Windows 8 : le Secure Boot pourrait faire du tort à Linux
Et le tort tue
L’une des fonctionnalités de Windows 8 risque de faire parler d’elle chez les utilisateurs d’autres systèmes d’exploitation. Le prochain programme de logo « Designed for Windows 8 » réclame en effet le support de la fonctionnalité Secure Boot. Or, cette dernière rend obligatoire la signature du système d’exploitation par une Certificate Authority. Un mouvement qui ne facilitera pas l’installation des distributions Linux et autres systèmes.
La protection de la séquence de démarrage contre les malwares
Ce fait est pointé du doigt par Matthew Garrett, développeur chez Red Hat. Le programme de logo imposera la présence du Secure Boot, une fonctionnalité permettant de s’assurer que toute la chaine de démarrage n’est pas modifiée. Le Secure Boot rend obligatoire la signature électronique de chaque élément de cette chaine, de l’UEFI au système d’exploitation. Or, si Windows 8 est forcément prévu pour une telle signature, ce n’est pas le cas de Linux.
Microsoft veut profiter du Secure Boot pour se débarrasser de toute une classe de malwares visant justement le démarrage du système, notamment les bootkits et rootkits. Dans le cas de Linux, l’installation du système ne sera pas forcément empêchée, mais l’étape de création du multi-boot ne pourra se faire, puisqu’il s’agit justement d’une modification dans la chaine de démarrage.
Le choix dans les mains des OEM
Matthew Garrett note toutefois que la seule présence de Windows 8 en tant que telle ne change rien à la situation actuelle. Toutes les machines équipées de BIOS par exemple ne pourront en aucun cas disposer du Secure Boot. Mais Microsoft va profiter de son programme de logo pour que l’UEFI se répande puisque les capacités de ce dernier vont jouer une part importante dans le boot rapide du système. De fait, l’attention se reporte vers les constructeurs.
Garrett estime ainsi que les cartes sont entre les mains des OEM. Si le Secure Boot doit être obligatoirement présent, rien n’indique qu’on ne peut pas mettre en place la possibilité de le désactiver. Il craint cependant que les OEM se conformant au programme cherchent à en faire le minimum, quitte à mettre de côté cette désactivation.
Du coup, le développeur ne craint pas l’interdiction d’installer Linux mais les restrictions sur le choix du matériel. On retrouvera trois cas :
Signer les distributions Linux : de nombreux problèmes
Garrett aborde également le cas de la possible signature des distributions Linux, mais cela pose plusieurs problèmes. Il note premièrement que chaque distribution aurait besoin d’un bootloader ne reposant pas sur la GPL. La version 3 de la licence rend obligatoire la distribution des clés, tandis que la version 2 n’aborde pas ce thème. Garrett estime cependant qu’il serait de mauvaise foi de se baser sur cette zone grise.
Deuxièmement, le futur du kernel est d’être lui-même un composant de la chaine de démarrage. Conséquence : il faudrait que le kernel soit également signé, une solution inenvisageable puisqu’elle interdirait aux développeurs tiers de compiler leur propre noyau. Troisièmement, les éditeurs de solution Linux pourraient envisager de faire leurs propres signatures, mais il faudrait alors disséminer ces clés à tous les OEM. Une option lourde sur un plan logistique, et qui n’a pas de garantie de succès.
En résumé, la question ne se pose pas avec le matériel actuel et toutes les cartes mères équipées de BIOS. Sur les prochaines machines OEM équipées d’UEFI, il faudra par contre contrôler que la désactivation du Secure Boot soit possible.
La protection de la séquence de démarrage contre les malwares
Ce fait est pointé du doigt par Matthew Garrett, développeur chez Red Hat. Le programme de logo imposera la présence du Secure Boot, une fonctionnalité permettant de s’assurer que toute la chaine de démarrage n’est pas modifiée. Le Secure Boot rend obligatoire la signature électronique de chaque élément de cette chaine, de l’UEFI au système d’exploitation. Or, si Windows 8 est forcément prévu pour une telle signature, ce n’est pas le cas de Linux.
