S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Secure Boot : la Linux Foundation sur le point de proposer une solution

Une fondation qui assure pleinement son rôle

Depuis que Microsoft a abordé la question du Secure Boot, la question du démarrage de Linux sur des machines Windows 8 revient de manière récurrente. En effet, le simple processus de boot est rendu plus complexe pour les systèmes alternatifs. Cependant, la Linux Foundation travaillait sur une solution et celle-ci est presque prête.

secure boot

Une solution unique pour tous les Linux 

Le 10 octobre dernier, la Linux Foundation a annoncé travailler sur une solution commune à un problème : le délicat mélange du Secure Boot et des distributions Linux. Le Secure Boot est un mécanisme faisant partie des spécifications UEFI et utilisé par Windows 8. Sur les tablettes ARM, le mécanisme est obligatoire et permet de contrôler l’intégrité des éléments de la chaine de démarrage. Sur les machines x86, et en particulier les PC classiques, l’élément doit être présent, et si son activation est présente par défaut, le Secure Boot doit pouvoir être désactivé.

 

Dans l’idéal, les distributions Linux devraient pouvoir s’installer sur une machine équipée d’un UEFI et du Secure Boot. Après tout, ce dernier n’est pas un mécanisme de Microsoft mais une technologie neutre qui devrait pouvoir être exploitée par n’importe quel système. Dans la pratique, le Secure Boot est largement influencé par Microsoft et se mettre au diapason réclame l’achat d’une clé chez Verisign pour signer l’ensemble des éléments impliqués dans le démarrage.

 

L’idée de la Linux Foundation était simple. Les distributions Linux se basent le plus souvent sur un « bootloader » qui permet ensuite au système de démarrer. Un processus en deux temps auquel la fondation proposait d’en ajouter un troisième : un pré-bootloader qui interviendrait en premier lieu pour s’occuper de l’initialisation du démarrage sécurisé. Un test doit faire partie du processus pour contrôler qu’il est initié par un utilisateur réel et non par un malware quelconque. Mais le projet a pris du retard à cause des étapes nécessaires, notamment l’obtention de la clé Microsoft.

Presque terminé, mais...

James Bottomley, membre du Technical Advisory Board de la fondation, mainteneur du noyau Linux et directeur technique de la société Parallels, est l’un des auteurs principaux du projet. Dans un échange avec ZDnet, on apprend cependant que le projet est pratiquement réalisé : « Nous en avons terminé avec le contrat signé de Microsoft et le fichier binaire est prêt pour la distribution ».

 

Il signale toutefois que des problèmes du côté de l’éditeur de Redmond ont ralenti l’ensemble des démarches : « La première fois que j’ai envoyé le loader, il s’est retrouvé coincé (il l’est toujours en fait). J’en ai donc envoyé un autre une semaine après environ. Ce qui a produit finalement un téléchargement, dont j’ai vérifié la signature (clé MS UEFI) et qui est fonctionnel, mais les personnes du centre sysdev de Microsoft indiquent maintenant que cette signature est une erreur et que nous devons attendre que le problème soit réglé ».

Entre les mains de Microsoft

Selon James Bottomley, le problème pourrait venir que le binaire n’est pas signé d’une clé spécifique à la Linux Foundation, et ne l’identifiant pas comme tel en dernier ressort. De fait, le problème est actuellement entre les mains de Microsoft et Bottomley espère que la réponse ne mettra que quelques jours à arriver. Steven J. Vaughan-Nichols de ZDnet signale pour sa part qu’avec la période des fêtes de fin d’année, il est possible que le processus nécessite encore plusieurs semaines.

 

À terme, si les problèmes sont dépassés, ce fichier binaire signé devrait permettre à toute distribution Linux de pouvoir démarrer sur une machine disposant du Secure Boot activé, et donc de profiter de la dose de sécurité supplémentaire. Notez que le travail de la fondation pourrait court-circuiter certaines initiatives comme celle de Canonical qui tentent de proposer leur propre clé, avec le bénéfice de proposer une solution commune à tous les éditeurs Linux. Ce qui est précisément le travail de la Linux Foundation.

Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 21/11/2012 à 13:00

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 97 commentaires

Avatar de bingo.crepuscule INpactien
bingo.crepuscule Le mercredi 21 novembre 2012 à 13:07:32
Inscrit le vendredi 20 juin 08 - 2957 commentaires
Reste que par principe, je n'aime pas ce Secure Boot, et que Microsoft s'incruste encore d'avantage dans nos PC sans même avoir windows d'installé.

Le PC personnel doit rester une norme ouverte à tous permettant l’exécution de n'importe quel code non signé.

Cette histoire, je ne la sent pas, on commence par une belle cage dorée, jusqu'à ce qu'on ne puisse plus en sortir...
Avatar de David.C INpactien
David.C Le mercredi 21 novembre 2012 à 13:15:57
Inscrit le dimanche 14 mai 06 - 94 commentaires
J'ai raté un truc : si ils mettent un bootloader-secureboot intermediaire, qu'est-ce qui empeche quelqu'un de mettre derriere un linux verolé ? ou un windows verolé ?
Avatar de lincruste INpactien
lincruste Le mercredi 21 novembre 2012 à 13:16:47
Inscrit le vendredi 26 août 05 - 637 commentaires
Ouais et puis même si ça devient transparent techniquement, va savoir si ce sera durable. Et de toute façon c'est vachement pervers de devoir attendre une réponse de MS pour un preloader universel signé, rien que ça, ça me filerait des boutons.
Et puis je vois pas d'intérêt au Secure Boot de toute façon, si un mec à un accès physique à ton PC il en fera ce qu'il veut, qu'il soit bootable avec un autre OS ou pas.
Avatar de Edtech INpactien
Edtech Le mercredi 21 novembre 2012 à 13:23:31
Inscrit le mardi 17 octobre 06 - 3710 commentaires
Attention en faisant le raccourci "sur toute machine disposant du Secure Boot activé". Activer le secure boot n'est pas si simple, il faut du matériel compatible !

La carte mère avec l'UEFI ne suffit pas ! Actuellement, sur ma machine, la carte graphique (AMD HD7970) et le SSD (OCZ Revodrive 3) ne sont pas compatibles !

La première je ne sais pas encore pourquoi, le second parce qu'il faut que le type de secteur d'amorçage soit en GPT et non en MBR.

J'ai ouvert un sujet sur le forum pour que les gens puissent indiquer quels sont les matériels compatibles ou non :http://forum.pcinpact.com/topic/164863-compatibilite-du-materiel-avec-le-secure-...
Avatar de tazvld INpactien
tazvld Le mercredi 21 novembre 2012 à 13:27:12
Inscrit le jeudi 10 novembre 11 - 1138 commentaires
Le soucis, avec le secure boot, c'est que c'est fondamentalement inefficace : un utilisateur lambda, si ça ne fonctionne pas, il va forcer. Il ne va pas chercher à comprendre d’où ça viens, il veut juste que ça démarre. Donc, forcément, le secure boot sera désactivé au lieu de vérifier si le démarrage n'est pas corrompu.
Alors, qu'un message d'alerte clair et bien expliqué par dessus la séquence de boot avec une pause de celle ci serai sûrement plus efficace (n’empêche pas le boot, mais s'affiche à chaque démarrage) et moins paralysant.

Il y a 97 commentaires

;