cr0x.net — Problèmes difficiles. Solutions propres.
Français

Installation de Debian 13 correctement : UEFI, Wi‑Fi, firmware non libre, sans drame

février 19, 2026 • février 19, 2026 • Lecture : 30 min • Views: 0

Cet article vous a aidé ?

Vous n’êtes pas là pour une quête spirituelle. Vous voulez Debian 13 installé sur du vrai matériel—UEFI, Wi‑Fi moderne, peut‑être un disque NVMe—sans passer une soirée entière à vous demander « pourquoi il n’y a pas de réseau » ou « pourquoi ça ne démarre pas ».

Ceci est la version de l’installation que je remettrais à un SRE de garde à 2 h du matin : décisions expliquées, modes d’échec nommés, et commandes qui vous disent réellement ce qui se passe.

Les principes non négociables

1) Décidez dès le départ : UEFI + GPT, ou n’en perdez pas le temps. Sur les systèmes modernes, l’UEFI est la réalité par défaut. Le traiter comme optionnel, c’est risquer d’obtenir une machine qui ne démarre « que quand la lune est favorable » après la prochaine mise à jour du firmware.

2) Traitez le firmware comme une dépendance, pas comme un débat moral. Si votre Wi‑Fi ou GPU exige des blobs firmware, ce n’est pas un défaut de caractère. C’est une donnée d’entrée de votre construction. Gérez‑le explicitement et vous cesserez de perdre des heures à cause de périphériques mystérieusement absents.

3) Rendez l’installation reproductible. « J’ai cliqué ce que l’installateur proposait » n’est pas un runbook. Vous voulez un schéma de partition que vous pouvez expliquer, une sélection de paquets que vous pouvez auditer, et des étapes post‑installation que vous pouvez relancer.

4) N’optimisez pas pendant l’installation. Vous posez des rails, vous ne courez pas. Utilisez des valeurs par défaut faciles à déboguer, puis ajustez plus tard en vous basant sur des mesures.

5) Chaque choix doit réduire vos futures interruptions. La fiabilité du démarrage, la fiabilité du Wi‑Fi et des mises à jour propres sont les vrais KPI. Les fioritures peuvent attendre.

Blague n°1 : Secure Boot est comme un videur : parfait quand il connaît la liste des invités, embarrassant quand il ne vous reconnaît pas.

Quelques faits intéressants (une histoire qui mord encore)

  • UEFI a remplacé le BIOS comme firmware de démarrage grand public au cours de la dernière décennie, mais beaucoup de cartes mères livrent encore des options « CSM/Legacy » qui embrouillent les installations en mélangeant les modes.
  • GPT (GUID Partition Table) fait partie de la pile de stockage ère UEFI ; il évite les limites de l’ancienne MBR et rend les configurations multi‑disques moins sujettes aux erreurs.
  • Secure Boot a été introduit pour réduire les maliciels au démarrage en appliquant des contrôles de signature ; il a aussi rendu « démarrer quelque chose de personnalisé » plus délibéré.
  • Les pilotes Wi‑Fi Linux nécessitent souvent des fichiers firmware séparés ; le module du noyau peut être présent tandis que la radio reste inutilisable sans le payload firmware.
  • Debian a historiquement séparé « free » et « non‑free » composants ; cette politique a influencé la disponibilité des images d’installation et explique pourquoi certaines personnes n’avaient « pas de Wi‑Fi » par défaut pendant des années.
  • Le journal systemd a changé la façon de diagnostiquer les problèmes de démarrage : vous avez désormais des logs structurés tôt au démarrage, pas seulement le scrollback capturé sur un écran.
  • NVMe est devenu le stockage par défaut des portables et il est assez rapide pour que des choix négligents de système de fichiers et de swap se manifestent par des problèmes d’alimentation/latence plutôt que par des limites de débit évidentes.
  • Initramfs existe pour charger les modules tôt ; l’absence de firmware apparaît fréquemment ici comme « périphérique introuvable » même si le pilote est techniquement installé plus tard.

Vérifications préalables avant de démarrer l’installateur

Sachez sur quoi vous installez

Avant de toucher à Debian, confirmez le mode de la plateforme et la disposition du stockage. Si vous êtes sur un portable, vous voulez aussi savoir si le Wi‑Fi est Intel (généralement sans douleur) ou Realtek/Broadcom (souvent dépendant du firmware et parfois capricieux).

Décisions à prendre maintenant :

  • Mode UEFI uniquement (recommandé) vs legacy/CSM (éviter sauf contrainte stricte).
  • Conserver Secure Boot activé et enregistrer les clés vs désactiver Secure Boot (les deux valides ; choisissez délibérément).
  • Installer avec Ethernet ou tethering téléphonique vs compter sur le Wi‑Fi pendant l’installateur.
  • Chiffrement du disque (LUKS) ou non ; si oui, décidez si vous chiffrez aussi le swap et comment vous gérerez la récupération à distance.

Ce qu’il faut éviter comme une panne en production

  • Mélanger le démarrage legacy et UEFI entre des installations d’OS. Le dual‑boot est acceptable ; le dual‑boot en deux modes est le chaos.
  • Partitionnement aléatoire créant plusieurs ESP « au cas où ». Un ESP par machine suffit typiquement sauf si vous avez un design multi‑disque de démarrage très spécifique.
  • Supposer que le Wi‑Fi « fonctionnera tout seul ». Prévoyez le firmware. Prévoyez l’absence de réseau. Prévoyez d’ajouter des paquets après le premier démarrage.

