S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Windows 8 : Microsoft répond aux inquiétudes sur le Secure Boot

Au moins en partie

Nous avons publié hier une actualité détaillant les inquiétudes de Matthew Garrett, développeur chez Red Hat, au sujet de la fonctionnalité Secure Boot sur laquelle Windows 8 peut s’appuyer pour protéger la séquence de démarrage. Ces inquiétudes portaient sur l’impossibilité potentielle d’installer un gestionnaire de démarrage Linux ou d’un autre système. Microsoft a publié un nouveau bulletin sur son blog officiel Windows 8 pour répondre aux problèmes soulevés.

win8 secure boot 

La situation pour Microsoft

Microsoft rappelle d’abord que le Secure Boot n’est pas une fonctionnalité de Windows 8 mais une capacité inhérente à l’UEFI. Ce dernier est construit par un consortium auquel participent de nombreuses sociétés et est présent dans les spécifications. Chaque société peut donc choisir de s’en servir ou non. Dans le cas de Windows 8, Microsoft a choisi d’exiger sa présence pour qu’une machine soit estampillée certifiée pour son nouveau système.

La problématique pour Microsoft se concentre sur la sécurité. Certaines classes de malwares telles que les rootkits et bootkits visent spécifiquement la séquence de démarrage du système. Les produits de sécurité sont pratiquement désarmés face à ce type d’attaque puisque les malwares démarrent avant eux. Le but est donc pour la société de se débarrasser de ces intrus tout en permettant l’accès aux antivirus à la chaine de démarrage pour s’exécuter plus tôt.

win8 secure boot 

À travers le programme de certification Windows 8, Microsoft demande donc aux OEM qui souhaitent obtenir le logo pour certaines machines que leur implémentation de l’UEFI soit accompagnée du Secure Boot. D’autres éléments sont également exigés, notamment que le firmware ne puisse en aucun cas être modifié par voie logicielle sur la zone Secure Boot, pour éviter justement qu’un malware n’aille le couper de lui-même. De même, les mises à jour non explicitement autorisées par l’utilisateur ne pourront pas se faire.

La firme « encourage » les constructeurs à la flexibilité

La firme indique sur son blog qu’elle encourage les constructeurs à proposer la flexibilité permettant de gérer la liste des certificats de sécurité, qui y accède, et surtout de gérer le Secure Boot. Le tout, dans l’optique que les utilisateurs aient le plein contrôle de leur machine. Mais le terme « encourager » est vague et ne garantit pas nécessairement que les OEM suivront systématiquement, même si l'on peut imaginer que le poids de Microsoft peut faire pencher la balance. Cela est d’autant plus vrai que sans cette option, les autres Windows, dont la version 7, ne pourront pas être installés non plus.

L’inquiétude soulevée par Matthew Garrett n’était en effet pas sur la disparition pure et simple de Linux sur ces machines. Elle se situait sur l’interprétation qui serait faite par les OEM de cette liberté de choix. Il est simple de constater que les BIOS actuels dans les machines Dell, HP et autres contiennent bien moins d’options et de fonctionnalités que les cartes mères vendues au détail. La question est donc : les constructeurs ne vont-ils pas se contenter du strict nécessaire réclamé par la certification ?

En fait, l’impossibilité d’installer un ancien Windows pourrait être un élément déterminant pour les constructeurs. Il est très courant que des machines neuves livrées avec un système non testé soient rétrogradées à la version précédente. Si les OEM ne fournissent pas la capacité de couper le Secure Boot dans l’UEFI, les entreprises ne pourront pas rebasculer vers Windows 7.

