Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Mal implémenté par les OEM, le Secure Boot de Windows 8 a été contourné

Défauts dans la cuirasse

Mal implémenté par les OEM, le Secure Boot de Windows 8 a été contourné

Le 06 août 2013 à 09h22

Le Secure Boot est une fonctionnalité de la norme UEFI permettant de bâtir une chaine de lancement dont l’intégrité est vérifiée. Utilisé par Windows 8, il doit empêcher des malwares de s’infiltrer lors du démarrage du système. Mais des faiblesses dans l’implémentation qui en est faite par les constructeurs ouvrent la voie à des failles de sécurité.

secure boot

Une mise en oeuvre pointée du doigt 

La norme UEFI (Unified Extensible Firmware Interface) qui remplace désormais les anciens BIOS, permet la mise en place de plusieurs mécanismes de sécurité. Parmi eux, le Secure Boot, qui permet d’attacher aux éléments impliqués dans le démarrage de la machine une signature numérique. Cette dernière est nécessaire pour que l’intégrité de la chaine soit vérifiée. Toute modification brise cette intégrité et l’utilisateur est averti du problème.

 

La conférence Black Hat, qui avait lieu la semaine dernière à Las Vegas, a été le théâtre de plusieurs révélations sur l’implémentation faite du Secure Boot. Trois chercheurs en sécurité, Andrew Furtak, Oleksandr Bazhaniuk et Yuriy Bulygin, ont ainsi fait la démonstration de plusieurs failles de sécurité permettant de contourner la protection. Mais le problème ne réside pas directement dans cette dernière : les constructeurs font parfois preuve de légèreté dans sa mise en œuvre.

En espace kernel ou utilisateur 

C’est le cas notamment d’ASUS, dont l’implémentation du Secure Boot fait défaut sur le plan de la sécurité. La première faille exploitée a permis en effet de modifier la clé qui sert à la vérification des signatures numériques des composants. Cette fameuse clé est dans le cas présent insuffisamment protégée et est modifiable dès lors que l’exécutable frelaté peut être exécuté avec suffisamment de privilèges, ce qui limite d’ailleurs la portée de l’attaque.

 

Notez que cette faille a été révélée il y a plus d’un an et que le constructeur a depuis mis à jour la plupart de ses cartes mères. Mais certaines machines telles que le portable VivoBook Q200E sont toujours vulnérables.

 

La deuxième faille vient là encore d’une mauvaise implémentation du Secure Boot par les constructeurs. Elle est d’ailleurs plus dangereuse car son exploitation peut se faire en espace utilisateur depuis une faille tierce présente dans Flash, Java, Office ou n’importe quelle autre application. Du fait de privilèges nécessaires moindres, la brèche est plus dangereuse et les chercheurs n’ont pas souhaité donner trop de détails techniques.

Qu'importe la technologie, l'implémentation est capitale

Ces deux failles font partie d’un lot plus important de problèmes de sécurité liés au Secure Boot. Selon les chercheurs, tous les constructeurs ont été prévenus, de même que Microsoft et l’UEFI Forum, l’organisme qui se charge de gérer les caractéristiques de la norme. Seule Microsoft a réagi, la firme indiquant simplement qu’elle travaillait « avec les partenaires pour s’assurer que le Secure Boot fournissait une grande protection » aux clients.

 

En dépit des problèmes dans la mise en œuvre de la technologie, les chercheurs ont cependant assuré qu’elle était un bon pas en avant. Tant que la chaine d’intégrité n’est pas brisée, aucun bootkit ne peut s’insérer dans le démarrage de la machine. Yuriy Bulygin a notamment indiqué qu’il s’agissait d’une barrière supplémentaire, là où les anciens systèmes laissaient quartier libre à certains types de malwares.

Commentaires (95)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

L’histoire est un éternel recommencement <img data-src=" />

votre avatar

L’UEFI de la Surface RT a été mise à jour la semaine dernière, mais pas moyen de savoir quelles sont les modifications apportées.



Pour ASUS, il y a une mise à jour de l’UEFI environ tous les deux mois, donc bon suivi comparé aux BIOS que j’avais chez Gigabyte.

votre avatar

Petite question : les mises à jour des UEFI ça se passe comment ? Même procédé que les mises à jour de bios où la manière de procéder à été revue?

votre avatar







DownThemAll a écrit :



Petite question : les mises à jour des UEFI ça se passe comment ? Même procédé que les mises à jour de bios où la manière de procéder à été revue?







Chez ASUS (je ne connais que ce cas), tu mets le fichier sur une clef USB, tu vas dans le mode avancé de l’UEFI et tu as un menu mise à jour. Et ça se débrouille ensuite.


votre avatar

Par contre ca implique une màj du bios bien plus risqué et complexe qu’un simple windows update…



Ah et pour parer les troll Anti-Micro$oft ça revient à avoir un bootloader déverrouillé qui est utile pour installer une distribution Linux ou une ROM Android… Au final on revient au cas de Windows 7 et donc la possible installation de bootkit/rootkit

votre avatar

En même temps, c’est pas comme si c’était prévisible. C’est comme dire que la PS-Box sera inviolable.









DownThemAll a écrit :



Petite question : les mises à jour des UEFI ça se passe comment ? Même procédé que les mises à jour de bios où la manière de procéder à été revue?





Tout pareil. Sur ma carte Asus j’ai 3-4 possibilité : par un programme sous Windows, par une clé USB sur le bon port USB et en appuyant sur le bouton de mise a jour de l’UEFI (sur la carte mère) sur une clé USB est en l’installant à partir du menu de l’UEFI et une dernière que je ne sais plus qui permet de faire le flashage même après avoir cramé l’UEFI.


votre avatar







arno53 a écrit :



Par contre ca implique une màj du bios bien plus risqué et complexe qu’un simple windows update…





Les majs d’UEFI sont bien plus simple que celles du BIOS.


votre avatar

Merci Edtech et tazvld <img data-src=" />



C’est quand même un peu facilité alors, c’est bien, surtout s’il faut boucher les trous tous les 4 matins <img data-src=" />

votre avatar

Pour le premier exploit il faut être en kernel mode. Vu que le driver a besoin d’être signé numériquement avec un cross certificat de Microsoft, ca limite pas mal l’exploitation.



Pour le deuxième exploit il n’y a pas d’information mais dans l’avenir même le win32 devrait être sandboxé. L’accès au système va devenir réèllement compliqué.

pas sur non plus que le deuxième exploit marche sur Windows RT.

votre avatar







arno53 a écrit :



Par contre ca implique une màj du bios bien plus risqué et complexe qu’un simple windows update…



Ah et pour parer les troll Anti-Micro$oft ça revient à avoir un bootloader déverrouillé qui est utile pour installer une distribution Linux ou une ROM Android… Au final on revient au cas de Windows 7 et donc la possible installation de bootkit/rootkit





Sur les tablettes RT, c’est aussi fait par Windows Update.


votre avatar







Strimy a écrit :



Sur les tablettes RT, c’est aussi fait par Windows Update.







Oui, je confirme, oublié de le préciser <img data-src=" />


votre avatar

Question con, vu que ma seul machine sous windows est un vieux q6600, est que les MaJ de l’UEFI sont géré par windows update, comme ça l’est sur mac ou l’os gère les updates d’UEFI ?


votre avatar







Strimy a écrit :



Sur les tablettes RT, c’est aussi fait par Windows Update.







J’ai un Sony Vaio (core i5) sous Windows 8 pour lequel c’est aussi le cas.


votre avatar







DownThemAll a écrit :



Merci Edtech et tazvld <img data-src=" />



C’est quand même un peu facilité alors, c’est bien, surtout s’il faut boucher les trous tous les 4 matins <img data-src=" />





de rien.

Les constructeur de CM et même les assembleurs proposaient déjà des utilitaire Windows (mais pas linux) pour faire des flashage du bios à partir de l’OS (comme un simple outils de maj).



Je ne suis pas un grand fan des flashage de bios/UEFI, limite, ça ne devrait être fait, selon moi, que dans des cas de compatibilité matérielle (ou dans mon cas, d’un d’utilitaire ASUS qui a merdé et, selon mon hypothèse, a corrompu les réglages de l’UEFI suffisamment pour se taper des BSOD en boucle). Le flashage reste quand même une étape risqué et il n’y a pas tout le temps de possibilité de résoudre un flashage qui a foiré.


votre avatar

j’imagine que l’on ne peut pas “certifier” son PC sur l’UEFI après coup? un pc monté sous win7 et passé sous win8 par exemple, il n’y a pas de maj permettant de certifier l’uefi, faut que ça soit fait au montage par le constructeur?



