Parmi les menaces les plus avancées et les plus difficiles à détecter, le bootkit occupe une place à part. Ce type de malware s’attaque à une phase critique du système : le démarrage de l’ordinateur, avant même que Windows ne soit chargé. En infectant le MBR (Master Boot Record) ou le firmware UEFI, un bootkit peut prendre le contrôle du PC dès l’allumage, cacher d’autres malwares et désactiver les protections de sécurité, tout en restant pratiquement invisible pour les antivirus classiques.

Dans cet article, nous allons vous expliquer :

• ce qu’est un bootkit et comment il fonctionne,
• pourquoi il est si difficile à détecter et à supprimer,
• quels sont les exemples les plus connus (TDL4, BlackLotus, Petya…),
• et comment vous protéger efficacement, notamment grâce au Secure Boot et à l’UEFI.

J’ai donc synthétisé pour vous tout ce qu’il faut savoir dans ce guide complet qui vous donnera une vue complète sur cette menace extrêmement furtive, mais bien réelle.

Qu’est-ce qu’un bootkit ?

Un bootkit (contraction de bootloader et rootkit) est un type de malware qui s’infiltre dans la phase de démarrage du système, bien avant que Windows ou tout autre OS ne soit complètement chargé. Il cible généralement :

• le secteur de démarrage (MBR) sur les anciens systèmes,
• ou le bootloader UEFI (EFI/ESP) sur les machines modernes.

Une fois installé, le bootkit peut dissimuler d’autres malwares, prendre le contrôle total du système, et intercepter des fonctions système critiques, tout en restant pratiquement invisible.

Comment fonctionne un bootkit et pourquoi sont-ils si difficiles à détecter ?

Un bootkit agit dès le démarrage de l’ordinateur, avant même que l’antivirus ou le noyau de Windows ne soient actifs. Il s’insère dans la chaîne de démarrage et charge un code malveillant en mémoire, qui peut ensuite :

• injecter des composants malveillants dans le noyau (kernel),
• contourner les contrôles d’intégrité,
• cacher des fichiers, processus ou connexions réseau.

Ce fonctionnement bas-niveau permet au bootkit de prendre la main avant que les protections du système ne soient en mesure de le détecter. Il est donc très difficile à repérer et encore plus compliqué à supprimer sans un accès direct au firmware ou un environnement de secours.

Ainsi, les bootkits ne s’exécutent pas dans le cadre normal du système d’exploitation. Cela signifie que :

• les outils antivirus classiques ne peuvent pas les analyser, puisqu’ils sont actifs avant leur propre lancement,
• certains bootkits utilisent des signatures numériques valides, leur permettant de contourner Secure Boot,
• ils peuvent survivre à un formatage ou à une réinstallation de l’OS, si le secteur de démarrage ou le firmware n’est pas réinitialisé.

Que peut faire un bootkit ?

Les capacités d’un bootkit varient selon les cas, mais elles incluent généralement :

• l’espionnage (keylogger, interception de trafic, vol d’identifiants),
• le contrôle total du système, y compris l’élévation de privilèges,
• la persistance extrême, même après un formatage classique,
• l’installation silencieuse d’autres malwares (trojans, ransomwares…),
• la manipulation de fonctions système, rendant la machine instable ou totalement compromise.

Certains de ces bootkits visaient le vol d’informations (TDL4, Rovnix), d’autres étaient conçus pour un impact destructif (Petya, NotPetya), tandis que les plus récents (BlackLotus, CosmicStrand) visent à cacher leur présence tout en servant de base à d’autres malwares (ransomware, spyware, etc.).

Exemples de bootkits connus

En MBR

Le MBR (Master Boot Record) était historiquement plus vulnérable aux attaques de bootkits pour plusieurs raisons techniques et structurelles :

• Absence de vérification d’intégrité : Le BIOS (ancien firmware des PC) chargeait le MBR sans vérifier sa légitimité. Il n’existait ni signature cryptographique, ni système de validation par le constructeur
• Facilité d’écriture pour un malware : Un malware pouvait utiliser des commandes système simples (\\.\PhysicalDrive0) pour écrire directement dans le MBR, sans besoin de privilèges élevés, ni alerte sécurité
• Pas de Secure Boot à l’époque du MBR

De ce fait, de nombreux boookits ont vu le jour à partir de 2010.

TDL4 (Alureon) est un des bootkits les plus répandus dans les années 2010. Il infectait le MBR pour charger un rootkit au démarrage, permettant de cacher des fichiers, détourner le trafic réseau et désactiver les protections système. TDL4 représentait une menace durable sur Windows XP et Windows 7.

Rovnix est une autre menace de ce type modulaire découvert vers 2012. Il injectait du code dans le MBR et utilisait des techniques de persistance avancées. Il ciblait principalement les données bancaires, en interceptant les sessions de navigation.

