Secure Boot : Canonical aura sa propre clé de sécurité pour Ubuntu
Vrai combat ou évincement de la concurrence Linux ?
Le Secure Boot est une fonctionnalité de l’UEFI (Unified Extensible Firmware Interface) permettant de vérifier la signature électronique des éléments impliqués dans le démarrage du système. Dans l’idéal, cette solution est capable de remarquer l’intrusion d’un malware dans la chaine. Il faut pour cela une clé, et on a pu voir récemment que Red Hat en avait justement demandé une à Microsoft. L’éditeur Canonical a cependant choisi une autre solution.
La certification Windows 8 réclame la présence du Secure Boot
Mais Canonical ne souhaite pas utiliser cette solution. Dans notre actualité précédente, nous indiquions que deux autres méthodes pouvaient être utilisées : créer une clé générique pour toutes les distributions Linux, ou créer une clé Fedora. C’est précisément cette dernière qui a été retenue, Canonical ayant publié ses propres spécifications.
Des implications qui ont évidemment des conséquences pratiques. Techniquement, Ubuntu ne pourra pas être installé sur une machine équipée du Secure Boot à moins que le matériel soit déjà compatible avec la clé de Canonical. En clair, les utilisateurs vont surtout devoir désactiver le Secure Boot sur le PC pour se servir d’Ubuntu, là où Fedora pourra être installé (à partir de sa version 18 prévue pour la fin de l’année).
Mais il existe un problème encore plus sérieux dans le choix opéré par Canonical : contrairement à Microsoft, aucun service ne sera proposé aux tiers pour s’enregistrer et demander une clé compatible. On en revient ici aux explications données par Red Hat pour la solution d’une clé entièrement nouvelle : les constructeurs doivent l’accepter, et les autres distributions Linux n’en profitent pas, ce qui fragilise leur position.
Matthew Garrett, le développeur de chez Red Hat qui avait annoncé la nouvelle pour Fedora, critique la méthode choisie par Canonical : « La différence significative entre l’approche d’Ubuntu et celle de Microsoft est qu’il n’y a aucun signe que Canonical ouvrira un quelconque service de signature. Seul un système possédant la clé Ubuntu sera conforme à ses prérequis et pourra être certifié par Canonical, mais ne pourra démarrer aucun autre système qu’Ubuntu, à moins que l’utilisateur ne désactive le Secure Boot ou importe leur propre base de clés. »
Il indique également qu’un ordinateur certifié pour Ubuntu pourrait être finalement plus verrouillé qu’un autre certifié pour Windows 8. La différence étant bien sûr que Microsoft propose un service de signature pour demander des clés compatibles.
Mais « l’alternative à la clé Microsoft » se révèlera encore plus amère si Canonical ne propose aucun système permettant aux autres distributions Linux d’obtenir une clé compatible. L’éditeur tiendrait alors entre ses mains une simple arme pour évincer la concurrence.
Sachez en tout cas que Canonical travaille déjà sur l'implémentation du Secure Boot puisque le support du chargeur de démarrage Grub 2 va par exemple être abandonné au profit de la solution efilinux développée par Intel.
La certification Windows 8 réclame la présence du Secure Boot
Une solution très différente de Fedora
Le père d’Ubuntu était attendu au tournant pour la gestion du Secure Boot. Et cela d’autant plus que non seulement Red Hat s’était déjà positionné, mais Linus Torvalds y avait apporté son soutien. L’éditeur de Fedora a simplement demandé une clé compatible « Microsoft » à cette dernière pour signer ces composants. La clé coûte 99 dollars et est délivrée par Verisign. Une fois obtenue, elle peut servir à signer tous les composants qui sont alors reconnus par l’UEFI.Mais Canonical ne souhaite pas utiliser cette solution. Dans notre actualité précédente, nous indiquions que deux autres méthodes pouvaient être utilisées : créer une clé générique pour toutes les distributions Linux, ou créer une clé Fedora. C’est précisément cette dernière qui a été retenue, Canonical ayant publié ses propres spécifications.
Ubuntu aura sa propre clé
Dans les grandes lignes, Canonical se place comme un nouveau Microsoft dans le segment du Secure Boot. Cela a principalement deux implications. D’une part, les constructeurs de matériels vont être sollicités pour que la clé de Canonical soit reconnue. L’éditeur indique d’ailleurs être en discussions avec les OEM, sans doute dans l’optique de commercialiser directement des machines Ubuntu. Pour rappel, Dell s’attaque notamment à ce segment. D’autre part, Ubuntu ne sera pas compatible avec la clé Microsoft.Des implications qui ont évidemment des conséquences pratiques. Techniquement, Ubuntu ne pourra pas être installé sur une machine équipée du Secure Boot à moins que le matériel soit déjà compatible avec la clé de Canonical. En clair, les utilisateurs vont surtout devoir désactiver le Secure Boot sur le PC pour se servir d’Ubuntu, là où Fedora pourra être installé (à partir de sa version 18 prévue pour la fin de l’année).