C’est juste pour savoir, pas que ç’est mon intention <img data-src=" />

votre avatar

Tiens je me suis toujours demandé : si j’update mon uefi, je risque pas de détruire mon raid5 ? J’utilise la puce de la carte mère. Dans le doute j’ai jamais osé le faire <img data-src=" />

votre avatar

Après l’ACPI qui est souvent mal implémenté sur les machines (c’est bugué côté hard, du coup Windows contourne les bugs, et du coup les fabricants tiennent compte de l’implémentation non propre de MS <img data-src=" /> ), obligeant à patcher les tables, maintenant l’UEFI. Ca me rappelle un de ces citations amusantes de Linus Torvalds sur le sujet :



« The fact that ACPI was designed by a group of monkeys high on LSD, and is some of the worst designs in the industry obviously makes running it at any point pretty damn ugly. » (2005)



Et aussi sur EFI (cfhttp://en.wikiquote.org/wiki/Linus_Torvalds ) :



« Modern PCs are horrible. ACPI is a complete design disaster in every way. But we’re kind of stuck with it. If any Intel people are listening to this and you had anything to do with ACPI, shoot yourself now, before you reproduce. » (2003)



« EFI is this other Intel brain-damage (the first one being ACPI). » (2006)

votre avatar







jun a écrit :



Question con, vu que ma seul machine sous windows est un vieux q6600, est que les MaJ de l’UEFI sont géré par windows update, comme ça l’est sur mac ou l’os gère les updates d’UEFI ?





Les Q6600 sont des “vieux” processeur core2Quad qui datent de 2007. Si mes souvenir sont bon, c’est un sockets LGA775. Donc au vu de ces éléments, j’ai un doute que ton ordi utilise un UEFI, mais a toutes ses chances d’utiliser le bon vieux BIOS. Et non, le BIOS est à mettre à jour par tes propre moyen.



De plus, à mon humble avis, je trouve ça hyper dangereux de faire un flashage de bios (ou UEFI) comme une simple mise à jour système.


votre avatar







Edtech a écrit :



L’UEFI de la Surface RT a été mise à jour la semaine dernière, mais pas moyen de savoir quelles sont les modifications apportées.



Pour ASUS, il y a une mise à jour de l’UEFI environ tous les deux mois, donc bon suivi comparé aux BIOS que j’avais chez Gigabyte.







<img data-src=" /> a contrario ils sont fait a l’arrache donc peu fiable d’ou le nombre impressionnant de realse


votre avatar







Khalev a écrit :



Les majs d’UEFI sont bien plus simple que celles du BIOS.





Heureusement, je me vois mal utiliser un lecteur de disquettes USB pour mettre à jour l’UEFI d’une tablette. <img data-src=" />

(Oui, je sais, il existe des outils pour MAJ le BIOS via Windows, arrêtez de casser mes trolls bande de vilains ! <img data-src=" />)





tazvld a écrit :



De plus, à mon humble avis, je trouve ça hyper dangereux de faire un flashage de bios (ou UEFI) comme une simple mise à jour système.





Jamais eu de problème, faut juste croiser les doigts pour ne pas qu’il y ait de coupure de jus. <img data-src=" />


votre avatar

A quand un UEFI/SecureBoot alternatif “cracké” qui permette de signer SOI-MÊME SON installation toute fraiche de SON OS sur SA machine.



Avoir un dispositif qui vérifie l’intégrité de la chaine de boot, pourquoi pas, mais en laisser les clés à d’autres, non merci !

votre avatar







Zergy a écrit :



Heureusement, je me vois mal utiliser un lecteur de disquettes USB pour mettre à jour l’UEFI d’une tablette. <img data-src=" />

(Oui, je sais, il existe des outils pour MAJ le BIOS via Windows, arrêtez de casser mes trolls bande de vilains ! <img data-src=" />)



Jamais eu de problème, faut juste croiser les doigts pour ne pas qu’il y ait de coupure de jus. <img data-src=" />







Cela fait plusieurs années que l’on peut mettre a jour son bios depuis windows avec le logiciel fourni (il faut bien sur un reboot ou 2)


votre avatar



A quand un UEFI/SecureBoot alternatif “cracké” qui permette de signer SOI-MÊME SON installation toute fraiche de SON OS sur SA machine





ça existe deja, ça s’appelle une puce TPM.

sous windows 7 et server 2008r2 on pouvait deja utiliser la puce TPM pour aauvegarder une empreinte du boot loader et verifier ainsi avant demarrage qu’il n’a pas ete modifié.



mais sous windows 8 il est preferable d’utiliser secure boot, car la methode precedente est jugée moins secure. Tu peux notamment etre infecté par un bootkit entre le moment où tu installes ton OS et le moment de la sauvegarde de l’empreinte de boot dans la puce tpm, auquel cas tu restes infecté (alors que secure boot t’aurait empeché de booter une installation infectée par un bootkit)

votre avatar







GruntZ a écrit :



A quand un UEFI/SecureBoot alternatif “cracké” qui permette de signer SOI-MÊME SON installation toute fraiche de SON OS d’un OS dont on accorde un droit d’utilisation au client, sur SA machine.



Avoir un dispositif qui vérifie l’intégrité de la chaine de boot, pourquoi pas, mais en laisser les clés à d’autres, non merci !







<img data-src=" />


votre avatar







GruntZ a écrit :



A quand un UEFI/SecureBoot alternatif “cracké” qui permette de signer SOI-MÊME SON installation toute fraiche de SON OS sur SA machine.



Avoir un dispositif qui vérifie l’intégrité de la chaine de boot, pourquoi pas, mais en laisser les clés à d’autres, non merci !







Ou alors tu attends pas de crack et tu désactives le SecureBoot !

Enfin c’est vrai, ça fait toujours plus classe de dire à une bande de geek qu’on a installé un UEFI cracké directement sur sa carte mère pour pouvoir utilisé Linux, plutôt que d’avouer qu’on a juste appuyé sur 5 ou 6 boutons, attendu que l’ordi redémarre et désactivé l’option gênante… <img data-src=" />


votre avatar







Khalev a écrit :



Les majs d’UEFI sont bien plus simple que celles du BIOS.







Ça dépend du point de vue …

Sur mes cartes mères, une mise à jour du BIOS c’est deux clics de souris sous Windows ….


votre avatar











methos1435 a écrit :



<img data-src=" />





Et pourtant, il n’y a pas que linux comme OS alternatif (par exemple SystemV sans compter ce qu’est devenu MacOS)… donc ta remarque pseudo libriste n’est pas très pertinente.


votre avatar

@jed08 ce n’est pas juste une histoire d’installer un linux, mais de permettre la même sécurité anti bootkit pour son linux…



Et pour le coup je suis complètement d’accord avec lui.. Mais comme le dit jmanici y’aurait moyen de le faire nous même à l’installation avec une puce TPM ? Et ca se vends pour un particulier ces puces là ?

votre avatar



La norme UEFI (Unified Extensible Firmware Interface)

début de l’argumentation

c’est de la merde <img data-src=" />

fin de l’argumentation

votre avatar







arno53 a écrit :



@jed08 ce n’est pas juste une histoire d’installer un linux, mais de permettre la même sécurité anti bootkit pour son linux…



Et pour le coup je suis complètement d’accord avec lui.. Mais comme le dit jmanici y’aurait moyen de le faire nous même à l’installation avec une puce TPM ? Et ca se vends pour un particulier ces puces là ?







Sur ma carte ASUS, tu peux toi-même fournir les clefs utilisées pour le secure boot, donc normalement, tu peux mettre celles nécessaires à ton noyau linux pour booter. Après, je ne sais pas comment ça fonctionne, il y a plusieurs clefs…



Vu que Windows 8 fait ça tout seul, j’ai pas fouiller plus que ça.


votre avatar







GruntZ a écrit :



A quand un UEFI/SecureBoot alternatif “cracké” qui permette de signer SOI-MÊME SON installation toute fraiche de SON OS sur SA machine.



Avoir un dispositif qui vérifie l’intégrité de la chaine de boot, pourquoi pas, mais en laisser les clés à d’autres, non merci !







+1000. Tant que je n’ai pas les clés de mon système, je n’active pas le verrou. Et j’utilise les outils et dispositifs anti-rootkit habituels.


votre avatar







tazvld a écrit :



Et pourtant, il n’y a pas que linux comme OS alternatif (par exemple SystemV sans compter ce qu’est devenu MacOS)… donc ta remarque pseudo libriste n’est pas très pertinente.









Quel que soit l’OS: le code ne t’appartient pas. Libre ou pas libre, tu n’as qu’un droit d’utilisation à la base (plus d’autres libertés si code libre).



Il n’y a aucune remarque libriste là dedans. Je rectifiais juste son commentaire. A moins de l’avoir développé lui même, il ne peut pas dire “MON OS” …


votre avatar







tazvld a écrit :





De plus, à mon humble avis, je trouve ça hyper dangereux de faire un flashage de bios (ou UEFI) comme une simple mise à jour système.







Oui. J’ai briqué ma CM DH77DF toute neuve avec l’utilitaire de flashage sous Windows fourni par Intel <img data-src=" />. Elle a jamais redémarré après. Ou plutôt elle redémarrait tout le temps sans même atteindre l’écran BIOS/UEFI <img data-src=" />


votre avatar







arno53 a écrit :



@jed08 ce n’est pas juste une histoire d’installer un linux, mais de permettre la même sécurité anti bootkit pour son linux…





Merci d’avoir compris <img data-src=" />



Si ce système (SecureBoot) m’oblige à utiliser certains OS et doit être désactivé/contourné/cracké pour d’autres; c’est qu’il n’est pas au point car trop limité dans son champ d’application.



Même en s’en tenant au monde Microsoft (ce n’est pas mon cas, mais j’imagine), le fait que ce dispositif ne permette pas le downgrade de Win8 vers Seven, voire XP semble tenir plus du marketing que du soucis de sécurité réel.


votre avatar







methos1435 a écrit :



Quel que soit l’OS: le code ne t’appartient pas. Libre ou pas libre, tu n’as qu’un droit d’utilisation à la base (plus d’autres libertés si code libre).