Firmware non libre : ce que c’est, pourquoi c’est nécessaire et comment le gérer proprement

Le firmware n’est pas un pilote. C’est le blob dont le périphérique a besoin pour s’éveiller et se comporter. Le module noyau peut être présent et chargé, et pourtant le périphérique est mort parce qu’il ne peut pas charger le bon fichier firmware. C’est pourquoi vous voyez des messages comme « failed to load iwlwifi-*.ucode » puis une radio silencieuse.

Sur Debian, la réalité pratique est la suivante : beaucoup de matériel moderne nécessite des firmwares qui ne font pas partie du sous‑ensemble purement « free software ». Le packaging Debian a évolué, et les installations époque Debian 13 sont beaucoup moins dramatiques qu’avant—mais vous devez toujours vous assurer que votre environnement d’installateur peut accéder aux paquets firmware quand cela compte.

L’approche raisonnable

  • Utilisez un média d’installation incluant le support firmware lorsque vous installez sur du matériel uniquement Wi‑Fi.
  • Après l’installation, activez explicitement les bons composants APT pour que les mises à jour ne régressent pas l’activation matériel.
  • Installez uniquement le firmware dont vous avez besoin sauf si vous créez une image généraliste pour plusieurs modèles d’appareils.

Les deux modes d’échec courants

  • L’installateur ne voit pas le Wi‑Fi : le pilote se charge, le firmware manque ; ou le périphérique nécessite un firmware plus récent que celui présent sur le média.
  • Après une mise à jour le Wi‑Fi meurt : vous avez installé le firmware une fois depuis un .deb local, mais n’avez pas configuré APT pour continuer à recevoir les mises à jour du firmware.

UEFI/GPT fait correctement (et comment ne pas briquer votre démarrage)

UEFI en un paragraphe

En mode UEFI, le firmware du système lit les entrées de démarrage depuis la NVRAM et charge un binaire EFI depuis la partition système EFI (ESP), généralement montée sur /boot/efi. GRUB (ou systemd-boot) vit là‑bas et pointe vers votre kernel/initramfs sur votre système de fichiers Linux. Si votre ESP manque, n’est pas montée, ou est formatée incorrectement, vous « installerez avec succès » puis redémarrerez dans le vide.

Secure Boot : choisissez une voie

Vous avez deux options opérationnellement valides :

  • Désactiver Secure Boot dans les paramètres du firmware. Simple. Moins de pièces mobiles. Garanties en chaîne de démarrage légèrement moins fortes.
  • Garder Secure Boot activé et assurer que votre chemin bootloader/kernel est signé correctement. Plus sécurisé. Plus de complexité quand vous ajoutez des modules hors arbre (pensez aux surprises Wi‑Fi, aux pilotes NVIDIA, ZFS DKMS).

Si c’est un portable que vous voyagez avec, j’ai tendance à garder Secure Boot activé seulement si vous êtes prêt à considérer la signature comme faisant partie du cycle de vie du système. Si vous construisez une station de dev et chargez régulièrement des modules tiers, désactivez Secure Boot et passez à autre chose.

Taille et emplacement de l’ESP

Faites l’ESP de 512 MiB (ou 1 GiB si vous faites du dual‑boot et conservez plusieurs kernels). FAT32. Définissez le type de partition correct. Montez‑la sur /boot/efi. Restez ennuyeux. Les systèmes ennuyeux démarrent.

Wi‑Fi pendant l’installation : les options réalistes

L’installateur Debian est bon, mais il ne peut pas faire apparaître du firmware de nulle part. Voici ce qui fonctionne réellement sur le terrain :

  1. Ethernet. La référence. Si vous pouvez brancher pendant 20 minutes, faites‑le.
  2. Tethering USB via téléphone. Étonnamment fiable. La plupart des appareils Android présentent une interface Ethernet-over-USB que Debian peut utiliser sans firmware Wi‑Fi.
  3. Média d’installation avec firmware. Utile pour les portables sans Ethernet, et pour les sites où « internet pendant l’installation » n’est pas autorisé.
  4. Apporter le firmware sur une seconde clé USB. Fonctionne quand l’installateur demande du firmware ; vous fournissez les fichiers. Moins pratique, mais parfois la seule option en environnements restreints.

Blague n°2 : Le firmware Wi‑Fi est le seul problème « télécharger pour avoir internet » qui continue d’arriver sous de nouvelles formes passionnantes.

Mon conseil : ne jouez pas votre installation sur un coup de dé du Wi‑Fi si vous pouvez l’éviter. Utilisez Ethernet ou le tethering, terminez l’installation de base, puis renforcez et calibrez le Wi‑Fi une fois que vous êtes démarré avec votre noyau réel et vos vrais logs.

Partitionnement : ennuyeux, correct et rapide à récupérer

Un schéma de partition qui ne vous surprendra pas plus tard

Pour un portable/poste de travail Debian 13 typique sur un seul disque avec UEFI :

  • ESP : 512 MiB, FAT32, monté sur /boot/efi.
  • / (root) : ext4, dimensionné pour l’OS + applications (30–80 GiB suffit généralement ; plus si vous faites des conteneurs ou de l’outillage lourd).
  • swap : optionnel ; si vous voulez l’hibernation, dimensionnez‑le en conséquence. Sinon, un petit swap (ou aucun) peut convenir selon la RAM et la charge.
  • /home : partition séparée optionnelle ; utile si vous réinstallez souvent, moins utile si vous avez de bonnes sauvegardes et n’adoptez pas des habitudes obsolètes.