Un cas très particulier : Petya est avant tout un ransomware, mais sa particularité est qu’il modifiait le MBR pour bloquer l’accès au système dès le démarrage. Plutôt que de chiffrer les fichiers individuellement, il remplaçait le bootloader Windows par un faux écran de vérification de disque, puis chiffrer la table MFT (Master File Table) du disque.
Même si ce n’est pas un bootkit classique (car il ne se cache pas et ne cherche pas à persister), Petya utilise les techniques des bootkits pour prendre le contrôle avant Windows, et en cela, il représente un cas hybride.

En UEFI

L’UEFI ajoute des mécanismes de sécurité qui visent à rendre l’installation de bootkit plus difficile.
Toutefois, des bootkits UEFI existent.

LoJax a été découvert en 2018 par les chercheurs d’ESET. Il s’agit du premier malware UEFI observé à l’état sauvage, utilisé dans une campagne ciblée d’espionnage attribuée au groupe de cyberespionnage APT28 (Fancy Bear), lié à la Russie.
LoJax ne s’attaquait pas au système Windows directement, mais au firmware UEFI, en modifiant le contenu de la partition système EFI (ESP).

Le bootkit CosmicStrand, découvert dans le firmware de cartes mères modifiées, ce bootkit UEFI injecte un malware en mémoire lors du boot. Il prouve que les pirates peuvent compromettre un PC dès le firmware, même si le disque est remplacé ou Windows réinstallé.

Puis BlackLotus , l’un des bootkits UEFI les plus redoutés. Il exploite une faille (CVE-2022-21894) pour désactiver Secure Boot, bypasser BitLocker, et installer une charge persistante dès le démarrage. Il fonctionne même sur des machines modernes entièrement à jour. Il s’agit d’un malware vendu à l’origine sur les forums underground, signalant un tournant dans la sophistication des bootkits UEFI.

Comment s’en protéger ?

La meilleure défense contre les bootkits repose sur une combinaison de bonnes pratiques, de paramétrage firmware et de technologies modernes.

Activer Secure Boot

Les bootkits tirent leur force du fait qu’ils s’exécutent avant le système d’exploitation, en s’insérant dans le processus de démarrage (MBR ou UEFI). Pour contrer cette menace, Microsoft a introduit, à partir de Windows 8, deux mécanismes complémentaires : Secure Boot et ELAM (Early Launch Anti-Malware). Ensemble, ils forment une chaîne de confiance conçue pour empêcher tout code non autorisé de s’exécuter au démarrage.

Secure Boot est une fonctionnalité de l’UEFI qui vérifie, au moment du démarrage, que chaque composant chargé (bootloader, noyau, drivers critiques) est signé numériquement par un éditeur approuvé (Microsoft ou OEM).
Si un fichier EFI a été modifié ou s’il ne possède pas de signature valide, le firmware bloque son exécution (Security Violated).
Cela vise notamment à corriger le problème d’absence de vérification d’intégrité présent dans MBR.

ELAM (Early Launch Anti-Malware) est un pilote antivirus spécial lancé avant les pilotes tiers lors du démarrage de Windows.
Son rôle est de scanner les pilotes qui se chargent très tôt (y compris ceux injectés par un bootkit) et de bloquer ceux qui sont malveillants ou suspects.
Même si un bootkit contourne Secure Boot ou s’insère plus loin dans la chaîne de démarrage, ELAM peut intercepter son action au moment où il tente d’injecter un composant malveillant dans le noyau de Windows.

C’est une défense essentielle pour empêcher le chargement de code non autorisé au démarrage.
Cela fait partie de la stratégie de Microsoft pour rendre son OS plus sûr.
Plus de détails : Windows 11 et 10 : évolutions des protections de sécurité intégrées contre les virus et malwares
Enfin, à lire : Qu’est-ce que le Secure boot la protection des PC UEFI et comment ça marche ?

Maintenir le firmware à jour

Les fabricants de cartes mères publient régulièrement des mises à jour UEFI/BIOS pour corriger des failles exploitables par des bootkits.

Il est donc recommandé de :

• Maintenir à jour le BIOS est donc essentiel
• Installez les mises à jour de sécurité de Windows. Microsoft peut publier des mises à jour du firmware EFI via Windows Update
• Installez les mises à jour proposées dans les outils des fabricants de PC OEM

Utiliser un antivirus avec protection UEFI

Certains antivirus avancés (comme ESET, Kaspersky, Bitdefender ou Windows Defender sur machines compatibles) scannent le firmware UEFI pour détecter d’éventuelles modifications.

Éviter les ISO ou installeurs non vérifiés

Les bootkits peuvent être installés via des supports compromis : clés USB modifiées, ISO piégés, ou systèmes pré-infectés.
Le risque notamment est lorsque l’on installe une version modifiée de Windows.
Vous n’êtes pas certains que l’auteur y a inséré un malware et notamment un bootkit.