Il n’y a aucune remarque libriste là dedans. Je rectifiais juste son commentaire. A moins de l’avoir développé lui même, il ne peut pas dire “MON OS” …





Peu adepte de tétrapilectomie, je dois tout de même admettre le bien fondé de la remarque.



Toutefois, comme je n’installe pas les sources mais le binaire résultant d’une compilation que j’ai pu réaliser moi même, je pense que, strico sensu, la dénomination possessive “MON OS” ne contrevient pas à la licence du code source.

<img data-src=" />


votre avatar







GruntZ a écrit :



Si ce système (SecureBoot) m’oblige à utiliser certains OS et doit être désactivé/contourné/cracké pour d’autres; c’est qu’il n’est pas au point car trop limité dans son champ d’application.





Je suis sur que si t’appelle MS et que tu leur propose quelques millions ils seront prêt à bosser sur les contributions Linux nécessaires.



Bon après faudrait aussi rajouter quelques millios pour qu’ils s’occupe de faire pression sur les OEM pour qu’ils supportent effectivement la version Linux-compatible.



Mais si tu les as (bon au total on arrivera p’te au milliard hein, ça coute cher les pot de vin à Taiwan), MS se fera surment un plaisir de s’en occuper pour toi vu que tu ne sembles pas pouvoir/vouloir le faire tout seul (moi qui croyais que les utilisateurs Linux participaient tous au projet dès qu’ils voulaient une nouvelle fonctionnalité plutot que de crier sur les toits en attendant qu’on le fasse à leur place car on en a marre de se faire casser les oreilles, je tombe des nues !).



PS: Oui je troll, désolé, mais les réactions pro-linux sur le sujet du secure-boot étant toujours aussi débiles un an après l’annonce de la techno par MS, j’avoue que ça me déséspère…


votre avatar

Eh le secure boot n’est pas une techno MS, c’est juste que l’implémentation des constructeurs n’autorise que des clefs fournit par MS.. Enfin d’après ce que j’ai compris… L’idéal serait justement de ne pas se reposer juste sur des clefs fournies par une autorité de certification mais aussi de pouvoir créer sa propre clé (à la première installation par exemple)…



En l’état actuellement, ce sont en effet les sociétés derrière les 23 grande distribution Linux qui devrait faire pression sur les OEM pour que ça marche.. Et celui qui compile son os l’a dans le baba…

votre avatar



Si ce système (SecureBoot) m’oblige à utiliser certains OS et doit être désactivé/contourné/cracké pour d’autres; c’est qu’il n’est pas au point car trop limité dans son champ d’application.



Même en s’en tenant au monde Microsoft (ce n’est pas mon cas, mais j’imagine), le fait que ce dispositif ne permette pas le downgrade de Win8 vers Seven, voire XP semble tenir plus du marketing que du soucis de sécurité réel.





le principe de secureboot est d’empecher l’UEFI d’executer un boot loader qui ne provient pas d’une source digne de confiance.



du coup tu ne peux pas avoir un secure boot ouvert qui permettrait à n’importe quelle entreprise de demander à une autorité de certification une clef pour signer son code, car cela detruirait totalement l’interet de secure boot. Voir l’affaire de la clef privée volée à realtek pour contourner patchguard.



quant aux precedentes versions de windows, MS pourrait tres bien en theorie publier de nouvelles ISO avec un boot loader signé compatible secure boot. Mais quel interet à faire cela pour MS?

votre avatar







Bejarid a écrit :



(…)



PS: Oui je troll, désolé, mais les réactions pro-linux sur le sujet du secure-boot étant toujours aussi débiles un an après l’annonce de la techno par MS, j’avoue que ça me déséspère…





Quand je vois tous ceux qui ont leur portable avec un Win préinstallé, et toute la smala UEFI/SecureBoot, et qui viennent demander dans les forums Nux comment procéder pour faire un simple dualboot, parce que leur système couine, le désespoir n’est pas toujours là où tu penses. <img data-src=" />


votre avatar



Mais comme le dit jmanici y’aurait moyen de le faire nous même à l’installation avec une puce TPM ? Et ca se vends pour un particulier ces puces là ?





oui, ça fait des années que MS incite les OEM à inclure des puces TPM dans leurs machines. Et depuis windows 8 on en trouve de plus en plus meme dans les machines grand public. Et bientot ce sera obligatoire sur toutes les machines windows.





L’idéal serait justement de ne pas se reposer juste sur des clefs fournies par une autorité de certification mais aussi de pouvoir créer sa propre clé (à la première installation par exemple)…





trop risqué. Plus Il y a de monde qui peut se procurer une clef, plus il y a de chances qu’un auteur de malware puisse s’en procurer une.

ici, MS est le seul responsable si un boot loader malveillant porte sa signature.





quant à la possibilité de generer des propres clefs, une puce TPM peut permettre d’arriver à un resultat similaire:

technet.microsoft.com MicrosoftIn the case of Windows 7 certified devices, the Trusted Platform Module (TPM) can be used to measure boot code and provide similar protection to UEFI’s Secure Boot feature. In this case the TPM will not unlock the operating-system drive if the BIOS firmware, boot order, MBR, or operating-system boot loader changes, just to name a few (unless an administrator previously authorized it from Windows or until the user provides the BitLocker recovery password). As a result, an attacker trying to replace boot components, or change boot media to force a boot through components they control in an attempt to get the key, will fail. Use of the TPM for boot protection is an effective capability on Windows 7 devices; however, systems equipped with UEFI and its Secure Boot will benefit from the additional security and recovery-related capabilities that UEFI offers.

votre avatar







jmanici a écrit :



le principe de secureboot est d’empecher l’UEFI d’executer un boot loader qui ne provient pas d’une source digne de confiance.





MODE PARANO ON

JE suis ma seule source de confiance …

MODE PARANO OFF

<img data-src=" />





jmanici a écrit :



quant aux precedentes versions de windows, MS pourrait tres bien en theorie publier de nouvelles ISO avec un boot loader signé compatible secure boot. Mais quel interet à faire cela pour MS?





Et l’intérêt des clients, il s’en tamponne le coquillard ?



Ah, on me souffle dans l’oreillette qu’ils sont coutumiers du fait; désolé.







arno53 a écrit :



L’idéal serait justement de ne pas se reposer juste sur des clefs fournies par une autorité de certification mais aussi de pouvoir créer sa propre clé (à la première installation par exemple)…





L’idéal serait plutôt d’utiliser SA clé privée (placée sur une clé USB par exemple) pour signer son installation et placer simultanément sa clé publique dans l’UEFI pour qu’il fasse son contrôle à chaque démarrage.

La protection serait la même, les constructeurs pourraient toujours livrer des machines sécurisées par les clé publiques de Microsoft, et ceux qui veulent downgrader leur OS ou installer autre chose pourraient le faire sans problème.

Et si je perds ma clé privée ? je régénère un couple et je re-signe le boot de ma machine, c’est tout.


votre avatar







Bejarid a écrit :



Je suis sur que si t’appelle MS et que tu leur propose quelques millions ils seront prêt à bosser sur les contributions Linux nécessaires.



Bon après faudrait aussi rajouter quelques millios







C’est déja le cas. Microsot à travaillé sur un bootloader capable de démarrer un noyau non signé avec le SecureBoot actif il me semble.


votre avatar

BASIC



10 spécifier un DRM pour windows

20 convaincre les utilisateurs que le DRM est du Trusted Computing.

30 convaincre les constructeurs d’implémenter le DRM

40 se rendre compte que les constructeurs ont mal implémenté le DRM

50 se rendre compte que les utilisateurs ont contourné le DRM

60 décider qu’il faut un nouveau DRM pour windows

70 GOTO 10

votre avatar







127.0.0.1 a écrit :



BASIC



10 spécifier un DRM pour windows

20 convaincre les utilisateurs que le DRM est du Trusted Computing.

30 convaincre les constructeurs d’implémenter le DRM

40 se rendre compte que les constructeurs ont mal implémenté le DRM

50 se rendre compte que les utilisateurs ont contourné le DRM

60 décider qu’il faut un nouveau DRM pour windows

70 GOTO 10









Sauf que le SecureBoot est une fonction standard de l’UEFI. C’est pas du made in Microsoft <img data-src=" />



Ils ne font que l’utiliser (et proposent de signer le code puisque qu’à par eux, et Canonical il me semble, personne ne veut le faire).


votre avatar







methos1435 a écrit :



Sauf que le SecureBoot est une fonction standard de l’UEFI. C’est pas du made in Microsoft <img data-src=" />



Ils ne font que l’utiliser (et proposent de signer le code puisque qu’à par eux, et Canonical il me semble, personne ne veut le faire).







Utilisateurs_convaincus = Utilisateurs_convaincus + 1



votre avatar







methos1435 a écrit :



Quel que soit l’OS: le code ne t’appartient pas. Libre ou pas libre, tu n’as qu’un droit d’utilisation à la base (plus d’autres libertés si code libre).