Chiffrement

Si la machine quitte votre bureau, utilisez le chiffrement complet du disque. LUKS avec un volume root chiffré est le minimum pour « pouvoir dormir tranquille ». Si vous activez Secure Boot et le chiffrement disque, souvenez‑vous que vous empilez de la complexité : gérable, mais seulement si vous documentez vos étapes de récupération.

Choix du système de fichiers

ext4 reste le choix opérationnellement calme. Oui, btrfs et ZFS ont des fonctionnalités ; elles ont aussi des profils opérationnels. Si vous n’êtes pas prêt à surveiller l’état des scrubs, gérer les politiques de snapshots et raisonner sur les modules initramfs au démarrage, choisissez ext4. Votre futur vous sera moins créatif pendant les incidents.

Tâches pratiques (commandes, sorties, décisions)

Ce sont des tâches « faire le truc, lire la sortie, décider ». Exécutez‑les pendant l’installation (si possible depuis un shell) ou immédiatement après le premier démarrage.

Task 1: Confirm you booted the installer in UEFI mode

cr0x@server:~$ ls /sys/firmware/efi
config_table  efivars  fw_platform_size  runtime  runtime-map  systab  vars

Ce que cela signifie : Si /sys/firmware/efi existe, vous êtes en mode UEFI.

Décision : S’il manque, redémarrez et sélectionnez l’entrée UEFI pour votre USB dans le menu de démarrage du firmware. Ne poursuivez pas en mode legacy à moins d’avoir une raison spécifique.

Task 2: Check Secure Boot state

cr0x@server:~$ mokutil --sb-state
SecureBoot enabled

Ce que cela signifie : Secure Boot est activé. S’il indique disabled, vous êtes libre d’exécution sans enforcement de signature.

Décision : Si vous prévoyez des modules DKMS (NVIDIA, ZFS, Wi‑Fi spéciaux), configurez la signature correctement ou désactivez Secure Boot maintenant pour éviter des surprises nocturnes.

Task 3: Identify the disk and confirm GPT

cr0x@server:~$ lsblk -o NAME,SIZE,TYPE,MODEL
NAME         SIZE TYPE MODEL
nvme0n1    953.9G disk Samsung SSD 990
nvme0n1p1   512M part 
nvme0n1p2    80G part 
nvme0n1p3   873G part

Ce que cela signifie : Vous avez un disque NVMe avec trois partitions ; probablement ESP, root, et home/data.

Décision : Si vous voyez des disques inattendus (clé USB, ancien disque SATA), arrêtez‑vous et revérifiez. Installer sur le mauvais disque est l’erreur classique évitable.

Task 4: Verify the ESP is correct (FAT32, mounted)

cr0x@server:~$ findmnt /boot/efi
TARGET    SOURCE     FSTYPE OPTIONS
/boot/efi /dev/nvme0n1p1 vfat   rw,relatime,fmask=0022,dmask=0022,codepage=437,iocharset=ascii,shortname=mixed,utf8,errors=remount-ro

Ce que cela signifie : L’ESP est montée et est en VFAT. Bien.

Décision : Si findmnt ne montre rien, montez‑la et corrigez /etc/fstab avant de dépanner les problèmes de bootloader.

Task 5: Confirm the system created UEFI boot entries

cr0x@server:~$ sudo efibootmgr -v
BootCurrent: 0003
Timeout: 1 seconds
BootOrder: 0003,0001,0002
Boot0001* UEFI OS	HD(1,GPT,0f2a1c2f-7b0d-4d53-9a1e-6e2c4c7c2b11,0x800,0x100000)/File(\EFI\BOOT\BOOTX64.EFI)
Boot0002* debian	HD(1,GPT,0f2a1c2f-7b0d-4d53-9a1e-6e2c4c7c2b11,0x800,0x100000)/File(\EFI\debian\grubx64.efi)
Boot0003* debian (fallback)	HD(1,GPT,0f2a1c2f-7b0d-4d53-9a1e-6e2c4c7c2b11,0x800,0x100000)/File(\EFI\BOOT\BOOTX64.EFI)

Ce que cela signifie : La NVRAM contient des entrées. Vous ne dépendez pas de « ce que le firmware devine ».

Décision : Si efibootmgr ne montre rien en rapport avec Debian, vous vous êtes probablement installé en mode legacy ou votre ESP n’était pas montée lors de l’installation de GRUB.

Task 6: Find your Wi‑Fi device and driver pairing

cr0x@server:~$ lspci -nnk | sed -n '/Network controller/,+4p'
03:00.0 Network controller [0280]: Intel Corporation Wi-Fi 6E(802.11ax) [8086:51f0]
	Subsystem: Intel Corporation Device [8086:0094]
	Kernel driver in use: iwlwifi
	Kernel modules: iwlwifi

Ce que cela signifie : Le pilote est lié (iwlwifi), ce qui est un bon début.

Décision : Si « Kernel driver in use » est vide, vous pourriez avoir besoin d’un noyau plus récent, d’un module manquant, ou d’un paramètre BIOS (rare). Si le pilote est présent mais que le Wi‑Fi ne fonctionne toujours pas, suspectez le firmware.

