Message Erreur Secure Boot

Zargos · Mai 2, 2026, 11:03am

NOn en mode BIOS only ca ne marche pas. Les formats de fichier BIOS sont particulier.
Un fichier Exe ça implique d’utiliser windows pour le lancer.

romain254 · Mai 2, 2026, 1:15pm

Bonjour,
c’est le bazar sur le site hp.
À force de fouiller, on perd le fil.
En fait, cette clé 4-1 est dédié à un type particulier de machines, celles disposant du « HP SURE START », ce qui n’est pas mon cas
(https://support.hp.com/fr-fr/document/ish_4120767-4027287-16)

romain254 · Mai 2, 2026, 1:22pm

C’est bien ce que je pense avoir compris.
HP et microsoft sont intimement liés, rien à faire.
Si je veux une machine à jour il faut que j’installe w11.
J’en ai discuté hier avec l’IA de HP, elle est très gentille, très polie etc etc … mais c’est sans espoir, il faut manger du microsoft, matin, midi et soir.

Zargos · Mai 2, 2026, 4:23pm

HP est en liste noire depuis presque 20 ans chez moi (à 1 an près). Depuis l’affaire des problèmes thermiques liés au puce graphique GM4 et 5; période pendant laquelle HP a escroqué des millions d’acheteur de matériel HP.

droopy191 · Mai 2, 2026, 4:28pm

Je vous assure que ca marche, au moins pour certaines machines HP. L’exe n’est qu’une archive auto-decompressible. L’efi se charge de récupérer le .bin intégré.

Si romain254, nous donnait le lien vers le site HP, on pourrait vérifier.

romain254 · Mai 4, 2026, 1:43am

Bonjour,
tu veux parler de ce lien que j’ai publié précédement (https://support.hp.com/fr-fr/document/ish_4120767-4027287-16) ?
Je n’ai pas trouvé grand chose d’autre.
Merci.

romain254 · Mai 4, 2026, 1:53am

À supposer que les données soient disponibles individuellement (ça à l’air d’être le cas chez microsoft, à vérifier) et si c’est possible également chez hp, alors il y a peut être la possibilité de révoquer les certificats obsolètes « à la main » et ensuite installer les nouveaux certificats.
J’ai lu la description des utilitaires suivants, uefitool, efitools, efivar, sbsigntool, mokutil.
Je n’ai pas le niveau pour l’affirmer mais ça semble possible.
Même si la manip n’est faisable qu’avec les certificats microsoft (car c’est ceux-là qui posent problème dans le message d’erreur) ça pourrait suffire pour avoir la paix un bon moment, non ?

droopy191 · Mai 4, 2026, 6:56am

Ma suggestion était de regarder si une mise à jour du bios était disponible pour votre matériel sur le site HP. Dans les notes de versions, vous verrez peut etre l’indication d’un bios mettant à jour les clés.
Le plus simple/adapté, est de chercher avec le numéro de série de l’appareil.

Zargos · Mai 4, 2026, 8:14am

tu ne peux pas révoquer un certificat si tu n’as pas la possession des clefs privés; donc tu oublie cette idée. La seule chose que tu peux faire c’est de supprimer les certificats/clefs microsoft de la base Secure Boot (KEK et DB).

Ce n’est pas un message d’erreur mais un message d’avertissement.

romain254 · Mai 4, 2026, 12:20pm

Oui,
il y a plusieurs mise à jour du bios disponibles.
Je vais lire les notes de versions et je reviens vers toi.
Merci.

romain254 · Mai 4, 2026, 12:25pm

Bonjour,
si je peux supprimer les certificats et les clefs microsoft (et les remplacer par les nouveaux possiblement disponibles), alors ce serait peut être un bon début de solution, non ?
Oui, c’est bien un message d’avertissement, excuses.
Merci.

Zargos · Mai 4, 2026, 1:10pm

Tu ne peux pas le faire toit même, il faut disposer de clefs privées. Tu ne les as pas, donc non.

Pour avoir les mises à) jour du secure boot, il te faudra probablement installer le Windows 11 livré avec, care je pense que cela mettre le secure boot à jour.
Sinon c’est la mise à jour du BIOS.

Ne cherche pas à supprimer les certificats microsoft tu n’as pas les compétences pour pouvoir gérer leur absence.

fran.b · Mai 4, 2026, 1:54pm

Apparemment ma méthode du EXE est faisable, tu extrais les fichiers via 7z x ou bien cabextract, tu les copies sur la racines d’une clef FAT32 puis tu vas dans le BIOS de la machine et cherche une entrée BIOS update.
Après il y a moyen d’injecter directement les bases de données, mais Zargos a raison,là on arrive à la possibilité de dézinguer la machine.

romain254 · Mai 21, 2026, 12:36am

Bonjour,
je tenais à remercier tout le monde pour leur réponses et soutien.
Il n’y a pas de solutions « libres », HP ne fournira pas les éléments.
J’ai fini par modifier le bios (même à ce niveau c’est tordu pour passer en bios csm) et supprimer le secure boot.
Plus de message d’avertissement au démarrage de la distribution !
Merci.

MPython_Alaplancha · Mai 23, 2026, 12:43pm

Idem.
Je viens justement ressortir un HP Pavilion dv7 Entertainment de mes déchets électronique.
Un grille pain dont la garantie a joué à l’époque la montre.
Le problème de conception de la carte mère était déjà connue, mais ils ont continué à le vendre. Jamais plus HP !!

droopy191 · Juin 6, 2026, 8:23pm

Salut,

https://blog.einval.com/2026/06/05#secure_boot_ca_rollover_docs

https://wiki.debian.org/SecureBoot/CAChanges

Les explications et options du developpeur debian le plus compétent sur le secure boot.

Zargos · Juin 7, 2026, 9:54am

Le deuxième lien date d’il y a presque un an, donc n’oubliez d’adapter le contenu à la date d’aujourd’hui.

romain254 · Juin 7, 2026, 12:05pm

Bonjour,

effectivement, même vu de mon très petit niveau, ce gars semble toucher sa canette.
De plus, d’après le deuxième lien, il existe une possibilité de mettre à jour les certificats à la main avec efivar (Manual CA updates).
J’avais trouvé cet utilitaire auparavant et j’en avais parlé, sans avoir de confirmation.
Il est bien précisé de ne pas faire de bétises sous peine de gros ennuis mais une solution existe, sans M$ et sans fwupd (quand la base constructeur n’est pas alimenté).
Si les choses deviennent trop pressantes et que ma solution actuelle ne suffit plus, je tenterai le coup.
Merci pour ta réponse.

Zargos · Juin 7, 2026, 3:19pm

n’oubliez pas qu’avec efivar on peut aussi sauvegarder les bases, ce qui permet de les rétablir en cas de casse.