Il n’y a aucune remarque libriste là dedans. Je rectifiais juste son commentaire. A moins de l’avoir développé lui même, il ne peut pas dire “MON OS” …





Il y a contradiction entre ta première et ta dernière phrase. C’est dommage tu aurais mis la dernière phrase en premier c’était bon.


votre avatar







Khalev a écrit :



Il y a contradiction entre ta première et ta dernière phrase. C’est dommage tu aurais mis la dernière phrase en premier c’était bon.









Pourquoi ? C’est une vérité. A rien d’engagé dans mon commentaire.

Mis à part les 0,0000000001% de personnes qui vont créer un pseudo OS qui est capable de t’afficher un Hello World, on parle bien d’OS existant style Windows, OS X, les systèmes types BSD ou Linux. C’est bien pour ceux là que je dis ça.


votre avatar







methos1435 a écrit :



Pourquoi ? C’est une vérité. A rien d’engagé dans mon commentaire.

Mis à part les 0,0000000001% de personnes qui vont créer un pseudo OS qui est capable de t’afficher un Hello World, on parle bien d’OS existant style Windows, OS X, les systèmes types BSD ou Linux. C’est bien pour ceux là que je dis ça.





C’est juste qu’au début tu annonces le truc comme une vérité générale, et à la fin tu mets à l’écart les exceptions. C’est plus logique de commencer dès le début par exclure les exceptions et ensuite développer son idée.



On imagine mal un mathématicien faire sa démo puis préciser à la fin dans quel espace il se place…



C’était juste une remarque (pour rire) sur la façon de faire.



Et mon OS fait plus qu’afficher un Hello World maintenant <img data-src=" />.


votre avatar







Bejarid a écrit :



Je suis sur que si t’appelle MS et que tu leur propose quelques millions ils seront prêt à bosser sur les contributions Linux nécessaires.







Pourquoi ce serait à Microsoft de faire ces contributions?



Dès le départ de ton message tu troll en prétendant que les contributeurs habituels au Kernel Linux sont incapable de faire une implémentation du Secure Boot. Ça commence mal.







Bejarid a écrit :



Bon après faudrait aussi rajouter quelques millios pour qu’ils s’occupe de faire pression sur les OEM pour qu’ils supportent effectivement la version Linux-compatible.







Faut: Pas besoin de supporter une implémentation spécial du Secure Boot. Ça continue mal.







Bejarid a écrit :



Mais si tu les as (bon au total on arrivera p’te au milliard hein, ça coute cher les pot de vin à Taiwan), MS se fera surment un plaisir de s’en occuper pour toi vu que tu ne sembles pas pouvoir/vouloir le faire tout seul (moi qui croyais que les utilisateurs Linux participaient tous au projet dès qu’ils voulaient une nouvelle fonctionnalité plutot que de crier sur les toits en attendant qu’on le fasse à leur place car on en a marre de se faire casser les oreilles, je tombe des nues !).







On se plaint que le contrôle finale d’un standard revienne entre les mains d’une entreprise qui a démontré à plusieurs reprises qu’on ne peut pas avoir confiance en elle et qui n’en est pas à sa première tentative de museler la concurrence. Ces craintes son tout à fait légitime.



(Et ça continue encore plus mal)







Bejarid a écrit :



PS: Oui je troll, désolé, mais les réactions pro-linux sur le sujet du secure-boot étant toujours aussi débiles un an après l’annonce de la techno par MS, j’avoue que ça me déséspère…







Ho, une affirmation gratuite sans argument(s). Ça finit mal. Tu as définitivement perdu toute crédibilité à mes yeux.



Pour information, le Secure Boot est déjà supporté par les système GNU/Linux depuis un bon moment maintenant. Ce qui pose problème est de devoir être dépendant de Microsoft pour être autorisé ou non à booter sur toutes machine où le Secure boot ne serait pas désactivable. Et même si aujourd’hui c’est désactivable sur un bon nombre de machines, nous n’avons strictement aucune garantie que cela continue.


votre avatar







Khalev a écrit :



C’est juste qu’au début tu annonces le truc comme une vérité générale, et à la fin tu mets à l’écart les exceptions. C’est plus logique de commencer dès le début par exclure les exceptions et ensuite développer son idée.



On imagine mal un mathématicien faire sa démo puis préciser à la fin dans quel espace il se place…



C’était juste une remarque (pour rire) sur la façon de faire.



Et mon OS fait plus qu’afficher un Hello World maintenant <img data-src=" />.









Excuses moi j’ai effectivement fait une impasse sur une proportion quasi inexistante de la population (<img data-src=" />)


votre avatar







Para-doxe a écrit :



. Et même si aujourd’hui c’est désactivable sur un bon nombre de machines, nous n’avons strictement aucune garantie que cela continue.







Tu l’as sur toutes les machines certifiées Windows 8 puisque la désactivation possible du SecureBoot fait partie des obligations de la certification.



Et puis j’ai envie de dire que pour les 0.000001% de PC où c’est pas possible, le client n’a qu’à pas acheter de la merde…


votre avatar

Le secure boot sert d’abord et avant tout à tuer le concept même du PC, qui est de pouvoir installer un os tiers sans s’emmerder !



Les surface sont des “jetables” sauce apple. Et même si la fondation Linux a semble t’il définit un moyen pour régler le problème sur les vrais PC, dans la pratique, les progrès ne sont clairement pas là : c’est la galère suivant le modèle pour avoir un simple dual boot fonctionnel.



En effet, comme il est impossible de désactiver le secure boot à cause de windows, on est obligé de booter d’abord sur cet os, de trafiquer la phase de démarrage pour lui demander gentiment de prendre en compte le GRUB présent sur la partition UEFI, et les 34 du temps, ça ne marche pas : il ne passe pas la main à GRUB ! Malgré des instructions claires et pourtant officielles, windows ne connaît donc - mais ce n’est un secret pour personne - que son nombril !



Donc: non seulement ces -bip- imposent de passer par leur os au démarrage, ce qui est déjà un moyen de contrôle non innocent, mais en plus, ils n’assument même pas le fonctionnement technique de leur propre outil ! Mieux encore : ms se rend indispensable de fait, puisqu’il est LE distributeur des clés chez les fabricants, et qu’il est donc juge et partie de cette technologie. Encore un monopole supplémentaire créé avec le silence assourdissant des gendarmes de la concurrence.



J’espère que la situation s’améliorera, mais comme on le voit une fois encore dans cet article : ms a réussi une fois encore son coup : faire chier toute la planète et notamment les libristes, en imposant une technologie qui s’avère - et cet article le souligne publiquement - totalement inefficace…



Après nous avoir fait perdre 10 ans d’innovation web, le boulet continue de frapper. Ça va durer jusqu’à quand ?

votre avatar







hansi a écrit :



Le secure boot sert d’abord et avant tout à tuer le concept même du PC, qui est de pouvoir installer un os tiers sans s’emmerder !









Ca c’est ta vision du PC, rien d’autre. Moi j’attend de mon OS qu’il soit sécurisé au maximum. Le SecureBoot est un outil de sécurisation comme un autre. D’ailleurs les personnes ayant trouvés ces failles ne remettent pas en cause le principe de sécurisation du SecureBoot.







hansi a écrit :



ms se rend indispensable de fait, puisqu’il est LE distributeur des clés chez les fabricants, et qu’il est donc juge et partie de cette technologie. Encore un monopole supplémentaire créé avec le silence assourdissant des gendarmes de la concurrence.









Microsoft est LE distributeur de clefs parce que personne n’a voulu le faire, ni utiliser le SecureBoot à part eux. Tout simplement. Il n’ya aucune restriction pour ceux qui voudraient se mettre à signer. D’ailleurs Canonical signe également.



Pour ce qui est de l’intégration ou non des clefs dans l’UEFI: voir les fabriquant, pas Microsoft c’est pas leur problème.


votre avatar







methos1435 a écrit :



Un bootkit ou rootkit est aussi un logiciel installé, qui n’a rien de directement dépendant avec la sécurité du kernel. Le Secure Boot sert bien pour contrer ces logiciels au démarrage et participe ainsi à une meilleure sécurité de l’ensemble.









Et alors ? Je réagissais à ta réaction sur:







arno53 a écrit :



Quand je vois ce genre de post sur PCI, je me dis qu’Edward Snowden aurait du fermer sa gueule … J’ai jamais vu autant de libriste sectaire s’exciter sur les news MS depuis ses “révélations”… Les OS GNU/Linux sont bon mais … le discours type témoins de Jéhovah c’est un poil too-much <img data-src=" />







Qui réagissais sur:







coolspot a écrit :



Ben ton PC sous windows avec SecureBoot windows est par définition non sécurisé vu que Windows est un logiciel privateur donc par définition un malware potentiel.



Sachant que c’est une société Américaine qui l’édite tu peut être sur qu’il y a une backdoor dans ce système pour laisser la porte ouverte aux agence gouvernemental au besoin.







Donc vu que le sujet de départ de cette chaine de réaction est les possibles portes dérobées d’un OS en quoi ta réaction prouve quoi que ce soit d’autre que le hors sujet? Et qu’est-ce que c’est censé prouver?







methos1435 a écrit :



Donc ton commentaire agressif n’apporte rien de plus au débat. Pour moi le commentaire débile c’est celui où tu lis que ton super OS libre de la mort qui tue te protégeras là dessus, là ou le méchant Windows tueurs de bébés chat se plantera. Un logiciel conçu pour de mauvaises intentions le restera, OS libre ou pas.







