⚙️ Le BIOS / UEFI

Bloc 1 Module 1.2 BTS SIO SISR

Formation	BTS SIO option SISR — IRIS Mediaschool
Bloc	B1 — Infrastructure & Réseaux
Module	M1.2 — Architecture Matérielle
Prérequis	C1.2.3 — La Carte Mère

🎯 Objectifs

Comprendre le rôle du BIOS et de l'UEFI dans le démarrage d'un ordinateur
Connaître la séquence de démarrage (POST → bootloader → OS)
Différencier BIOS Legacy et UEFI
Comprendre les schémas de partitionnement MBR et GPT
Maîtriser le concept de Secure Boot et ses implications
Savoir configurer et mettre à jour un firmware

📖 Qu'est-ce que le BIOS ?

Définition

Le BIOS (Basic Input/Output System) est un firmware — un logiciel intégré directement dans une puce de la carte mère. C'est le tout premier programme qui s'exécute lorsque vous allumez votre ordinateur, avant même le système d'exploitation.

Historique

Le BIOS a été introduit en 1981 avec le premier IBM PC. Pendant plus de 30 ans, il est resté le standard pour l'initialisation matérielle des ordinateurs compatibles PC. Il était stocké sur une puce ROM (Read-Only Memory), puis sur des puces EEPROM et Flash permettant les mises à jour.

Rôle du BIOS

Initialiser le matériel : tester et configurer le processeur, la RAM, les contrôleurs de stockage, le clavier, etc.
Exécuter le POST (Power-On Self-Test) : vérifier que tous les composants fonctionnent correctement
Charger le bootloader : trouver le périphérique de démarrage et lancer le chargeur d'amorçage du système d'exploitation
Fournir des services d'E/S de base : gestion minimale du clavier, de l'écran et des disques avant le chargement de l'OS

📖 La séquence de démarrage (Boot)

Vue d'ensemble

Lorsque vous appuyez sur le bouton Power, voici ce qui se passe :

Étape	Description	Durée typique
1. Mise sous tension	L'alimentation fournit le courant à la carte mère. Le signal `Power Good` est envoyé au CPU.	< 1 s
2. Reset CPU	Le processeur est réinitialisé et commence à exécuter le code à l'adresse mémoire `0xFFFFFFF0` (vecteur de reset), qui pointe vers le BIOS.	< 1 s
3. POST	Le BIOS teste la RAM, le CPU, le GPU, les contrôleurs. En cas d'erreur, des bips sonores signalent le problème.	1-5 s
4. Détection matériel	Le BIOS énumère les périphériques (disques, USB, réseau PXE) et affiche les informations à l'écran.	1-3 s
5. Chargement bootloader	Le BIOS lit le secteur d'amorçage (MBR ou ESP) du premier périphérique de boot et charge le bootloader en mémoire.	< 1 s
6. Lancement OS	Le bootloader (GRUB, Windows Boot Manager) charge le noyau du système d'exploitation.	5-30 s

📖 Le POST en détail

Tests effectués

Le POST (Power-On Self-Test) effectue une série de vérifications matérielles :

Test du CPU : vérification des registres et des instructions de base
Test de la RAM : comptage et vérification de la mémoire disponible
Test du GPU : initialisation de la carte graphique pour l'affichage
Test des contrôleurs : vérification du contrôleur clavier, des ports série/parallèle
Test des périphériques de stockage : détection des disques SATA, NVMe, USB
Vérification de la somme de contrôle CMOS : s'assurer que les paramètres du BIOS sont intacts

Codes bip (Beep Codes)

En cas d'erreur, le BIOS émet des séquences de bips sonores via le haut-parleur interne (PC Speaker). Ces codes varient selon le fabricant du BIOS :

Bips	Signification (AMI BIOS)	Signification (Award BIOS)
1 bip court	POST réussi, tout OK	POST réussi
1 long + 2 courts	Erreur carte graphique	Erreur carte graphique
3 bips courts	Erreur RAM (premiers 64 Ko)	—
5 bips courts	Erreur processeur	—
Bips continus	Erreur alimentation ou RAM	Erreur RAM
1 long + 3 courts	—	Erreur mémoire étendue

Les cartes mères modernes utilisent souvent un afficheur LED à 2 chiffres (Debug LED / Q-Code) ou des LED de diagnostic (CPU, DRAM, VGA, BOOT) à la place des bips.

