S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Windows 8 : le Secure Boot pourrait faire du tort à Linux

Et le tort tue

L’une des fonctionnalités de Windows 8 risque de faire parler d’elle chez les utilisateurs d’autres systèmes d’exploitation. Le prochain programme de logo « Designed for Windows 8 » réclame en effet le support de la fonctionnalité Secure Boot. Or, cette dernière rend obligatoire la signature du système d’exploitation par une Certificate Authority. Un mouvement qui ne facilitera pas l’installation des distributions Linux et autres systèmes.

windows 8 win8 build samsung

La protection de la séquence de démarrage contre les malwares

Ce fait est pointé du doigt par Matthew Garrett, développeur chez Red Hat. Le programme de logo imposera la présence du Secure Boot, une fonctionnalité permettant de s’assurer que toute la chaine de démarrage n’est pas modifiée. Le Secure Boot rend obligatoire la signature électronique de chaque élément de cette chaine, de l’UEFI au système d’exploitation. Or, si Windows 8 est forcément prévu pour une telle signature, ce n’est pas le cas de Linux.

Microsoft veut profiter du Secure Boot pour se débarrasser de toute une classe de malwares visant justement le démarrage du système, notamment les bootkits et rootkits. Dans le cas de Linux, l’installation du système ne sera pas forcément empêchée, mais l’étape de création du multi-boot ne pourra se faire, puisqu’il s’agit justement d’une modification dans la chaine de démarrage.

Le choix dans les mains des OEM

Matthew Garrett note toutefois que la seule présence de Windows 8 en tant que telle ne change rien à la situation actuelle. Toutes les machines équipées de BIOS par exemple ne pourront en aucun cas disposer du Secure Boot. Mais Microsoft va profiter de son programme de logo pour que l’UEFI se répande puisque les capacités de ce dernier vont jouer une part importante dans le boot rapide du système. De fait, l’attention se reporte vers les constructeurs.

Garrett estime ainsi que les cartes sont entre les mains des OEM. Si le Secure Boot doit être obligatoirement présent, rien n’indique qu’on ne peut pas mettre en place la possibilité de le désactiver. Il craint cependant que les OEM se conformant au programme cherchent à en faire le minimum, quitte à mettre de côté cette désactivation.

Du coup, le développeur ne craint pas l’interdiction d’installer Linux mais les restrictions sur le choix du matériel. On retrouvera trois cas :
  • La machine que l’on monte soi-même, et qui ne causera aucun problème
  • La machine d’un OEM avec logo Windows 8 avec désactivation possible du Secure Boot
  • La machine d’un OEM avec logo Windows 8 avec Secure Boot obligatoire
De fait, si un utilisateur de Linux souhaite changer de machine et en acheter une chez un OEM, il devra vérifier que le produit visé dispose bien de la coupure du Secure Boot.

Signer les distributions Linux : de nombreux problèmes

Garrett aborde également le cas de la possible signature des distributions Linux, mais cela pose plusieurs problèmes. Il note premièrement que chaque distribution aurait besoin d’un bootloader ne reposant pas sur la GPL. La version 3 de la licence rend obligatoire la distribution des clés, tandis que la version 2 n’aborde pas ce thème. Garrett estime cependant qu’il serait de mauvaise foi de se baser sur cette zone grise.

Deuxièmement, le futur du kernel est d’être lui-même un composant de la chaine de démarrage. Conséquence : il faudrait que le kernel soit également signé, une solution inenvisageable puisqu’elle interdirait aux développeurs tiers de compiler leur propre noyau. Troisièmement, les éditeurs de solution Linux pourraient envisager de faire leurs propres signatures, mais il faudrait alors disséminer ces clés à tous les OEM. Une option lourde sur un plan logistique, et qui n’a pas de garantie de succès.

En résumé, la question ne se pose pas avec le matériel actuel et toutes les cartes mères équipées de BIOS. Sur les prochaines machines OEM équipées d’UEFI, il faudra par contre contrôler que la désactivation du Secure Boot soit possible. 
Source : Ars Technica
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 22/09/2011 à 11:15

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 472 commentaires

Commentaire de manudwarf supprimé le 01/01/1970 à 00:00:00 : Réponse à un commentaire supprimé
Avatar de hicario INpactien
hicario Le jeudi 22 septembre 2011 à 12:21:44
Inscrit le vendredi 17 juin 05 - 804 commentaires
On a l'impression qu'a chaque fois qu'on peut pas installer Linux quelque-part, c'est un complot machiavélique du fabriquant avec Microsoft. Peut-être que c'est simplement que le fabriquant ne s'intéresse pas à la compatibilité Linux, étant donné le peu de marché que ca représente.
Je crois surtout que le fabriquant est un fan de contrôle et veut pas avoir à supporter autre chose que ce qu'il a prévu pour tel matériel.
Quand je vois HTC verrouiller leur bootloader et autoriser ce déverrouillage en acceptant la perte de la garantie, ça ne m'étonne pas de voir la même chose arriver avec Windows. Et c'est pas Google qui l'impose... Après le marché pour le moment préfère les trucs déverrouillés...pour le moment
Avatar de manudwarf Modérateur
manudwarf Le jeudi 22 septembre 2011 à 12:22:54
Inscrit le dimanche 14 décembre 08 - 4183 commentaires
Je crois surtout que le fabriquant est un fan de contrôle et veut pas avoir à supporter autre chose que ce qu'il a prévu pour tel matériel.
Quand je vois HTC verrouiller leur bootloader et autoriser ce déverrouillage en acceptant la perte de la garantie, ça ne m'étonne pas de voir la même chose arriver avec Windows. Et c'est pas Google qui l'impose... Après le marché pour le moment préfère les trucs déverrouillés...pour le moment