Toujours utiliser des sources officielles.

Utiliser des outils spécialisés de détection

Des outils comme UEFItool, CHIPSEC, ou des antivirus à démarrage sécurisé (bootables) peuvent analyser l’intégrité du firmware.

Comment supprimer un bootkit ?

La suppression d’un bootkit est complexe et dépend du type de système infecté :

• Pour les anciens systèmes MBR : réinitialiser le MBR, puis formater complètement le disque.
• Pour les systèmes UEFI : réinitialiser le BIOS/UEFI aux paramètres d’usine, flasher le firmware si nécessaire, puis réinstaller l’OS avec Secure Boot actif.

Dans certains cas, utilisez des outils de secours bootables, comme :

• Microsoft Defender Offline,
• ESET SysRescue Live,
• ou un LiveCD Linux spécialisé dans l’analyse firmware.

Rootkit et bootkit : quelle est la différence ?

Un rootkit est un malware furtif qui s’exécute dans le système d’exploitation, souvent au niveau noyau (kernel mode), et qui sert à masquer d’autres fichiers, processus ou connexions. Il se charge après Windows.
Au tour des années 2007, il fallait utiliser des outils comme GMER ou TDSKiller de Kaspersky pour détecter ce type de malware.
De son côté, un bootkit, lui, est une extension du rootkit, mais encore plus bas niveau : il s’infiltre dans le processus de démarrage, avant Windows, ce qui lui donne un contrôle total sur la machine dès l’allumage.

Critère	Rootkit	Bootkit
Emplacement	Noyau de Windows, pilotes, services, registre	MBR, secteur de démarrage, firmware UEFI
Moment d’exécution	Après le démarrage du système (post-boot)	Avant ou pendant le démarrage du système (pre-boot)
Objectif principal	Cacher d’autres malwares, manipuler le système	Contrôler la phase de boot, injecter du code très tôt
Mode d’action	Injection dans des processus ou des pilotes	Remplacement ou modification du bootloader
Furtivité	Très élevée, mais dépend de la version de l’OS	Extrême : le malware agit avant que le système ne se charge
Persistance	Persistant jusqu’à nettoyage ou désactivation	Peut survivre à un formatage de disque
Détection	Possible avec outils avancés (antirootkits, EDR)	Très difficile sans analyse firmware ou scan UEFI

L’article Bootkit : malware du démarrage, comment il fonctionne et comment s’en protéger est apparu en premier sur malekal.com.

Le chargeur de démarrage GRUB (GRand Unified Bootloader) joue un rôle central dans le démarrage d’un système Linux. Il permet de choisir quel noyau lancer, de passer des paramètres au système, ou même de démarrer un autre OS en dual-boot.
Dans certaines situations — résolution de problème matériel, test de paramètres, changement du système par défaut — il est utile, voire nécessaire, de modifier les options de démarrage de Linux.

Notamment, deux façons de faire sont possibles :

• Modifier à la volée les options de démarrage de Linux via l’éditeur de commandes du menu GRUB, par exemple :
  • contourner un problème (affichage, ACPI, Wi-Fi,…),
  • tester une option (comme nomodeset, noapic, etc.),
  • démarrer en mode console, debug, etc.
• Modifier les options de démarrage de Linux de manière permanente en modifiant le fichier /etc/default/grub

Ce tutoriel vous guide pas à pas pour apprendre à ajuster ces paramètres de démarrage Linux, que ce soit temporairement via l’éditeur GRUB au démarrage, ou de manière permanente en modifiant le fichier /etc/default/grub.

Modifier les options de démarrage Linux dans /etc/default/grub

Pour rendre un changement permanent, il faut éditer le fichier /etc/default/grub puis exécuter sudo update-grub.
Voici les étapes détaillées :

• Ouvrez un terminal puis utilisez la commande suivante :

sudo nano /etc/default/grub

• Dans ce fichier, chaque ligne de la forme VAR=valeur définit une option. On peut activer ou désactiver un paramètre en le commentant ou décommentant avec le caractère dièse #.
• Par exemple, si la ligne #GRUB_HIDDEN_TIMEOUT=0 est commentée, le menu GRUB s’affichera normalement; sans #, le menu serait masqué au début. Après toute modification, on enregistre et on ferme l’éditeur.

• Une fois /etc/default/grub modifié et enregistré, il faut régénérer le fichier de configuration de GRUB pour que les changements prennent effet. Sur Debian/Ubuntu, on exécute :

sudo update-grub

• Cette commande scanne le système pour détecter les noyaux et autres systèmes d’exploitation, puis reconstruit le menu dans /boot/grub/grub.cfg. Sans cette étape, les modifications resteront sans effet (car GRUB continue d’utiliser l’ancienne configuration).

