S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Windows 8 : le Secure Boot pourrait faire du tort à Linux

Et le tort tue

L’une des fonctionnalités de Windows 8 risque de faire parler d’elle chez les utilisateurs d’autres systèmes d’exploitation. Le prochain programme de logo « Designed for Windows 8 » réclame en effet le support de la fonctionnalité Secure Boot. Or, cette dernière rend obligatoire la signature du système d’exploitation par une Certificate Authority. Un mouvement qui ne facilitera pas l’installation des distributions Linux et autres systèmes.

windows 8 win8 build samsung

La protection de la séquence de démarrage contre les malwares

Ce fait est pointé du doigt par Matthew Garrett, développeur chez Red Hat. Le programme de logo imposera la présence du Secure Boot, une fonctionnalité permettant de s’assurer que toute la chaine de démarrage n’est pas modifiée. Le Secure Boot rend obligatoire la signature électronique de chaque élément de cette chaine, de l’UEFI au système d’exploitation. Or, si Windows 8 est forcément prévu pour une telle signature, ce n’est pas le cas de Linux.

Microsoft veut profiter du Secure Boot pour se débarrasser de toute une classe de malwares visant justement le démarrage du système, notamment les bootkits et rootkits. Dans le cas de Linux, l’installation du système ne sera pas forcément empêchée, mais l’étape de création du multi-boot ne pourra se faire, puisqu’il s’agit justement d’une modification dans la chaine de démarrage.

Le choix dans les mains des OEM

Matthew Garrett note toutefois que la seule présence de Windows 8 en tant que telle ne change rien à la situation actuelle. Toutes les machines équipées de BIOS par exemple ne pourront en aucun cas disposer du Secure Boot. Mais Microsoft va profiter de son programme de logo pour que l’UEFI se répande puisque les capacités de ce dernier vont jouer une part importante dans le boot rapide du système. De fait, l’attention se reporte vers les constructeurs.

Garrett estime ainsi que les cartes sont entre les mains des OEM. Si le Secure Boot doit être obligatoirement présent, rien n’indique qu’on ne peut pas mettre en place la possibilité de le désactiver. Il craint cependant que les OEM se conformant au programme cherchent à en faire le minimum, quitte à mettre de côté cette désactivation.

Du coup, le développeur ne craint pas l’interdiction d’installer Linux mais les restrictions sur le choix du matériel. On retrouvera trois cas :
  • La machine que l’on monte soi-même, et qui ne causera aucun problème
  • La machine d’un OEM avec logo Windows 8 avec désactivation possible du Secure Boot
  • La machine d’un OEM avec logo Windows 8 avec Secure Boot obligatoire
De fait, si un utilisateur de Linux souhaite changer de machine et en acheter une chez un OEM, il devra vérifier que le produit visé dispose bien de la coupure du Secure Boot.

Signer les distributions Linux : de nombreux problèmes

Garrett aborde également le cas de la possible signature des distributions Linux, mais cela pose plusieurs problèmes. Il note premièrement que chaque distribution aurait besoin d’un bootloader ne reposant pas sur la GPL. La version 3 de la licence rend obligatoire la distribution des clés, tandis que la version 2 n’aborde pas ce thème. Garrett estime cependant qu’il serait de mauvaise foi de se baser sur cette zone grise.

Deuxièmement, le futur du kernel est d’être lui-même un composant de la chaine de démarrage. Conséquence : il faudrait que le kernel soit également signé, une solution inenvisageable puisqu’elle interdirait aux développeurs tiers de compiler leur propre noyau. Troisièmement, les éditeurs de solution Linux pourraient envisager de faire leurs propres signatures, mais il faudrait alors disséminer ces clés à tous les OEM. Une option lourde sur un plan logistique, et qui n’a pas de garantie de succès.

En résumé, la question ne se pose pas avec le matériel actuel et toutes les cartes mères équipées de BIOS. Sur les prochaines machines OEM équipées d’UEFI, il faudra par contre contrôler que la désactivation du Secure Boot soit possible. 
Source : Ars Technica
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 22/09/2011 à 11:15

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 472 commentaires

Avatar de Galcian44 INpactien
Galcian44 Le jeudi 22 septembre 2011 à 11:52:45
Inscrit le mercredi 19 mai 10 - 23 commentaires

Ils imposent quand même que la fonctionnalité soit présente pour l'obtention du logo Windows 8... Sans eux les OEM ne mettraient sans doute même pas en place cette fonctionnalité.


Ah oui je n'avais pas bien fait le rapprochement. Il faut espérer que MS force également les OEM à intégrer une désactivation de ce système, mais pour le coup je ne vois pas ce qui pourrait les pousser à le faire.
Avatar de Khand INpactien
Khand Le jeudi 22 septembre 2011 à 11:52:58
Inscrit le vendredi 31 octobre 08 - 22 commentaires

t'as une femme et 3 gosses, tu vas pas acheter un cabriolet 2 places.
Et si t'es assez idiot pour le faire, faudrat pas venir pleurer


Parce qu'il sera clairement indiqué sur la machine, en magasin, qu'elle n'est limitée qu'à Windows 8 ?

