Windows 8 : le Secure Boot pourrait faire du tort à Linux
Et le tort tue
L’une des fonctionnalités de Windows 8 risque de faire parler d’elle chez les utilisateurs d’autres systèmes d’exploitation. Le prochain programme de logo « Designed for Windows 8 » réclame en effet le support de la fonctionnalité Secure Boot. Or, cette dernière rend obligatoire la signature du système d’exploitation par une Certificate Authority. Un mouvement qui ne facilitera pas l’installation des distributions Linux et autres systèmes.
La protection de la séquence de démarrage contre les malwares
Ce fait est pointé du doigt par Matthew Garrett, développeur chez Red Hat. Le programme de logo imposera la présence du Secure Boot, une fonctionnalité permettant de s’assurer que toute la chaine de démarrage n’est pas modifiée. Le Secure Boot rend obligatoire la signature électronique de chaque élément de cette chaine, de l’UEFI au système d’exploitation. Or, si Windows 8 est forcément prévu pour une telle signature, ce n’est pas le cas de Linux.
Microsoft veut profiter du Secure Boot pour se débarrasser de toute une classe de malwares visant justement le démarrage du système, notamment les bootkits et rootkits. Dans le cas de Linux, l’installation du système ne sera pas forcément empêchée, mais l’étape de création du multi-boot ne pourra se faire, puisqu’il s’agit justement d’une modification dans la chaine de démarrage.
Le choix dans les mains des OEM
Matthew Garrett note toutefois que la seule présence de Windows 8 en tant que telle ne change rien à la situation actuelle. Toutes les machines équipées de BIOS par exemple ne pourront en aucun cas disposer du Secure Boot. Mais Microsoft va profiter de son programme de logo pour que l’UEFI se répande puisque les capacités de ce dernier vont jouer une part importante dans le boot rapide du système. De fait, l’attention se reporte vers les constructeurs.
Garrett estime ainsi que les cartes sont entre les mains des OEM. Si le Secure Boot doit être obligatoirement présent, rien n’indique qu’on ne peut pas mettre en place la possibilité de le désactiver. Il craint cependant que les OEM se conformant au programme cherchent à en faire le minimum, quitte à mettre de côté cette désactivation.
Du coup, le développeur ne craint pas l’interdiction d’installer Linux mais les restrictions sur le choix du matériel. On retrouvera trois cas :
Signer les distributions Linux : de nombreux problèmes
Garrett aborde également le cas de la possible signature des distributions Linux, mais cela pose plusieurs problèmes. Il note premièrement que chaque distribution aurait besoin d’un bootloader ne reposant pas sur la GPL. La version 3 de la licence rend obligatoire la distribution des clés, tandis que la version 2 n’aborde pas ce thème. Garrett estime cependant qu’il serait de mauvaise foi de se baser sur cette zone grise.
Deuxièmement, le futur du kernel est d’être lui-même un composant de la chaine de démarrage. Conséquence : il faudrait que le kernel soit également signé, une solution inenvisageable puisqu’elle interdirait aux développeurs tiers de compiler leur propre noyau. Troisièmement, les éditeurs de solution Linux pourraient envisager de faire leurs propres signatures, mais il faudrait alors disséminer ces clés à tous les OEM. Une option lourde sur un plan logistique, et qui n’a pas de garantie de succès.
En résumé, la question ne se pose pas avec le matériel actuel et toutes les cartes mères équipées de BIOS. Sur les prochaines machines OEM équipées d’UEFI, il faudra par contre contrôler que la désactivation du Secure Boot soit possible.
La protection de la séquence de démarrage contre les malwares
Ce fait est pointé du doigt par Matthew Garrett, développeur chez Red Hat. Le programme de logo imposera la présence du Secure Boot, une fonctionnalité permettant de s’assurer que toute la chaine de démarrage n’est pas modifiée. Le Secure Boot rend obligatoire la signature électronique de chaque élément de cette chaine, de l’UEFI au système d’exploitation. Or, si Windows 8 est forcément prévu pour une telle signature, ce n’est pas le cas de Linux.
Microsoft veut profiter du Secure Boot pour se débarrasser de toute une classe de malwares visant justement le démarrage du système, notamment les bootkits et rootkits. Dans le cas de Linux, l’installation du système ne sera pas forcément empêchée, mais l’étape de création du multi-boot ne pourra se faire, puisqu’il s’agit justement d’une modification dans la chaine de démarrage.
Le choix dans les mains des OEM
Matthew Garrett note toutefois que la seule présence de Windows 8 en tant que telle ne change rien à la situation actuelle. Toutes les machines équipées de BIOS par exemple ne pourront en aucun cas disposer du Secure Boot. Mais Microsoft va profiter de son programme de logo pour que l’UEFI se répande puisque les capacités de ce dernier vont jouer une part importante dans le boot rapide du système. De fait, l’attention se reporte vers les constructeurs.