Exemples pratiques

• Changer l’entrée par défaut : Par défaut, GRUB_DEFAULT=0 démarre la première entrée du menu. Pour choisir un autre système, éditez /etc/default/grub et modifiez cette valeur. Par exemple, pour démarrer la deuxième ligne du menu par défaut, changez :

GRUB_DEFAULT=0

• en

GRUB_DEFAULT=1

• Raccourcir le délai du menu : Le délai par défaut (GRUB_TIMEOUT) est souvent 10 secondes sur Ubuntu (5 sur d’autres distributions). Pour le réduire, éditez /etc/default/grub et modifiez la valeur, par exemple :

GRUB_TIMEOUT=3

Ceci fixera le délai à 3 secondes. On peut également forcer l’affichage du menu en changeant GRUB_TIMEOUT_STYLE=menu (ou au contraire cacher le menu en mode hidden). Après modification, n’oubliez pas sudo update-grub. Au démarrage suivant, le menu s’affichera moins longtemps avant de lancer l’option par défaut.

• Ajouter une option noyau (ex. nomodeset) : Pour passer des paramètres au noyau Linux, on utilise GRUB_CMDLINE_LINUX_DEFAULT. Par défaut, il contient généralement "quiet splash". Pour ajouter, par exemple, nomodeset, modifiez la ligne :

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash"

En :

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash nomodeset"

N’oubliez pas d’utiliser la commande update-grub pour prendre en compte les modifications.

Options courantes de /etc/default/grub

Option	Description	Valeur par défaut typique
GRUB_DEFAULT	Numéro (ou nom) de l’entrée à démarrer par défaut	0 (première entrée)
GRUB_TIMEOUT	Durée (en secondes) d’attente avant lancement automatique
GRUB_TIMEOUT_STYLE	Style d’affichage du menu (hidden/menu/countdown)	hidden
GRUB_CMDLINE_LINUX_DEFAULT	Options passées au noyau Linux en démarrage normal (ex : quiet splash)	« quiet splash »
GRUB_CMDLINE_LINUX	Options passées au noyau en mode récupération (recovery)	«  » (aucune)
GRUB_DISTRIBUTOR	Préfixe des noms dans le menu (généralement le nom de la distrib)	Ex. Ubuntu (généré)
GRUB_DISABLE_OS_PROBER	true pour ignorer les autres OS détectés par os-prober	false (on cherche les autres OS)

Exemples courants d’options du noyau Linux pour GRUB

Option du noyau Linux	Effet / Utilité
nomodeset	Désactive l’accélération graphique (utile si écran noir au boot).
quiet	Réduit les messages affichés pendant le démarrage.
splash	Affiche une image ou animation de démarrage (avec quiet).
acpi=off	Désactive ACPI (résout parfois des problèmes d’alimentation / boot).
noapic	Désactive le contrôleur APIC (utile en cas de freezes ou erreurs IRQ).
nolapic	Désactive le LAPIC (similaire à noapic, cas rares).
pci=noacpi	Évite l’utilisation d’ACPI pour le bus PCI.
ipv6.disable=1	Désactive le support d’IPv6.
systemd.unit=multi-user.target	Démarre en mode console (équivalent runlevel 3).
systemd.unit=rescue.target	Démarre en mode récupération (rescue mode, root sans GUI).
loglevel=3	Limite le niveau de verbosité du noyau.
usbcore.autosuspend=-1	Désactive la mise en veille automatique des ports USB.
audit=0	Désactive le système d’audit (légère amélioration des perfs sur desktop).
mitigations=off	Désactive les protections contre les failles CPU (Spectre, Meltdown, etc.).
reboot=efi	Force un redémarrage EFI propre (utile si reboot normal plante).
ro 3	Démarrer en mode texte (runlevel 3, sans interface graphique)
security=apparmor	Force le noyau à utiliser AppArmor comme module LSM (Linux Security Module).
security=selinux	Active SELinux si disponible et configuré (plutôt sur Fedora/RHEL).
apparmor=1	Active AppArmor (utile si désactivé par défaut).
apparmor=0	Désactive AppArmor (attention, pas recommandé sur une distro qui l’utilise).
selinux=1	Active SELinux (nécessite que la distribution le prenne en charge).
selinux=0	Désactive SELinux.
lsm=landlock,yama,apparmor,bpf	Définit l’ordre des LSM utilisés au démarrage (Linux >= 5.13).

Modifier le démarrage Linux avec /etc/default/grub.d/

Depuis les versions récentes de GRUB, la configuration du fichier /etc/default/grub peut être étendue ou complétée par des fichiers placés dans le dossier /etc/default/grub.d/.

