Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Linus Torvalds en colère face au problème du Secure Boot

Langage fleuri

Linus Torvalds en colère face au problème du Secure Boot

Le 27 février 2013 à 09h22

Depuis des mois maintenant, plusieurs développeurs ou sociétés travaillent sur des méthodes pour permettre à Linux de démarrer sur un PC équipé du Secure Boot.  Plusieurs techniques existent, mais lorsqu’un développeur pose la question de l’intégration des clés dans le noyau, Linus Torvalds se fâche pour de bon.

secure boot 

Un même problème, plusieurs solutions 

Le sujet du Secure Boot dans la communauté open source est délicat. Cette fonctionnalité, présente dans les spécifications de l’UEFI, permet à un système d’exploitation de contrôler l’intégrité de la chaine des éléments impliqués dans le boot. Cela demande notamment le concours des constructeurs de GPU, et puisque Microsoft est arrivé le premier, ce sont surtout ses propres clés de sécurité qui importent.

 

Plusieurs solutions ont été envisagées, notamment celle de Matthew Garrett, développeur chez Red Hat, et celle mise en avant par la Linux Foundation. Les deux sont différentes et il se pourrait au final qu’elles soient rapprochées pour faire front commun. Mais un autre développeur de chez Red Hat, David Howells, a carrément posé la question de l’intégration éventuelle des clés de sécurité Microsoft au sein du noyau. Le bénéfice serait simple : permettre à une distribution Linux de démarrer directement sur une machine possédant le Secure Boot.

Linus Torvalds explose 

La question a soulevé l’ire de Linus Torvalds, père du noyau Linux. Dans une réponse relativement grossière, il laisse éclater sa colère : « Si Red Hat veut pratiquer la gorge profonde sur Microsoft, c’est votre problème. Cela n’a absolument rien à voir avec le kernel que je maintiens. Il est facile pour vous les gars d’avoir un processus signature qui parse le binaire PE, vérifie les signatures et signe les clés résultantes avec votre propre clé. […] Pourquoi serais-je concerné ? Pourquoi le kernel devrait-il s'occuper d’une stupidité telle que « nous ne signons que les binaires PE » ? Nous supportons le X.509 qui est le standard pour les signatures ». Et d’indiquer que tout doit être fait en espace utilisateur et qu’aucune excuse n’est valable pour l’inclusion dans le kernel.

 

Au centre de la colère de Linus Torvalds se trouve en fait la manière dont Microsoft a conçu sa solution. Selon David Howells, la solution serait d’intégrer les clés de sécurité dans un certificat X.509, puis de placer ce dernier dans un EFI PE (Extensible Firmware Interface Portable Executable) pour le faire signer par Microsoft, ce dernier ne signant que des binaires. Mais les binaires sont justement à l’opposé de la philosophie open source : les fichiers sont déjà compilés et les développeurs n’en ont pas la maîtrise, à la manière d’un corps étranger. Les binaires se retrouvent le plus souvent dans certains pilotes, notamment graphiques, mais l’inclusion dans le noyau est une autre paire de manches.

La question de l'universalité 

Matthew Garrett a toutefois participé lui aussi à la conversation. Il a ainsi tenu à rappeler que les constructeurs de composants souhaitent des clés qui ont été signées par un tiers de confiance. Actuellement, seul Microsoft répond à cette appellation, posant le délicat problème des entités responsables des signatures. Torvalds répondra que toute cette problématique n’intéresse pas grand-monde, et surtout pas lui.

 

Mais le véritable souci pour Garrett est l’universalité. Il explique ainsi que Red Hat se doit de trouver une solution et que celle-ci sera très certainement l’utilisation des clés de Microsoft car elles sont déjà employées par NVIDIA et AMD. Il se demande donc si toutes les distributions vont utiliser un modèle commun ou si chaque kernel aura sa propre solution.

 

Une question dont Microsoft doit bien peu se soucier.