Garrett estime ainsi que les cartes sont entre les mains des OEM. Si le Secure Boot doit être obligatoirement présent, rien n’indique qu’on ne peut pas mettre en place la possibilité de le désactiver. Il craint cependant que les OEM se conformant au programme cherchent à en faire le minimum, quitte à mettre de côté cette désactivation.
Du coup, le développeur ne craint pas l’interdiction d’installer Linux mais les restrictions sur le choix du matériel. On retrouvera trois cas :
- La machine que l’on monte soi-même, et qui ne causera aucun problème
- La machine d’un OEM avec logo Windows 8 avec désactivation possible du Secure Boot
- La machine d’un OEM avec logo Windows 8 avec Secure Boot obligatoire
Signer les distributions Linux : de nombreux problèmes
Garrett aborde également le cas de la possible signature des distributions Linux, mais cela pose plusieurs problèmes. Il note premièrement que chaque distribution aurait besoin d’un bootloader ne reposant pas sur la GPL. La version 3 de la licence rend obligatoire la distribution des clés, tandis que la version 2 n’aborde pas ce thème. Garrett estime cependant qu’il serait de mauvaise foi de se baser sur cette zone grise.
Deuxièmement, le futur du kernel est d’être lui-même un composant de la chaine de démarrage. Conséquence : il faudrait que le kernel soit également signé, une solution inenvisageable puisqu’elle interdirait aux développeurs tiers de compiler leur propre noyau. Troisièmement, les éditeurs de solution Linux pourraient envisager de faire leurs propres signatures, mais il faudrait alors disséminer ces clés à tous les OEM. Une option lourde sur un plan logistique, et qui n’a pas de garantie de succès.
En résumé, la question ne se pose pas avec le matériel actuel et toutes les cartes mères équipées de BIOS. Sur les prochaines machines OEM équipées d’UEFI, il faudra par contre contrôler que la désactivation du Secure Boot soit possible.
Source :
Ars Technica
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 22 septembre 2011 à 11:15
(47 067
lectures)
Il y a 472 commentaires
INpactien
seb2411
Le jeudi 22 septembre 2011 à 12:09:47
#111
Inscrit
le vendredi 24 octobre 08
-
2626
commentaires
Pourquoi acheter un PC avec un logo "Designed for Windows 8" + un secure-boot non désactivable, tout ca pour au final y installer Linux ?
C'est un peu comme acheter un iPad et râler parce qu'on peut pas y mettre Windows XP.
Non la première chose :
- Tu préconisent à tout ceux qui veulent migrer vers Linux de s'acheter un nouveau PC en gros ?
- Dans le cas des portables si tu veux des spec particulières tu n'auras pas forcément d'autres choix que de prendre avec Windows.
- Le secure boot c'est pas forcément le genre de trucs écris en gros à coté du prix. Bref il faut le savoir
INpactien
Mais à quoi ça sert d'avoir un secureBoot si tu vas booter n'importe où après avec le bootloader de windows ?
Le secure boot à la base c'est pour empècher un malware de modifier le boot à l'insue de l'utilisateur.
Si la modification du bootloader se fait de manière cadré (depuis Windows ou dans le bootloader lui-même, reclamation du mot de passe admin, message d'avertissement etc) je ne vois pas où est le problème.
INpactien
huskie
Le jeudi 22 septembre 2011 à 12:10:21
#113
Inscrit
le mercredi 20 avril 05
-
29925
commentaires
90% des gens sont sûrement des cons j'imagine.
Quelque soit la taille de l'échantillon (même si on est tout seul).
INpactien
siocnarf
Le jeudi 22 septembre 2011 à 12:10:38
#114
Inscrit
le jeudi 17 août 06
-
60870
commentaires
W8 supporte toutes les machines, c'est juste une histoire d'autocollant "compatible W8" 
Après ça bootera au pire en 5-10 secondes de plus sur une machine non certifiée, c'est tout! Au final je pense que c'est plus pour les ordinateurs portables/netbooks/tablettes que pour les fixes...
Mais sinon il est "possible" d'imaginer un warning de la machine "attention, votre système n'est pas signé, voulez vous continuer quand même?".... Bien entendu c'est pas très sexy, mais ça permettrait de supporter tous les systèmes.
Après ça bootera au pire en 5-10 secondes de plus sur une machine non certifiée, c'est tout! Au final je pense que c'est plus pour les ordinateurs portables/netbooks/tablettes que pour les fixes...