Une fois de plus, une réaction qui ne démontre rien. Tu veux juste contredire un message qui n’abonde pas dans ton sens.



Je vais m’essayer au même jeux tien:

Parfois les fleures peuvent êtres rouge. J’ai raison? Alors tu as tord et donc le Secure-boot ne sert à rien sur Windows.


votre avatar







Para-doxe a écrit :



Ça n’a rien à voir avec de l’“anti MS primaire”, il parle d’un tiers: C’est à dire quelqu’un d’autre que lui-même. Ça pourrait tout aussi bien être l’ONU ça ne changerait pas son propos.



Merci de savoir lire <img data-src=" />

Je n’ai rien dit contre Microsoft (enfin, pas sur ce coup là …), je critique la façon dont le SecureBoot est conçu et utilisé, alors que ce n’est pas une mauvaise idée à la base.



C’est le fait que je ne sois pas le seul détenteur de la clé privé qui permet de générer les signatures de bootloader qui me dérange.

Je ne veux pas simplement ajouter mes signatures pour faire démarrer autre chose, je tiens à remplacer les clés publiques et les signatures que d’autres ont placé par les miennes; même (soyons fous <img data-src=" />) si c’est pour signer la même chose.



Et que ce soit Microsoft, Apple, Google ou même Samsung, Canonical ou Red Hat, ne change rien ! Le Patriot Act aggrave juste le cas des entreprises américaines puisqu’elles peuvent être contraintes par la loi de trahir la confiance de leur clients, mais aucune, d’où qu’elle vienne, n’est capable de m’imposer de lui faire confiance.



Je ne fais pas confiance à une serrure dont un tiers détient ou peut détenir un passe, surtout si je n’ai pas choisi ce tiers moi-même; je change le canon !


votre avatar







GruntZ a écrit :



Merci de savoir lire <img data-src=" />

Je n’ai rien dit contre Microsoft (enfin, pas sur ce coup là …), je critique la façon dont le SecureBoot est conçu et utilisé, alors que ce n’est pas une mauvaise idée à la base.



C’est le fait que je ne sois pas le seul détenteur de la clé privé qui permet de générer les signatures de bootloader qui me dérange.

Je ne veux pas simplement ajouter mes signatures pour faire démarrer autre chose, je tiens à remplacer les clés publiques et les signatures que d’autres ont placé par les miennes; même (soyons fous <img data-src=" />) si c’est pour signer la même chose.



Et que ce soit Microsoft, Apple, Google ou même Samsung, Canonical ou Red Hat, ne change rien ! Le Patriot Act aggrave juste le cas des entreprises américaines puisqu’elles peuvent être contraintes par la loi de trahir la confiance de leur clients, mais aucune, d’où qu’elle vienne, n’est capable de m’imposer de lui faire confiance.



Je ne fais pas confiance à une serrure dont un tiers détient ou peut détenir un passe, surtout si je n’ai pas choisi ce tiers moi-même; je change le canon !







Sur ma CM ASUS (M5A99X EVO R2.0), tu peux virer toutes les clefs (si tu remets les paramètres par défaut ensuite, ça les restaure) et ne mettre que les tiennes. mais ça l’air assez compliqué à gérer…


votre avatar

Bonjour



Aprés avoir lu vos textes (et pas tout saisis), je voudrais poser une question simple (et je suis pas blonde).

Supposons que j’achetes un ordinateur portable, et pas forcement de la merde comme dit je ne sais plus qui.

Comme sur mon ancient thosiba de 9 ans, je change le disque dur pour ne pas utilisé le SE, imposé.

La question est simple : puis je alors installer ubuntu et cela va t’il fonctionner ?

Le reste n’est que bla, bla

Merci (au fait cela puis aussi le faire sur une tour, achetée ou montée.

Si la réponse est négative, alors à mes yeux seuls, ceci est une atteinte à ma liberté. Donc ce sera sans moi.



<img data-src=" />

votre avatar







falenehawks a écrit :



Bonjour



Aprés avoir lu vos textes (et pas tout saisis), je voudrais poser une question simple (et je suis pas blonde).

Supposons que j’achetes un ordinateur portable, et pas forcement de la merde comme dit je ne sais plus qui.

Comme sur mon ancient thosiba de 9 ans, je change le disque dur pour ne pas utilisé le SE, imposé.

La question est simple : puis je alors installer ubuntu et cela va t’il fonctionner ?

Le reste n’est que bla, bla

Merci (au fait cela puis aussi le faire sur une tour, achetée ou montée.

Si la réponse est négative, alors à mes yeux seuls, ceci est une atteinte à ma liberté. Donc ce sera sans moi.



<img data-src=" />







Il suffit d’aller dans l’UEFI, désactiver Secure Boot, et tu peux faire tout ce que tu veux de ta machine !


votre avatar







Edtech a écrit :



Sur ma CM ASUS (M5A99X EVO R2.0), tu peux virer toutes les clefs (si tu remets les paramètres par défaut ensuite, ça les restaure) et ne mettre que les tiennes. mais ça l’air assez compliqué à gérer…





Je crois que c’est moins courant sur les PC portables.



Mais je confirme que ce n’est pas simple de modifier intégralement la chaine de confiance pour y placer la sienne; voir les chapitres 3 et 4 ici



Et dans l’absolu, il faudrait même pouvoir réinitialiser les paramètres par défaut <img data-src=" />


votre avatar



C’est peut être aussi par ce que des gens honnêtes en ont fait tout un foin qu’une fois arrivé ces équipement restreignent le moins possible nos libertés.





peut etre tout simplement que ces “restrictions de liberté” n’etaient meme pas prevues à la base, et que les libristes en ont fait tout un foin en s’imaginant des scenarios catastrophe basés uniquement sur des rumeurs infondées.







Ça aurait très bien pu se passer. À l’époque où ces affaires ont éclatés, avec les informations à disposition et ce à quoi Microsoft nous avait habitué par le passé ce scénario était tout à fait plausible





sauf que ces rumeurs ont commencé à se repandre massivenent alors que windows vista etait deja passé en RTM. N’importe qui avait la possibilité de verifier que c’etait faux, qu’on pouvait toujours lire du contenu non DRMisé sur vista. Mais les gens preferent crier au scandale sans verifier…

votre avatar







Edtech a écrit :



Sur ma CM ASUS (M5A99X EVO R2.0), tu peux virer toutes les clefs (si tu remets les paramètres par défaut ensuite, ça les restaure) et ne mettre que les tiennes. mais ça l’air assez compliqué à gérer…





Parfait ! Il ne manque plus que la màj pour supprimer les failles de sécurité si ce n’est pas déjà fait.


votre avatar







jmanici a écrit :



[quote]



sauf que ces rumeurs ont commencé à se repandre massivenent alors que windows vista etait deja passé en RTM. N’importe qui avait la possibilité de verifier que c’etait faux, qu’on pouvait toujours lire du contenu non DRMisé sur vista. Mais les gens preferent crier au scandale sans verifier…









On vit à une époque ou la critique sans fondement atteint un tel niveau sur internet ….



Vista à eu ses défauts. Mais de là à dire qu’il a été le pire Windows de Microsoft… Je reste persuadé (et c’est là MON opinion) que “l’échec” de Vista est en partie du à une prise en compte trop importante de ces commentaires foireux sur le net. La machine s’est emballée avec des journalistes qui ont préféré résumer sur ces commentaires, au lieu de tester en profondeur et se faire une opinion propre.



D’ailleurs Microsoft avait fait un test à l’époque. Ils avaient fait tester le successeur de VISTA à un panel d’utilisateurs déçus par ce dernier. Le nouvel OS avait été très bien accueilli. Seul problème: ce n’était pas un nouveau Windows mais un VISTA maquillé…


votre avatar







methos1435 a écrit :



On vit à une époque ou la critique sans fondement atteint un tel niveau sur internet ….



Vista à eu ses défauts. Mais de là à dire qu’il a été le pire Windows de Microsoft… Je reste persuadé (et c’est là MON opinion) que “l’échec” de Vista est en partie du à une prise en compte trop importante de ces commentaires foireux sur le net. La machine s’est emballée avec des journalistes qui ont préféré résumer sur ces commentaires, au lieu de tester en profondeur et se faire une opinion propre.



D’ailleurs Microsoft avait fait un test à l’époque. Ils avaient fait tester le successeur de VISTA à un panel d’utilisateurs déçus par ce dernier. Le nouvel OS avait été très bien accueilli. Seul problème: ce n’était pas un nouveau Windows mais un VISTA maquillé…





Perso, ayant utilisé moi même vista pendant 6 mois j’ai été déçu.

Qui a entendu parler d’un OS qui met 10 minutes (j’exagère même pas, c’est la pure vérité) à mettre à la corbeille un pauvre config.cfg de counter-strike à la corbeille ?

Alors ok, Vista multiplie pas les blue screen of death comme un millenium mais ça reste une belle merde.



(et je parle pas de mes tentatives de mise en réseau LAN, il y aurait de quoi écrire des pavés)


votre avatar







Winderly a écrit :



Perso, ayant utilisé moi même vista pendant 6 mois j’ai été déçu.

Qui a entendu parler d’un OS qui met 10 minutes (j’exagère même pas, c’est la pure vérité) à mettre à la corbeille un pauvre config.cfg de counter-strike à la corbeille ?