Microsoft veut profiter du Secure Boot pour se débarrasser de toute une classe de malwares visant justement le démarrage du système, notamment les bootkits et rootkits. Dans le cas de Linux, l’installation du système ne sera pas forcément empêchée, mais l’étape de création du multi-boot ne pourra se faire, puisqu’il s’agit justement d’une modification dans la chaine de démarrage.
Le choix dans les mains des OEM
Matthew Garrett note toutefois que la seule présence de Windows 8 en tant que telle ne change rien à la situation actuelle. Toutes les machines équipées de BIOS par exemple ne pourront en aucun cas disposer du Secure Boot. Mais Microsoft va profiter de son programme de logo pour que l’UEFI se répande puisque les capacités de ce dernier vont jouer une part importante dans le boot rapide du système. De fait, l’attention se reporte vers les constructeurs.
Garrett estime ainsi que les cartes sont entre les mains des OEM. Si le Secure Boot doit être obligatoirement présent, rien n’indique qu’on ne peut pas mettre en place la possibilité de le désactiver. Il craint cependant que les OEM se conformant au programme cherchent à en faire le minimum, quitte à mettre de côté cette désactivation.
Du coup, le développeur ne craint pas l’interdiction d’installer Linux mais les restrictions sur le choix du matériel. On retrouvera trois cas :
- La machine que l’on monte soi-même, et qui ne causera aucun problème
- La machine d’un OEM avec logo Windows 8 avec désactivation possible du Secure Boot
- La machine d’un OEM avec logo Windows 8 avec Secure Boot obligatoire
Signer les distributions Linux : de nombreux problèmes
Garrett aborde également le cas de la possible signature des distributions Linux, mais cela pose plusieurs problèmes. Il note premièrement que chaque distribution aurait besoin d’un bootloader ne reposant pas sur la GPL. La version 3 de la licence rend obligatoire la distribution des clés, tandis que la version 2 n’aborde pas ce thème. Garrett estime cependant qu’il serait de mauvaise foi de se baser sur cette zone grise.
Deuxièmement, le futur du kernel est d’être lui-même un composant de la chaine de démarrage. Conséquence : il faudrait que le kernel soit également signé, une solution inenvisageable puisqu’elle interdirait aux développeurs tiers de compiler leur propre noyau. Troisièmement, les éditeurs de solution Linux pourraient envisager de faire leurs propres signatures, mais il faudrait alors disséminer ces clés à tous les OEM. Une option lourde sur un plan logistique, et qui n’a pas de garantie de succès.
En résumé, la question ne se pose pas avec le matériel actuel et toutes les cartes mères équipées de BIOS. Sur les prochaines machines OEM équipées d’UEFI, il faudra par contre contrôler que la désactivation du Secure Boot soit possible.
Source :
Ars Technica
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 22 septembre 2011 à 11:15
(47 066
lectures)
Il y a 472 commentaires
INpactien
Honnêtement, même si mon avatarne plaide pas en ma faveur :p, je ne pense pas que ce soit réellement intentionnel de la part de MS
Et la marmotte elle met le chocolat dans le papier alu, c'est ça ?
INpactien
dada051
Le jeudi 22 septembre 2011 à 11:29:36
#12
Inscrit
le mercredi 12 décembre 07
-
390
commentaires
Il suffit d'acheter son PC en pièces détachées, de toute façon les PC de marques c'est trop cher pour ce que c'est...
INpactien
D'où l'intérêt de garder XP/Seven
De toute manière, ce windows 8 est largement orienté tablette, non ? Qui mettrait du nux sur une tablette ?! A part pour de la bidouille ?
Toutes les tablettes tournant sous android par exemple...
INpactien
typhoon006
Le jeudi 22 septembre 2011 à 11:30:48
#14
Inscrit
le jeudi 12 mai 05
-
23906
commentaires
Oui, si l'UEFI ne comporte pas de solution de désactivation du blocage il empêchera un OS non signé de démarrer. La question c'est aussi pour l'UEFI, il est normalement possible de le changer (par un OpenSource par exemple) qu'il faudra donc signer ?