📖 Configuration du BIOS

Accès au BIOS

Pour entrer dans le BIOS/UEFI, il faut appuyer sur une touche spécifique au tout début du démarrage :

Constructeur	Touche d'accès
ASUS, MSI, Gigabyte	`Suppr` ou `Del`
Dell	`F2`
HP	`F10` ou `Échap`
Lenovo	`F1` ou `F2`
Acer	`F2`
Boot Menu (universel)	`F12` ou `F8`

Paramètres essentiels

Ordre de boot : définir la priorité des périphériques de démarrage (SSD, USB, réseau PXE)
Date et heure : horloge système RTC (Real-Time Clock), maintenue par la pile CMOS
Mode SATA : AHCI (recommandé pour SSD) vs IDE (compatibilité anciens OS) vs RAID
Activation/Désactivation composants : ports USB, audio intégré, carte réseau, Bluetooth
Virtualisation : activer Intel VT-x ou AMD-V (nécessaire pour les hyperviseurs)
Mots de passe BIOS : mot de passe superviseur (accès BIOS) et mot de passe utilisateur (boot)
TPM : activer le module de plateforme sécurisée (requis pour Windows 11, BitLocker)

📖 UEFI : l'évolution du BIOS

Historique

Le standard EFI (Extensible Firmware Interface) a été développé par Intel à la fin des années 1990, initialement pour les serveurs Itanium. En 2005, l'UEFI Forum a pris en charge le développement, créant le standard UEFI (Unified EFI). Depuis 2012, la quasi-totalité des PC utilisent l'UEFI.

Avantages de l'UEFI

Interface graphique : navigation à la souris, menus visuels, pas seulement du texte bleu
Support réseau natif : possibilité de mise à jour du firmware via Internet
Drivers EFI : les drivers peuvent être chargés indépendamment de l'OS
Démarrage plus rapide : optimisation de l'initialisation parallèle des composants
Support GPT : disques de plus de 2 To, jusqu'à 128 partitions
Secure Boot : vérification cryptographique du bootloader
Shell UEFI : environnement de commandes intégré pour le diagnostic

Comparaison BIOS Legacy vs UEFI

Critère	BIOS Legacy	UEFI
Année d'introduction	1981	2005 (généralisé ~2012)
Interface	Texte, clavier uniquement	Graphique, souris + clavier
Mode processeur	16 bits (Real Mode)	32/64 bits (Protected Mode)
Schéma de partition	MBR	GPT (+ MBR en compatibilité)
Taille max disque boot	2 To	18 Eo (exaoctets)
Nombre max partitions	4 primaires	128
Secure Boot	Non	Oui
Réseau	Non natif	Oui (stack TCP/IP intégrée)
Temps de boot	Plus lent	Plus rapide
Stockage firmware	ROM / Flash (< 16 Mo)	Flash SPI (jusqu'à 32 Mo+)

📖 MBR vs GPT

MBR (Master Boot Record)

Le MBR est le schéma de partitionnement historique, introduit en 1983 avec MS-DOS. Le MBR occupe les 512 premiers octets du disque et contient :

Le code bootstrap (446 octets) : le code de démarrage minimal
La table de partitions (64 octets) : 4 entrées de 16 octets → maximum 4 partitions primaires
La signature de boot (2 octets) : 0x55AA

Limitation principale : taille maximale de 2 To par partition (adressage LBA 32 bits).