Alors ok, Vista multiplie pas les blue screen of death comme un millenium mais ça reste une belle merde.



(et je parle pas de mes tentatives de mise en réseau LAN, il y aurait de quoi écrire des pavés)









La base de Windows 7 est pourtant celle de VISTA… Et on connait tous le succès de Windows 7.



VISTA avait ses défauts. Une certaine lourdeur dans les premières tournées (le SP1 à corrigé tout ça en très grande partie) et un UAC très contraignant et pas spécialement bien étudié pour un usage confortable.



A part ça, je maintiens que VISTA était loin d’avoir des bases pourries. Windows Me: çà c’était une merde sans nom. Mais VISTA c’est avant tout un échec commercial, pas “technique” (du moins quand tu acceptes le fait que tu peux pas faire tourner VISTA correctement sur un vieux PC de 7 ou 8 ans, chose que beaucoup n’ont pas pris en compte…)



Après, chacun son point de vue. Mais j’avoue avoir été “effrayé” par la déferlante de commentaires sur VISTA basés sur du vent; des personnes qui n”ont jamais pris la peine de tester et qui crachaient sur le simple fait que c’était Windows.


votre avatar







methos1435 a écrit :



La base de Windows 7 est pourtant celle de VISTA… Et on connait tous le succès de Windows 7.



VISTA avait ses défauts. Une certaine lourdeur dans les premières tournées (le SP1 à corrigé tout ça en très grande partie) et un UAC très contraignant et pas spécialement bien étudié pour un usage confortable.



A part ça, je maintiens que VISTA était loin d’avoir des bases pourries. Windows Me: çà c’était une merde sans nom. Mais VISTA c’est avant tout un échec commercial, pas “technique”.





J’ai pas eu l’occasion de tester le SP1, il a peut être corrigé l’essentiel des problèmes que j’ai eus.

Windows 7 est très bien à mon avis, j’ai jamais eu avec 7 les problèmes que j’ai eus avec vista.

Alors sans doute les bases de vista sont pas pourries, mais l’expérience que j’en ai eu a bel et bien été pourrie.


votre avatar







Winderly a écrit :



J’ai pas eu l’occasion de tester le SP1, il a peut être corrigé l’essentiel des problèmes que j’ai eus.

Windows 7 est très bien à mon avis, j’ai jamais eu avec 7 les problèmes que j’ai eus avec vista.

Alors sans doute les bases de vista sont pas pourries, mais l’expérience que j’en ai eu a bel et bien été pourrie.









Tu as donc testé et t’as basé ta critique dessus. Bien. Au moins tu as testé. Maintenant affirmer que VISTA est une merde parce que TU as eu des soucis…



D’ailleurs ça ne change rien au problème. Quand je lisais certains articles de presse sur VISTA. On aurait presque pu faire du copier coller avec des commentaires digne de linuxfr quand on aborde le sujet Microsoft…



Mon renouvellement de machine s’est fait à peu près au moment de la sortie de VISTA. J’ai eu VISTA et je n’ai jamais eu les problèmes que tu cites. Comme quoi…. On aime ou on aime pas, mais je ne pense pas qu’on soit à même, sur la base de problèmes personnels, de poser une critique comme vérité générale.

Le seul soucis récurrent que j’ai eu et qui, d’ailleurs, persiste chez moi avec Windows 7, c’est une lenteur sur la copie de fichiers vers des périphériques USB2.


votre avatar







methos1435 a écrit :



Tu as donc testé et t’as basé ta critique dessus. Bien. Au moins tu as testé. Maintenant affirmer que VISTA est une merde parce que TU as eu des soucis…



Mon renouvellement de machine s’est fait à peu près au moment de la sortie de VISTA. J’ai eu VISTA et je n’ai jamais eu les problèmes que tu cites. Comme quoi…. On aime ou on aime pas, mais je ne pense pas qu’on soit à même, sur la base de problèmes personnels, de poser une critique comme vérité générale.

Le seul soucis récurrent que j’ai eu et qui, d’ailleurs, persiste chez moi avec Windows 7, c’est une lenteur sur la copie de fichiers vers des périphériques USB2.





Il y a aussi les professionnels qui ont pas pu migrer vers vista fautes de drivers pour leurs matériels.

Vista qui avait des performances extrêmement curieuses en fonction du matériel (genre il tourne plus vite sur du matériel moins puissant, allez comprendre).



Bref parfois tout allait très bien, mais malheureusement ça a pas été le cas pour tout le monde.



Alors qu’avec 7…



Pour les lenteurs de copie, le périphérique est bien branché sur un port USB 2 ? (je sais c’est con et pourtant le gag m’est arrivé, les ports en façade de la tour étaient pas en v2)


votre avatar







Winderly a écrit :



Il y a aussi les professionnels qui ont pas pu migrer vers vista fautes de drivers pour leurs matériels.

Vista qui avait des performances extrêmement curieuses en fonction du matériel (genre il tourne plus vite sur du matériel moins puissant, allez comprendre).



Bref parfois tout allait très bien, mais malheureusement ça a pas été le cas pour tout le monde.



Alors qu’avec 7…



Pour les lenteurs de copie, le périphérique est bien branché sur un port USB 2 ? (je sais c’est con et pourtant le gag m’est arrivé, les ports en façade de la tour étaient pas en v2)







VISTA à apporté des changements majeurs dans la façon de concevoir les drivers. Et ces changements étaient nécessaires. C’est embêtant c’est sure mais est-ce vraiment la faute à Microsoft si les fabricants n’ont pas joué le jeu assez vite ? Les spécifications techniques, je suppose qu’ils les ont eu suffisamment tôt pour s’adapter … Alors quand je vois le coup de créative, qui s’est plaint de ne pas avoir été averti du changement dans la façon de gérer le son sous VISTA …



De plus, VISTA à été le premiers Windows “grand public” à apporter le 64 bits (Windows XP 64 bits ça existait mais c’était loin d’être répandu). Ca a apporté du travail supplémentaire pour les fabricants, charge de travail qu’ils n’ont, à mon avis, pas anticipé suffisamment…





Pour l’USB, oui c’est bien en USB2 (ou 3). Le problème est assez aléatoire. Des vois c’est rapide, des fois c’est d’une lenteur affligeante…. Pourtant les disques ont été vérifiés plusieurs fois: ils n’ont aucun soucis… Ce problème est apparu sur VISTA justement et Microsoft à dit avoir corrigé par la suite sans jamais s’attarder sur les causes. Pourtant, en ce qui me concerne c’est toujours présent sur Windows 7 (je manque de tests pour Windows 8).


votre avatar







psn00ps a écrit :



Parfait ! Il ne manque plus que la màj pour supprimer les failles de sécurité si ce n’est pas déjà fait.





Dernière version le 1er Août 2013 ! Je mets à jour ce soir :p


votre avatar



En effet, comme il est impossible de désactiver le secure boot à cause de windows





n’importe quoi.

secure boot est desactivable sur tous les pc certifiés Windows 8. Et Windows 8 continue à fonctionner si tu désactives secure boot.







faire chier toute la planète et notamment les libristes, en imposant une technologie qui s’avère - et cet article le souligne publiquement - totalement inefficace…





relis l’article, t’as rien compris.



une faille présente chez certains OEM ne remet nullement en cause l’efficacité de cette technologie.



il est d’ailleurs très improbable que des malwares exploitent ce type de faille spécifique à certains modèles d’un constructeur.





Après nous avoir fait perdre 10 ans d’innovation web, le boulet continue de frapper.





IE6 a introduit bon nombre de technologies qui sont désormais standardisés au sein de html5. Des années avant que les navigateurs concurrents les implementent. Mais bon, tu n’a peut être jamais entendu parler de xmlhttprequest, contenteditable, …



bref, tu brailles beaucoup sans savoir de quoi tu parles.

votre avatar







hansi a écrit :



Le secure boot sert d’abord et avant tout à tuer le concept même du PC, qui est de pouvoir installer un os tiers sans s’emmerder !







methos1435 a écrit :



Ca c’est ta vision du PC, rien d’autre.





PC veut dire : Personal Computer.

J’ai moi aussi tendance à assimiler “Personnel” à “Propriété”; j’entends que ma machine m’appartienne totalement, ou du moins, le plus possible (raison pour laquelle je n’ai plus que du Linux depuis longtemps)

Laisser à un tiers la main mise sur le démarrage ne me satisfait pas.

Tant que je ne pourrais pas changer moi même les clés publiques de l’UEFI, je considère que le SecureBoot est “defective by design”



Le jour où il prend l’idée à la NSA de propager un malware de boot pour faire de l’espionnage (keylogger, trojan, que sais-je), je suis certain qu’il obtiendront sans difficulté (et légalement, Patriot Act oblige) la clé privée de Microsoft pour signer leur bidule, et tout ce bel édifice de pseudo sécurité se cassera la figure avec le bruit d’un prisme qu’on brise.







methos1435 a écrit :



Moi j’attend de mon OS qu’il soit sécurisé au maximum.



J’ai failli troller … <img data-src=" />







methos1435 a écrit :



Pour ce qui est de l’intégration ou non des clefs dans l’UEFI: voir les fabriquant, pas Microsoft c’est pas leur problème.