Task 7: See firmware load failures in the kernel log

cr0x@server:~$ dmesg -T | grep -iE 'firmware|iwlwifi|rtl|brcm' | tail -n 8
[Mon Feb  5 10:11:07 2026] iwlwifi 0000:03:00.0: loaded firmware version 77.2df8986f.0 ty-a0-gf-a0-77.ucode op_mode iwlmvm
[Mon Feb  5 10:11:07 2026] iwlwifi 0000:03:00.0: Detected Intel(R) Wi-Fi 6E AX211 160MHz
[Mon Feb  5 10:11:07 2026] iwlwifi 0000:03:00.0: base HW address: 70:1a:xx:xx:xx:xx

Ce que cela signifie : Le firmware s’est chargé avec succès. Si vous voyez « failed to load firmware », c’est votre indice flagrant.

Décision : Un chargement de firmware réussi signifie que vous pivotez vers RF‑kill, configuration NetworkManager, ou problèmes de domaine réglementaire—pas les paquets firmware.

Task 8: Check RF-kill (yes, it still happens)

cr0x@server:~$ rfkill list
0: phy0: Wireless LAN
	Soft blocked: no
	Hard blocked: no

Ce que cela signifie : Le Wi‑Fi n’est ni bloqué par logiciel ni par un interrupteur matériel.

Décision : Si hard blocked est « yes », cherchez une combinaison de touches ou un réglage BIOS. Si soft blocked est « yes », rfkill unblock all est votre prochaine étape.

Task 9: Validate APT components include firmware

cr0x@server:~$ grep -R "^[[:space:]]*deb " /etc/apt/sources.list /etc/apt/sources.list.d/*.list 2>/dev/null
/etc/apt/sources.list:deb http://deb.debian.org/debian trixie main contrib non-free non-free-firmware
/etc/apt/sources.list:deb http://deb.debian.org/debian-security trixie-security main contrib non-free non-free-firmware
/etc/apt/sources.list:deb http://deb.debian.org/debian trixie-updates main contrib non-free non-free-firmware

Ce que cela signifie : Vous recevrez les mises à jour du firmware via les mises à jour normales.

Décision : Si non-free-firmware est absent, ajoutez‑le et exécutez apt update avant de courir après des problèmes de pilote fantômes.

Task 10: Install the firmware package you actually need

cr0x@server:~$ sudo apt update
Hit:1 http://deb.debian.org/debian trixie InRelease
Hit:2 http://deb.debian.org/debian-security trixie-security InRelease
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
All packages are up to date.
cr0x@server:~$ sudo apt install -y firmware-iwlwifi
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
The following NEW packages will be installed:
  firmware-iwlwifi
0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 7,248 kB of archives.
After this operation, 26.1 MB of additional disk space will be used.
Fetched 7,248 kB in 1s (7,102 kB/s)
Selecting previously unselected package firmware-iwlwifi.
(Reading database ... 214532 files and directories currently installed.)
Preparing to unpack .../firmware-iwlwifi_20250115-1_all.deb ...
Unpacking firmware-iwlwifi (20250115-1) ...
Setting up firmware-iwlwifi (20250115-1) ...
update-initramfs: Generating /boot/initrd.img-6.12.0-1-amd64

Ce que cela signifie : Le firmware est installé et initramfs a été mis à jour, ce qui importe pour l’initialisation précoce des périphériques.

Décision : Redémarrez si le Wi‑Fi n’est pas apparu immédiatement. Si c’est toujours manquant, revenez à dmesg et confirmez que le nom du fichier firmware correspond à ce qui est installé.

Task 11: Confirm NetworkManager sees Wi‑Fi and can scan

cr0x@server:~$ nmcli dev status
DEVICE  TYPE      STATE      CONNECTION
wlan0   wifi      disconnected --
lo      loopback  unmanaged  --
enp0s31f6 ethernet unavailable --
cr0x@server:~$ nmcli dev wifi list | head
IN-USE  BSSID              SSID          MODE   CHAN  RATE        SIGNAL  BARS  SECURITY
        50:aa:bb:cc:dd:ee  corp-guest    Infra  36    540 Mbit/s  72      ▂▄▆_  WPA2
        d4:11:22:33:44:55  corp-secure   Infra  11    195 Mbit/s  60      ▂▄▆_  WPA2 802.1X

Ce que cela signifie : La radio fonctionne et scanne.

Décision : Si les scans ne retournent rien, vous êtes face à RF‑kill, domaine réglementaire, ou un appariement pilote/firmware cassé.

Task 12: Check DNS vs routing (the “I have Wi‑Fi but no internet” split-brain)

cr0x@server:~$ ip route
default via 192.168.1.1 dev wlan0 proto dhcp metric 600
192.168.1.0/24 dev wlan0 proto kernel scope link src 192.168.1.50 metric 600
cr0x@server:~$ resolvectl status | sed -n '1,18p'
Global
         Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
  resolv.conf mode: stub
Current DNS Server: 192.168.1.1
       DNS Servers: 192.168.1.1

Ce que cela signifie : Vous avez une route par défaut et un serveur DNS. C’est le minimum pour la connectivité.

Décision : Si la route existe mais que DNS est vide ou incorrect, corrigez DNS. Si DNS existe mais pas de route par défaut, corrigez le DHCP ou la configuration statique.