Commentaires (224)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







metaphore54 a écrit :



Android n’a pas l’air d’aller vers secure boot et MS a une pdm proche de 0. Donc le tout bridé n’est pas d’actualité et pas dans les 5 prochaines années.





Android ne fabrique pas le materiel. C’est un OS, au même titre que Win ou BSD. (Android étant un Linux)<img data-src=" />


votre avatar



Et tu considères pareil quand tu as les specs d’une machine? Tu ne crois jamais les specs d’un constructeur, c’est pour toi pas une source fiable ?





Heeuu.. on s’est mal compris, par cource fiable, j’entends un vrai lien vers une vrai doc.

votre avatar







Ricard a écrit :



Android ne fabrique pas le materiel. C’est un OS, au même titre que Win ou BSD. (Android étant un Linux)<img data-src=" />







Les constructeurs n’ont aucun intérêt à brider, les seuls qui ont un intérêt sont les google, MS et Cie.


votre avatar







metaphore54 a écrit :



Les constructeurs n’ont aucun intérêt à brider, les seuls qui ont un intérêt sont les google, MS et Cie.





C’est bien eux qui l’implémentent dans l’EFI.


votre avatar

Comme disait Thomas J. en reprenant les propos de son copain Benjamin F. :





Si tu es prêt à sacrifier un peu de liberté pour te sentir en sécurité, tu ne mérites ni l’une ni l’autre.

votre avatar

Je peut deja vous donnez le motif de pourquoi dans 4 ans la desactivation sera impossible .



Bah oui , comme on peut mettre a jours les UEFI depuis windows . Il sera dit que l’on pourrais en flashant le UEFI desactivé le Secureboot . Donc la solution logic et que le secureboot ne sois pas desactivable par UEFI .



Accepter aujourd’hui seciureboot avec comme solution de contournement de le désactiver dans le UEFI et une erreur .



ET personnelement je pense pas que les gens qui install des linux a la chaine seront content de booter les serveurs par carte RSA,ILO,IDRAC pour aller dans le bios et perdre 30 minute par serveur et ceci malgres le processus industrilalisation qu’il ont mit en place pour l’installation automatique par PXE , forman , spacewalk, ou autres par ex .

votre avatar







Ricard a écrit :



C’est bien eux qui l’implémentent dans l’EFI.





Ben oui, sinon ils n’ont plus le logo “Windows compatible” et comment tu veux vendre ton matos après ?


votre avatar







Ricard a écrit :



C’est bien eux qui l’implémentent dans l’EFI.







Pour windows car c’est obligatoire, mais sinon quel est leur intérêt ? Aucun, ils auront un intérêt quad ils feront leur OS avec leurs propres services.



Edit : grillé.


votre avatar







Kerberos a écrit :



Un petit peu qu’il y a un lien officiel, puisque c’est le programme de certification matériel :download.microsoft.com Microsoft

page 121 §17 !!





Merci, ce document est exactement ce que je n’arrivais pas a trouver <img data-src=" />



Questions suivantes : le logo “Windows 8 ready” implique-t-il que le materiel genre carte mere a ete certifie ? Ou la certification ne concerne-t-elle que des systemes complets ?


votre avatar

Je suis pas un expert mais j’ai pas tout compris a cette histoire…. Pourquoi red hat ne demande pas une clé de sécurité à verisign par exemple ? Dans mes souvenirs c’était ce qui devait être fait.

votre avatar







tass_ a écrit :



Ben oui, sinon ils n’ont plus le logo “Windows compatible” et comment tu veux vendre ton matos après ?





Ha. Donc le matos peut très bien fonctionner sans Windows, mais pas l’inverse.<img data-src=" />

Cherchez l’erreur.


votre avatar







Ricard a écrit :



Ha. Donc le matos peut très bien fonctionner sans Windows, mais pas l’inverse.<img data-src=" />

Cherchez l’erreur.







