Windows 8 : le Secure Boot pourrait faire du tort à Linux
Et le tort tue
L’une des fonctionnalités de Windows 8 risque de faire parler d’elle chez les utilisateurs d’autres systèmes d’exploitation. Le prochain programme de logo « Designed for Windows 8 » réclame en effet le support de la fonctionnalité Secure Boot. Or, cette dernière rend obligatoire la signature du système d’exploitation par une Certificate Authority. Un mouvement qui ne facilitera pas l’installation des distributions Linux et autres systèmes.
La protection de la séquence de démarrage contre les malwares
Ce fait est pointé du doigt par Matthew Garrett, développeur chez Red Hat. Le programme de logo imposera la présence du Secure Boot, une fonctionnalité permettant de s’assurer que toute la chaine de démarrage n’est pas modifiée. Le Secure Boot rend obligatoire la signature électronique de chaque élément de cette chaine, de l’UEFI au système d’exploitation. Or, si Windows 8 est forcément prévu pour une telle signature, ce n’est pas le cas de Linux.
Microsoft veut profiter du Secure Boot pour se débarrasser de toute une classe de malwares visant justement le démarrage du système, notamment les bootkits et rootkits. Dans le cas de Linux, l’installation du système ne sera pas forcément empêchée, mais l’étape de création du multi-boot ne pourra se faire, puisqu’il s’agit justement d’une modification dans la chaine de démarrage.
Le choix dans les mains des OEM
Matthew Garrett note toutefois que la seule présence de Windows 8 en tant que telle ne change rien à la situation actuelle. Toutes les machines équipées de BIOS par exemple ne pourront en aucun cas disposer du Secure Boot. Mais Microsoft va profiter de son programme de logo pour que l’UEFI se répande puisque les capacités de ce dernier vont jouer une part importante dans le boot rapide du système. De fait, l’attention se reporte vers les constructeurs.
Garrett estime ainsi que les cartes sont entre les mains des OEM. Si le Secure Boot doit être obligatoirement présent, rien n’indique qu’on ne peut pas mettre en place la possibilité de le désactiver. Il craint cependant que les OEM se conformant au programme cherchent à en faire le minimum, quitte à mettre de côté cette désactivation.
Du coup, le développeur ne craint pas l’interdiction d’installer Linux mais les restrictions sur le choix du matériel. On retrouvera trois cas :
Signer les distributions Linux : de nombreux problèmes
Garrett aborde également le cas de la possible signature des distributions Linux, mais cela pose plusieurs problèmes. Il note premièrement que chaque distribution aurait besoin d’un bootloader ne reposant pas sur la GPL. La version 3 de la licence rend obligatoire la distribution des clés, tandis que la version 2 n’aborde pas ce thème. Garrett estime cependant qu’il serait de mauvaise foi de se baser sur cette zone grise.
Deuxièmement, le futur du kernel est d’être lui-même un composant de la chaine de démarrage. Conséquence : il faudrait que le kernel soit également signé, une solution inenvisageable puisqu’elle interdirait aux développeurs tiers de compiler leur propre noyau. Troisièmement, les éditeurs de solution Linux pourraient envisager de faire leurs propres signatures, mais il faudrait alors disséminer ces clés à tous les OEM. Une option lourde sur un plan logistique, et qui n’a pas de garantie de succès.
En résumé, la question ne se pose pas avec le matériel actuel et toutes les cartes mères équipées de BIOS. Sur les prochaines machines OEM équipées d’UEFI, il faudra par contre contrôler que la désactivation du Secure Boot soit possible.
La protection de la séquence de démarrage contre les malwares
Ce fait est pointé du doigt par Matthew Garrett, développeur chez Red Hat. Le programme de logo imposera la présence du Secure Boot, une fonctionnalité permettant de s’assurer que toute la chaine de démarrage n’est pas modifiée. Le Secure Boot rend obligatoire la signature électronique de chaque élément de cette chaine, de l’UEFI au système d’exploitation. Or, si Windows 8 est forcément prévu pour une telle signature, ce n’est pas le cas de Linux.
Microsoft veut profiter du Secure Boot pour se débarrasser de toute une classe de malwares visant justement le démarrage du système, notamment les bootkits et rootkits. Dans le cas de Linux, l’installation du système ne sera pas forcément empêchée, mais l’étape de création du multi-boot ne pourra se faire, puisqu’il s’agit justement d’une modification dans la chaine de démarrage.