Task 13: Check boot errors quickly with journalctl

cr0x@server:~$ journalctl -b -p err..alert --no-pager | tail -n 12
Feb 05 10:11:10 server kernel: iwlwifi 0000:03:00.0: Failed to load firmware chunk!
Feb 05 10:11:10 server kernel: iwlwifi 0000:03:00.0: firmware: failed to load iwlwifi-ty-a0-gf-a0-77.ucode (-2)
Feb 05 10:11:10 server kernel: iwlwifi 0000:03:00.0: Direct firmware load for iwlwifi-ty-a0-gf-a0-77.ucode failed with error -2

Ce que cela signifie : L’erreur -2 est « fichier introuvable ». C’est un problème de paquet/configuration, pas « le Wi‑Fi est maudit ».

Décision : Installez le paquet firmware correspondant et assurez‑vous que APT a non-free-firmware activé ; reconstruisez l’initramfs si nécessaire.

Task 14: Verify GRUB is installed for UEFI

cr0x@server:~$ dpkg -l | grep -E '^ii\s+grub-efi-amd64'
ii  grub-efi-amd64  2.12-3  amd64  GRand Unified Bootloader, version 2 (EFI-AMD64 version)

Ce que cela signifie : Le paquet GRUB correct pour UEFI est installé.

Décision : Si vous ne voyez que grub-pc, vous êtes en territoire legacy. Décidez s’il vaut mieux réinstaller proprement en mode UEFI plutôt que d’essayer de rafistoler le démarrage.

Task 15: Verify fstab won’t sabotage boot

cr0x@server:~$ sudo findmnt --verify
Success, no errors or warnings detected

Ce que cela signifie : Vos montages sont cohérents ; pas d’UUID manquantes qui vous jetteraient en mode d’urgence.

Décision : Si la vérification échoue, corrigez /etc/fstab maintenant. Un fstab cassé est une panne différée dans le temps.

Task 16: Confirm initramfs contains needed modules (when debugging early boot)

cr0x@server:~$ lsinitramfs /boot/initrd.img-$(uname -r) | grep -E 'iwlwifi|firmware|nvme' | head
usr/lib/firmware
usr/lib/firmware/iwlwifi-ty-a0-gf-a0-77.ucode
usr/lib/modules/6.12.0-1-amd64/kernel/drivers/net/wireless/intel/iwlwifi/iwlwifi.ko

Ce que cela signifie : Le firmware et le module sont dans l’initramfs ; le démarrage précoce devrait pouvoir initialiser le périphérique.

Décision : Si c’est manquant, exécutez update-initramfs -u après l’installation du firmware ; puis redémarrez.

Playbook de diagnostic rapide

Ceci est le workflow « vous avez 10 minutes avant la réunion ». Il est ordonné pour trouver rapidement le goulot d’étranglement, pas pour être philosophiquement complet.

1) Mode de démarrage et chaîne de démarrage (les problèmes UEFI se déguisent en « Debian est cassé »)

  1. Vérifier le mode UEFI : ls /sys/firmware/efi
  2. Vérifier le montage de l’ESP : findmnt /boot/efi
  3. Vérifier les entrées NVRAM : efibootmgr -v
  4. Vérifier ce qui a échoué au démarrage : journalctl -b -p err..alert

Goulot probable : ESP non montée pendant l’installation de GRUB, mauvais mode de démarrage, ou paramètres firmware réinitialisés.

2) « Pas de Wi‑Fi » est habituellement firmware, état de blocage, ou composants APT manquants

  1. Identifier périphérique/driver : lspci -nnk | sed -n '/Network controller/,+4p' (ou lsusb pour dongles USB)
  2. Vérifier RF‑kill : rfkill list
  3. Vérifier les logs firmware : dmesg -T | grep -i firmware
  4. Confirmer qu’APT a non-free-firmware : grep sources, puis apt update

Goulot probable : paquet firmware manquant, installateur utilisant un dépôt hors‑ligne uniquement, ou interrupteur matériel activé.

3) « Le Wi‑Fi se connecte mais internet est mort » est DNS ou routage

  1. Route : ip route
  2. DNS : resolvectl status
  3. Ping passerelle : ping -c 2 192.168.1.1
  4. Ping IP : ping -c 2 1.1.1.1 (teste le routage)
  5. Ping nom : ping -c 2 debian.org (teste le DNS)

Goulot probable : portail captif, DNS cassé, ou réseau d’entreprise exigeant 802.1X.

4) Démarrage lent ou blocages : trouvez l’unité qui attend

  1. systemd-analyze time
  2. systemd-analyze blame | head
  3. systemd-analyze critical-chain

Goulot probable : attentes network-online, montages manquants dans fstab, ou périphérique en timeout.

Citation (idée paraphrasée) : « L’espoir n’est pas une stratégie », souvent attribuée dans la culture opérationnelle ; considérez‑la comme un rappel d’instrumenter et de vérifier.

Erreurs courantes : symptômes → cause → correction

1) Symbole : l’installateur termine, redémarrage renvoie directement au menu du firmware

Cause racine : Installé en mode legacy ou l’ESP n’était pas montée, donc aucune entrée UEFI/binaire EFI n’a été installée correctement.

Correction : Redémarrez l’installateur en mode UEFI ; assurez‑vous que l’ESP existe et est montée sur /boot/efi avant d’installer GRUB. Validez avec efibootmgr -v.

2) Symbole : « Aucun adaptateur Wi‑Fi trouvé » dans GNOME/KDE

Cause racine : Firmware manquant ; le pilote se charge mais le périphérique ne peut pas s’initialiser. Alternativement, le périphérique est hard‑blocked.