<img data-src=" /> <img data-src=" />


votre avatar







prapra a écrit :



Ha oui tiens je ne savais pas ca?Elle est ou cette parttition fat sur le dd?







En fait, il est faut 2




  • 1er de 2mio non formaté et non monté avec en type : EFI-me-souviens-plus

  • 2nd de 2mio (ou plus en cas de multiboot) en FAT monté dans /boot/EFI



    Et bien sur, fini le MBR, bonjour le GPT !



    EDIT : Et ce n’est plus /boot qui a le Boot flag mais la partition UEFI.


votre avatar







zefling a écrit :



C’est limite comme imposé des souris uniquement pour droitier et interdire les souris pour gaucher. Les gauchers n’ont qu’à s’adapter.







Dans ton analogie, ce serait plutôt une souris ambidextre auquel tu as ajouté un accessoire pour droitiers qui peut être enlevé.


votre avatar







ldesnogu a écrit :



Merci, ce document est exactement ce que je n’arrivais pas a trouver <img data-src=" />



Questions suivantes : le logo “Windows 8 ready” implique-t-il que le materiel genre carte mere a ete certifie ? Ou la certification ne concerne-t-elle que des systemes complets ?





Dans les grandes lignes: la certification concerne tout matériel (carte mère, carte graphiques, souris, clé usb etc…).

Elle implique en autre que le constructeur dispose de pilotes signés par Microsoft pour la plateforme en question (si non dispo via Windows Update) et que le matériel/constructeur respecte toutes les contraintes imposées (secureboot activé mais désactivable et modifiable, utilisation des apis dédiés, compatibilité x32/x64 par exemple)



Pour un PC entier/pc portable, c’est quasi la même chose pour tous les composants, avec Windows est préinstallé en plus


votre avatar







Vincent_H a écrit :



Pas vraiment : je n’ai pas mis les passages les plus vulgaires ;)





Pourquoi cette différence de traitement avec les jeux vidéos ?

Le public a le droit de savoir dans ce cas <img data-src=" />


votre avatar







Seazor a écrit :



Eeuh, à part des documents décrivant les specs, rien trouvé à cette adresse.







git://git.kernel.org/pub/scm/linux/kernel/git/jejb/efitools.git

<img data-src=" />





En plus, c’est un peu comme pour les phones android : Les drivers (son, réseau, etc…) ne vont surement pas êtres ouverts !





Je vois pas très bien ce que tu veux dire…


votre avatar







Jed08 a écrit :



Sachant que le Secure Boot est facilement désactivable… Je vois pas en quoi cela peut nuire efficacement à Linux.

En fait, cet article a le mérite de nous montrer que Linux n’est pas le monde des bisounours ou tout le monde est libre de faire ce qu’il veut !





Grâce à leur “sécurité”, le Michu va mettre la galette d’un Linux pour essayer un Live, et l’ordinateur va l’envoyer balader disant que le contenu est dangereux, n’est pas sûr, etc.



<img data-src=" />C’est la liberté à la sauce Microsoft. <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />


votre avatar

[TROLL]



De toute façon, on se prend le choux pour rien.

Avec l’avènement du “Cloud”, des DRM, des forfaits et des offres Internet segmenté (ça va forcément arrivé, j’en ai la certitude)



UEFI et Secure Boot seront le dernier de nos soucis dans une station de connexion au réseau. (Ou Minitel 2.0)



[/TROLL]

votre avatar







psn00ps a écrit :



Grâce à leur “sécurité”, le Michu va mettre la galette d’un Linux pour essayer un Live, et l’ordinateur va l’envoyer balader disant que le contenu est dangereux, n’est pas sûr, etc.



<img data-src=" />C’est la liberté à la sauce Microsoft. <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />







Aahahahahahah !

