Linux

Secure Boot et Linux : faut-il l’activer ou le désactiver ?

Par Philippe Banquet , le 30 juin 2026 à 09:00 - 6 minutes de lecture
Secure Boot et Linux : faut-il l’activer ou le désactiver ? — tutoriel Linux Celtic Informatique

Secure Boot est une fonctionnalité de sécurité intégrée dans les ordinateurs récents (UEFI). Son but : vérifier que le système d’exploitation et les pilotes chargés au démarrage sont signés numériquement, empêchant ainsi l’exécution de code non autorisé. Pour Windows, c’est transparent. Pour Linux, la question se pose : faut-il l’activer ou le désactiver ? Ce guide vous aide à choisir, en particulier si vous utilisez Ubuntu ou Linux Mint, en dual boot avec Windows, ou si vous installez des pilotes propriétaires (NVIDIA, AMD).

Comment fonctionne Secure Boot avec Linux ?

Linux était historiquement mal accepté par Secure Boot, mais la situation a changé. Les distributions majeures comme Ubuntu, Fedora ou openSUSE intègrent un shim : un petit programme signé par Microsoft qui permet de démarrer le chargeur de démarrage (GRUB) et le noyau, à condition qu’ils soient également signés. Ubuntu en particulier supporte Secure Boot « clé en main » depuis la version 20.04. Linux Mint, basé sur Ubuntu, en bénéficie aussi.

Cependant, vous pouvez rencontrer des situations où Secure Boot bloque l’installation ou le démarrage :

  • Utilisation de pilotes propriétaires non signés (NVIDIA, certains modules noyau).
  • Dual boot avec Windows 11 qui exige Secure Boot activé.
  • Installation depuis un Live USB non signé (rare).
  • Modification du noyau ou ajout de modules personnalisés.

Faut-il le désactiver pour installer Linux ?

Pour un débutant, la réponse simple est : essayez d’abord de l’activer. Ubuntu et Mint s’installent sans problème avec Secure Boot activé dans la plupart des cas. Si vous rencontrez un écran noir ou un message d’erreur au démarrage, vous pouvez alors le désactiver.

Avant de toucher au BIOS, prenez ces précautions :

  • Sauvegardez vos données importantes.
  • Notez les paramètres actuels du BIOS (faites des photos).
  • Si vous êtes en dual boot avec Windows, assurez-vous que le démarrage rapide Windows est désactivé (Panneau de configuration > Options d’alimentation > Choisir l’action du bouton d’alimentation > Modifier des paramètres actuellement non disponibles > décochez « Activer le démarrage rapide »).

Pour désactiver Secure Boot, redémarrez votre PC et appuyez sur la touche indiquée (F2, F10, Suppr, etc.) pour entrer dans le BIOS/UEFI. Cherchez l’option Secure Boot (souvent dans l’onglet Boot ou Security) et désactivez-la. Sauvegardez et quittez. Vous pouvez vérifier l’état actuel depuis Linux avec cette commande :

mokutil --sb-state

Le résultat indique si Secure Boot est activé ou désactivé.

Quid des pilotes propriétaires (NVIDIA, AMD) ?

Les pilotes NVIDIA officiels ne sont pas signés pour Secure Boot. Sous Ubuntu, si vous les installez via le pilote propriétaire recommandé, le système va vous demander de créer un mot de passe (MOK – Machine Owner Key) pour signer le module. Au prochain démarrage, une interface bleue (MOK Manager) vous permettra d’enregistrer la signature. C’est faisable, mais un peu technique. Si vous ne voulez pas de cette manipulation, désactivez Secure Boot avant d’installer les pilotes.

Pour les pilotes AMD (propriétaires ou open source), le support est meilleur : les modules open source sont souvent signés. Cependant, si vous installez le pilote AMDGPU-PRO (non libre), vous devrez peut-être aussi gérer les signatures.

Dual boot : que faire ?

Windows 11 exige Secure Boot activé. Si vous voulez conserver les deux systèmes, vous avez deux options :

  • Laisser Secure Boot activé et utiliser Ubuntu/Mint en version signée. C’est la solution recommandée si vous n’avez pas besoin de pilotes non signés.
  • Désactiver Secure Boot : Windows 11 peut toujours démarrer (mais certains jeux ou applications peuvent refuser). Soyez averti que c’est contraire aux recommandations de Microsoft.

Si vous désactivez Secure Boot, n’oubliez pas de désactiver le démarrage rapide de Windows et de vérifier que le disque est en mode AHCI (pas RAID/RST). Une sauvegarde complète du disque est conseillée avant de modifier les paramètres UEFI.

Comment signer un module noyau si vous gardez Secure Boot ?

Si vous voulez utiliser un pilote non signé (ex : VirtualBox, certains modules WiFi) tout en gardant Secure Boot, vous devez le signer avec votre propre clé MOK. Voici les grandes lignes :

  1. Installez le module comme d’habitude.
  2. Utilisez mokutil pour importer la clé : sudo mokutil --import /var/lib/shim-signed/mok/MOK.der (le chemin peut varier).
  3. Redémarrez : l’interface MOK Manager apparaît, suivez les instructions pour enregistrer la clé.

C’est un peu lourd, donc pour un premier pas, désactiver Secure Boot reste plus simple.

FAQ

Dois-je désactiver Secure Boot pour installer Linux ?

Non, pas obligatoirement. Ubuntu et Linux Mint s’installent et fonctionnent avec Secure Boot activé. Si vous rencontrez des problèmes, vous pouvez le désactiver par la suite.

Puis-je dual boot Windows 11 et Linux avec Secure Boot activé ?

Oui, c’est possible et même recommandé. Utilisez la version signée de votre distribution Linux. Attention : certains pilotes propriétaires peuvent nécessiter une signature manuelle ou la désactivation de Secure Boot.

Recommandations pour les débutants

Pour finir, voici un résumé pratique :

  • Si vous installez Ubuntu ou Mint sur un PC seul : laissez Secure Boot activé. Si tout fonctionne, parfait.
  • Si vous avez besoin de pilotes NVIDIA et que vous ne voulez pas signer : désactivez Secure Boot avant l’installation des pilotes.
  • En dual boot avec Windows 11 : préférez Secure Boot activé, et gérez les pilotes éventuels via MOK. Si ça devient trop complexe, désactivez-le (certes moins sécurisé, mais plus simple).
  • Avant toute modification, sauvegardez vos données et ayez un Live USB de secours.

Secure Boot n’est plus un obstacle pour Linux. Avec les distributions modernes, vous pouvez l’activer sereinement. N’hésitez pas à l’essayer d’abord, et à le désactiver seulement en cas de besoin avéré.

Partagez cet article si vous l’avez trouvé utile, et n’oubliez pas : sous Linux, la communauté est là pour vous aider.

Portrait de Philippe Banquet

Ingénieur informaticien indépendant depuis plus de vingt ans, Philippe Banquet est spécialisé dans l’administration Linux/Unix, le scripting et le développement en C, Perl et shell. Auteur technique et formateur, il privilégie une approche terrain, claire et pédagogique pour expliquer les systèmes, les réseaux et les environnements professionnels.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.