Correction : Vérifiez rfkill list et dmesg pour des erreurs de firmware. Activez non-free-firmware dans APT et installez le paquet firmware correspondant (par ex. firmware-iwlwifi).

3) Symbole : le Wi‑Fi fonctionne jusqu’à une mise à jour du noyau, puis disparaît

Cause racine : Le firmware a été installé une fois depuis un média amovible ou des fichiers locaux ; les sources APT n’incluent pas non-free-firmware, donc les mises à jour ne suivent pas les besoins du noyau/du pilote.

Correction : Corrigez /etc/apt/sources.list pour inclure non-free-firmware, puis apt update et réinstallez le paquet firmware ; reconstruisez initramfs.

4) Symbole : le démarrage tombe en mode d’urgence après l’installation

Cause racine : Mauvaise entrée dans /etc/fstab : UUID erroné, partition manquante, ou un montage impossible (courant avec des disques externes).

Correction : Utilisez findmnt --verify et blkid pour corriger les UUID. Ajoutez nofail,x-systemd.device-timeout= pour les montages non critiques.

5) Symbole : Secure Boot activé ; module DKMS ne se charge pas

Cause racine : Le module est non signé ; Secure Boot le bloque.

Correction : Soit désactiver Secure Boot, soit enregistrer une Machine Owner Key et signer les modules de façon cohérente. Ne faites pas une configuration à moitié—la demi‑mesure est pire que rien.

6) Symbole : le Wi‑Fi se connecte mais les sites web ne chargent pas

Cause racine : DNS mal configuré ou portail captif ; parfois des particularités IPv6‑only sur des réseaux invités d’entreprise.

Correction : Comparez ping 1.1.1.1 vs ping debian.org. Si l’IP fonctionne mais pas le nom, corrigez le DNS (resolvectl status). Si rien ne fonctionne, vérifiez le routage et le portail captif.

7) Symbole : vous avez un ESP, mais les mises à jour « oublient » parfois votre entrée de démarrage

Cause racine : Les mises à jour firmware réinitialisent les entrées NVRAM ; votre système dépend d’un ordre d’entrée fragile.

Correction : Gardez un binaire EFI fallback à \EFI\BOOT\BOOTX64.EFI (souvent fourni par les outils d’installation de GRUB) et vérifiez avec efibootmgr -v. Envisagez aussi d’ajuster les paramètres du firmware pour garder l’entrée Debian en premier.

Listes de contrôle / plan pas à pas

Plan A : L’installation UEFI propre (par défaut recommandé)

  1. Dans les réglages du firmware : définir le mode de démarrage sur UEFI only ; désactiver CSM/Legacy si présent.
  2. Décidez Secure Boot : soit le désactiver, soit vous engager à la signature des modules plus tard.
  3. Démarrez l’installateur Debian via l’entrée UEFI.
  4. Dans le shell de l’installateur (si nécessaire) : confirmez le mode UEFI avec ls /sys/firmware/efi.
  5. Partitionnez en GPT :
    • ESP : 512 MiB, FAT32, monter /boot/efi
    • Root : ext4
    • Optionnel : swap
    • Optionnel : /home séparé
  6. Sélectionnez seulement ce dont vous avez besoin dans tasksel. Vous pouvez installer les rôles desktop/server plus tard.
  7. Premier démarrage : confirmez findmnt /boot/efi et efibootmgr -v.
  8. Activez les composants APT incluant non-free-firmware.
  9. Installez les paquets firmware pour votre matériel, régénérez initramfs, redémarrez.
  10. Exécutez les mises à jour, puis capturez votre état « bon connu » (même si ce n’est qu’une liste de paquets et des diffs de configuration).

Plan B : Portable uniquement Wi‑Fi, pas de port Ethernet

  1. Privilégiez le tethering USB du téléphone pour l’accès réseau pendant l’installation.
  2. Si le tethering n’est pas possible, utilisez un média d’installation prenant en charge le firmware et soyez prêt à installer les paquets firmware après le premier démarrage.
  3. Après l’installation : vérifiez le chargement du firmware dans dmesg, puis confirmez le scan via nmcli dev wifi list.
  4. Ce n’est qu’une fois le Wi‑Fi stable : ajoutez imprimantes, Bluetooth et tout ce qui crée plus d’état à déboguer.

Plan C : Environnement d’entreprise (proxy, 802.1X, politiques)

  1. Pendant l’installation, évitez de compter sur l’authentification Wi‑Fi entreprise. Utilisez Ethernet ou le tethering.
  2. Après l’installation, configurez les certificats et profils 802.1X avec les outils NetworkManager.
  3. Vérifiez NTP/heure tôt ; les erreurs TLS ressemblent souvent à « dépôt indisponible » alors que c’est juste « l’horloge est fausse ».
  4. Confirmez les suffixes DNS et les règles de split DNS avant d’accuser Debian.

Trois micro‑histoires du monde de l’entreprise

Micro‑histoire 1 : Un incident causé par une mauvaise hypothèse

Une équipe a déployé des portables basés sur Debian à un groupe voyageant constamment. L’image était « standardisée » et testée sur quelques machines de développeurs qui avaient toutes du Wi‑Fi Intel. L’hypothèse—jamais écrite—était que « le Wi‑Fi Linux fonctionne maintenant hors de la boîte ».

