Windows 8 : le Secure Boot pourrait faire du tort à Linux
Et le tort tue
L’une des fonctionnalités de Windows 8 risque de faire parler d’elle chez les utilisateurs d’autres systèmes d’exploitation. Le prochain programme de logo « Designed for Windows 8 » réclame en effet le support de la fonctionnalité Secure Boot. Or, cette dernière rend obligatoire la signature du système d’exploitation par une Certificate Authority. Un mouvement qui ne facilitera pas l’installation des distributions Linux et autres systèmes.
La protection de la séquence de démarrage contre les malwares
Ce fait est pointé du doigt par Matthew Garrett, développeur chez Red Hat. Le programme de logo imposera la présence du Secure Boot, une fonctionnalité permettant de s’assurer que toute la chaine de démarrage n’est pas modifiée. Le Secure Boot rend obligatoire la signature électronique de chaque élément de cette chaine, de l’UEFI au système d’exploitation. Or, si Windows 8 est forcément prévu pour une telle signature, ce n’est pas le cas de Linux.
Microsoft veut profiter du Secure Boot pour se débarrasser de toute une classe de malwares visant justement le démarrage du système, notamment les bootkits et rootkits. Dans le cas de Linux, l’installation du système ne sera pas forcément empêchée, mais l’étape de création du multi-boot ne pourra se faire, puisqu’il s’agit justement d’une modification dans la chaine de démarrage.
Le choix dans les mains des OEM
Matthew Garrett note toutefois que la seule présence de Windows 8 en tant que telle ne change rien à la situation actuelle. Toutes les machines équipées de BIOS par exemple ne pourront en aucun cas disposer du Secure Boot. Mais Microsoft va profiter de son programme de logo pour que l’UEFI se répande puisque les capacités de ce dernier vont jouer une part importante dans le boot rapide du système. De fait, l’attention se reporte vers les constructeurs.
Garrett estime ainsi que les cartes sont entre les mains des OEM. Si le Secure Boot doit être obligatoirement présent, rien n’indique qu’on ne peut pas mettre en place la possibilité de le désactiver. Il craint cependant que les OEM se conformant au programme cherchent à en faire le minimum, quitte à mettre de côté cette désactivation.
Du coup, le développeur ne craint pas l’interdiction d’installer Linux mais les restrictions sur le choix du matériel. On retrouvera trois cas :
Signer les distributions Linux : de nombreux problèmes
Garrett aborde également le cas de la possible signature des distributions Linux, mais cela pose plusieurs problèmes. Il note premièrement que chaque distribution aurait besoin d’un bootloader ne reposant pas sur la GPL. La version 3 de la licence rend obligatoire la distribution des clés, tandis que la version 2 n’aborde pas ce thème. Garrett estime cependant qu’il serait de mauvaise foi de se baser sur cette zone grise.
Deuxièmement, le futur du kernel est d’être lui-même un composant de la chaine de démarrage. Conséquence : il faudrait que le kernel soit également signé, une solution inenvisageable puisqu’elle interdirait aux développeurs tiers de compiler leur propre noyau. Troisièmement, les éditeurs de solution Linux pourraient envisager de faire leurs propres signatures, mais il faudrait alors disséminer ces clés à tous les OEM. Une option lourde sur un plan logistique, et qui n’a pas de garantie de succès.
En résumé, la question ne se pose pas avec le matériel actuel et toutes les cartes mères équipées de BIOS. Sur les prochaines machines OEM équipées d’UEFI, il faudra par contre contrôler que la désactivation du Secure Boot soit possible.
La protection de la séquence de démarrage contre les malwares
Ce fait est pointé du doigt par Matthew Garrett, développeur chez Red Hat. Le programme de logo imposera la présence du Secure Boot, une fonctionnalité permettant de s’assurer que toute la chaine de démarrage n’est pas modifiée. Le Secure Boot rend obligatoire la signature électronique de chaque élément de cette chaine, de l’UEFI au système d’exploitation. Or, si Windows 8 est forcément prévu pour une telle signature, ce n’est pas le cas de Linux.
Microsoft veut profiter du Secure Boot pour se débarrasser de toute une classe de malwares visant justement le démarrage du système, notamment les bootkits et rootkits. Dans le cas de Linux, l’installation du système ne sera pas forcément empêchée, mais l’étape de création du multi-boot ne pourra se faire, puisqu’il s’agit justement d’une modification dans la chaine de démarrage.
