Forum Linux.débutant installation linux sur PC portable

Posté par papat51 le 31 octobre 2025 à 09:38. Licence CC By‑SA.

Étiquettes :

oct.

2025

Bonjour,
J'ai installer linux sur un portable. L'installation s'est bien dérouler mais lorsque j'ai voulu redémarrer mon pc j'ai enlever à mon avis trop tôt la clé USB et depuis le pc ne veux plus accéder à linux.
Voici les messages à l'écran :
loading linux 6.14.0-34 geberic
erreur : protocole shim lock pas trouvé
loading initial ramdisk
erreur : le noyau doit d'abord être chargé
Merci de vos conseils, je suis vraiment débutant.

peux-t-on joindre des copies écran?

Bien cordialement

# Secure Boot

Posté par vmagnin (site web personnel, Mastodon) le 31 octobre 2025 à 10:59. Évalué à 2 (+0/-0).

Bonjour Papat51,

apparemment c'est un problème de Secure Boot :

Maintenu par Red Hat et signé avec une clé Microsoft, Shim sert à ajouter la prise en charge du Secure Boot sur les machines avec de l'UEFI. En principe, le Secure Boot est là pour renforcer la sécurité de la machine en évitant que du code malveillant puisse être exécuté pendant le processus de démarrage.

https://www.it-connect.fr/linux-faille-de-critique-corrigee-bootloader-shim/

Tu peux essayer d'aller dans le BIOS UEFI et désactiver le Secure Boot pour voir si Linux démarre ensuite.

Si tu viens juste de l'installer, tu peux aussi réessayer une installation en regardant bien les messages relatifs au Secure Boot.

Dans tous les cas, tu peux donner plus d'informations pour qu'on puisse t'aider ici : en particulier modèle du PC portable et distribution Linux utilisée (Ubuntu 24.04 ?).

Répondre
- [^] # Re: Secure Boot
  
  Posté par papat51 le 31 octobre 2025 à 11:36. Évalué à 2 (+1/-0).
  
  Bonjour vmagnin,
  Merci pour votre réponse rapide, en désactivant le secure boot cela a fonctionné.J'ai un message au démarrage du pc qui est le suivant :
  EFI stub : warning failed to measure data for event 1 : 0x8000000000000009.
  
  J'ai redemarrer avec la clef USB sur le portable, est ce que je peux l'enlever et redemarrer?
  
  Encore merci, maintenant je vais essayer d'entrer dans le monde linux, ce n'est pas evident lorsque que l'on frole les 70 ans.Mon pc est un Asus R556L avec 12 Mo de ram et la verssion de linux Ubuntu 24.04.3
  
  Bien cordialement
  et bonne journée à vous
  
  Répondre
  - [^] # Re: Secure Boot
    
    Posté par vmagnin (site web personnel, Mastodon) le 31 octobre 2025 à 21:53. Évalué à 3 (+1/-0). Dernière modification le 31 octobre 2025 à 21:56.
    
    Oui, essayez de redémarrer sans la clé USB, pour être sûr que ça boote bien sur le système qui a été installé sur le disque de l'ordinateur.
    
    Il n'y a pas d'âge, c'est bien de tenter l'aventure Linux ! Pour Ubuntu, il y a une communauté avec une bonne entraide : https://forum.ubuntu-fr.org/
    
    Répondre
# Noyau signé

Posté par Franck913 le 01 novembre 2025 à 10:37. Évalué à 2 (+1/-0).

Bonjour.
Dans la norme uefi est pour éviter du code malveillant des le démarrage
Donc les 512 octet du grub sont signeé dans le MOK ou en tout cas on ajoute la signature
Et ça doit être pareil pour le kernel
Sinon erreur shim…

Sous Windows ça ne pose que peu de problème car le noyau change tous les 7 à 10ans mais avec Linux lupdate est plusieurs fois par an

Donc il y a une commande avant de quitter pour upgrader le Mok (management des clés de hash)
Https://www.jdhodges.com/blog/bad-shim-signature-you-need-to-load-the-kernel-first-solved/

Répondre
- [^] # Re: Noyau signé
  
  Posté par Cyril Brulebois (site web personnel) le 01 novembre 2025 à 15:27. Évalué à 4 (+2/-0).
  
  La solution classique pour les distributions Linux gérant Secure Boot est d'avoir un composant shim « signé par Microsoft » (je raccourcis) qui fait ensuite confiance à un chargeur de démarrage (typiquement GRUB) qui est « signé par la distribution » qui passe ensuite la main à un noyau « signé par la distribution ».
  
  Dans un fonctionnement nominal pour un utilisateur lambda, il n'y a pas lieu de se poser la question d'une quelconque clé MOK. Quand celle-ci est utilisée, c'est souvent pour signer certains modules noyau compilés localement, s'ajoutant aux modules noyau qui viennent avec le noyau « signé par la distribution ».
  
  Debian Consultant @ DEBAMAX
  
  Répondre
# Desactiver la securite

Posté par Franck913 le 01 novembre 2025 à 10:43. Évalué à 2 (+1/-0).

Après desactiver les éléments de sécurité ça fonctionne…mais c dommage

Répondre
- [^] # Re: Desactiver la securite
  
  Posté par Psychofox (Mastodon) le 02 novembre 2025 à 01:28. Évalué à 3 (+0/-0).
  
  C'est probablement lié à l'expiration des certificats originels publiés par Microsoft si le constructeur de ton ordi n'a pas publié de nouveau via une mise à jour du firmware, on en avait parlé il y a quelques mois déjà:
  
  https://linuxfr.org/users/psychofox/liens/linux-and-secure-boot-certificate-expiration
  
  Répondre
  - [^] # Re: Desactiver la securite
    
    Posté par BAud (site web personnel) le 09 novembre 2025 à 12:47. Évalué à 2 (+0/-0).
    
    Ah tiens, j'avais oublié ça…
    
    Il n'y a pas une interface de mise à jour de ces certificats ? (et où en trouver de nouveaux ?). Dommage de ne pas gérer le cycle de vie.
    
    Pour le coup, ça sent l'obsolescence programmée (hormis se passer de la fonctionnalité), c'est un peu ballot de ne gérer que la mort du truc (on dirait les premiers tamagotchi :/)
    
    Répondre

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.