Mais il existe un problème encore plus sérieux dans le choix opéré par Canonical : contrairement à Microsoft, aucun service ne sera proposé aux tiers pour s’enregistrer et demander une clé compatible. On en revient ici aux explications données par Red Hat pour la solution d’une clé entièrement nouvelle : les constructeurs doivent l’accepter, et les autres distributions Linux n’en profitent pas, ce qui fragilise leur position.
Canonical chercherait-il à évincer la concurrence ?
De fait, on peut se demander ici si Canonical ne cherche pas à évincer clairement la concurrence Linux en créant sa propre clé. Si les constructeurs l’acceptent, il n’est pas dit qu’ils répètent l’opération pour chaque autre éditeur de système d’exploitation qui en fera la demande. En effet, cela signifie que les firmwares doivent être modifiés pour prendre en compte la nouvelle clé. Il faut donc soit attendre l’arrivée de nouvelles machines compatibles, soit justement mettre à jour les firmwares sur les machines existantes. Une étape très lourde pour l’utilisateur.Matthew Garrett, le développeur de chez Red Hat qui avait annoncé la nouvelle pour Fedora, critique la méthode choisie par Canonical : « La différence significative entre l’approche d’Ubuntu et celle de Microsoft est qu’il n’y a aucun signe que Canonical ouvrira un quelconque service de signature. Seul un système possédant la clé Ubuntu sera conforme à ses prérequis et pourra être certifié par Canonical, mais ne pourra démarrer aucun autre système qu’Ubuntu, à moins que l’utilisateur ne désactive le Secure Boot ou importe leur propre base de clés. »
Il indique également qu’un ordinateur certifié pour Ubuntu pourrait être finalement plus verrouillé qu’un autre certifié pour Windows 8. La différence étant bien sûr que Microsoft propose un service de signature pour demander des clés compatibles.
Canonical ne cherche qu’une « alternative »
Les propos de Garrett sont bien entendu remontés jusqu’à Canonical et son PDG, Mark Shuttleworth. Ce dernier a répondu que l’éditeur avait travaillé à « fournir une alternative à la clé Microsoft, pour que l’intégralité de l’écosystème du logiciel libre ne dépende pas de la bonne volonté de Microsoft ». Shuttleworth rappelle également que le Secure Boot n’est pas la réponse ultime à tous les problèmes et que la solution comporte ses propres failles.Mais « l’alternative à la clé Microsoft » se révèlera encore plus amère si Canonical ne propose aucun système permettant aux autres distributions Linux d’obtenir une clé compatible. L’éditeur tiendrait alors entre ses mains une simple arme pour évincer la concurrence.
Sachez en tout cas que Canonical travaille déjà sur l'implémentation du Secure Boot puisque le support du chargeur de démarrage Grub 2 va par exemple être abandonné au profit de la solution efilinux développée par Intel.
Source :
PC World
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 27 juin 2012 à 11:18
(14 593
lectures)
Il y a 63 commentaires
INpactien
le choix entre accepter de dépendre de microsoft ou ne pas pouvoir faire tourner windows va complexifier les offres matérielles et logicielles.
INpactien
Les clefs ne devraient pas être hardcodés ou pré-installées, c'est à l'utilisateur de le faire. C'est d'ailleurs pour ça que la version 1.2 de TPM est née.
Je comprend pas comment on en est arrivé là. Tout le monde a gueulé contre TPM, Palladium et co mais lorsque le consortium TPM sors les spec 1.2 qui ouvre l'usage des puces TPM tout le monde se rue sur les usages de la version 1.1 ou 1.0. C'est quoi ce délire?
C'est ma puce TPM, je la scelle comme je veux avec les registre que je veux. Question con, on peut virer les clefs pré-installées? Je parie que non. (Magnifique regression)
Je comprend pas comment on en est arrivé là. Tout le monde a gueulé contre TPM, Palladium et co mais lorsque le consortium TPM sors les spec 1.2 qui ouvre l'usage des puces TPM tout le monde se rue sur les usages de la version 1.1 ou 1.0. C'est quoi ce délire?
C'est ma puce TPM, je la scelle comme je veux avec les registre que je veux. Question con, on peut virer les clefs pré-installées? Je parie que non. (Magnifique regression)
Modérateur
le choix entre accepter de dépendre de microsoft ou ne pas pouvoir faire tourner windows va complexifier les offres matérielles et logicielles.
Le secure boot n'est pas obligatoire pour pouvoir faire tourner Windows 8 (Dans le sens où Windows 8 peut très bien tourner sans).
Il est obligatoire sur les nouvelles machines certifiées Windows 8.