Sur une échelle de 1 à 10, à combien évalues-tu l’indépendance d’un fabricant de PC vis à vis de Microsoft ?

<img data-src=" />


votre avatar







methos1435 a écrit :



Ca c’est ta vision du PC, rien d’autre. Moi j’attend de mon OS qu’il soit sécurisé au maximum. Le SecureBoot est un outil de sécurisation comme un autre. D’ailleurs les personnes ayant trouvés ces failles ne remettent pas en cause le principe de sécurisation du SecureBoot.







Ben ton PC sous windows avec SecureBoot windows est par définition non sécurisé vu que Windows est un logiciel privateur donc par définition un malware potentiel.



Sachant que c’est une société Américaine qui l’édite tu peut être sur qu’il y a une backdoor dans ce système pour laisser la porte ouverte aux agence gouvernemental au besoin.


votre avatar







GruntZ a écrit :



Sur une échelle de 1 à 10, à combien évalues-tu l’indépendance d’un fabricant de PC vis à vis de Microsoft ?

<img data-src=" />









D’un point de vue volonté (donc si un fabricant veut faire ce qu’il veut comme ça lui chante) ? 10 <img data-src=" />



Ce que je constate surtout c’est que ça arrange beaucoup de monde d’acheter de la merde pas chers, justement parce que c’est pas chers. Et c’est ces mêmes personnes qui viennent gueuler contre une boite parce qu’ils arrivent pas à faire ce qu’ils veulent avec de la merde.



Après il est bien évident que Microsoft restera un partenaire privilégié ne serait ce que par les PDM de Windows.



Faut arrêter de fantasmer sur cette légende urbaine comme quoi Microsoft pète un revolver sur la tempe des fabricants. Se sont les fabricants qui vont se prostituer auprès de Crosoft pour obtenir des prix, pas l’inverse. Rien n’empèche ces fabriquant de proposer un PC librement et facilement utilisable avec autre chose que Windows (problème qui d’ailleurs, je le répète n’existe que pour de la merde, quand tu prends le temps de choisir du bon matos t’es pas emmerdé).


votre avatar







GruntZ a écrit :



Tant que je ne pourrais pas changer moi même les clés publiques de l’UEFI, je considère que le SecureBoot est “defective by design”

<img data-src=" />







Sauf que “by design” il est prévu dans la fonctionnalité Secure Boot que l’utilisateur puisse ajouter des clés. Là encore si c’est pas proposé: demander pourquoi au fabriquant, pas à une société qui ne fait qu’utiliser la fonctionnalité (et qui, de part ces pdm dans les systèmes d’exploitation, à pu obtenir que sa clé soit présente sur des machines certifiées, ce qui me parait plus que normal).


votre avatar







coolspot a écrit :



Ben ton PC sous windows avec SecureBoot windows est par définition non sécurisé vu que Windows est un logiciel privateur donc par définition un malware potentiel.



Sachant que c’est une société Américaine qui l’édite tu peut être sur qu’il y a une backdoor dans ce système pour laisser la porte ouverte aux agence gouvernemental au besoin.







Quand je vois ce genre de post sur PCI, je me dis qu’Edward Snowden aurait du fermer sa gueule … J’ai jamais vu autant de libriste sectaire s’exciter sur les news MS depuis ses “révélations”… Les OS GNU/Linux sont bon mais … le discours type témoins de Jéhovah c’est un poil too-much <img data-src=" />







jmanici a écrit :



oui, ça fait des années que MS incite les OEM à inclure des puces TPM dans leurs machines. Et depuis windows 8 on en trouve de plus en plus meme dans les machines grand public. Et bientot ce sera obligatoire sur toutes les machines windows.



quant à la possibilité de generer des propres clefs, une puce TPM peut permettre d’arriver à un resultat similaire:

technet.microsoft.com MicrosoftYep j’avais vu passer la news sur les prochaines spécifications de la certif Windows pour le TPM 2.0 chez les OEM mais pour les geeks comme nous qui montons nos propres tours, ca se vend ces puces TPM à l’unité ?



Et sinon je me suis toujours demandé : le secure boot n’empêche pas l’installation d’un bootkit mais juste le démarrage si la chaine n’est plus sécurisé … Du coup on risque pas de se retrouver juste avec un message d’erreur et l’impossibilité de booter en cas d’infection ? Sans possibilité de passer par un live CD linux <img data-src=" /> Ah moins qu’ils autorise le lecteur de récupération de W8 ?


votre avatar







arno53 a écrit :



Quand je vois ce genre de post sur PCI, je me dis qu’Edward Snowden aurait du fermer sa gueule … J’ai jamais vu autant de libriste sectaire s’exciter sur les news MS depuis ses “révélations”… Les OS GNU/Linux sont bon mais … le discours type témoins de Jéhovah c’est un poil too-much <img data-src=" />









Surtout que les dernières révélations portent sur l’écoute des smartphones android, donc sur base linux <img data-src=" /><img data-src=" />


votre avatar







methos1435 a écrit :



Surtout que les dernières révélations portent sur l’écoute des smartphones android, donc sur base linux <img data-src=" /><img data-src=" />







<img data-src=" /> et puis c’est surtout qu’ils leur suffit d’attaquer directement les routeurs (et notamment) chinois pour avoir accès aux trafic … Ta beau avoir fait toi même ton OS, que ta grand mère l’aie même certifié sans backdoor … Les espions t’espionnent quand même <img data-src=" />



Reste peu être le chiffrement mais vu le budget de la NSA, les matheux qui y travaillent … Ca m’étonnerait pas plus que ca qu’ils réussissent a décrypté le truc en quasi temps réel <img data-src=" />


votre avatar

NGSCB, Palladium, la pilule est finalement passée <img data-src=" />

votre avatar



ca se vend ces puces TPM à l’unité ?





non, il faut vérifier avant achat si la carte mère contient un module TPM.







Et sinon je me suis toujours demandé : le secure boot n’empêche pas l’installation d’un bootkit mais juste le démarrage si la chaine n’est plus sécurisé … Du coup on risque pas de se retrouver juste avec un message d’erreur et l’impossibilité de booter en cas d’infection ? Sans possibilité de passer par un live CD linux Ah moins qu’ils autorise le lecteur de récupération de W8 ?





oui, si un malware a infecté le bootloader, le PC ne bootera pas.



tu verras quelque chose comme ceci:

twitter.com Twittertu peux alors utiliser un dvd d’install de Windows pour récupérer tes données.



ou desactiver temporairement secure boot pour booter sur un live cd linux.

votre avatar



NGSCB, Palladium, la pilule est finalement passée





preuve que les trolleurs en ont fait tout un foin pour rien.



les puces TPM sont là, et elles n’empêchent pas de faire tourner des OS autres que Windows.



idem pour secure boot. Du bon vieux FUD digne des rumeurs de libristes selon lesquelles vista ne pourrait pas lire de vidéos non DRMisées.

votre avatar







GruntZ a écrit :



Laisser à un tiers la main mise sur le démarrage ne me satisfait pas.

Tant que je ne pourrais pas changer moi même les clés publiques de l’UEFI, je considère que le SecureBoot est “defective by design”





Tu le peux. C’est de l’anti MS primaire. Ce qui te donne des boutons, c’est que le tiers s’appelle Microsoft.


votre avatar







arno53 a écrit :



Reste peu être le chiffrement mais vu le budget de la NSA, les matheux qui y travaillent … Ca m’étonnerait pas plus que ca qu’ils réussissent a décrypté le truc en quasi temps réel <img data-src=" />





Essaie avec du traffic Freenet et on en reparle. <img data-src=" />


votre avatar







methos1435 a écrit :



Surtout que les dernières révélations portent sur l’écoute des smartphones android, donc sur base linux <img data-src=" /><img data-src=" />







Oui, c’est la faute du kernel si les constructeurs pré-installent des logiciels propriétaire d’espionnage. <img data-src=" />



C’est génial PCI, on peut lire des truques irrationnels à souhait dans les commentaires.


votre avatar







jmanici a écrit :



preuve que les trolleurs en ont fait tout un foin pour rien.



les puces TPM sont là, et elles n’empêchent pas de faire tourner des OS autres que Windows.







C’est peut être aussi par ce que des gens honnêtes en ont fait tout un foin qu’une fois arrivé ces équipement restreignent le moins possible nos libertés.







jmanici a écrit :



idem pour secure boot. Du bon vieux FUD digne des rumeurs de libristes selon lesquelles vista ne pourrait pas lire de vidéos non DRMisées.







Ça aurait très bien pu se passer. À l’époque où ces affaires ont éclatés, avec les informations à disposition et ce à quoi Microsoft nous avait habitué par le passé ce scénario était tout à fait plausible.







psn00ps a écrit :



Tu le peux. C’est de l’anti MS primaire. Ce qui te donne des boutons, c’est que le tiers s’appelle Microsoft.







Ça n’a rien à voir avec de l’“anti MS primaire”, il parle d’un tiers: C’est à dire quelqu’un d’autre que lui-même. Ça pourrait tout aussi bien être l’ONU ça ne changerait pas son propos.