Chaque fichier de ce dossier, généralement nommé *.cfg, peut contenir des options de démarrage supplémentaires au format VAR=valeur (comme dans le fichier principal). Cela permet, par exemple :

• aux paquets système ou pilotes d’ajouter leurs propres paramètres sans modifier le fichier principal ;
• à un administrateur système de scinder la configuration (ex. un fichier pour les options de noyau, un autre pour les délais).

Les fichiers de /etc/default/grub.d/ sont lus après /etc/default/grub, et peuvent surcharger ses valeurs.

Si vous désirez ajouter une option personnalisée sans toucher à /etc/default/grub, crée un fichier comme /etc/default/grub.d/10-custom.cfg et écrivez-y par exemple :

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash nomodeset"

Modifier les options de démarrage de Linux avec l’éditeur de commandes GRUB

Modifier les options de démarrage de Linux directement depuis l’éditeur de GRUB (au moment du démarrage) est utile pour tester temporairement un paramètre du noyau (comme nomodeset, acpi=off, etc.), sans modifier les fichiers système.

• Démarrez votre PC et patientez que le menu GRUB s’affiche (souvent automatiquement, si vous avez un dual-boot, sinon appuie sur Echap ou MAJ juste après l’allumage)
• Dans le menu GRUB, sélectionnez la ligne Linux (souvent “Ubuntu”, “Debian”, etc.) sans appuyer sur Entrée
• Appuyez sur la touche e pour éditer les options de démarrage

• Repérez la ligne relative aux options du noyau Linux :

linux   /boot/vmlinuz-...

• Elle contient les options du noyau, comme :

linux   /boot/vmlinuz-... root=UUID=xxxx ro quiet splash

• Ajoutez vos paramètres à la fin de cette ligne, avec les exemples donnés précédemment. Par exemple, pour désactiver l’accélération graphique :

... ro quiet splash nomodeset

• ou pour démarrer sur la console :

... ro 3

• Une fois la modification faite, appuie sur F10 (ou CTRL+X) pour démarrer avec ces paramètres.

L’article GRUB : modifier les options de démarrage Linux est apparu en premier sur malekal.com.

En parcourant les services actifs ou en vérifiant les services qui ont le plus d’impact au démarrage de votre Linux (Ubuntu, Linux Mint, Debian, Pop!_OS, …) avec systemd-analyze, vous avez remarqué un service apt-daily qui peut exécuter la commande unattended-upgrade.

Que sont que apt-daily.service et unattended-upgrade, quelles sont leurs fonctions et peut-on les désactiver ?
Dans ce guide complet, je vous explique tout ce qu’il faut savoir sur ce daemon et cette commande.

Qu’est-ce que apt-daily.service et unattended-upgrade

Pour rappel, apt (Advanced Package Tool) est l’outil en ligne de commande utilisé sur les distributions basées sur Debian. Il sert à gérer les paquets logiciels : les installer, les mettre à jour, les supprimer, ou encore chercher des programmes disponibles.

apt-daily.service est un service systemd sur Ubuntu (et autres distributions Debian-based) qui gère les mises à jour automatiques du système via APT.

C’est un service automatique lancé en arrière-plan qui :

• Télécharge les métadonnées des paquets (la liste des mises à jour disponibles)
• Peut télécharger les paquets mis à jour, selon la configuration (pas forcément les installer)
• S’exécute généralement une fois par jour, selon un timer (apt-daily.timer)

/usr/bin/unattended-upgrade de son côté est le programme principal qui exécute les mises à jour automatiques de sécurité sous Ubuntu/Debian.
Il fait partie du paquet unattended-upgrades.
Il est déclenché par le service apt-daily-upgrade.service.

Voici un résumé :

Service et élément	Rôle
apt-daily.service	Télécharge les infos de mise à jour APT
apt-daily-upgrade.service	Peut installer automatiquement les mises à jour
apt-daily.timer	Planifie apt-daily.service (souvent vers 6h du matin)
apt-daily-upgrade.timer	Planifie les mises à jour automatiques, si activées
/usr/bin/unattended-upgrade	Le script exécuté par apt-daily-upgrade.service pour faire les mises à jour
/etc/apt/apt.conf.d/50unattended-upgrades	Fichier de configuration : détermine quoi mettre à jour

Peut-on désactiver apt-daily.service et unattended-upgrade

Vous pouvez désactiver ces services très simplement grâce à systemctl.
Par exemple, si vous souhaitez empêcher l’installation automatique sans désactiver les notifications de mise à jour :

sudo systemctl disable apt-daily-upgrade.timer

apt-daily.timer reste actif pour que la liste des mises à jour soit maintenue à jour.
Mais si vous souhaitez le désactiver aussi, ce sera :

sudo systemctl disable apt-daily.timer

Où puis-je voir ce qu’apt-daily.service a réellement fait

Voir les fichiers log APT (classiques)

