Le Secure Boot est une fonctionnalité de l’UEFI (Unified Extensible Firmware Interface) permettant de vérifier la signature électronique des éléments impliqués dans le démarrage du système. Dans l’idéal, cette solution est capable de remarquer l’intrusion d’un malware dans la chaine. Il faut pour cela une clé, et on a pu voir récemment que Red Hat en avait justement demandé une à Microsoft. L’éditeur Canonical a cependant choisi une autre solution.
La certification Windows 8 réclame la présence du Secure Boot
Mais Canonical ne souhaite pas utiliser cette solution. Dans notre actualité précédente, nous indiquions que deux autres méthodes pouvaient être utilisées : créer une clé générique pour toutes les distributions Linux, ou créer une clé Fedora. C’est précisément cette dernière qui a été retenue, Canonical ayant publié ses propres spécifications.
Des implications qui ont évidemment des conséquences pratiques. Techniquement, Ubuntu ne pourra pas être installé sur une machine équipée du Secure Boot à moins que le matériel soit déjà compatible avec la clé de Canonical. En clair, les utilisateurs vont surtout devoir désactiver le Secure Boot sur le PC pour se servir d’Ubuntu, là où Fedora pourra être installé (à partir de sa version 18 prévue pour la fin de l’année).
Mais il existe un problème encore plus sérieux dans le choix opéré par Canonical : contrairement à Microsoft, aucun service ne sera proposé aux tiers pour s’enregistrer et demander une clé compatible. On en revient ici aux explications données par Red Hat pour la solution d’une clé entièrement nouvelle : les constructeurs doivent l’accepter, et les autres distributions Linux n’en profitent pas, ce qui fragilise leur position.
Matthew Garrett, le développeur de chez Red Hat qui avait annoncé la nouvelle pour Fedora, critique la méthode choisie par Canonical : « La différence significative entre l’approche d’Ubuntu et celle de Microsoft est qu’il n’y a aucun signe que Canonical ouvrira un quelconque service de signature. Seul un système possédant la clé Ubuntu sera conforme à ses prérequis et pourra être certifié par Canonical, mais ne pourra démarrer aucun autre système qu’Ubuntu, à moins que l’utilisateur ne désactive le Secure Boot ou importe leur propre base de clés. »
Il indique également qu’un ordinateur certifié pour Ubuntu pourrait être finalement plus verrouillé qu’un autre certifié pour Windows 8. La différence étant bien sûr que Microsoft propose un service de signature pour demander des clés compatibles.
Mais « l’alternative à la clé Microsoft » se révèlera encore plus amère si Canonical ne propose aucun système permettant aux autres distributions Linux d’obtenir une clé compatible. L’éditeur tiendrait alors entre ses mains une simple arme pour évincer la concurrence.
Sachez en tout cas que Canonical travaille déjà sur l'implémentation du Secure Boot puisque le support du chargeur de démarrage Grub 2 va par exemple être abandonné au profit de la solution efilinux développée par Intel.
La certification Windows 8 réclame la présence du Secure Boot
Une solution très différente de Fedora
Le père d’Ubuntu était attendu au tournant pour la gestion du Secure Boot. Et cela d’autant plus que non seulement Red Hat s’était déjà positionné, mais Linus Torvalds y avait apporté son soutien. L’éditeur de Fedora a simplement demandé une clé compatible « Microsoft » à cette dernière pour signer ces composants. La clé coûte 99 dollars et est délivrée par Verisign. Une fois obtenue, elle peut servir à signer tous les composants qui sont alors reconnus par l’UEFI.Mais Canonical ne souhaite pas utiliser cette solution. Dans notre actualité précédente, nous indiquions que deux autres méthodes pouvaient être utilisées : créer une clé générique pour toutes les distributions Linux, ou créer une clé Fedora. C’est précisément cette dernière qui a été retenue, Canonical ayant publié ses propres spécifications.
Ubuntu aura sa propre clé
Dans les grandes lignes, Canonical se place comme un nouveau Microsoft dans le segment du Secure Boot. Cela a principalement deux implications. D’une part, les constructeurs de matériels vont être sollicités pour que la clé de Canonical soit reconnue. L’éditeur indique d’ailleurs être en discussions avec les OEM, sans doute dans l’optique de commercialiser directement des machines Ubuntu. Pour rappel, Dell s’attaque notamment à ce segment. D’autre part, Ubuntu ne sera pas compatible avec la clé Microsoft.Des implications qui ont évidemment des conséquences pratiques. Techniquement, Ubuntu ne pourra pas être installé sur une machine équipée du Secure Boot à moins que le matériel soit déjà compatible avec la clé de Canonical. En clair, les utilisateurs vont surtout devoir désactiver le Secure Boot sur le PC pour se servir d’Ubuntu, là où Fedora pourra être installé (à partir de sa version 18 prévue pour la fin de l’année).
Mais il existe un problème encore plus sérieux dans le choix opéré par Canonical : contrairement à Microsoft, aucun service ne sera proposé aux tiers pour s’enregistrer et demander une clé compatible. On en revient ici aux explications données par Red Hat pour la solution d’une clé entièrement nouvelle : les constructeurs doivent l’accepter, et les autres distributions Linux n’en profitent pas, ce qui fragilise leur position.
Canonical chercherait-il à évincer la concurrence ?
De fait, on peut se demander ici si Canonical ne cherche pas à évincer clairement la concurrence Linux en créant sa propre clé. Si les constructeurs l’acceptent, il n’est pas dit qu’ils répètent l’opération pour chaque autre éditeur de système d’exploitation qui en fera la demande. En effet, cela signifie que les firmwares doivent être modifiés pour prendre en compte la nouvelle clé. Il faut donc soit attendre l’arrivée de nouvelles machines compatibles, soit justement mettre à jour les firmwares sur les machines existantes. Une étape très lourde pour l’utilisateur.Matthew Garrett, le développeur de chez Red Hat qui avait annoncé la nouvelle pour Fedora, critique la méthode choisie par Canonical : « La différence significative entre l’approche d’Ubuntu et celle de Microsoft est qu’il n’y a aucun signe que Canonical ouvrira un quelconque service de signature. Seul un système possédant la clé Ubuntu sera conforme à ses prérequis et pourra être certifié par Canonical, mais ne pourra démarrer aucun autre système qu’Ubuntu, à moins que l’utilisateur ne désactive le Secure Boot ou importe leur propre base de clés. »
Il indique également qu’un ordinateur certifié pour Ubuntu pourrait être finalement plus verrouillé qu’un autre certifié pour Windows 8. La différence étant bien sûr que Microsoft propose un service de signature pour demander des clés compatibles.
Canonical ne cherche qu’une « alternative »
Les propos de Garrett sont bien entendu remontés jusqu’à Canonical et son PDG, Mark Shuttleworth. Ce dernier a répondu que l’éditeur avait travaillé à « fournir une alternative à la clé Microsoft, pour que l’intégralité de l’écosystème du logiciel libre ne dépende pas de la bonne volonté de Microsoft ». Shuttleworth rappelle également que le Secure Boot n’est pas la réponse ultime à tous les problèmes et que la solution comporte ses propres failles.Mais « l’alternative à la clé Microsoft » se révèlera encore plus amère si Canonical ne propose aucun système permettant aux autres distributions Linux d’obtenir une clé compatible. L’éditeur tiendrait alors entre ses mains une simple arme pour évincer la concurrence.
Sachez en tout cas que Canonical travaille déjà sur l'implémentation du Secure Boot puisque le support du chargeur de démarrage Grub 2 va par exemple être abandonné au profit de la solution efilinux développée par Intel.