Le choix dans les mains des OEM
Matthew Garrett note toutefois que la seule présence de Windows 8 en tant que telle ne change rien à la situation actuelle. Toutes les machines équipées de BIOS par exemple ne pourront en aucun cas disposer du Secure Boot. Mais Microsoft va profiter de son programme de logo pour que l’UEFI se répande puisque les capacités de ce dernier vont jouer une part importante dans le boot rapide du système. De fait, l’attention se reporte vers les constructeurs.
Garrett estime ainsi que les cartes sont entre les mains des OEM. Si le Secure Boot doit être obligatoirement présent, rien n’indique qu’on ne peut pas mettre en place la possibilité de le désactiver. Il craint cependant que les OEM se conformant au programme cherchent à en faire le minimum, quitte à mettre de côté cette désactivation.
Du coup, le développeur ne craint pas l’interdiction d’installer Linux mais les restrictions sur le choix du matériel. On retrouvera trois cas :
- La machine que l’on monte soi-même, et qui ne causera aucun problème
- La machine d’un OEM avec logo Windows 8 avec désactivation possible du Secure Boot
- La machine d’un OEM avec logo Windows 8 avec Secure Boot obligatoire
Signer les distributions Linux : de nombreux problèmes
Garrett aborde également le cas de la possible signature des distributions Linux, mais cela pose plusieurs problèmes. Il note premièrement que chaque distribution aurait besoin d’un bootloader ne reposant pas sur la GPL. La version 3 de la licence rend obligatoire la distribution des clés, tandis que la version 2 n’aborde pas ce thème. Garrett estime cependant qu’il serait de mauvaise foi de se baser sur cette zone grise.
Deuxièmement, le futur du kernel est d’être lui-même un composant de la chaine de démarrage. Conséquence : il faudrait que le kernel soit également signé, une solution inenvisageable puisqu’elle interdirait aux développeurs tiers de compiler leur propre noyau. Troisièmement, les éditeurs de solution Linux pourraient envisager de faire leurs propres signatures, mais il faudrait alors disséminer ces clés à tous les OEM. Une option lourde sur un plan logistique, et qui n’a pas de garantie de succès.
En résumé, la question ne se pose pas avec le matériel actuel et toutes les cartes mères équipées de BIOS. Sur les prochaines machines OEM équipées d’UEFI, il faudra par contre contrôler que la désactivation du Secure Boot soit possible.
Source :
Ars Technica
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 22 septembre 2011 à 11:15
(47 091
lectures)
Il y a 472 commentaires
INpactien
ZoZo
Le jeudi 22 septembre 2011 à 11:57:09
#81
Inscrit
le vendredi 19 décembre 03
-
3800
commentaires
non MS ne bloquera 'jamais' l'installation de son OS en version piraté...ils mettent des barrières légères pour faire 'genre' mais c'est tout 
Il y a longtemps que la théorie de MS qui aime que son produit soit piraté ne tient plus. C'était relativement plausible au temps de Windows 3.x et 95, mais depuis 98 et son hégémonie acquise, Microsoft a clairement plus à gagner en empêchant le piratage qu'en l'acceptant.
Equipe
Vincent_H
Le jeudi 22 septembre 2011 à 11:57:32
#82
Inscrit
le jeudi 30 janvier 03
-
14907
commentaires
Oui avec des "si".
et on se retrouve avec des machines bloquées et ceux qui sont pas content on leur dit "vous avez qu'a pas l'acheter si vous etes pas content" ?
On retombe sur le meme argument que la vente liée
et on se retrouve avec des machines bloquées et ceux qui sont pas content on leur dit "vous avez qu'a pas l'acheter si vous etes pas content" ?
On retombe sur le meme argument que la vente liée
Ce n'est pas un si super hypothèque, mais un si qu'on va retrouver dans la grande majorité des cas. Il n'y a pas de raison d'être mécontent si l'on vérifie un minimum ce que l'on achète. Je suis bien prêt à parier que certains OEM deviendront connus justement parce qu'ils implémenteront le switch du secure boot.
INpactien
En même temps c'est le seul moyen de faire pression sur un gros groupe comme celui-là.
INpactien
gachdel
Le jeudi 22 septembre 2011 à 11:58:18
#84
Inscrit
le mercredi 5 décembre 07
-
2668
commentaires
L'étape suivante, ça sera les exécutables non signés qui ne pourront plus être exécutés, toujours sous prétexte de sécurité (virus, toussa...). Exit Firefox, Open Office et tout le reste, bonjour IE, MS Office.
Monde de merde...
Pour contenter les 2 parties, il y aura le Marketplace...
INpactien
Poppu78
Le jeudi 22 septembre 2011 à 11:58:22
#85
Inscrit
le vendredi 2 octobre 09
-
637
commentaires
Pourquoi acheter un PC avec un logo "Designed for Windows 8" + un secure-boot non désactivable, tout ca pour au final y installer Linux ?