Toutes les activités d’APT, que ce soit lorsque vous lancez une commande ou automatiquement via le service apt-daily sont historisés dans les journaux Linux.
L’emplacement est : /var/log/apt/

Voici les fichiers :

Fichier	Contenu
/var/log/apt/history.log	Historique des installations/mises à jour de paquets
/var/log/apt/term.log	Affiche ce que apt a montré dans le terminal pendant les opérations
/var/log/apt/eipp.log.x.gz	Journaux du système EIPP (plus technique, rarement utile directement)

La structure du fichier /var/log/apt/history.log est la suivante :

• Start-Date : Date de début de l’exécution de la commande
• Commandline indique la commande exécuté manuellement comme apt-get update ou /usr/bin/unattended-upgrade
• L’action effectuée par la commande :
  • Remove pour la suppression de paquet
  • Install pour l’installation de nouveau paquet
  • Upgrade pour la mise à jour des dépôts
• Requested-By avec l’utilisateur et son GID qui a exécuté la commande. Cette ligne n’apparaît que lorsque la commande APT a été lancé depuis un terminal et non automatique par apt-daily.service
• End-Date : Fin de la date de l’exécution de la commande

Voir les logs récents du service apt-daily.service avec journalctl

Le système enregistre aussi chaque exécution du service dans les journaux.
Vous pouvez consulter ces derniers grâce à la commande journalctl :

journalctl -u apt-daily.service

Cela t’affiche tout l’historique du service depuis le démarrage du système avec la date du début de l’exécution, le temps d’exécution, l’utilisation CPU et mémoire et la date de fin d’exécution.

Mais vous pouvez filtrer afin de cibler les dernières modifications.

Pour voir ce qu’il a fait aujourd’hui :

journalctl -u apt-daily.service --since today

Pour voir les 50 dernières lignes :

journalctl -u apt-daily.service -n 50

L’article apt-daily.service et unattended-upgrade : qu’est-ce que, faut-il le supprimer est apparu en premier sur malekal.com.

BleachBit est un utilitaire gratuit et open-source qui permet de nettoyer Linux très facilement.
Pour cela, il offre une interface très simple où vous sélectionnez les éléments que vous désirez supprimer du système.
Il est idéal pour supprimer les fichiers et répertoires inutiles d’un système de fichiers.

Voici ses principales fonctionnalités :

• Supprimer les fichiers temporaires
• Vider les caches système et applications
• Nettoyer les journaux système
• Effacer les traces de navigation internet
• Supprimer les fichiers inutiles laissés par des paquets désinstallés (cache des paquets)
• Déchiqueter des fichiers et des répertoires pour supprimer de manière sécurisée)

Si vous souhaitez libérer de l’espace disque rapidement et accélérer légèrement votre Linux, suivez ce guide complet pour utiliser BleachBit et nettoyer Linux.

Comment installer BleachBit sur Linux

sur Ubuntu, Linux Mint

Par APT :

sudo apt install bleachbit

Sur Fedora

Avec DnF :

sudo dnf install bleachbit

Informations et précausion d’utilisation

Bleachbit supprime certains caches, donc une sur-utilisation peut avoir un effet néfaste et ralentir le système.
Une fois maximum par mois est recommandé. Si votre utilisation du PC est retraint, une fois tous les trois mois est suffisant.

Voici les catégories de nettoyage proposée par l’utilitaire :

Catégorie	Exécution en root/utilisateur	Contenu supprimé
APT (Ubuntu/Mint) ou Yum/DNF (Fedora)	root	Cache des paquets
Logs système	root	Fichiers journaux (/var/log)
Rotation des journaux	root	Supprime les anciens journaux système
Fichiers temporaires globaux (/tmp, /var/tmp)	root/utilisateur	Nettoyer les fichiers temporaires Linux
Cache de l’utilisateur	Utilisateur	Le cache des applications notamment dans ~/.cache
Navigateur (Firefox, etc.)	Utilisateur	Historique, cache, cookies, formulaires, mots de passe
Thumbnails	Utilisateur	Vignettes (miniatures d’images)
LibreOffice	Utilisateur	Fichiers récents, cache
Caches et/ou Historiques logiciels	Utilisateur	Caches/Historiques de Bash, Chromium, GNOME, VLC, GIMP, Discord, Vim, Evolution, etc.
Localisations inutilisées (langues non utilisées)	root	Langues que tu n’utilises pas (optionnel)
Mémoire (Swap)	root	Nettoyer l’espace d’échange et la mémoire libre

Précautions d’usage :