GPT (GUID Partition Table)

Le GPT fait partie du standard UEFI et remplace le MBR. Caractéristiques :

Jusqu'à 128 partitions (sans partition étendue)
Taille maximale théorique : 9,4 Zo (zettaoctets) — adressage LBA 64 bits
Chaque partition a un GUID (Globally Unique Identifier) unique
Redondance : table de partitions sauvegardée à la fin du disque
CRC32 : somme de contrôle pour détecter la corruption
Inclut un MBR protectif pour compatibilité avec les anciens outils

Partition ESP (EFI System Partition)

En mode UEFI+GPT, le disque contient une partition spéciale appelée ESP (EFI System Partition) :

Formatée en FAT32
Taille typique : 100-550 Mo
Contient les fichiers .efi des bootloaders : \EFI\Microsoft\Boot\bootmgfw.efi (Windows), \EFI\ubuntu\grubx64.efi (Ubuntu)
Point de montage Linux : /boot/efi

Critère	MBR	GPT
Partitions max	4 primaires (ou 3 + étendue)	128
Taille max partition	2 To	18 Eo
Firmware requis	BIOS ou UEFI+CSM	UEFI
Redondance table	Non	Oui (début + fin du disque)
Contrôle intégrité	Non	CRC32
Identification	Type byte	GUID unique

📖 Secure Boot

Principe

Le Secure Boot est une fonctionnalité de l'UEFI qui empêche le chargement de logiciels non signés au démarrage. Il établit une chaîne de confiance : le firmware ne charge que des bootloaders et drivers dont la signature est vérifiée.

Clés cryptographiques

Clé	Nom complet	Rôle
`PK`	Platform Key	Clé racine du propriétaire de la plateforme (constructeur OEM). Une seule PK autorisée.
`KEK`	Key Exchange Key	Clés autorisées à modifier les bases de données db/dbx. Typiquement : clé Microsoft + clé constructeur.
`db`	Allowed Signatures Database	Liste des signatures et certificats autorisés (bootloaders de confiance).
`dbx`	Forbidden Signatures Database	Liste noire des signatures révoquées (logiciels compromis).

Secure Boot et Linux

Par défaut, Secure Boot ne contient que les clés Microsoft. Pour démarrer Linux :

Les distributions majeures (Ubuntu, Fedora, SUSE) utilisent un shim : un petit bootloader signé par Microsoft qui charge ensuite GRUB
MOK (Machine Owner Key) : mécanisme permettant d'ajouter ses propres clés de confiance via mokutil
Alternative : désactiver Secure Boot dans le BIOS/UEFI (déconseillé en production)

Vérifier l'état de Secure Boot sous Linux

# Vérifier si Secure Boot est actif
mokutil --sb-state

# Lister les clés inscrites
mokutil --list-enrolled

📖 CSM (Compatibility Support Module)

Principe

Le CSM est un module de compatibilité intégré à l'UEFI qui émule un BIOS Legacy. Il permet de démarrer des systèmes d'exploitation qui ne supportent pas l'UEFI (ex : Windows XP, certaines distributions Linux anciennes).

Modes de fonctionnement

Mode	Firmware	Partition	Secure Boot	Usage
UEFI natif	UEFI	GPT + ESP	Disponible	Recommandé (Win 10/11, Linux moderne)
CSM / Legacy	BIOS émulé	MBR	Non	Anciens OS, compatibilité
UEFI + CSM	Les deux	MBR ou GPT	Variable	Transition, dual-boot legacy

⚠️ Attention : Windows 11 exige l'UEFI natif avec Secure Boot et TPM 2.0. Le mode CSM doit être désactivé.

📖 Mise à jour du firmware

Pourquoi mettre à jour ?

Correction de failles de sécurité (ex : vulnérabilités Spectre/Meltdown au niveau firmware)
Support de nouveaux CPU : une nouvelle génération de processeur nécessite souvent un BIOS à jour
Amélioration de la stabilité et compatibilité mémoire
Ajout de fonctionnalités (nouveau support RAID, amélioration fan control)

Méthodes de mise à jour

Méthode	Description	Risque
Via l'UEFI (EZ Flash / M-Flash / Q-Flash)	Charger le fichier BIOS depuis une clé USB directement dans l'UEFI	Faible
Utilitaire Windows	Logiciel constructeur qui flashe depuis l'OS (MSI Live Update, ASUS AI Suite)	Moyen
BIOS Flashback	Flashage via un port USB spécial, sans CPU ni RAM installés. Bouton dédié sur le panneau I/O.	Très faible
Mise à jour réseau	Certaines cartes serveur (IPMI/BMC) permettent la mise à jour à distance	Faible

Risques

Une coupure de courant ou une erreur pendant le flashage peut bricker la carte mère (la rendre inutilisable). Précautions :

Ne jamais éteindre l'ordinateur pendant le flashage
Utiliser un onduleur (UPS) si possible
Préférer la méthode via l'UEFI ou BIOS Flashback
Télécharger le firmware uniquement depuis le site officiel du constructeur

📖 Reset CMOS

La pile CMOS

La pile CR2032 (pile bouton 3V) alimente la mémoire CMOS qui stocke les paramètres du BIOS (date/heure, configuration matérielle, mots de passe). Quand cette pile est vide, les paramètres sont réinitialisés à chaque extinction.

