Secure Boot : la Linux Foundation sur le point de proposer une solution

Une fondation qui assure pleinement son rôle 97

Depuis que Microsoft a abordé la question du Secure Boot, la question du démarrage de Linux sur des machines Windows 8 revient de manière récurrente. En effet, le simple processus de boot est rendu plus complexe pour les systèmes alternatifs. Cependant, la Linux Foundation travaillait sur une solution et celle-ci est presque prête.

secure boot

Une solution unique pour tous les Linux 

Le 10 octobre dernier, la Linux Foundation a annoncé travailler sur une solution commune à un problème : le délicat mélange du Secure Boot et des distributions Linux. Le Secure Boot est un mécanisme faisant partie des spécifications UEFI et utilisé par Windows 8. Sur les tablettes ARM, le mécanisme est obligatoire et permet de contrôler l’intégrité des éléments de la chaine de démarrage. Sur les machines x86, et en particulier les PC classiques, l’élément doit être présent, et si son activation est présente par défaut, le Secure Boot doit pouvoir être désactivé.

Dans l’idéal, les distributions Linux devraient pouvoir s’installer sur une machine équipée d’un UEFI et du Secure Boot. Après tout, ce dernier n’est pas un mécanisme de Microsoft mais une technologie neutre qui devrait pouvoir être exploitée par n’importe quel système. Dans la pratique, le Secure Boot est largement influencé par Microsoft et se mettre au diapason réclame l’achat d’une clé chez Verisign pour signer l’ensemble des éléments impliqués dans le démarrage.

L’idée de la Linux Foundation était simple. Les distributions Linux se basent le plus souvent sur un « bootloader » qui permet ensuite au système de démarrer. Un processus en deux temps auquel la fondation proposait d’en ajouter un troisième : un pré-bootloader qui interviendrait en premier lieu pour s’occuper de l’initialisation du démarrage sécurisé. Un test doit faire partie du processus pour contrôler qu’il est initié par un utilisateur réel et non par un malware quelconque. Mais le projet a pris du retard à cause des étapes nécessaires, notamment l’obtention de la clé Microsoft.

Presque terminé, mais...

James Bottomley, membre du Technical Advisory Board de la fondation, mainteneur du noyau Linux et directeur technique de la société Parallels, est l’un des auteurs principaux du projet. Dans un échange avec ZDnet, on apprend cependant que le projet est pratiquement réalisé : « Nous en avons terminé avec le contrat signé de Microsoft et le fichier binaire est prêt pour la distribution ».

Il signale toutefois que des problèmes du côté de l’éditeur de Redmond ont ralenti l’ensemble des démarches : « La première fois que j’ai envoyé le loader, il s’est retrouvé coincé (il l’est toujours en fait). J’en ai donc envoyé un autre une semaine après environ. Ce qui a produit finalement un téléchargement, dont j’ai vérifié la signature (clé MS UEFI) et qui est fonctionnel, mais les personnes du centre sysdev de Microsoft indiquent maintenant que cette signature est une erreur et que nous devons attendre que le problème soit réglé ».

Entre les mains de Microsoft

Selon James Bottomley, le problème pourrait venir que le binaire n’est pas signé d’une clé spécifique à la Linux Foundation, et ne l’identifiant pas comme tel en dernier ressort. De fait, le problème est actuellement entre les mains de Microsoft et Bottomley espère que la réponse ne mettra que quelques jours à arriver. Steven J. Vaughan-Nichols de ZDnet signale pour sa part qu’avec la période des fêtes de fin d’année, il est possible que le processus nécessite encore plusieurs semaines.

À terme, si les problèmes sont dépassés, ce fichier binaire signé devrait permettre à toute distribution Linux de pouvoir démarrer sur une machine disposant du Secure Boot activé, et donc de profiter de la dose de sécurité supplémentaire. Notez que le travail de la fondation pourrait court-circuiter certaines initiatives comme celle de Canonical qui tentent de proposer leur propre clé, avec le bénéfice de proposer une solution commune à tous les éditeurs Linux. Ce qui est précisément le travail de la Linux Foundation.

Publiée le 21/11/2012 à 13:00 - Source : James Bottomley
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €

Publicité


chargement
Chargement des commentaires...