S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Secure Boot : Canonical aura sa propre clé de sécurité pour Ubuntu

Vrai combat ou évincement de la concurrence Linux ?

Le Secure Boot est une fonctionnalité de l’UEFI (Unified Extensible Firmware Interface) permettant de vérifier la signature électronique des éléments impliqués dans le démarrage du système. Dans l’idéal, cette solution est capable de remarquer l’intrusion d’un malware dans la chaine. Il faut pour cela une clé, et on a pu voir récemment que Red Hat en avait justement demandé une à Microsoft. L’éditeur Canonical a cependant choisi une autre solution.

win8 windows 8 release
La certification Windows 8 réclame la présence du Secure Boot

Une solution très différente de Fedora

Le père d’Ubuntu était attendu au tournant pour la gestion du Secure Boot. Et cela d’autant plus que non seulement Red Hat s’était déjà positionné, mais Linus Torvalds y avait apporté son soutien. L’éditeur de Fedora a simplement demandé une clé compatible « Microsoft » à cette dernière pour signer ces composants. La clé coûte 99 dollars et est délivrée par Verisign. Une fois obtenue, elle peut servir à signer tous les composants qui sont alors reconnus par l’UEFI.

Mais Canonical ne souhaite pas utiliser cette solution. Dans notre actualité précédente, nous indiquions que deux autres méthodes pouvaient être utilisées : créer une clé générique pour toutes les distributions Linux, ou créer une clé Fedora. C’est précisément cette dernière qui a été retenue, Canonical ayant publié ses propres spécifications.

Ubuntu aura sa propre clé

Dans les grandes lignes, Canonical se place comme un nouveau Microsoft dans le segment du Secure Boot. Cela a principalement deux implications. D’une part, les constructeurs de matériels vont être sollicités pour que la clé de Canonical soit reconnue. L’éditeur indique d’ailleurs être en discussions avec les OEM, sans doute dans l’optique de commercialiser directement des machines Ubuntu. Pour rappel, Dell s’attaque notamment à ce segment. D’autre part, Ubuntu ne sera pas compatible avec la clé Microsoft.

Des implications qui ont évidemment des conséquences pratiques. Techniquement, Ubuntu ne pourra pas être installé sur une machine équipée du Secure Boot à moins que le matériel soit déjà compatible avec la clé de Canonical. En clair, les utilisateurs vont surtout devoir désactiver le Secure Boot sur le PC pour se servir d’Ubuntu, là où Fedora pourra être installé (à partir de sa version 18 prévue pour la fin de l’année).

Mais il existe un problème encore plus sérieux dans le choix opéré par Canonical : contrairement à Microsoft, aucun service ne sera proposé aux tiers pour s’enregistrer et demander une clé compatible. On en revient ici aux explications données par Red Hat pour la solution d’une clé entièrement nouvelle : les constructeurs doivent l’accepter, et les autres distributions Linux n’en profitent pas, ce qui fragilise leur position.

Canonical chercherait-il à évincer la concurrence ?

De fait, on peut se demander ici si Canonical ne cherche pas à évincer clairement la concurrence Linux en créant sa propre clé. Si les constructeurs l’acceptent, il n’est pas dit qu’ils répètent l’opération pour chaque autre éditeur de système d’exploitation qui en fera la demande. En effet, cela signifie que les firmwares doivent être modifiés pour prendre en compte la nouvelle clé. Il faut donc soit attendre l’arrivée de nouvelles machines compatibles, soit justement mettre à jour les firmwares sur les machines existantes. Une étape très lourde pour l’utilisateur.

Matthew Garrett, le développeur de chez Red Hat qui avait annoncé la nouvelle pour Fedora, critique la méthode choisie par Canonical : « La différence significative entre l’approche d’Ubuntu et celle de Microsoft est qu’il n’y a aucun signe que Canonical ouvrira un quelconque service de signature. Seul un système possédant la clé Ubuntu sera conforme à ses prérequis et pourra être certifié par Canonical, mais ne pourra démarrer aucun autre système qu’Ubuntu, à moins que l’utilisateur ne désactive le Secure Boot ou importe leur propre base de clés. »

Il indique également qu’un ordinateur certifié pour Ubuntu pourrait être finalement plus verrouillé qu’un autre certifié pour Windows 8. La différence étant bien sûr que Microsoft propose un service de signature pour demander des clés compatibles.

