S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Windows 8 : le Secure Boot pourrait faire du tort à Linux

Et le tort tue

L’une des fonctionnalités de Windows 8 risque de faire parler d’elle chez les utilisateurs d’autres systèmes d’exploitation. Le prochain programme de logo « Designed for Windows 8 » réclame en effet le support de la fonctionnalité Secure Boot. Or, cette dernière rend obligatoire la signature du système d’exploitation par une Certificate Authority. Un mouvement qui ne facilitera pas l’installation des distributions Linux et autres systèmes.

windows 8 win8 build samsung

La protection de la séquence de démarrage contre les malwares

Ce fait est pointé du doigt par Matthew Garrett, développeur chez Red Hat. Le programme de logo imposera la présence du Secure Boot, une fonctionnalité permettant de s’assurer que toute la chaine de démarrage n’est pas modifiée. Le Secure Boot rend obligatoire la signature électronique de chaque élément de cette chaine, de l’UEFI au système d’exploitation. Or, si Windows 8 est forcément prévu pour une telle signature, ce n’est pas le cas de Linux.

Microsoft veut profiter du Secure Boot pour se débarrasser de toute une classe de malwares visant justement le démarrage du système, notamment les bootkits et rootkits. Dans le cas de Linux, l’installation du système ne sera pas forcément empêchée, mais l’étape de création du multi-boot ne pourra se faire, puisqu’il s’agit justement d’une modification dans la chaine de démarrage.

Le choix dans les mains des OEM

Matthew Garrett note toutefois que la seule présence de Windows 8 en tant que telle ne change rien à la situation actuelle. Toutes les machines équipées de BIOS par exemple ne pourront en aucun cas disposer du Secure Boot. Mais Microsoft va profiter de son programme de logo pour que l’UEFI se répande puisque les capacités de ce dernier vont jouer une part importante dans le boot rapide du système. De fait, l’attention se reporte vers les constructeurs.

Garrett estime ainsi que les cartes sont entre les mains des OEM. Si le Secure Boot doit être obligatoirement présent, rien n’indique qu’on ne peut pas mettre en place la possibilité de le désactiver. Il craint cependant que les OEM se conformant au programme cherchent à en faire le minimum, quitte à mettre de côté cette désactivation.

Du coup, le développeur ne craint pas l’interdiction d’installer Linux mais les restrictions sur le choix du matériel. On retrouvera trois cas :
  • La machine que l’on monte soi-même, et qui ne causera aucun problème
  • La machine d’un OEM avec logo Windows 8 avec désactivation possible du Secure Boot
  • La machine d’un OEM avec logo Windows 8 avec Secure Boot obligatoire
De fait, si un utilisateur de Linux souhaite changer de machine et en acheter une chez un OEM, il devra vérifier que le produit visé dispose bien de la coupure du Secure Boot.

Signer les distributions Linux : de nombreux problèmes

Garrett aborde également le cas de la possible signature des distributions Linux, mais cela pose plusieurs problèmes. Il note premièrement que chaque distribution aurait besoin d’un bootloader ne reposant pas sur la GPL. La version 3 de la licence rend obligatoire la distribution des clés, tandis que la version 2 n’aborde pas ce thème. Garrett estime cependant qu’il serait de mauvaise foi de se baser sur cette zone grise.

Deuxièmement, le futur du kernel est d’être lui-même un composant de la chaine de démarrage. Conséquence : il faudrait que le kernel soit également signé, une solution inenvisageable puisqu’elle interdirait aux développeurs tiers de compiler leur propre noyau. Troisièmement, les éditeurs de solution Linux pourraient envisager de faire leurs propres signatures, mais il faudrait alors disséminer ces clés à tous les OEM. Une option lourde sur un plan logistique, et qui n’a pas de garantie de succès.

En résumé, la question ne se pose pas avec le matériel actuel et toutes les cartes mères équipées de BIOS. Sur les prochaines machines OEM équipées d’UEFI, il faudra par contre contrôler que la désactivation du Secure Boot soit possible. 
Source : Ars Technica
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 22/09/2011 à 11:15

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 472 commentaires

Avatar de ZoZo INpactien
ZoZo Le jeudi 22 septembre 2011 à 11:34:36
Inscrit le vendredi 19 décembre 03 - 3833 commentaires
A mon avis, ce secure boot est là pour empêcher l'installation ou du moins l'activation des versions piratées, ils vont faire d'une pierre deux coups si c'est mis en place.


