S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Le Secure Boot de l'UEFI peut désormais être pris en charge par Linux

Merci la Fondation

Avant que Windows 8 ne sorte, Microsoft avait averti qu’une protection, Secure Boot, serait mise en place pour vérifier l’intégrité du boot de la machine. La Linux Foundation, de son côté, avait par la suite garanti qu’une solution serait trouvée pour permettre à Linux d’en profiter. Chose promise, chose due : la première version de cette solution a été publiée.

secure boot

L'opposition entre Windows 8 et les distributions Linux 

Durant le développement de Windows 8, une polémique a surgi autour du Secure Boot. Il s’agit d’une technologie faisant partie de la norme UEFI. Elle permet, une fois utilisée, de vérifier l’intégrité de tous les éléments impliqués dans la chaine de démarrage du système d’exploitation. Le problème était que pendant tout ce temps, Windows 8 était le seul système à pouvoir l’utiliser. Or, les premiers échos faisaient état de PC qui seraient vendus avec un Secure Boot obligatoire.

 

L’inquiétude concernant Linux avait été soulevée par Matthew Garrett, développeur chez Red Hat. À l’époque, il avait expliqué que le verrouillage de la chaine de démarrage, si elle permettait de repousser de nombreux malwares, laissait également les systèmes d’exploitation alternatifs à la porte. Microsoft avait par la suite répondu, ce qui avait engendré un ping-pong de questions et réponses. Au final, Microsoft avait annoncé que les OEM auraient l’obligation de proposer une option pour désactiver le Secure Boot sur l’ensemble des machines vendues.

 

Quelques mois plus tard, on apprenait toutefois que les tablettes ARM sous Windows RT auraient un Secure Boot totalement bloqué.

La solution de Linux Foundation

En novembre dernier, nous vous informions que la Linux Foundation travaillait à une solution pour permettre à Linux d’exploiter le Secure Boot. Après tout, il était logique que les distributions se penchent sur une fonctionnalité qui permet un surplus de sécurité plutôt que de devoir systématiquement la désactiver. Les fichiers sont proposés par James Bottomley, qui a lui-même dirigé le travail sur la question au sein de la fondation :

Comme on le remarquera vite toutefois, ces fichiers sont fournis tels quels et s’adressent pour l’instant à des utilisateurs chevronnés qui sauront comment les utiliser. La véritable solution arrivera quand ils seront inclus en standard dans les distributions, ce qui ne devrait pas manquer d’arriver durant l’année.

 

En outre, James Bottomley précise qu’il s’agit dans tous les cas d’une première version, d’où son état « brut ». Il fournit toutefois une petite image ISO pour clé USB qui permettra de démarrer.

La période d'intégration

En dépit d’une solution commune fournie par la Linux Foundation, il faut bien comprendre que les distributions, et donc les éditeurs ou les développeurs qui se tiennent derrière, n’ont pas obligation de l’intégrer en l’état.

 

On se rappellera notamment qu’Ubuntu compte procéder de sa propre manière, en proposant une nouvelle clé qui sera négociée avec les constructeurs. Si ces derniers l’acceptent, cela créera une infrastructure parallèle à celle de Microsoft pour les clés de sécurité. Un choix qui avait d’ailleurs été nettement critiqué par Matthew Garrett en juin 2012 : « La différence significative entre l’approche d’Ubuntu et celle de Microsoft est qu’il n’y a aucun signe que Canonical ouvrira un quelconque service de signature ». Fedora, à laquelle Red Hat participe activement, emploiera d’ailleurs la méthode « généraliste ».

 

Nous ne manquerons de vous tenir informés des progrès qui seront réalisés sur le support du Secure Boot dans les mois qui viennent, notamment au travers des nouvelles moutures des distributions.

Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Google+

Publiée le 11/02/2013 à 16:17

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 76 commentaires

Avatar de ano_635090471659141736 INpactien
ano_635090471659141736 Le lundi 11 février 2013 à 16:23:23
Inscrit le vendredi 28 décembre 12 - 114 commentaires
Pour expérimenté l'EFI sur un Dell XPS15 c'est un grand pas en avant avec Windows 8. Avec Windows 7 je ne suis jamais arrivé à faire une installation viable par contre le gestion par Linux c'est juste une usine à gaz..

Il va y avoir un énorme travail pour faire la migration en douceur vers cette solution.
Avatar de Thald' INpactien
Thald' Le lundi 11 février 2013 à 16:30:37
Inscrit le jeudi 26 novembre 09 - 1464 commentaires
Marche parfaitement sous Debian.

2 partitions à faire (dont une en FAT .. super ! )
Paquet à installer grub-efi-amd64 en SID, j'ai eu des soucis avec le paquet en testing.

Attention, on ne configure un loader UEFI que via un système booté en ... UEFI !

EDIT : UEFI, pas secureboot.

Edité par Thald' le lundi 11 février 2013 à 16:30
Avatar de Winderly INpactien
Winderly Le lundi 11 février 2013 à 16:32:53
Inscrit le vendredi 19 mai 06 - 8345 commentaires
On se rappellera notamment qu’Ubuntu compte procéder de sa propre manière, en proposer une nouvelle clé qui sera proposée aux constructeurs.

proposant ?
Avatar de al_bebert INpactien
al_bebert Le lundi 11 février 2013 à 16:36:18
Inscrit le jeudi 1 décembre 05 - 4773 commentaires
heuu un truc que je pige pas.

si la clef est publique la, qu'est ce qui empèche de faire un OS vérolé avec cette clé ?
Avatar de bzc INpactien
bzc Le lundi 11 février 2013 à 16:36:29
Inscrit le mercredi 12 décembre 12 - 498 commentaires
C'est pas trop tôt.

Il y a 76 commentaires

;