Canonical ne cherche qu’une « alternative »

Les propos de Garrett sont bien entendu remontés jusqu’à Canonical et son PDG, Mark Shuttleworth. Ce dernier a répondu que l’éditeur avait travaillé à « fournir une alternative à la clé Microsoft, pour que l’intégralité de l’écosystème du logiciel libre ne dépende pas de la bonne volonté de Microsoft ». Shuttleworth rappelle également que le Secure Boot n’est pas la réponse ultime à tous les problèmes et que la solution comporte ses propres failles.

Mais « l’alternative à la clé Microsoft » se révèlera encore plus amère si Canonical ne propose aucun système permettant aux autres distributions Linux d’obtenir une clé compatible. L’éditeur tiendrait alors entre ses mains une simple arme pour évincer la concurrence.

Sachez en tout cas que Canonical travaille déjà sur l'implémentation du Secure Boot puisque le support du chargeur de démarrage Grub 2 va par exemple être abandonné au profit de la solution efilinux développée par Intel.
Source : PC World
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 27/06/2012 à 11:18

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 63 commentaires

Avatar de SrBelial INpactien
SrBelial Le mercredi 27 juin 2012 à 11:30:05
Inscrit le jeudi 17 février 11 - 841 commentaires
le choix entre accepter de dépendre de microsoft ou ne pas pouvoir faire tourner windows va complexifier les offres matérielles et logicielles.
Avatar de lildadou INpactien
lildadou Le mercredi 27 juin 2012 à 11:32:14
Inscrit le vendredi 6 janvier 06 - 494 commentaires
Les clefs ne devraient pas être hardcodés ou pré-installées, c'est à l'utilisateur de le faire. C'est d'ailleurs pour ça que la version 1.2 de TPM est née.

Je comprend pas comment on en est arrivé là. Tout le monde a gueulé contre TPM, Palladium et co mais lorsque le consortium TPM sors les spec 1.2 qui ouvre l'usage des puces TPM tout le monde se rue sur les usages de la version 1.1 ou 1.0. C'est quoi ce délire?

C'est ma puce TPM, je la scelle comme je veux avec les registre que je veux. Question con, on peut virer les clefs pré-installées? Je parie que non. (Magnifique regression)
Avatar de Tolor Modérateur
Tolor Le mercredi 27 juin 2012 à 11:35:16
Inscrit le mercredi 5 août 09 - 12180 commentaires
le choix entre accepter de dépendre de microsoft ou ne pas pouvoir faire tourner windows va complexifier les offres matérielles et logicielles.

Le secure boot n'est pas obligatoire pour pouvoir faire tourner Windows 8 (Dans le sens où Windows 8 peut très bien tourner sans).
Il est obligatoire sur les nouvelles machines certifiées Windows 8.
Avatar de after_burner INpactien
after_burner Le mercredi 27 juin 2012 à 11:38:59
Inscrit le mercredi 16 juillet 08 - 6969 commentaires
Il y a un truc que je comprend pas ds ces histoires de secureboot, chaque éditeur aurait donc un système de signatures et on peut donc avoir plusieurs clés compatibles avec ses systèmes, mais pourquoi ces systèmes de clés ne sont pas gérés par les fabricants? c'est eux qui font l'UEFI, et ds ce sens ils pourraient permettre plusieurs compatibilité pour les OS, aux éditeurs d'avoir les clés.

Enfin, je doit pas tout saisir et puis bien sur, rien ne devrait obliger à avoir un système de clés pour le moindre OS non plus.

Je trouve que ça fait bcp d'efforts pour pas grand chose ce secure boot.

Edité par after_burner le mercredi 27 juin 2012 à 11:41
Avatar de batoche INpactien
batoche Le mercredi 27 juin 2012 à 11:39:04
Inscrit le lundi 25 décembre 06 - 1996 commentaires
Mais « l’alternative à la clé Microsoft » se révèlera encore plus amère si Canonical ne propose aucun système permettant aux autres distributions Linux d’obtenir une clé compatible. L’éditeur tiendrait alors entre ses mains une simple arme pour évincer la concurrence.


En fait, l'arme pour évincer la concurrence, c'est plutôt la présence obligatoire du secure-boot imposée par MS aux fabricant pour avoir le droit d'y installer W8.

Je trouve que vous allez un peu vite en besogne en présumant des (mauvaises) intentions de Caconical : ce choix n'empêche pas du tout d'autre distribs soucieuses d’obtenir une clé de la quémander auprès de microsoft ou de canonical.

Il y a 63 commentaires

;