C'est un peu comme acheter un iPad et râler parce qu'on peut pas y mettre Windows XP.
Tu as vu le nombre de gens qui ont acheté une Touchpad uniquement dans l'espoir d'y mettre Android ?
Equipe
Vincent_H
Le jeudi 22 septembre 2011 à 11:58:27
#86
Inscrit
le jeudi 30 janvier 03
-
14907
commentaires
Non mais sémantiquement, si être validé "Designed for Windows 8" signifie de supporter la fonctionnalité "Secure Boot", ça ne signifie pas que cette fonctionnalité n'est pas désactivable.
C'est bien ce que dit le gars de chez Red Hat.
INpactien
Kakuro456
Le jeudi 22 septembre 2011 à 11:58:28
#87
Inscrit
le mercredi 4 mars 09
-
1008
commentaires
Vu qu'en natif Windows 8 gérera la virtualisation, on pourra y faire tourner un linux, et puis voilà 
(Et sinon, manoeuvre habile de Microsoft ? Ou simple effet de bord "inattendu" ?)
(Et sinon, manoeuvre habile de Microsoft ? Ou simple effet de bord "inattendu" ?)
Nous parlons de microsoft, pas d'une petite PME dans le fond de la cave.
INpactien
C'est même pas ça, c'est que la fonctionnalité pourrait être désactivée dans l'UEFI, donc pas besoin de sortir 2 produits différents, juste un qui ne vérouille pas l'option du secure boot. Je ne vois pas pourquoi les fabricants vérouilleraient l'option pour la vente de cartes mère au détail.
Tout à fait
Sinon par rapport au boot de Win8: pour l'instant on ne sait pas grand chose à vrai dire et MS ne communique pas sur ce point donc un gros "wait & see" est nécessaire.
Ceci dit: si j'ai bien compris l'installation d'un linux n'est pas interdite, c'est juste la phase de boot qui peut coincer.
Mais quid de la possibilité de faire booter le Linux avec le bootloader de Win8 ?
On a vu récemment qu'il est possible de choisir un périphérique externe dans les options avancées du boot. En plus déjà aujourd'hui le BCD sait gérer des installation linux. Donc rien n'interdit que l'on puisse utiliser le bootloader de Win8 pour lancer son installation Linux ou autre (pour peu que le linux en question se montre un minimum compatible)
Après, le problème c'est pour celui qui veut un autre bootloader type GRUB...
INpactien
et si la distrib copie le certificat de Win8 ? hop pb réglé 
Equipe
Vincent_H
Le jeudi 22 septembre 2011 à 12:00:39
#90
Inscrit
le jeudi 30 janvier 03
-
14907
commentaires
No comment sur les analogies avec les voitures...
Mais là il s'agit de PCs OEM, tu crois vraiment que le vendeur moyens chez carrefour auchan ou autre Leclerc saura te donner une réponse fiable à la question "le Secure Boot de l'UEFI de cette machine est-il déverrouillable ?" ? A mon avis il va te regarder de travers, se demander si tu te fous de sa gueule à parler chinois, et te répondre oui ou non en fonction de la réponse qu'il pense que tu attends...
Mais là il s'agit de PCs OEM, tu crois vraiment que le vendeur moyens chez carrefour auchan ou autre Leclerc saura te donner une réponse fiable à la question "le Secure Boot de l'UEFI de cette machine est-il déverrouillable ?" ? A mon avis il va te regarder de travers, se demander si tu te fous de sa gueule à parler chinois, et te répondre oui ou non en fonction de la réponse qu'il pense que tu attends...
Question subsidiaire : le mec qui est utilisateur de Linux va-t-il aller à Auchan ou Carrefour pour acheter son PC ?
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
HubiC : les premiers clients reçoivent leur année de dédommagement
(14)
Abonné en 2012 ? Surveillez vos mails -
[MàJ] The Pirate Bay de retour
(16)
Le bateau coule ? -
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer
![[MàJ] The Pirate Bay de retour](http://static.pcinpact.com/images/bd/dedicated/79905.jpg)
-
Ultrabook ASUS Zenbook UX32VD de 13,3" en Full HD : 799,99 €
Valable jusqu'au 27 mai -
20 % de remise sur des accessoires pour l'achat d'une tablette
Valable jusqu'au 26 mai -
Le jeu FIFA 13 pour PC à 24,99 €
Valable jusqu'au 28 mai -
Xbox 360 de 250 Go avec Batman Arkham City et Darksiders II : 192,40 €
Valable jusqu'au 27 mai
