Avant que Windows 8 ne sorte, Microsoft avait averti qu’une protection, Secure Boot, serait mise en place pour vérifier l’intégrité du boot de la machine. La Linux Foundation, de son côté, avait par la suite garanti qu’une solution serait trouvée pour permettre à Linux d’en profiter. Chose promise, chose due : la première version de cette solution a été publiée.
L'opposition entre Windows 8 et les distributions Linux
Durant le développement de Windows 8, une polémique a surgi autour du Secure Boot. Il s’agit d’une technologie faisant partie de la norme UEFI. Elle permet, une fois utilisée, de vérifier l’intégrité de tous les éléments impliqués dans la chaine de démarrage du système d’exploitation. Le problème était que pendant tout ce temps, Windows 8 était le seul système à pouvoir l’utiliser. Or, les premiers échos faisaient état de PC qui seraient vendus avec un Secure Boot obligatoire.
L’inquiétude concernant Linux avait été soulevée par Matthew Garrett, développeur chez Red Hat. À l’époque, il avait expliqué que le verrouillage de la chaine de démarrage, si elle permettait de repousser de nombreux malwares, laissait également les systèmes d’exploitation alternatifs à la porte. Microsoft avait par la suite répondu, ce qui avait engendré un ping-pong de questions et réponses. Au final, Microsoft avait annoncé que les OEM auraient l’obligation de proposer une option pour désactiver le Secure Boot sur l’ensemble des machines vendues.
Quelques mois plus tard, on apprenait toutefois que les tablettes ARM sous Windows RT auraient un Secure Boot totalement bloqué.
La solution de Linux Foundation
En novembre dernier, nous vous informions que la Linux Foundation travaillait à une solution pour permettre à Linux d’exploiter le Secure Boot. Après tout, il était logique que les distributions se penchent sur une fonctionnalité qui permet un surplus de sécurité plutôt que de devoir systématiquement la désactiver. Les fichiers sont proposés par James Bottomley, qui a lui-même dirigé le travail sur la question au sein de la fondation :
- PreLoader.efi (md5sum 4f7a4f566781869d252a09dc84923a82)
- HashTool.efi (md5sum 45639d23aa5f2a394b03a65fc732acf2)
Comme on le remarquera vite toutefois, ces fichiers sont fournis tels quels et s’adressent pour l’instant à des utilisateurs chevronnés qui sauront comment les utiliser. La véritable solution arrivera quand ils seront inclus en standard dans les distributions, ce qui ne devrait pas manquer d’arriver durant l’année.
En outre, James Bottomley précise qu’il s’agit dans tous les cas d’une première version, d’où son état « brut ». Il fournit toutefois une petite image ISO pour clé USB qui permettra de démarrer.
La période d'intégration
En dépit d’une solution commune fournie par la Linux Foundation, il faut bien comprendre que les distributions, et donc les éditeurs ou les développeurs qui se tiennent derrière, n’ont pas obligation de l’intégrer en l’état.
On se rappellera notamment qu’Ubuntu compte procéder de sa propre manière, en proposant une nouvelle clé qui sera négociée avec les constructeurs. Si ces derniers l’acceptent, cela créera une infrastructure parallèle à celle de Microsoft pour les clés de sécurité. Un choix qui avait d’ailleurs été nettement critiqué par Matthew Garrett en juin 2012 : « La différence significative entre l’approche d’Ubuntu et celle de Microsoft est qu’il n’y a aucun signe que Canonical ouvrira un quelconque service de signature ». Fedora, à laquelle Red Hat participe activement, emploiera d’ailleurs la méthode « généraliste ».
Nous ne manquerons de vous tenir informés des progrès qui seront réalisés sur le support du Secure Boot dans les mois qui viennent, notamment au travers des nouvelles moutures des distributions.
Commentaires (76)
#1
Pour expérimenté l’EFI sur un Dell XPS15 c’est un grand pas en avant avec Windows 8. Avec Windows 7 je ne suis jamais arrivé à faire une installation viable par contre le gestion par Linux c’est juste une usine à gaz..
Il va y avoir un énorme travail pour faire la migration en douceur vers cette solution.
#2
Marche parfaitement sous Debian.
2 partitions à faire (dont une en FAT .. super ! )
Paquet à installer grub-efi-amd64 en SID, j’ai eu des soucis avec le paquet en testing.
Attention, on ne configure un loader UEFI que via un système booté en … UEFI !
EDIT : UEFI, pas secureboot.
#3
On se rappellera notamment qu’Ubuntu compte procéder de sa propre manière, en proposer une nouvelle clé qui sera proposée aux constructeurs.
proposant ?