Le choix dans les mains des OEM
Matthew Garrett note toutefois que la seule présence de Windows 8 en tant que telle ne change rien à la situation actuelle. Toutes les machines équipées de BIOS par exemple ne pourront en aucun cas disposer du Secure Boot. Mais Microsoft va profiter de son programme de logo pour que l’UEFI se répande puisque les capacités de ce dernier vont jouer une part importante dans le boot rapide du système. De fait, l’attention se reporte vers les constructeurs.
Garrett estime ainsi que les cartes sont entre les mains des OEM. Si le Secure Boot doit être obligatoirement présent, rien n’indique qu’on ne peut pas mettre en place la possibilité de le désactiver. Il craint cependant que les OEM se conformant au programme cherchent à en faire le minimum, quitte à mettre de côté cette désactivation.
Du coup, le développeur ne craint pas l’interdiction d’installer Linux mais les restrictions sur le choix du matériel. On retrouvera trois cas :
- La machine que l’on monte soi-même, et qui ne causera aucun problème
- La machine d’un OEM avec logo Windows 8 avec désactivation possible du Secure Boot
- La machine d’un OEM avec logo Windows 8 avec Secure Boot obligatoire
Signer les distributions Linux : de nombreux problèmes
Garrett aborde également le cas de la possible signature des distributions Linux, mais cela pose plusieurs problèmes. Il note premièrement que chaque distribution aurait besoin d’un bootloader ne reposant pas sur la GPL. La version 3 de la licence rend obligatoire la distribution des clés, tandis que la version 2 n’aborde pas ce thème. Garrett estime cependant qu’il serait de mauvaise foi de se baser sur cette zone grise.
Deuxièmement, le futur du kernel est d’être lui-même un composant de la chaine de démarrage. Conséquence : il faudrait que le kernel soit également signé, une solution inenvisageable puisqu’elle interdirait aux développeurs tiers de compiler leur propre noyau. Troisièmement, les éditeurs de solution Linux pourraient envisager de faire leurs propres signatures, mais il faudrait alors disséminer ces clés à tous les OEM. Une option lourde sur un plan logistique, et qui n’a pas de garantie de succès.
En résumé, la question ne se pose pas avec le matériel actuel et toutes les cartes mères équipées de BIOS. Sur les prochaines machines OEM équipées d’UEFI, il faudra par contre contrôler que la désactivation du Secure Boot soit possible.
Source :
Ars Technica
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 22 septembre 2011 à 11:15
(47 024
lectures)
Il y a 472 commentaires
INpactien
hum si on vire complétement Windows 8 (formatage) pour installer une distrib linux, où va être le blocage exactement ?
Ca me parait flou là...qui va empêcher le boot ? l'UEFI ?
si oui il va dire quoi ?
M'étonnerais que l'UEFI contienne l'intégralité des signatures.
Et si on reste dans le cas du multi-boot, W8 propose de boot sur un autre OS (vu dans la vidéo de présentation)
Edité par typhoon006 le jeudi 22 septembre 2011 à 11:26
Ca me parait flou là...qui va empêcher le boot ? l'UEFI ?
si oui il va dire quoi ?
M'étonnerais que l'UEFI contienne l'intégralité des signatures.
Et si on reste dans le cas du multi-boot, W8 propose de boot sur un autre OS (vu dans la vidéo de présentation)
Edité par typhoon006 le jeudi 22 septembre 2011 à 11:26
INpactien
Je pense aussi que ça va bloquer les versions antérieures de Windows, comme XP ou 7... Et tout système alternatif...
Et le tort tue
INpactien
cid_Dileezer_geek
Le jeudi 22 septembre 2011 à 11:25:45
#3
Inscrit
le lundi 16 mars 09
-
10306
commentaires
A mon avis, ce secure boot est là pour empêcher l'installation ou du moins l'activation des versions piratées, ils vont faire d'une pierre deux coups si c'est mis en place.
INpactien
Vu qu'en natif Windows 8 gérera la virtualisation, on pourra y faire tourner un linux, et puis voilà
(Et sinon, manoeuvre habile de Microsoft ? Ou simple effet de bord "inattendu" ?)