Je ne crois pas, puisque cette mesure ne s'applique visiblement qu'aux OEM. Or les machines d'OEM ont déjà une licence prépayée, ce ne sont pas celles-là qui subissent le piratage. Ce sont plutôt les whitebox vendues dans les commerces dans les pays moins développés, et celles montées par les geeks qui les achètent en pièces. Ces machines ne sont apparemment pas concernées.
Avatar de LAmerica INpactien
LAmerica Le jeudi 22 septembre 2011 à 11:35:17
Inscrit le mercredi 27 juillet 11 - 429 commentaires

D'où l'intérêt de garder XP/Seven

De toute manière, ce windows 8 est largement orienté tablette, non ? Qui mettrait du nux sur une tablette ?! A part pour de la bidouille ?

MeeGo




Avatar de Hoper INpactien
Hoper Le jeudi 22 septembre 2011 à 11:35:31
Inscrit le lundi 3 juillet 06 - 902 commentaires


Ca dépend, si tu achètes une machine Windows 8 pour n'utiliser que Windows 8, ca ne restreint rien. T'y gagneras en protection contre les malwares qui visent la séquence de boot. Ca sert à rien de généraliser.



Et le jour ou cet acheteur voudra revendre sa machine, il va se passer quoi ? Parce qu'un type qui essaye de me vendre une telle merde (ou pire, qui y parvient parce que j'oubli de faire la vérification), ma première envie sera de lui foutre l'uc dans la tronche.
Avatar de uzak INpactien
uzak Le jeudi 22 septembre 2011 à 11:36:02
Inscrit le vendredi 12 mai 06 - 6882 commentaires
Me parait assez étrange tout ça, à mon avis on a pas tout les éléments pour en tirer de réelle conclusion.
Et le mec de RH tire un peu trop vite la sonette d'alarme je pense.
Parceque ca voudrait dire également qu'il serait impossible d'installer une Win XP/Vista/7

Non, MS a les moyens de faire signer ses OS quand même...
XP n'étant plus supporté, ça m'étonnerait qu'il soit signé, vista idem.

Ca fait le jeu d'Apple aussi ça, si ça empêche d'installer OSX sur une machine sans pomme
Avatar de 127.0.0.1 INpactien
127.0.0.1 Le jeudi 22 septembre 2011 à 11:36:17
Inscrit le mercredi 29 avril 09 - 13213 commentaires
Il craint cependant que les OEM se conformant au programme cherchent à en faire le minimum, quitte à mettre de côté cette désactivation.


C'est plutot une bonne chose que MS pousse à utiliser le secure-boot pour des PC windows, vu que cet OS reste la cible n°1 des malwares/rootkits.

Après, si le PC a une implémentation UEFI tellement pourrie qu'on ne peut pas désactiver certaines fonctions, c'est pas la faute de MS.
Avatar de liukahr INpactien
liukahr Le jeudi 22 septembre 2011 à 11:36:32
Inscrit le mardi 6 juin 06 - 698 commentaires
La machine que l’on monte soi-même, et qui ne causera aucun problème

On est sûr de ça ?
Qu'est-ce qui empêche l'apparition de cartes mères verrouillées ?
Avatar de ZoZo INpactien
ZoZo Le jeudi 22 septembre 2011 à 11:36:45
Inscrit le vendredi 19 décembre 03 - 3833 commentaires
Android doit coûter moins cher en licence aux fabricants ?


Oui puisqu'il est gratuit.
Avatar de Khalev INpactien
Khalev Le jeudi 22 septembre 2011 à 11:36:54
Inscrit le mercredi 1 avril 09 - 5605 commentaires

Ca dépend, si tu achètes une machine Windows 8 pour n'utiliser que Windows 8, ca ne restreint rien. T'y gagneras en protection contre les malwares qui visent la séquence de boot. Ca sert à rien de généraliser.

Ils ont pu y penser, mais je ne pense quand même que ce fut l'objectif premier.

Une sorte de bonus en quelque sorte. Qui fait qu'ils risquent de ne pas trop pousser pour des UEFI secure boot "désactivable".
Avatar de uzak INpactien
uzak Le jeudi 22 septembre 2011 à 11:37:23
Inscrit le vendredi 12 mai 06 - 6882 commentaires
Mais, si ce secure boot est désactivable, ça doit être physiquement non ? Sinon ça sert juste à rien!
Avatar de moxepius INpactien
moxepius Le jeudi 22 septembre 2011 à 11:37:44
Inscrit le mercredi 3 décembre 08 - 2323 commentaires
Il suffit d'acheter son PC en pièces détachées, de toute façon les PC de marques c'est trop cher pour ce que c'est...

Sauf qu'on choisit pas toujours le PC, comme dans le cas d'une demande d'aide sur un forum pour installer linux, ou dans le cas où on me le demande IRL, et surtout dans le second cas c'est difficile de refuser...

Edité par moxepius le jeudi 22 septembre 2011 à 11:38
;