Avant que Windows 8 ne sorte, Microsoft avait averti qu’une protection, Secure Boot, serait mise en place pour vérifier l’intégrité du boot de la machine. La Linux Foundation, de son côté, avait par la suite garanti qu’une solution serait trouvée pour permettre à Linux d’en profiter. Chose promise, chose due : la première version de cette solution a été publiée.
L'opposition entre Windows 8 et les distributions Linux
Durant le développement de Windows 8, une polémique a surgi autour du Secure Boot. Il s’agit d’une technologie faisant partie de la norme UEFI. Elle permet, une fois utilisée, de vérifier l’intégrité de tous les éléments impliqués dans la chaine de démarrage du système d’exploitation. Le problème était que pendant tout ce temps, Windows 8 était le seul système à pouvoir l’utiliser. Or, les premiers échos faisaient état de PC qui seraient vendus avec un Secure Boot obligatoire.
L’inquiétude concernant Linux avait été soulevée par Matthew Garrett, développeur chez Red Hat. À l’époque, il avait expliqué que le verrouillage de la chaine de démarrage, si elle permettait de repousser de nombreux malwares, laissait également les systèmes d’exploitation alternatifs à la porte. Microsoft avait par la suite répondu, ce qui avait engendré un ping-pong de questions et réponses. Au final, Microsoft avait annoncé que les OEM auraient l’obligation de proposer une option pour désactiver le Secure Boot sur l’ensemble des machines vendues.
Quelques mois plus tard, on apprenait toutefois que les tablettes ARM sous Windows RT auraient un Secure Boot totalement bloqué.
La solution de Linux Foundation
En novembre dernier, nous vous informions que la Linux Foundation travaillait à une solution pour permettre à Linux d’exploiter le Secure Boot. Après tout, il était logique que les distributions se penchent sur une fonctionnalité qui permet un surplus de sécurité plutôt que de devoir systématiquement la désactiver. Les fichiers sont proposés par James Bottomley, qui a lui-même dirigé le travail sur la question au sein de la fondation :
- PreLoader.efi (md5sum 4f7a4f566781869d252a09dc84923a82)
- HashTool.efi (md5sum 45639d23aa5f2a394b03a65fc732acf2)
Comme on le remarquera vite toutefois, ces fichiers sont fournis tels quels et s’adressent pour l’instant à des utilisateurs chevronnés qui sauront comment les utiliser. La véritable solution arrivera quand ils seront inclus en standard dans les distributions, ce qui ne devrait pas manquer d’arriver durant l’année.
En outre, James Bottomley précise qu’il s’agit dans tous les cas d’une première version, d’où son état « brut ». Il fournit toutefois une petite image ISO pour clé USB qui permettra de démarrer.
La période d'intégration
En dépit d’une solution commune fournie par la Linux Foundation, il faut bien comprendre que les distributions, et donc les éditeurs ou les développeurs qui se tiennent derrière, n’ont pas obligation de l’intégrer en l’état.
On se rappellera notamment qu’Ubuntu compte procéder de sa propre manière, en proposant une nouvelle clé qui sera négociée avec les constructeurs. Si ces derniers l’acceptent, cela créera une infrastructure parallèle à celle de Microsoft pour les clés de sécurité. Un choix qui avait d’ailleurs été nettement critiqué par Matthew Garrett en juin 2012 : « La différence significative entre l’approche d’Ubuntu et celle de Microsoft est qu’il n’y a aucun signe que Canonical ouvrira un quelconque service de signature ». Fedora, à laquelle Red Hat participe activement, emploiera d’ailleurs la méthode « généraliste ».
Nous ne manquerons de vous tenir informés des progrès qui seront réalisés sur le support du Secure Boot dans les mois qui viennent, notamment au travers des nouvelles moutures des distributions.