INpactien
after_burner
Le mercredi 27 juin 2012 à 11:38:59
#4
Inscrit
le mercredi 16 juillet 08
-
6025
commentaires
Il y a un truc que je comprend pas ds ces histoires de secureboot, chaque éditeur aurait donc un système de signatures et on peut donc avoir plusieurs clés compatibles avec ses systèmes, mais pourquoi ces systèmes de clés ne sont pas gérés par les fabricants? c'est eux qui font l'UEFI, et ds ce sens ils pourraient permettre plusieurs compatibilité pour les OS, aux éditeurs d'avoir les clés.
Enfin, je doit pas tout saisir et puis bien sur, rien ne devrait obliger à avoir un système de clés pour le moindre OS non plus.
Je trouve que ça fait bcp d'efforts pour pas grand chose ce secure boot.
Edité par after_burner le mercredi 27 juin 2012 à 11:41
Enfin, je doit pas tout saisir et puis bien sur, rien ne devrait obliger à avoir un système de clés pour le moindre OS non plus.
Je trouve que ça fait bcp d'efforts pour pas grand chose ce secure boot.
Edité par after_burner le mercredi 27 juin 2012 à 11:41
INpactien
Mais « l’alternative à la clé Microsoft » se révèlera encore plus amère si Canonical ne propose aucun système permettant aux autres distributions Linux d’obtenir une clé compatible. L’éditeur tiendrait alors entre ses mains une simple arme pour évincer la concurrence.
En fait, l'arme pour évincer la concurrence, c'est plutôt la présence obligatoire du secure-boot imposée par MS aux fabricant pour avoir le droit d'y installer W8.
Je trouve que vous allez un peu vite en besogne en présumant des (mauvaises) intentions de Caconical : ce choix n'empêche pas du tout d'autre distribs soucieuses d’obtenir une clé de la quémander auprès de microsoft ou de canonical.
INpactien
127.0.0.1
Le mercredi 27 juin 2012 à 11:42:00
#6
Inscrit
le mercredi 29 avril 09
-
12264
commentaires
Le secure boot n'est pas obligatoire pour pouvoir faire tourner Windows 8 (Dans le sens où Windows 8 peut très bien tourner sans).
Il est obligatoire sur les nouvelles machines certifiées Windows 8.
Il est obligatoire sur les nouvelles machines certifiées Windows 8.
Et on sait tous a quel point les OEM adorent avoir le joli autocollant "Certified for Windows" sur leur produit...
Sans parler de l'obligation pure-et-simple de SecureBoot pour WinRT.
INpactien
Le secure boot n'est pas obligatoire pour pouvoir faire tourner Windows 8 (Dans le sens où Windows 8 peut très bien tourner sans).
Il est obligatoire sur les nouvelles machines certifiées Windows 8.
Et on sait tous a quel point les OEM adorent avoir le joli autocollant "Certified for Windows" sur leur produit...
Sans parler de l'obligation pure-et-simple de SecureBoot pour WinRT.
merci pour les précisions, j'avoue que dans ma tête c'était obligatoire point barre. Effectivement si y a moyen de s'en passer c'est pas plus mal
Par contre comme dit 127.0.0.1, je crains que les constructeurs ne jouent de toute façon le jeu de Micro$oft.
Commentaire de
Ver2terre supprimé
le
27/06/2012 à 14:25:34
:
Troll ou incitation au troll
INpactien
Je crois que grace à cette news je viens enfin de comprendre le secure boot (pas trop tôt).
Et est-ce qu'Ubuntu est utilisable sans ?
Et est-ce qu'Ubuntu est utilisable sans ?
INpactien
after_burner
Le mercredi 27 juin 2012 à 12:00:44
#10
Inscrit
le mercredi 16 juillet 08
-
6025
commentaires
WinRT c'est pas le nom de la technologie?
Windows on ARM, c'est le nom du produit. C'est déjà une sorte de norme pour les tablettes et smartphones de toute façons. C'est n'est pas exclusivement le jeu de MS, sur ce coup.
Ils ne font qu'emboiter le pas à d'autres.
Windows on ARM, c'est le nom du produit. C'est déjà une sorte de norme pour les tablettes et smartphones de toute façons. C'est n'est pas exclusivement le jeu de MS, sur ce coup.
Ils ne font qu'emboiter le pas à d'autres.
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
The Pirate Bay hors service depuis plusieurs heures
(12)
Le bateau coule ? -
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!!
-
Une alimentation modulaire Enermax Naxn de 750 W pour 99,90 €
Valable jusqu'au 26 mai -
Une souris filaire Razer Deathadder 2013 pour 46,69 €
Valable jusqu'au 26 mai -
Un moniteur LED Viewsonic de 27 pouces avec 2 HDMI : 191,90 €
Valable jusqu'au 26 mai -
Un boîtier Antec Lanboy Air bleu pour 79,99 €
Valable jusqu'au 26 mai
