications legacy, l’UEFI s’impose comme le choix naturel pour toute nouvelle installation. Sa flexibilité, ses performances et son évolutivité garantissent qu’il restera le standard pour les années à venir.

La compréhension de ces technologies de démarrage permet non seulement de mieux configurer ses systèmes, mais aussi de diagnostiquer et résoudre efficacement les problèmes qui peuvent survenir lors du démarrage ou lors de l’installation de nouveaux systèmes d’exploitation.

Catégorie

Articles similaires