Me parait assez étrange tout ça, à mon avis on a pas tout les éléments pour en tirer de réelle conclusion.
Et le mec de RH tire un peu trop vite la sonette d'alarme je pense.
Parceque ca voudrait dire également qu'il serait impossible d'installer une Win XP/Vista/7
INpactien
Schpountz42
Le jeudi 22 septembre 2011 à 11:31:24
#15
Inscrit
le jeudi 26 février 09
-
2579
commentaires
Moi je me pose surtout une question légale.
Cela ne rentrerait-il pas dans la vente de services forcée avec un matériel?
Car après tout, sans OS le PC n'est pas utilisable.
Cela ne rentrerait-il pas dans la vente de services forcée avec un matériel?
Car après tout, sans OS le PC n'est pas utilisable.
INpactien
typhoon006
Le jeudi 22 septembre 2011 à 11:32:32
#16
Inscrit
le jeudi 12 mai 05
-
23906
commentaires
Oh je doute qu'ils n'y aient pas pensé.
oui et non.
Je trouve que ce serait vraiment grossier comme méthode
Et MS est quand même dans une politique d 'ouverture ((pas trop hein mais un peu quand même)
INpactien
Schpountz42
Le jeudi 22 septembre 2011 à 11:33:31
#17
Inscrit
le jeudi 26 février 09
-
2579
commentaires
Il suffit d'acheter son PC en pièces détachées, de toute façon les PC de marques c'est trop cher pour ce que c'est...
On dit toujours ça, mais il reste le cas des PC portable...
Me parait assez étrange tout ça, à mon avis on a pas tout les éléments pour en tirer de réelle conclusion.
Et le mec de RH tire un peu trop vite la sonette d'alarme je pense.
Parceque ca voudrait dire également qu'il serait impossible d'installer une Win XP/Vista/7
Et le mec de RH tire un peu trop vite la sonette d'alarme je pense.
Parceque ca voudrait dire également qu'il serait impossible d'installer une Win XP/Vista/7
Ca les arrange
INpactien
Toutes les tablettes tournant sous android par exemple...
Oui, mais généralement si elles tournent sous Android, elles sont livrées AVEC android, non ? Android doit coûter moins cher en licence aux fabricants ? Pourquoi se priveraient-ils de l'installer par défaut ?
INpactien
cid_Dileezer_geek
Le jeudi 22 septembre 2011 à 11:34:07
#19
Inscrit
le lundi 16 mars 09
-
10306
commentaires
D'où l'intérêt de garder XP/Seven
De toute manière, ce windows 8 est largement orienté tablette, non ? Qui mettrait du nux sur une tablette ?! A part pour de la bidouille ?
le problème va se poser pour les nouveaux portables à un moment ou un autre, et si le secure boot n'est pas désactivable, sur ces machines là désinstaller 8 pour remettre seven ou linux ne fonctionnera pas non plus puisque tout se passe au niveau de l'uefi.
Wait & see.
INpactien
typhoon006
Le jeudi 22 septembre 2011 à 11:34:09
#20
Inscrit
le jeudi 12 mai 05
-
23906
commentaires
On dit toujours ça, mais il reste le cas des PC portable...
Ca les arrange
Ca les arrange
Pour XP/Vista certainement mais pas pour 7
Edité par typhoon006 le jeudi 22 septembre 2011 à 11:34
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
![[MàJ] The Pirate Bay de retour](data:image/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==)
[MàJ] The Pirate Bay de retour
(15)
Le bateau coule ? -
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!!
![[MàJ] The Pirate Bay de retour](http://static.pcinpact.com/images/bd/dedicated/79905.jpg)
-
Une alimentation modulaire Enermax Naxn de 750 W pour 99,90 €
Valable jusqu'au 26 mai -
Une souris filaire Razer Deathadder 2013 pour 46,69 €
Valable jusqu'au 26 mai -
Un moniteur LED Viewsonic de 27 pouces avec 2 HDMI : 191,90 €
Valable jusqu'au 26 mai -
Un boîtier Antec Lanboy Air bleu pour 79,99 €
Valable jusqu'au 26 mai