Quand réinitialiser le CMOS ?

Mot de passe BIOS oublié
Overclocking instable empêchant le démarrage
Paramètres incorrects (mauvais mode SATA, mauvais ordre de boot)
Carte mère ne démarrant plus après un changement matériel

Méthodes de reset

Retirer la pile CMOS : éteindre, débrancher, retirer la pile 30 secondes, remettre
Jumper Clear CMOS : déplacer le jumper CLRTC/JBAT1 de la position 1-2 à 2-3 pendant 10 secondes
Bouton Clear CMOS : certaines cartes mères ont un bouton dédié sur le panneau I/O

📖 Commandes de diagnostic

Sous Linux

# Informations BIOS/UEFI
sudo dmidecode -t bios

# Vérifier le mode de démarrage (UEFI ou BIOS)
[ -d /sys/firmware/efi ] && echo "UEFI" || echo "BIOS Legacy"

# Lister les entrées de boot UEFI
efibootmgr -v

# Voir les partitions (identifier ESP)
lsblk -f

# Vérifier Secure Boot
mokutil --sb-state

Sous Windows

REM Vérifier le mode de démarrage
msinfo32
REM Chercher "Mode BIOS" → UEFI ou Hérité

REM Informations firmware en PowerShell
Get-ComputerInfo | Select-Object BiosBIOSVersion, BiosManufacturer, BiosSMBIOSBIOSVersion

REM Vérifier Secure Boot
Confirm-SecureBootUEFI

📝 QCM — Testez vos connaissances

Que signifie BIOS ?
Que vérifie le POST au démarrage ?
Quelle est la principale amélioration de l'UEFI par rapport au BIOS ?
Quelle est la limite de taille de partition avec MBR ?
Combien de partitions primaires maximum avec MBR ?
Que fait le Secure Boot ?
Comment réinitialiser les paramètres du BIOS ?
Quelle commande Linux vérifie le mode de démarrage (UEFI ou BIOS) ?

📝 Afficher les corrections

Basic Input/Output System — Le BIOS est le firmware qui initialise le matériel au démarrage de l'ordinateur.
Le bon fonctionnement du matériel (CPU, RAM, GPU) — Le POST (Power-On Self-Test) teste les composants critiques avant de charger le système d'exploitation.
Support des disques GPT, Secure Boot et interface graphique — L'UEFI apporte le support GPT (>2 To), le Secure Boot et une interface moderne avec souris.
2 To — Le MBR utilise un adressage LBA 32 bits, limitant les partitions à 2 To maximum.
4 — La table de partitions MBR ne supporte que 4 entrées de 16 octets (4 partitions primaires).
Vérifie la signature cryptographique du bootloader — Le Secure Boot empêche le chargement de logiciels non signés au démarrage, établissant une chaîne de confiance.
Retirer la pile CMOS ou utiliser le jumper Clear CMOS — Le reset CMOS efface tous les paramètres BIOS et restaure les valeurs par défaut.
ls /sys/firmware/efi — Si le dossier /sys/firmware/efi existe, le système a démarré en mode UEFI.

💡 À retenir

Le BIOS/UEFI est le firmware qui initialise le matériel et lance le système d'exploitation. L'UEFI, successeur moderne du BIOS, apporte le support des disques GPT (> 2 To), le Secure Boot (chaîne de confiance cryptographique) et une interface graphique. En environnement professionnel, maîtriser la configuration UEFI (ordre de boot, virtualisation, Secure Boot, TPM) est essentiel pour le déploiement et la sécurisation des postes.

← Cours précédent Cours suivant →