Pardon c’était l’instant troll ! <img data-src=" />



Je suis persuadé que pour qu’un Michu essaye Linux, c’est parce que un de ses potes/fils/cousins/neveux/pingouins utilise déjà linux et lui a proposé d’essayer. Que ce technophile ne vas pas lui filer le Live CD/DVD et lui dire “Démerde toi ! Moi je me barre” et qu’il est au courant des problèmes du Secure Boot et qu’il sait comment le contourner.



Dans le cas contraire, les nouvelles distributions les plus accessibles aux Michu (par exemple Ubuntu) intègreront d’ici là des mécanismes pour ne pas être bloqué par le Secure Boot.


votre avatar







Seazor a écrit :



Eeuh, à part des documents décrivant les specs, rien trouvé à cette adresse.

En plus, c’est un peu comme pour les phones android : Les drivers (son, réseau, etc…) ne vont surement pas êtres ouverts !





Pour un équivalent UEFI/BIOS qui soit ouvert, il faut aller voir du cote de Coreboot. Google investit pas mal ces derniers temps sur ce projet pour ses ChromeBook.


votre avatar







Jed08 a écrit :



Le code source de l’UEFI est ouvert il me semble.

http://www.uefi.org/home/



git://git.kernel.org/pub/scm/linux/kernel/git/jejb/efitools.git

<img data-src=" />





il me semblait que sur ce git, c’était les sources du nécessaire pour se faire démarrer/signer par un uefi.

Pas les sources de l’uefi ! (est-ce que je me trompe ?)





Jed08 a écrit :



Je vois pas très bien ce que tu veux dire…





les sources de uefi permettent depuis l’uefi d’accéder au matériel comme le réseau ou autre avant de démarrer un OS. Et pour faire cela, il y a des drivers inclus dans l’uefi (un peu comme les drivers du matos gsm qui n’est pas inclus dans android)


votre avatar







Jed08 a écrit :



Ah parce que un anti-virus peut te protéger avant le boot de l’OS ?







S’il est lancé en premier : oui. On est pas obligé d’avoir un OS pour avoir un antivirus. C’est juste un autre programme. D’ailleurs y’a 15ans on avait des anti-virus 100% autonome. Rien n’empêche de le faire aujourd’hui.



Le seul moyen pour un “virus boot-sector” de s’incruster c’est de :

-Soit re-façonner le boot pour qu’il charge le code malveillant avant le reste.

-Soit de modifier une liste de lancement (ce qui est pareil à peu près).



Un programme est parfaitement capable de contrer ça en étant lui même en boot (au lieu de win) avec un self-check et des clés de cryptage en veux-tu en voila si tu le souhaites. On faisait ça avec les disquettes (puisqu’on les utilisait beaucoup) et aussi les DD. Si tu vois pas le message “ok” au boot, nan-nan; problème. On pourrait même faire en sorte que ce soit un multi-boot.



Ah mon dieu j’ai dit le mot blasphématoire, M$ va me crucifier… Toutefois; l’avantage c’est qu’on pourrai choisir son “anti-virus de multi-boot” si j’ose dire… hey attendez un peu une minute…



Tu l’auras compris des solutions, y’a que ça.



La réponse de Seazor suffit pour le reste.


votre avatar







Jed08 a écrit :



Je suis persuadé que pour qu’un Michu essaye Linux, c’est parce que un de ses potes/fils/cousins/neveux/pingouins utilise déjà linux et lui a proposé d’essayer. Que ce technophile ne vas pas lui filer le Live CD/DVD et lui dire “Démerde toi ! Moi je me barre” et qu’il est au courant des problèmes du Secure Boot et qu’il sait comment le contourner.



Dans le cas contraire, les nouvelles distributions les plus accessibles aux Michu (par exemple Ubuntu) intègreront d’ici là des mécanismes pour ne pas être bloqué par le Secure Boot.