La première semaine allait bien. Puis les achats ont sourcé un deuxième fournisseur pour le même modèle à cause de contraintes d’approvisionnement. Même châssis, révision différente du chipset Wi‑Fi. L’image s’installait toujours, mais la moitié de la flotte remontait sans interface réseau. On a d’abord accusé le DHCP, puis le VPN, puis le « nouveau noyau ». Le vrai problème était plus simple : le pilote se chargeait, mais le blob firmware spécifique à cette révision n’était pas présent, et les sources APT sur l’image n’incluaient pas non-free-firmware.

Comme c’étaient des portables, « brancher un Ethernet » n’était pas une solution universelle. Le résultat fut une tempête parfaite : changement matériel (révision), dépendance manquante (firmware), et absence de chemin de remédiation fiable (pas de réseau pour récupérer les paquets). Les gens ont commencé à faire ce que font les gens sous stress : copier des firmwares aléatoires depuis Internet sur des clés USB en espérant le meilleur.

La correction n’était pas héroïque. Ils ont mis à jour l’image de base pour inclure les bons composants APT, ajouté un ensemble minimal de paquets firmware pour les chipsets connus, et rédigé un runbook de deux pages : comment identifier le chipset, confirmer le chargement du firmware, et récupérer via tethering téléphonique. L’incident n’a pas recommencé—pas parce que l’univers est devenu plus gentil, mais parce que les hypothèses ont été remplacées par des vérifications.

Micro‑histoire 2 : Une optimisation qui s’est retournée contre eux

Une autre organisation voulait « des démarrages rapides » et « des disques propres », alors ils ont été malins pendant l’installation. Ils ont réduit l’ESP à quelque chose de minuscule parce que « ça ne contient que des fichiers de démarrage », ont gardé un seul kernel, et ont nettoyé les paquets de façon agressive. Ils ont aussi activé Secure Boot mais ne voulaient pas la charge opérationnelle de signer au‑delà du défaut.

Ça a tenu un temps. Puis une mise à jour routine du noyau a amené une nouvelle build de GRUB et un initramfs mis à jour. L’ESP s’est remplie. Les mises à jour de GRUB ont partiellement réussi, laissant le système dans un état où le firmware trouvait encore un binaire EFI, mais le bootloader ne trouvait plus de façon fiable les bons fichiers kernel. Certaines machines bootèrent ; d’autres non. Les échecs semblaient aléatoires, ce qui est le pire : cela invite à la superstition.

La réponse initiale s’est concentrée sur « pourquoi Debian écrit autant dans l’ESP ?» et « peut‑on compresser initramfs davantage ? » Mauvaise direction. La bonne direction est d’accepter que le stockage est bon marché et que les pannes sont coûteuses. Ils ont redimensionné l’ESP à une valeur sensée, arrêté de supprimer les fichiers de fallback, et adopté une politique : garder au moins deux kernels installés, et ne jamais optimiser l’espace sans budget de capacité mesuré.

L’échec n’était pas l’optimisation elle‑même ; c’était l’optimisation de la mauvaise contrainte. Les partitions de démarrage échouent aux pires moments, et vous ne voulez pas d’un design intelligent quand vous dépannez à l’aveugle sur un site distant.

Micro‑histoire 3 : Une pratique ennuyeuse mais correcte qui a sauvé la mise

Une équipe avait l’habitude, apparemment paranoïaque, d’exécuter un petit script de vérification local après chaque déploiement OS. Il vérifiait le mode UEFI, le montage de l’ESP, l’état Secure Boot, les erreurs de chargement de firmware, et si les sources APT incluaient les composants firmware. Puis il sauvegardait la sortie dans un ticket.

Des mois plus tard, une mise à jour firmware du fournisseur matériel a réinitialisé un sous‑ensemble de machines pour démarrer depuis « UEFI OS » plutôt que l’entrée Debian. Les machines démarraient toujours—mais via le chemin de secours—et quelques cas limites ont commencé à échouer après des mises à jour ultérieures. La plupart des organisations auraient appelé cela des « bizarreries de démarrage aléatoires ».

Cette équipe n’a pas eu à deviner. Ils ont comparé les sorties efibootmgr -v post‑mise à jour aux pièces jointes des tickets antérieurs. Le delta était évident : BootOrder avait changé, et l’entrée Debian n’était plus première. La correction fut mécanique : restaurer BootOrder, assurer l’existence du binaire EFI fallback, et documenter « une mise à jour firmware peut réinitialiser les entrées NVRAM » comme risque opérationnel.

C’était ennuyeux. C’était correct. Cela a aussi permis à la personne de garde de passer 20 minutes à réparer les systèmes au lieu de deux nuits à inventer une nouvelle religion sur l’UEFI.

FAQ

1) Dois‑je utiliser l’installateur graphique ou textuel ?

Utilisez celui avec lequel vous êtes le plus rapide. Le vrai différenciateur est votre capacité à ouvrir un shell et valider le mode UEFI, les disques, et les besoins en firmware. Les deux installateurs peuvent y parvenir.

2) Ai‑je besoin de firmware non libre sur chaque installation Debian 13 ?

Non. Mais sur les portables modernes, les chances sont élevées que le Wi‑Fi (et parfois le Bluetooth) en ait besoin. Considérez‑le comme « probable » sauf si vous avez confirmé que votre chipset fonctionne sans paquets firmware supplémentaires.

3) Est‑il sûr d’activer non-free-firmware dans APT ?