Mais sinon il est "possible" d'imaginer un warning de la machine "attention, votre système n'est pas signé, voulez vous continuer quand même?".... Bien entendu c'est pas très sexy, mais ça permettrait de supporter tous les systèmes.
ouais enfin un message comme ça à chaque boot
INpactien
typhoon006
Le jeudi 22 septembre 2011 à 12:11:33
#115
Inscrit
le jeudi 12 mai 05
-
23906
commentaires
L'analogie avec la voiture c'était pour déconner 
.
Tout ceci me fait furieusement pensé à la chaine HDCP certified ceci dit. Tout le monde a gueulé les 1er jours puis tout le monde a oublié
Edité par typhoon006 le jeudi 22 septembre 2011 à 12:12
. Tout ceci me fait furieusement pensé à la chaine HDCP certified ceci dit. Tout le monde a gueulé les 1er jours puis tout le monde a oublié
Edité par typhoon006 le jeudi 22 septembre 2011 à 12:12
INpactien
Faut lui poser la question:
"Rassurez-moi, le Secure Boot de l'UEFI n'est pas dévérouillable n'est-ce pas?"
Du coup s'il te dit oui, c'est que c'set vrai!
"Rassurez-moi, le Secure Boot de l'UEFI n'est pas dévérouillable n'est-ce pas?"
Du coup s'il te dit oui, c'est que c'set vrai!
Si il dit juste oui sa réponse est incompréhensible : il dit oui au "n'est-ce pas" ou au "n'est pas déverouillable" ?
La bonne réponse pour "rassurer" est non, il n'est pas déverouillable. L'autre réponse est "si, il est déverrouillable"
Modérateur
manudwarf
Le jeudi 22 septembre 2011 à 12:12:40
#117
Inscrit
le dimanche 14 décembre 08
-
4174
commentaires
Pourquoi acheter un PC avec un logo "Designed for Windows 8" + un secure-boot non désactivable, tout ca pour au final y installer Linux ?
C'est un peu comme acheter un iPad et râler parce qu'on peut pas y mettre Windows XP.
1. Il n'y a rien matériellement qui empêche Linux de fonctionner sur ton PC. C'est une restriction purement logicielle.
2. L'iPad devrait pouvoir accepter d'autres OS c'est vrai, mais je connais peu l'univers Apple je ne m'avancerai pas plus loin.
INpactien
127.0.0.1
Le jeudi 22 septembre 2011 à 12:12:50
#118
Inscrit
le mercredi 29 avril 09
-
12264
commentaires
Tu as vu le nombre de gens qui ont acheté une Touchpad uniquement dans l'espoir d'y mettre Android ?
Ouais, c'est vrai.
Mais peut-être aussi que les gens ne devraient pas prendre pour un droit inaliénable le fait que Linux s'installe sur tout ce qui a un CPU.
On a l'impression qu'a chaque fois qu'on peut pas installer Linux quelque-part, c'est un complot machiavélique du fabriquant avec Microsoft. Peut-être que c'est simplement que le fabriquant ne s'intéresse pas à la compatibilité Linux, étant donné le peu de marché que ca représente.
Tout comme je pense qu'il n'existe pas de complot webmaster/firefox pour empecher Opera de lire correctement un site web. Mais que c'est simplement que Opera ne représente pas assez de PDM pour que le webmaster fasse l'effort d'assurer la compatibilité.
Edité par 127.0.0.1 le jeudi 22 septembre 2011 à 12:15
INpactien
huskie
Le jeudi 22 septembre 2011 à 12:13:08
#119
Inscrit
le mercredi 20 avril 05
-
29925
commentaires
L'analogie avec la voiture c'était pour déconner .
Tout ceci me fait furieusement pensé à la chaine HDCP certified ceci dit. Tout le monde a gueulé les 1er jours puis tout le monde à oublier
. Tout ceci me fait furieusement pensé à la chaine HDCP certified ceci dit. Tout le monde a gueulé les 1er jours puis tout le monde à oublier
Ouep et le Blu-ray est en train de se planter.
Super le HDCP.
INpactien
Tout le monde a gueulé les 1er jours puis tout le monde a oublié
Tu m'étonnes vu que ça n'a jamais empèché de voir circuler les ISO de BR sur les réseaux torrent
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
![[MàJ] The Pirate Bay de retour](data:image/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==)
[MàJ] The Pirate Bay de retour
(15)
Le bateau coule ? -
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!!
![[MàJ] The Pirate Bay de retour](http://static.pcinpact.com/images/bd/dedicated/79905.jpg)
-
Une alimentation modulaire Enermax Naxn de 750 W pour 99,90 €
Valable jusqu'au 26 mai -
Une souris filaire Razer Deathadder 2013 pour 46,69 €
Valable jusqu'au 26 mai -
Un moniteur LED Viewsonic de 27 pouces avec 2 HDMI : 191,90 €
Valable jusqu'au 26 mai -
Un boîtier Antec Lanboy Air bleu pour 79,99 €
Valable jusqu'au 26 mai