Plus maintenant même...
Avatar de virgilounet INpactien
virgilounet Le jeudi 22 septembre 2011 à 12:27:13
Inscrit le mercredi 16 mars 05 - 38 commentaires
Même si le "Secure boot" s'avère désactivable sur toutes les machines, selon moi, le mal sera quand même fait :

Les distributions orientées grand public s'appuient sur la facilité d'installation pour convertir des Mme Michu.
Pour Ubuntu, même ma mère pourrait s'en sortir avec un live CD.

Mais la nécessité de désactiver le secure boot dans l'EFI risque d'en rebuter un sacré paquet, qui ne sauteront pas le pas...
Avatar de moxepius INpactien
moxepius Le jeudi 22 septembre 2011 à 12:31:50
Inscrit le mercredi 3 décembre 08 - 2323 commentaires
Mais la nécessité de désactiver le secure boot dans l'EFI risque d'en rebuter un sacré paquet, qui ne sauteront pas le pas...

S'il est vraiment désactivable, pas plus que ceux qui n'osent pas changer l'ordre de démarrage des disques du bios.
Avatar de taigaV INpactien
taigaV Le jeudi 22 septembre 2011 à 12:39:42
Inscrit le jeudi 22 septembre 11 - 26 commentaires

90% des gens sont sûrement des cons j'imagine.

Me voila donc banni (sans la moindre explication, sans durée) pour avoir eu le même niveau d'argumentation que le journaliste.

Une grande majorité des arguments tenus ici me semblent hautement trollesque mais comme ils sont bien enveloppés et vont dans le sens de la rédaction ça ne pose pas de problème.

On laisse passer ce genre de chose et on banni le type qui met les pieds dans le plat, c'est triste.
On a l'impression qu'a chaque fois qu'on peut pas installer Linux quelque-part, c'est un complot machiavélique du fabriquant avec Microsoft. Peut-être que c'est simplement que le fabriquant ne s'intéresse pas à la compatibilité Linux, étant donné le peu de marché que ca représente.

Avatar de Vincent_H Equipe
Vincent_H Le jeudi 22 septembre 2011 à 12:46:55
Inscrit le jeudi 30 janvier 03 - 15423 commentaires
Me voila donc banni (sans la moindre explication, sans durée) pour avoir eu le même niveau d'argumentation que le journaliste.



Tu avais été prévenu plusieurs fois via de nombreux commentaires supprimés. Mon commentaire était profondément ironique pour mettre en valeur le coeur de ton propos. Ta réponse était une confirmation. J'ai déjà à plusieurs reprises que je n'embarrasserais plus de certaines choses, parce que ça me fait perdre du temps.
Avatar de canti INpactien
canti Le jeudi 22 septembre 2011 à 12:49:16
Inscrit le lundi 5 mai 03 - 4350 commentaires
ca me semblerais surprenant que les OEM empèchent l'installation de Win7 (tu me diras MS pourrait a ce moment signer l'installation) et XP (qui reste largement utilisé en entreprise)

que ca soit une option enfouie dans un menu obscure, c'est possible, qu'il n'y ait aucun moyen de démarrer un OS depuis un CD (CD rescue, norton ghost, Clonezilla...) j'ai comme un doute que les DSI d'entreprise (de gros clients quand meme) fassent un peu la gueule...

si c'est une limitation logiciel, elle sera forcément débrayable...
Avatar de IAmNotANumber INpactien
IAmNotANumber Le jeudi 22 septembre 2011 à 12:50:04
Inscrit le vendredi 22 octobre 10 - 2036 commentaires

Pourquoi acheter un PC avec un logo "Designed for Windows 8" + un secure-boot non désactivable, tout ca pour au final y installer Linux ?

C'est un peu comme acheter un iPad et râler parce qu'on peut pas y mettre Windows XP.


Le problème, c'est qu'on peut facilement acheter un autre smartphone qu'un ipad.

Le poids éco de MS est en revanche tel dans l'univers PC que le secure-boot sera impératif sur tous les matériels... et le risque existe qu'il soit non-désactivable si ça coûte moins cher à fabriquer ; comme le fait qu'il soit désactivable sera sans intérêt pour 90% des utilisateurs, les fabricants pourraient être tentés d'aller au plus simple/moins coûteux.



Edité par IAmNotANumber le jeudi 22 septembre 2011 à 12:52
Avatar de IAmNotANumber INpactien
IAmNotANumber Le jeudi 22 septembre 2011 à 12:53:02
Inscrit le vendredi 22 octobre 10 - 2036 commentaires
Même si le "Secure boot" s'avère désactivable sur toutes les machines, selon moi, le mal sera quand même fait :

Les distributions orientées grand public s'appuient sur la facilité d'installation pour convertir des Mme Michu.
Pour Ubuntu, même ma mère pourrait s'en sortir avec un live CD.

Mais la nécessité de désactiver le secure boot dans l'EFI risque d'en rebuter un sacré paquet, qui ne sauteront pas le pas...


Cépafo.
;