Opérationnellement, oui. Vous n’activez pas un dépôt mystérieux ; vous activez le composant firmware packagé par Debian pour que les mises à jour maintiennent votre matériel opérationnel. Le risque est surtout philosophique, pas technique.

4) Mon périphérique Wi‑Fi est Realtek. À quoi dois‑je m’attendre ?

Attendez‑vous à une dépendance firmware et à des écarts occasionnels dans la maturité des pilotes. La première étape est toujours dmesg pour les erreurs de chargement firmware et lspci -nnk pour confirmer la liaison du pilote. Si vous êtes bloqué, pensez à Ethernet/tethering pour l’installation et stabilisez après le démarrage.

5) Dois‑je garder Secure Boot activé ?

Si vous voulez la propriété de sécurité et que vous êtes prêt à gérer la signature des modules, oui. Si vous voulez un flux de travail de modules noyau peu contraignant, désactivez‑le. Le pire est de le laisser activé et de découvrir à répétition que vos modules ne se chargent pas durant un travail urgent.

6) Ai‑je besoin d’une partition /boot séparée ?

Généralement non sur les systèmes UEFI. Vous avez besoin d’un ESP pour les binaires EFI, mais votre kernel/initramfs peut vivre sur la racine. Un /boot séparé peut aider pour certains montages chiffrés, mais c’est une pièce mobile de plus.

7) ext4 vs btrfs pour un portable : que choisiriez‑vous ?

ext4 sauf si vous êtes explicitement engagé dans des workflows de snapshots et que vous comprenez la story de récupération. btrfs peut être excellent, mais « excellent » vient avec des politiques : rétention des snapshots, cadence de scrub, et intégration au démarrage.

8) Comment savoir si « pas d’internet » est DNS ou routage ?

Pinguez une IP (routage) et un nom (DNS). Si ping 1.1.1.1 fonctionne mais ping debian.org échoue, c’est DNS. Si les deux échouent, c’est le routage, un portail captif, ou un problème de couche lien.

9) Quel est le moyen le plus rapide de voir pourquoi le dernier démarrage a échoué ?

journalctl -b -p err..alert. Ça vous donne les erreurs de haute sévérité sans noyer dans le bruit. Élargissez ensuite si nécessaire.

10) Puis‑je réparer un boot UEFI cassé sans réinstaller ?

Souvent oui : montez l’ESP, réinstallez GRUB pour EFI, et recréez les entrées de démarrage avec efibootmgr. Mais si vous vous êtes installé en mode legacy et voulez UEFI à long terme, réinstaller proprement peut être plus rapide et plus sûr que l’archéologie du démarrage.

Étapes suivantes pour maintenir la stabilité

Debian 13 peut être une installation sans drame si vous traitez le mode de démarrage, le firmware et le réseau comme des préoccupations de première classe—pas comme des après‑pensées.

Faites ceci ensuite, dans cet ordre :

  1. Consignez vos faits de démarrage : mode UEFI, état Secure Boot, UUID/montage de l’ESP, et sortie efibootmgr -v.
  2. Verrouillez la fiabilité du firmware : confirmez que non-free-firmware est dans les sources APT ; installez le bon paquet firmware ; vérifiez avec dmesg.
  3. Effectuez une passe de sanity post‑installation : findmnt --verify, journalctl -b -p err..alert, et un contrôle réseau basique (ip route, resolvectl status).
  4. Ce n’est qu’après que vous personnalisez : réglages desktop, dépôts supplémentaires, pilotes tiers, et optimisation des performances. La stabilité d’abord ; le style ensuite.

Si vous ne faites rien d’autre, retenez ceci : l’installateur n’est pas la ligne d’arrivée. La ligne d’arrivée est une machine qui démarre encore et conserve le Wi‑Fi après la prochaine mise à jour du noyau.

← Précédent
Options Bluetooth manquantes (micro/A2DP) : explication des profils
Suivant →
DNS sécurisé sur Windows : DoH/DoT — Ce qui fonctionne réellement
Articles similaires
NixOS 25.11 — installation reproductible, dérive zéro, contrôle maximal Guide d’installation Ubuntu 24.04 LTS : Dual-Boot, Secure Boot et zéro perte de données Debian 13 : erreur dans fstab empêche le démarrage — solution la plus rapide en mode rescue Debian 13 : firmware manquant après l’installation — corriger le support NIC et HBA correctement

Articles similaires

Installation Oracle Linux 9 : Ksplice, UEK et une base serveur propre février 27, 2026 Installation de Raspberry Pi OS : carte SD bien faite (et comment éviter la corruption) février 26, 2026 Installation d’Arch Linux (UEFI + Wi Fi + Bureau) sans la souffrance habituelle février 25, 2026 Installation d’AlmaLinux 10 : Linux d’entreprise avec une voie de mise à niveau propre février 23, 2026 Installation d’Alpine Linux 3.23.3 : Petit, rapide, sécurisé — et réellement utilisable février 21, 2026 NixOS 25.11 — installation reproductible, dérive zéro, contrôle maximal février 21, 2026 Une mise à jour du noyau a cassé le passthrough ? Diagnostiquer rapidement l’IOMMU février 20, 2026 Installation Ubuntu Server 24.04 LTS : la configuration minimale réellement sécurisée février 19, 2026 Guide d’installation Ubuntu 24.04 LTS : Dual-Boot, Secure Boot et zéro perte de données février 18, 2026 Installation de Rocky Linux 10 : compatible RHEL sans les contraintes d’abonnement février 17, 2026

Laisser un commentaire