Oui… et systématiquement, c’est ce technophile qui va faire l’install…

Ou Michu va comprendre du 1er coup ce qu’est uefi, secureboot et savoir comment le désactiver pour pouvoir essayer…

Et dire qu’actuellement, la procédure pour essayer, c’est “démarre avec le CD dans la machine”



Et faut pas se leurer, même si on n’a pas de preuve ferme actuellement, je reste persuadé que si il est désactivable, c’est pour que MS n’entende pas gueuler ceux qui achètent du matos récent pour y installer win7 (et pas win8)

Dans qq années, le discours de MS sera “win7 n’est plus supporté, tous nos OS supportés gèrent secureboot, il est dangereux de laisser secureboot désactivable. Regardez : ca marche bien sur les tablettes !”


votre avatar







methos1435 a écrit :



Ca se fait en deux trois clics dans l’interface UEFI:





  • Allumer ordinateur

  • Accéder interface EFI

  • Désactiver SecureBoot

  • Redémarrer ordinateur







    Mais c’est loin d’être facile entre la touche d’accès à l’UEFI qui n’est plus indiqué lors du boot, l’absence de documentation papier. L’obligation de rechercher la documentation dans le disque dur.

    De plus la désactivation du SecureBoot n’est pas lié au choix du type de partitionnement GPT ou MBR. Ce qui peut rendre certaine distribution in installable.






votre avatar







psn00ps a écrit :



C’est tout sauf transparent. Et ce n’est pas toujours faisable.









Rien à battre de la transparence. La personne qui veux installer linux elle se documente et elle désactive.

Si c’est pas désactivable c’est que cette eprsonne à acheté du matos de merde. La prochaine fois elle fera plus attention <img data-src=" />



Non mais sérieux, attention le pingouin arrive et veux qu’on lui serve tout sur un plateau doré…


votre avatar







Jed08 a écrit :



Sachant que le Secure Boot est facilement désactivable… Je vois pas en quoi cela peut nuire efficacement à Linux.

En fait, cet article a le mérite de nous montrer que Linux n’est pas le monde des bisounours ou tout le monde est libre de faire ce qu’il veut !

Très clairement, la fragmentation de Linux joue un rôle important dans cette problèmatique : laisser chaque distribution implémenter de leur côté leur propre solution ou une solution généraliste, ou l’implémenter directement dans le kernel de façon à ce que cela ne soit fait qu’une fois et que tout le monde possède la même technologie implémentée de la même façon (quitte à se foutre papa Linus à dos)…







C’est surtout que cela ne s’adresse pas au même public.

On aura beau dire et beau faire, Linux s’adresse quand même à des technophiles qui savent dans une certaine mesure ce qu’ils font.

Donner la possibilité de faire tout et n’importe quoi un utilisateur qui n’y connait absolument rien est pas forcément la meilleur des solutions







Je suis désolé, mais l’informatique n’est pas différente d’un autre outil. Quand quelqu’un qui n’y connaît rien l’utilise, il doit pas faire l’idiot et devra soit se documenter, soit demander de l’aide à quelqu’un d’expérimenté.



Alors oui, je suis d’accord, à côté de ça, les prisons dorées sont beaucoup plus confortables, l’utilisateur n’a pas à se soucier de quoi que ce soit. D’ailleurs il n’en a même pas le droit. La vie est belle pas vrai ? Sauf que quand l’auteur de la prison déconne, on a plus que nos yeux pour pleurer (quand on s’en rend compte qui plus est).



Donc si, à mon avis, donner tous les pouvoirs à un utilisateur, quel que soit son niveau, est la meilleure des solutions à long terme. Ok, il fera des erreurs, il se mettra en danger, etc… Qui ne le fait pas avec d’autres outils ? Il faut arrêter le tout sécurité, la vie c’est pas un coussin, et ça le sera jamais.


votre avatar







Anti a écrit :



Je suis désolé, mais l’informatique n’est pas différente d’un autre outil. Quand quelqu’un qui n’y connaît rien l’utilise, il doit pas faire l’idiot et devra soit se documenter, soit demander de l’aide à quelqu’un d’expérimenté.