En attendant d’en savoir davantage sur la position des constructeurs à ce sujet, Microsoft fait un résumé de ce qu’il considère comme important :
  • L’UEFI permet l’implémentation d’une politique de sécurité
  • Secure Boot est un protocole de l’UEFI, pas une fonctionnalité de Windows 8
  • Le Secure Boot de l’UEFI fait partie de l’architecture de sécurité du démarrage de Windows 8
  • Windows 8 se sert du Secure Boot pour s’assurer que l’environnement pré-OS est sécurisé
  • Le Secure Boot ne rejette pas les autres bootloaders, mais est une politique permettant de valider l’authenticité des composants
  • Microsoft n’a aucun contrôle sur les firmwares mis en place sur les machines

Il reste enfin la possibilité que Linux dispose de ses propres clés. Le Secure Boot s’appuie sur une infrastructure à clé publique pour valider la signature du firmware avant de lui donner la permission de s’exécuter et de passer la main au bootloader qui doit lui aussi être signé. Or, Matthew Garrett avait indiqué justement que signer les gestionnaires de démarrage et/ou le noyau Linux serait particulièrement complexe pour plusieurs raisons, dont la GPL elle-même.
Source : Microsoft
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 23/09/2011 à 11:10

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 382 commentaires

Avatar de Consultant INpactien
Consultant Le vendredi 23 septembre 2011 à 11:16:20
Inscrit le mardi 13 juin 06 - 18231 commentaires
ok wait and see merci pour les infos
Avatar de anterebirth INpactien
anterebirth Le vendredi 23 septembre 2011 à 11:16:51
Inscrit le mercredi 14 septembre 11 - 83 commentaires
L’UEFI permet l’implémentation d’une politique de sécurité
Secure Boot est un protocole de l’UEFI, pas une fonctionnalité de Windows 8
Le Secure Boot de l’UEFI fait partie de l’architecture de sécurité du démarrage de Windows 8
Windows 8 se sert du Secure Boot pour s’assurer que l’environnement pré-OS est sécurisé
Le Secure Boot ne rejette pas les autres bootloaders mais est une politique permettant de valider l’authenticité des composants
Microsoft n’a aucun contrôle sur les firmwares mis en place sur les machines


C'était évident ceci étant.
Avatar de John Shaft INpactien
John Shaft Le vendredi 23 septembre 2011 à 11:18:38
Inscrit le vendredi 14 janvier 11 - 10371 commentaires
Je comprends bien la problématique de sécurité, elle est importante, mais je ne peux n’empêcher de tiquer face la rhétorique de MS

Microsoft rappelle d’abord que le Secure Boot n’est pas une fonctionnalité de Windows 8 mais une capacité inhérente à l’UEFI. Ce dernier est construit par un consortium auquel participe de nombreuses sociétés et est présent dans les spécifications. Chacun société peut donc choisir de s’en servir ou non. Dans le cas de Windows 8, Microsoft a choisi d’exiger sa présence pour qu’une machine soit estampillée certifiée pour son nouveau système


Donc c'est pas nous qu'on le fait, mais c'est qu'on choisit [strike]de l'utiliser[/strike] d'exiger sa présence : si ça pose des problèmes (au hasard avec un OS libre) c'est pas de notre faute mais au consortium UEFI ! Joli sophisme

Question : MS est-il membre de ce consortium ?

Edité par tot0che le vendredi 18 janvier 2013 à 19:33
Avatar de Khalev INpactien
Khalev Le vendredi 23 septembre 2011 à 11:18:54
Inscrit le mercredi 1 avril 09 - 5605 commentaires
Windows 8 : Microsoft répond aux inquiétudes sur le Secure Boot


Ils ont vu qu'on a dépassé les 400 commentaires hier, ç aleur a mis la pression.
inpactitude3.gif
Avatar de DarKCallistO INpactien
DarKCallistO Le vendredi 23 septembre 2011 à 11:22:25
Inscrit le mardi 11 décembre 07 - 14207 commentaires
Question : MS est-il membre de ce consortium ?


Oui

Tiens ? HP aussi,fraudais penser à rayer l'entreprise de la liste.

Il y a 382 commentaires

;