Si certains constructeur permette la désactivation du secure boot et pas d'autre, comment faire la différence ?

"Monsieur tous le monde n'a cas garder Windows 8 ..."
Avatar de 127.0.0.1 INpactien
127.0.0.1 Le jeudi 22 septembre 2011 à 11:53:09
Inscrit le mercredi 29 avril 09 - 13213 commentaires
Oui avec des "si".
et on se retrouve avec des machines bloquées et ceux qui sont pas content on leur dit "vous avez qu'a pas l'acheter si vous etes pas content" ?
On retombe sur le meme argument que la vente liée


Pourquoi acheter un PC avec un logo "Designed for Windows 8" + un secure-boot non désactivable, tout ca pour au final y installer Linux ?

C'est un peu comme acheter un iPad et râler parce qu'on peut pas y mettre Windows XP.
Avatar de Vincent_H Equipe
Vincent_H Le jeudi 22 septembre 2011 à 11:53:30
Inscrit le jeudi 30 janvier 03 - 15419 commentaires
oui et non.
Je trouve que ce serait vraiment grossier comme méthode
Et MS est quand même dans une politique d 'ouverture ((pas trop hein mais un peu quand même)


Je ne dis pas que ça a été fait exprès. Mais c'est un effet collatéral auquel ils ont nécessairement pensé.
Avatar de ZoZo INpactien
ZoZo Le jeudi 22 septembre 2011 à 11:53:38
Inscrit le vendredi 19 décembre 03 - 3833 commentaires
Qu'ils en proposent pour ceux qui le souhaitent, why not, mais ils ne pourront pas proposer que ça


C'est même pas ça, c'est que la fonctionnalité pourrait être désactivée dans l'UEFI, donc pas besoin de sortir 2 produits différents, juste un qui ne vérouille pas l'option du secure boot. Je ne vois pas pourquoi les fabricants vérouilleraient l'option pour la vente de cartes mère au détail.
Avatar de siocnarf INpactien
siocnarf Le jeudi 22 septembre 2011 à 11:53:46
Inscrit le jeudi 17 août 06 - 61058 commentaires


Et qu'est-ce qui t'obligerai à acheter ce genre de carte mère ?

Tu crois franchement que les fabricants de CM prendront le risque de ne plus proposer QUE des cartes mères verrouillées pour windows8?
Ce serait totalement suicidaire pour eux et pour Microsoft (qui se taperai pas mal de procédure pour pratiques anti-concurrentielles au passage).
Qu'ils en proposent pour ceux qui le souhaitent, why not, mais ils ne pourront pas proposer que ça

je ne vois pas trop pourquoi il le ferait surtout
suffit pour eux de laisser la possibilité de désactiver cette fonctionnalité...
Avatar de Khalev INpactien
Khalev Le jeudi 22 septembre 2011 à 11:54:05
Inscrit le mercredi 1 avril 09 - 5605 commentaires

Et l'argument n'achetez pas si ca vous plait pas n'est pas recevable je maintiens.

Et les décisions de justice dans le cas de la vente liée te donnent raison.
Avatar de Poppu78 INpactien
Poppu78 Le jeudi 22 septembre 2011 à 11:54:47
Inscrit le vendredi 2 octobre 09 - 842 commentaires

t'as une femme et 3 gosses, tu vas pas acheter un cabriolet 2 places.
Et si t'es assez idiot pour le faire, faudrat pas venir pleurer

No comment sur les analogies avec les voitures...
Mais là il s'agit de PCs OEM, tu crois vraiment que le vendeur moyens chez carrefour auchan ou autre Leclerc saura te donner une réponse fiable à la question "le Secure Boot de l'UEFI de cette machine est-il déverrouillable ?" ? A mon avis il va te regarder de travers, se demander si tu te fous de sa gueule à parler chinois, et te répondre oui ou non en fonction de la réponse qu'il pense que tu attends...
Avatar de siocnarf INpactien
siocnarf Le jeudi 22 septembre 2011 à 11:55:28
Inscrit le jeudi 17 août 06 - 61058 commentaires
Non mais sémantiquement, si être validé "Designed for Windows 8" signifie de supporter la fonctionnalité "Secure Boot", ça ne signifie pas que cette fonctionnalité n'est pas désactivable.

+1
Avatar de huskie INpactien
huskie Le jeudi 22 septembre 2011 à 11:56:04
Inscrit le mercredi 20 avril 05 - 29925 commentaires
Ah oui j'avais aussi oublié l'histoire de "position dominante", qui fait qu'ils influencent le marché, et que s'ils en abusent ça peut se retourner contre eux.

D'ailleurs, ils ont très bien retenu la leçon pour Explorer.

La Commission a alors ordonné une vaste enquête de secteur, sur le marché des systèmes d’exploitation pour PC clients. Anticipant la décision de la Commission, qui aurait pu lui coûter 10% de son chiffre d’affaires annuel mondial s’il était reconnu coupable, Microsoft a pris différents engagements pour échapper à cette amende éventuelle.

Y jouent pas petits bras à la CE.
;