Alors oui, je suis d’accord, à côté de ça, les prisons dorées sont beaucoup plus confortables, l’utilisateur n’a pas à se soucier de quoi que ce soit. D’ailleurs il n’en a même pas le droit. La vie est belle pas vrai ? Sauf que quand l’auteur de la prison déconne, on a plus que nos yeux pour pleurer (quand on s’en rend compte qui plus est).



Donc si, à mon avis, donner tous les pouvoirs à un utilisateur, quel que soit son niveau, est la meilleure des solutions à long terme. Ok, il fera des erreurs, il se mettra en danger, etc… Qui ne le fait pas avec d’autres outils ? Il faut arrêter le tout sécurité, la vie c’est pas un coussin, et ça le sera jamais.







D’un coté tu reproches à l’utilisateur de pas se documenter et de préférer une “prison dorée”. D’un autre coté il faudrait donner à Linux des droits qu’ils n’ont pas aujourd’hui pour zapper le SecureBoot, mais rien que pour eux..

Tu as raison sur une chose, personne ne doit se contenter de ce qu’on lui donne. Alors si une personne veux installer Linux, elle se documente, déja sur le matos qu’elle achète et ensuite sur comment désactiver le SecureBoot si Secure Boot il ya .



Tu peux pas d’un coté dire que l’utilisateur ne se documente sur rien, et d’un autre coté gueuler sur le manque de solution coté Linux pour le SecureBoot. Une solution il yen à déja une: désactiver.

Tout le foin aujourd’hui c’est justement pour que l’utilisateur n’ai pas à y toucher, donc ca revient à le laisser dans l’ignorance volontairement…


votre avatar







Jed08 a écrit :



Dans le cas contraire, les nouvelles distributions les plus accessibles aux Michu (par exemple Ubuntu) intègreront d’ici là des mécanismes pour ne pas être bloqué par le Secure Boot.







Il ne s’agit pas seulement d’Ubuntu, ni même de Linux. Il s’agit simplement que le matériel que tu achètes ne t’obéit plus. D’ailleurs, le problème du secure boot ne vient que du fait qu’il faut demander une clé à un agence extérieur pour pouvoir utiliser ton matériel. Alors évidement, ils n’ont pas tout verrouillé en une fois. Il faut y aller par minorité.

C’est l’enfance de l’art de la manipulation de foule. En s’attaquant par minorité, on fini par atteindre tout le monde sans s’être trouvé, à aucun moment, avec tout le monde sur le dos en même temps. C’est comme abattre une armée dans un couloir étroit. Une fois que les smartphones, les tablettes, les All-In-One, les Ultrabooks, les portables de luxes, les portables en général et les barebones seront touchés. Les tours seront la minorité facile à abattre.



C’est incompréhensible que vous ne voyez pas que nous perdons tous les jours un peu plus de liberté avec nos machines et à quel point c’est terrifiant. C’est fou qu’il faut toujours une crise pour que la majorité s’aperçoive qu’on va dans le mur.


votre avatar







Seazor a écrit :



Et faut pas se leurer, même si on n’a pas de preuve ferme actuellement, je reste persuadé que si il est désactivable, c’est pour que MS n’entende pas gueuler ceux qui achètent du matos récent pour y installer win7 (et pas win8)

Dans qq années, le discours de MS sera “win7 n’est plus supporté, tous nos OS supportés gèrent secureboot, il est dangereux de laisser secureboot désactivable. Regardez : ca marche bien sur les tablettes !”







Premièrement si je ne dis pas de connerie le secure boot est indépendant de Windows. Il existait avant W8 et ce sont les constructeurs qui l’implémente. Pas MS.

De plus, le fait que ce n’est pas MS qui construit ses propres PC sur lesquels sont vendus Windows, et que Windows est disponible à la vente, ne pas pouvoir désactiver le SB leur fera très mal au porte feuille en cas de procès.