#4
heuu un truc que je pige pas.
si la clef est publique la, qu’est ce qui empèche de faire un OS vérolé avec cette clé ?
#5
C’est pas trop tôt.
#6
#7
#8
#9
#10
Question de noob mais qu’est ce qui empêche un malware d’utiliser ce secure boot ?
#11
#12
Quelques mois plus tard, on apprenait toutefois que les tablettes ARM sous Windows RT auraient un Secure Boot totalement bloqué.
Je ne vois pas vraiment ce qui choque pour une tablette et surtout du Windows RT .. Ipad on peut mettre un Debian dessus ?
#13
#14
#15
#16
Donc il faut toujours racheter cette clé secrète, recompiler son propre noyau Linux reste toujours bloqué non ?
#17
#18
#19
#20
Sauf erreur, la clé publique qui sert à valider la signature (faite avec la clé privée méga-secrète), elle est dans l’eeprom qui contient le code de l’UEFI ?
Qu’est-ce qui empêche de la flasher avec une autre clé publique dont on détient le pendant privé pour s’auto-signer SON noyau juste sorti de compilation ?
Un dump d’UEFI, ça doit pas être la mer à boire à faire, si ?
#21
#22
On se rappellera notamment qu’Ubuntu compte procéder de sa propre manière
Plus maintenant. Depuis il y a eu des discussions avec la Linux Fondation.
#23
C’est bien le problème… une solution plus ouverte avait été proposée en laissant la possibilité à l’utilisateur de rajouter ses propres clés de confiance dans l’UEFI.
C’était mieux… mais visiblement trop “ouvert” pour plaire à Microsoft !
#24
#25
#26
#27
#28
Bah ça va les commentaires sont intéressants ici. Sur le blog de départ je m’attendais à voir une discussion sur comment intégrer les clés, où sur des problèmes rencontré avec l’image.
Et c’est parti en ANTI-MS primaire…
:crains:
#29
" />
Je préfère virer le secure Boot carrément, pas envie d’avoir ça chez moi.
#30
#31
Je vois qu’il y a beaucoup de confusion sur ce sujet mais il est vrai que l’article de PCI n’est pas très clair.
#32
#33
#34
Et en voulant aller trop vite j’ai dit une bêtise ces deux fichiers ne sont pas les signatures, mais les fichiers même du mini-bootloader. L’image de boot usb étant juste une façon simple et rapide de les utiliser.
Les signatures ne sont pas intéressantes en elle même, il n’est pas nécessaire des les ajouter puisque justement ces fichiers sont signés par la clé privée de MS et que l’UEFI a déjà la clé publique.
Bref le reste de mon commentaire reste valide, grace à ce bootloader signé on peut charger GRUB etc etc …
Je me suis embrouillé moi même dans mon explication, ils nous ont pas pondu un truc simple avec cet UEFI :)
#35
#36
#37
#38
#39
#40
#41
#42
heu…je pige pas le truc “tpm”…cette m est integré où ?
#43
Et pourquoi doit-on se farcir un truc “sécurisé” si on en veut pas ? Par exemple moi j’aime bien mes boots non-sécurisés, et je n’ai pas envie de devoir bricoler mes OS pour faire plaisir a Microsoft. Comment cela se passe dans ce cas ? Les constructeurs ont-ils prévu de me laisser le choix ? (j’imagine que non…)
#44
#45
#46
#47
#48
Donc en gros, si MS décide un jour de ne plus vouloir signer le bootloader Secure Boot Compliant, la seule solution qu’il reste est de désactiver complètement le Secure Boot… Car j’imagine que ce bootloader de premier niveau va évoluer dans le temps… et il faudra bien le resigner à chaque fois…
Mieux vaut donc toujours avoir un UEFI qui permet de désactiver le Secure Boot… Histoire de ne pas l’avoir dans l’os un jour. " />
#49
#50
Bizarre que cette news se trouve dans la section “Navigateurs”.
#51
Question bête : Si une clef privée vient à leaker (ce qui arrivera un jour ou l’autre), il y aura un moyen facile de la révoquer ou tous les ordinateurs vendus jusque là seront susceptibles d’être vérolés ?
#52
#53
#54
Mais tu représentes une personne sur un million (ou moins). Et sinon, à part des connaissances sans doute sympathiques, qu’est-ce que ça t’a apporté ?
#55
#56
#57
#58
#59
#60
#61
#62
#63
#64
#65
#66
Je ne suis pas assez utopiste pour croire qu’on est capable, nous, quelques geeks au fond de leur piole (fait moins froid que dans le garage) de faire dévier de leur trajectoire les marketeux et autres financiers. Je dois vieillir " />
#67
#68
#69
#70
#71
#72
#73
#74
#75
#76