(Et sinon, manoeuvre habile de Microsoft ? Ou simple effet de bord "inattendu" ?)
INpactien
A mon avis, ce secure boot est là pour empêcher l'installation ou du moins l'activation des versions piratées, ils vont faire d'une pierre deux coups si c'est mis en place.
non MS ne bloquera 'jamais' l'installation de son OS en version piraté...ils mettent des barrières légères pour faire 'genre' mais c'est tout
Vu qu'en natif Windows 8 gérera la virtualisation, on pourra y faire tourner un linux, et puis voilà
(Et sinon, manoeuvre habile de Microsoft ? Ou simple effet de bord "inattendu" ?)
(Et sinon, manoeuvre habile de Microsoft ? Ou simple effet de bord "inattendu" ?)
Honnêtement, même si mon avatarne plaide pas en ma faveur :p, je ne pense pas que ce soit réellement intentionnel de la part de MS
Edité par typhoon006 le jeudi 22 septembre 2011 à 11:28
INpactien
contre-maitre
Le jeudi 22 septembre 2011 à 11:27:37
#6
Inscrit
le lundi 6 décembre 04
-
93
commentaires
Ou comment restreindre l'utilisation d'une machine....
Secure boot -> poubelle
Secure boot -> poubelle
INpactien
dada051
Le jeudi 22 septembre 2011 à 11:27:43
#7
Inscrit
le mercredi 12 décembre 07
-
390
commentaires
hum si on vire complétement Windows 8 (formatage) pour installer une distrib linux, où va être le blocage exactement ?
Ca me parait flou là...qui va empêcher le boot ? l'UEFI ?
si oui il va dire quoi ?
M'étonnerais que l'UEFI contienne l'intégralité des signatures.
Ca me parait flou là...qui va empêcher le boot ? l'UEFI ?
si oui il va dire quoi ?
M'étonnerais que l'UEFI contienne l'intégralité des signatures.
Oui, si l'UEFI ne comporte pas de solution de désactivation du blocage il empêchera un OS non signé de démarrer. La question c'est aussi pour l'UEFI, il est normalement possible de le changer (par un OpenSource par exemple) qu'il faudra donc signer ?
Equipe
Vincent_H
Le jeudi 22 septembre 2011 à 11:28:28
#8
Inscrit
le jeudi 30 janvier 03
-
14907
commentaires
Vu qu'en natif Windows 8 gérera la virtualisation, on pourra y faire tourner un linux, et puis voilà
(Et sinon, manoeuvre habile de Microsoft ? Ou simple effet de bord "inattendu" ?)
(Et sinon, manoeuvre habile de Microsoft ? Ou simple effet de bord "inattendu" ?)
Oh je doute qu'ils n'y aient pas pensé.
INpactien
A mon avis, ce secure boot est là pour empêcher l'installation ou du moins l'activation des versions piratées, ils vont faire d'une pierre deux coups si c'est mis en place.
D'où l'intérêt de garder XP/Seven
De toute manière, ce windows 8 est largement orienté tablette, non ? Qui mettrait du nux sur une tablette ?! A part pour de la bidouille ?
Equipe
Vincent_H
Le jeudi 22 septembre 2011 à 11:29:31
#10
Inscrit
le jeudi 30 janvier 03
-
14907
commentaires
Ou comment restreindre l'utilisation d'une machine....
Secure boot -> poubelle
Secure boot -> poubelle
Ca dépend, si tu achètes une machine Windows 8 pour n'utiliser que Windows 8, ca ne restreint rien. T'y gagneras en protection contre les malwares qui visent la séquence de boot. Ca sert à rien de généraliser.
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!! -
Google I/O 2013 : suivez la keynote en direct, de 18h à 21h
(20)
Nous, on a déjà prévu l'apéro cahuètes
-
Adhérents Fnac : tous les 100 € d'achat, 15 € en chèque-cadeau
Valable jusqu'au 23 mai -
Un portable tactile Lenovo Yoga 11 pour 361,58 €
Valable jusqu'au 20 mai -
8 Go de DDR3 Kingston HyperX à 1600 MHz pour 49,99 €
Valable jusqu'au 27 mai -
Une tablette ASUS ME400C et un clavier Microsoft Wedge pour 399,90 €
Valable jusqu'au 20 mai