• En root, certaines options peuvent être dangereuses si mal utilisées (ex. : effacement de fichiers système, nettoyage agressif de journaux ou caches de paquets)
• Utilisez le mode de prévisualisation pour inspecter les éléments qui vont être supprimés
• Lisez chaque option avant de cocher : certaines peuvent faire disparaître des sessions enregistrées ou des configurations
• Évitez d’utiliser l’option « Effacement sécurisé » (sauf sur disques HDD) → inutile et plus lent sur SSD
• Évitez de nettoyer le cache Flatpak ou Snap manuellement sans savoir ce que tu fais, sauf si tu sais que tu ne les utilises pas

Comment nettoyer Linux avec Bleatchbit

Supprimer les fichiers inutiles de Linux

Lorsque vous exécutez BleachBit, vous devez décider si vous désirer nettoyer le système ou l’environnement utilisateur.
Ainsi, lorsque vous lancez Bleachbit sans les droits administrateurs, soit donc avec votre utilisateur courant, ce dernier vous permet de nettoyer le cache, historique et autres éléments de vos applications installées.
Si vous préférez nettoyer le système, il faudra exécuter Bleachbit en root.
Certaines distributions Linux ajoutent deux menus dans la liste des applications pour exécuter en tant qu’utilisateur ou en root.

Ensuite pour nettoyer Linux :

• Cochez alors les éléments de vos applications que vous souhaitez nettoyer
• Cliquez sur Prévisualiser pour obtenir la liste de ce qui va être supprimé
• A gauche, vous aurez l’espace disque total libéré pour chaque catégorie. Mais surtout à droite, vous devez vérifier les éléments listés pour être certains que des éléments importants ne soient pas supprimé
• Si tout est correct, cliquez sur Nettoyer pour exécuter la suppression

Ci-dessous, j’ai exécuté Bleachbit avec les droits administrateurs, par la commande :

sudo Bleachbit

On constate que la plupart des éléments comme l’historique Bash, le cache du système ne libère pas énormément de place.
L’auto-clean d’APT peut libérer un peu de place disque si cela n’a jamais été fait.
Mais ce sont principalement l’historique des journaux qui prennent le plus de place disque (2 Go).

Suppression des fichiers personnalisés

BleachBit nous permet de supprimer des fichiers arbitraires qui ne sont liés à aucune des applications du menu. Pour obtenir une liste des fichiers à supprimer, il suffit de cliquer sur le menu « hamburger » en haut à droite de l’application, puis sur l’entrée « Préférences ». Dans la fenêtre qui s’ouvre, cliquez sur l’onglet « Personnalisé » :

Préserver les fichiers de la suppression (liste blanche)

Dans certains cas, nous pouvons vouloir éviter la suppression de fichiers spécifiques qui seraient autrement supprimés dans le cadre d’une action. Pour ce faire, il suffit de naviguer à nouveau dans le menu « Préférences » de l’application. Cette fois, nous devons cliquer sur l’onglet « Liste blanche ».
Ici, comme dans l’exemple précédent, nous pouvons ajouter ou supprimer des fichiers et des dossiers à la liste blanche de l’application :

Nettoyer Linux en ligne de commandes avec BleachBit

Pour visualiser les fichiers qui vont être supprimés, on utilise l’option -p (ou --preview) pour lister les éléments qui vont être supprimés et --preset pour utiliser les options définies dans l’interface graphique :

bleachbit -p --preset

Puis pour effectuer le nettoyage, ce sera l’option -c (ou --clean) :

bleachbit -c --preset

Pour effectuer un nettoyage complet et automatique, utilisez la commande suivante :

bleachbit --list | grep -E "[a-z0-9_\-]+\.[a-z0-9_\-]+" | xargs bleachbit --clean

Détruire définitivement un fichier ou dossier avec BleachBit

Une dernière fonctionnalité interressante de Bleachbit est la possibilité de détruire des fichiers ou dossier (shred) sans possibilité de récupération ultérieure.
Cela est utile pour éviter qu’une personne puisse retrouver des fichiers que vous avez supprimer.
Pour l’utiliser :

• Allez dans le menu en haut à droite puis « Détruire des fichiers ou dossiers« 
• Naviguez et sélectionnez l’élément à supprimer

• Confirmez et Bleachbit supprimer définitivement le fichier ou dossier

En ligne de commandes ce sera :

• -s, –shred : Détruire des fichiers ou des dossiers spécifiques
• –w, –wipe-free-space : Écraser l’espace libre dans les chemins d’accès donnés

Par exemple :

bleachbit -s ~/Images/education.svg

L’article BleachBit : nettoyer Linux et faire de la place disque est apparu en premier sur malekal.com.

Sur Linux, il arrive souvent qu’on doive modifier un fichier de configuration, corriger un script, ou simplement créer une note rapide… et pour cela, rien de plus pratique que nano, l’un des éditeurs de texte les plus simples et accessibles en terminal.