Et quand bien même il se méfierait de Microsoft en priorité, au vue de ce que cette entreprise à fait par le passé c’est tout à fait normale. C’est même le contraire qui serait inquiétant. Quand tu te brules sur une plaque chauffante tu te méfie de ne pas y reposer les doigts sinon c’est qu’il y a un problème plus grave que de simple brulures.


votre avatar







Para-doxe a écrit :



Oui, c’est la faute du kernel si les constructeurs pré-installent des logiciels propriétaire d’espionnage. <img data-src=" />



C’est génial PCI, on peut lire des truques irrationnels à souhait dans les commentaires.









Un bootkit ou rootkit est aussi un logiciel installé, qui n’a rien de directement dépendant avec la sécurité du kernel. Le Secure Boot sert bien pour contrer ces logiciels au démarrage et participe ainsi à une meilleure sécurité de l’ensemble.



Donc ton commentaire agressif n’apporte rien de plus au débat. Pour moi le commentaire débile c’est celui où tu lis que ton super OS libre de la mort qui tue te protégeras là dessus, là ou le méchant Windows tueurs de bébés chat se plantera. Un logiciel conçu pour de mauvaises intentions le restera, OS libre ou pas.


votre avatar







arno53 a écrit :



Quand je vois ce genre de post sur PCI, je me dis qu’Edward Snowden aurait du fermer sa gueule … J’ai jamais vu autant de libriste sectaire s’exciter sur les news MS depuis ses “révélations”… Les OS GNU/Linux sont bon mais … le discours type témoins de Jéhovah c’est un poil too-much <img data-src=" />?







L’affaire Snowden c’est juste une preuve de plus. C’est obligé que Windows est une backdoor/malware vu que microsoft est assujetti au patriot act.


votre avatar







methos1435 a écrit :



Surtout que les dernières révélations portent sur l’écoute des smartphones android, donc sur base linux <img data-src=" /><img data-src=" />







Ben ca c’est logique vu qu’Android c’est google. Et que la seule chose qu’il y est de libre c’est le kernel.



Mais Android c’est pas GNU/Linux hein. Ne mélangeons pas les torchons et les serviettes. <img data-src=" />


votre avatar







coolspot a écrit :



L’affaire Snowden c’est juste une preuve de plus. C’est obligé que Windows est une backdoor/malware vu que microsoft est assujetti au patriot act.







Comme tout les OEM et constructeur de router americain …



Tu crois vraiment que la NSA n’a pas un stock de faille 0-Day pour linux/unix/bsd/mac ? Le libre/open source ne veut pas dire sans faille … Alors certes certains libristes ont bien du faire chier la NSA en comblant certaines failles que la NSA devait déjà connaitre mais comme pour tout systèmes info rien n’est invulnérable … A part si tu coupe ton câble Ethernet …


votre avatar







arno53 a écrit :



Comme tout les OEM et constructeur de router americain …



Tu crois vraiment que la NSA n’a pas un stock de faille 0-Day pour linux/unix/bsd/mac ? Le libre/open source ne veut pas dire sans faille … Alors certes certains libristes ont bien du faire chier la NSA en comblant certaines failles que la NSA devait déjà connaitre mais comme pour tout systèmes info rien n’est invulnérable … A part si tu coupe ton câble Ethernet …







Je dit pas que GNU/Linux est invulnérable je dit qu’il n’y a pas de backdoor intentionnel. Car il y a une différence entre avoir des faille 0day qui peuvent être patché et foutre un backdoor qui de toute façon sera indétectable et jamais comblé.


votre avatar







coolspot a écrit :



Je dit pas que GNU/Linux est invulnérable je dit qu’il n’y a pas de backdoor intentionnel. Car il y a une différence entre avoir des faille 0day qui peuvent être patché et foutre un backdoor qui de toute façon sera indétectable et jamais comblé.







Ouais enfin le code source de Windows est aussi accessible pour les société qui veulent payer …



Par contre concernant MS dès qu’ils trouvent une faille 0-Day ils l’envoient à la NSApour qu’ils fassent mumuse avec avant que MS la comble <img data-src=" />


votre avatar







arno53 a écrit :



Ouais enfin le code source de Windows est aussi accessible pour les société qui veulent payé …



Par contre concernant MS dès qu’ils trouvent une faille 0-Day ils l’envoient à la NSApour qu’ils fassent mumuse avec avant que MS la comble <img data-src=" />









Pour le code c’est gentil mais qu’est ce qui prouve que celui-ci est en adéquation avec les version en série vendu au boite et qu’il n’y a pas eu de purge sur les partie sensible.



Parce que je suppose qu’ils monte pas leur image disk PC à partir du code source windows qu’il compile ?


votre avatar







coolspot a écrit :



Pour le code c’est gentil mais qu’est ce qui prouve que celui-ci est en adéquation avec les version en série vendu au boite et qu’il n’y a pas eu de purge sur les partie sensible.



Parce que je suppose qu’ils monte pas leur image disk PC à partir du code source windows qu’il compile ?







Je ne pourrais pas te répondre, je suis pas dev et j’ai jamais testé mais oui il est possible que ca soit une version plus morale que celle vendu au monde entier <img data-src=" /> Mais pour en revenir a mon intervention au dessus : le patriot act et tout et tout ca touche aussi Cisco et Juniper par exemple … Et la t’as beau avoir un Super OS, le réseau de tout les opérateur du monde est vulnérable …



Alors avoir des backdoor directement dans mon OS (chose que je ne crois pas, c’est trop visible … Une faille que “personnes n’avaient vu passé pendant le dev” est bien plus intelligent pour la NSA et Microsoft) ou arrivé chez l’opérateur pour moi c’est quasi pareil … Au moins si la NSA fait un backup de mes photo de familles et de ma compta excel, je saurais où cherché si mon DD lache <img data-src=" />


votre avatar







arno53 a écrit :



Je ne pourrais pas te répondre, je suis pas dev et j’ai jamais testé mais oui il est possible que ca soit une version plus morale que celle vendu au monde entier <img data-src=" /> Mais pour en revenir a mon intervention au dessus : le patriot act et tout et tout ca touche aussi Cisco et Juniper par exemple … Et la t’as beau avoir un Super OS, le réseau de tout les opérateur du monde est vulnérable …



Alors avoir des backdoor directement dans mon OS (chose que je ne crois pas, c’est trop visible … Une faille que “personnes n’avaient vu passé pendant le dev” est bien plus intelligent pour la NSA et Microsoft) ou arrivé chez l’opérateur pour moi c’est quasi pareil … Au moins si la NSA fait un backup de mes photo de familles et de ma compta excel, je saurais où cherché si mon DD lache <img data-src=" />







Oui mais d’une c’est moins grave d’avoir que le réseau de vérollé plutot que l’OS en plus vu qu’ils n’ont accès qu’a ce qui transite sur le réseau. Tu peut donc conserver un minimum d’intimité. Alors que si en plus tu a la journée porte ouverte sur l’intégralité de tes données locale c’est pas la joie.



Après c’est sur que la polémique sur les routeur chinois des USA m’a bien fait rire sachant que Cisco est du même accabit c’est à dire le niveau 0 de confiance.



Faut remettre en place Alcatel, au moins on sera juste espionné par la DGSE <img data-src=" />


votre avatar







methos1435 a écrit :



A part ça, je maintiens que VISTA était loin d’avoir des bases pourries. Windows Me: çà c’était une merde sans nom. Mais VISTA c’est avant tout un échec commercial, pas “technique” (du moins quand tu acceptes le fait que tu peux pas faire tourner VISTA correctement sur un vieux PC de 7 ou 8 ans, chose que beaucoup n’ont pas pris en compte…)





<img data-src=" />Tu as oublié les blue screen à répétition de Vista ou tu as eu de la chance.

Les fournisseurs de drivers ont eu leur part dans ce cafouillage, mais ils avaient pris de mauvaises habitudes sous XP ou ont fournis de mauvaises versions Vista (voire techniquement pas du tout)


votre avatar







psn00ps a écrit :



<img data-src=" />Tu as oublié les blue screen à répétition de Vista ou tu as eu de la chance.

Les fournisseurs de drivers ont eu leur part dans ce cafouillage, mais ils avaient pris de mauvaises habitudes sous XP ou ont fournis de mauvaises versions Vista (voire techniquement pas du tout)









Mauvais habitudes ou pas, ils ne se sont pas adapté pourtant ils avaient les outils pour. Microsoft n’est pas responsable de leur fainéantise.



Même l’UAC qui m’a plus qu’agacé sous VISTA (beaucoup moins sous 7) était nécessaire je pense. Microsoft l’avait bien expliqué. Tant que les dev ne feraient pas l’effort de nettoyer leur code (pour éviter entre autres des appels systèmes nécessitant des droits admin quand ce n’est pas nécessaire), l’UAC emmerderait l’utilisateur. L’UAC à été peu remanié sous 7. Mais les logiciels plus récents sont mieux écrits à ce niveau et déclenchent donc moins son affichage.





Pour les BSOD sous VISTA: non aucun. D’ailleurs il est marrant de voir autant de monde nous ressortir le coup du BSOD alors que par défaut VISTA est configuré pour redémarrer et non afficher l’écran bleu <img data-src=" /> Et je doute fortement que toutes les personnes ayant critiqué VISTA aient changé la config par défaut….


Mal implémenté par les OEM, le Secure Boot de Windows 8 a été contourné

  • Une mise en oeuvre pointée du doigt 

  • En espace kernel ou utilisateur 

  • Qu'importe la technologie, l'implémentation est capitale

Fermer