Contrairement à d’autres éditeurs plus complexes comme vi ou vim, nano se veut intuitif : pas besoin de modes obscurs ou de combinaisons de touches ésotériques. Il suffit de lancer la commande, de taper, d’enregistrer, et voilà. Mais derrière sa simplicité se cachent tout de même quelques astuces utiles à connaître pour gagner du temps.

Dans cet article, vous apprendrez :

• Comment ouvrir, modifier et enregistrer un fichier avec nano
• Les raccourcis clavier essentiels à connaître
• Copier/coller du texte ou encore rechercher et remplacer
• Des conseils pour éviter les erreurs courantes

Suivez simplement les étapes de ce guide pour apprendre à éditer un fichier sur Linux avec Nano.

Comment installer Nano

Sur Ubuntu ou Debian

sudo apt install nano

Sur Fedora ou RHL

sudo yum install nano

Ouvrir un fichier en édition sur Nano

Voici la syntaxe à utiliser pour ouvrir nano en éditant un fichier :

nano <nom_du_fichier>

Par exemple, pour éditer le fichier mon_script ou encore vous pouvez spéficier le chemin complet :

nano mon_script.sh
nano ~/Documents/todo.txt

• Si le fichier existe, il sera ouvert pour modification
• S’il n’existe pas, nano va en créer un nouveau

Lorsque vous souhaitez modifier un fichier système, pensez à utiliser sudo pour obtenir les droits administrateur :

nano nano /etc/hosts

Si vous souhaitez ouvrir un fichier en plaçant le curseur sur une ligne et un caractère spécifiques, utilisez la syntaxe suivante :

nano [+line_number,character_number] <nom_du_fichier>

Editer le fichier

Naviguer dans nano

Une fois que vous avez ouvert un fichier à éditer, votre terminal affiche l’interface nano et le contenu du fichier que vous êtes en train d’éditer.

Pour déplacer le curseur, utilisez les touches fléchées de votre clavier.

En bas de l’écran, vous verrez une liste de commandes. Le caret (^) dans le raccourci clavier d’une commande signifie qu’il faut maintenir la touche CTRL enfoncée tout en appuyant sur la lettre du raccourci.

Copier, couper et coller

Pour sélectionner du texte, placez le curseur au début du texte et appuyez sur Alt+a. En bas le message « Une marque posée » s’affiche. Déplacez le curseur à la fin du texte que vous souhaitez sélectionner à l’aide des touches fléchées. Le texte sélectionné est mis en surbrillance. Si vous souhaitez annuler la sélection, appuyez sur CTRL+6.

Copiez le texte sélectionné dans le presse-papiers à l’aide de la commande Alt+6. CTRL+k coupe le texte sélectionné.

Si vous souhaitez couper des lignes entières, placez le curseur sur la ligne et appuyez sur CTRL+k. Vous pouvez couper plusieurs lignes en appuyant plusieurs fois sur CTRL+k.

Pour coller le texte, déplacez le curseur à l’endroit où vous souhaitez placer le texte et appuyez sur CTRL+u.

Recherche et remplacer du texte

Pour rechercher un texte, appuyez sur CTRL+f, saisissez le terme recherché et appuyez sur Entrée. Le curseur se déplace jusqu’à la première occurrence. Pour passer à la correspondance suivante, appuyez sur Alt+Alt.

Si vous souhaitez effectuer une recherche et un remplacement, appuyez sur CTRL++\. Saisissez le terme recherché et le texte à remplacer.

L’éditeur passe à la première correspondance et vous demande si vous voulez la remplacer.

Après avoir appuyé sur O ou N, il passe à la correspondance suivante. En appuyant sur T, vous remplacerez toutes les correspondances.

Enregistrer les modifications du fichier

Pour enregistrer un fichier en cours de modification, appuyez sur CTRL+O. Autrement dit, maintenez la touche CTRL enfoncée et appuyez sur la touche O. Une invite s’affiche avec le nom du fichier que vous êtes en train d’éditer. Appuyez sur Entrée pour confirmer l’enregistrement dans le fichier.

Pour quitter nano, appuyez sur CTRL+X. Autrement dit, maintenez la touche CTRL enfoncée et appuyez sur la touche X.

Lorsque vous quittez nano, la question suivante vous est posée.

Sauver l'espace modifié (Oui/Non/Annuler)

Cette question vous demande si vous souhaitez enregistrer le fichier. Appuyez sur Y pour sauvegarder et quitter. Appuyez sur N pour quitter sans sauvegarder.

Les raccourcis clavier de Nano

Raccourci	Action
Ctrl + O	Enregistrer (write Out)
Entrée	Confirmer le nom du fichier lors de l’enregistrement
Ctrl + X	Quitter
Ctrl + K	Couper une ligne
Ctrl + U	Coller une ligne
Ctrl + F	Rechercher
Ctrl + G	Aide (liste des commandes)

L’article Nano : éditer un fichier est apparu en premier sur malekal.com.