Concernant les tablettes c’est un différent problème. Le prix des tablettes sous WinRT ne peuvent etre dissocier : prix de la licence + prix du matériel, car WinRT ne peut être acheter séparément.

De ce fait quand tu achètes une tablette Windows, tu achètes pas la tablette + la licence, mais un ensemble la tablette sous WinRT (je sais pas si j’arrive à faire comprendre la différence avec la vente liée des licences windows sur les PC).


votre avatar







methos1435 a écrit :



Tu peux pas d’un coté dire que l’utilisateur ne se documente sur rien, et d’un autre coté gueuler sur le manque de solution coté Linux pour le SecureBoot. Une solution il yen à déja une: désactiver.

Tout le foin aujourd’hui c’est justement pour que l’utilisateur n’ai pas à y toucher, donc ca revient à le laisser dans l’ignorance volontairement…







Je vais me répéter (et commencer à en avoir mare):



La plupart des utilisateurs de GNU/Linux et BSD l’ont découvert sur une machine qui n’était pas vendu avec. Machine sur laquelle ils n’ont pas fait attention à la présence de bridage.







methos1435 a écrit :



Rien à battre de la transparence. La personne qui veux installer linux elle se documente et elle désactive.

Si c’est pas désactivable c’est que cette eprsonne à acheté du matos de merde. La prochaine fois elle fera plus attention <img data-src=" />



Non mais sérieux, attention le pingouin arrive et veux qu’on lui serve tout sur un plateau doré…







Donc par ce que les utilisateurs de GNU/Linux sont une minorité, ça autorise tout ajout de contrainte et discrimination. Bien, bravo, belle esprit.


votre avatar







NotoRaptor a écrit :



Je ne comprends pas que vous misiez sur ça. Vous avez la garantie que la désactivation sera possible sur toutes les machines ? C’est une porte trop ouverte de compter sur ces clics - là.







La possibilité de désactiver le secure boot dépend uniquement des constructeurs. Pas de MS ni des distrib’ Linux.

Les industriels n’ont rien a gagné à retirer cette option (sauf des actions en justices).



Après on a la garantie de rien ! On a pas la garantie que Linus Torvalds ne va pas intégré une immense backdoor dans la prochaine version du kernel Linux. On a pas la garantie que Apple ne va pas financer un énorme programme pour lutter contre la faim dans le monde avec tout son fric. On a pas la garanti que PCI ne va pas faire du lobby pour les ayant droits. On a pas la garantie que Scarlette Johansson ne tournera jamais dans un prn <img data-src=" />



Mais, “C’est techniquement possible donc pourquoi ne pas le faire ?” n’est pas le leitmotiv de toute personne ^^


votre avatar







nucle a écrit :



Il suffirait de mettre un interrupteur physique, sur la carte mère, pour passer en mode “édition” et pouvoir ajouter ou supprimer un certificat, puis refermer ce bouton physique pour lancer ce qu’on veut de signé avec le certificat. Dans ce cas-là, je trouverais aussi que cette fonction est géniale.





Ca me rappelle le switch sur les premières clé usb, tellement pratique pour construire une partition read-only avec tous les outils de maintenance, en ayant l’assurance qu’elle n’allait pas se faire bourré par un pc zombie


votre avatar







psn00ps a écrit :



Vous allez faire passer Torvalds pour un ange à force <img data-src=" />









Une chose n’empèche pas l’autre. Torvalds à parfaitement raison de dire non à l’inclusion de clefs de Microsoft dans le noyau.


votre avatar







Emralegna a écrit :



Debian ne prend en pas charge ni le GPT (utilisé par l’UEFI), ni le SecureBoot. Autant le second point est moins problématique parce que Windows ne force pas l’utilisation du SecureBoot pour s’installer ainsi que le fiat qu’il soit désactivable dans le BIOS/UEFI, autant le second est un problème si tu as une carte mère UEFI only.







heu, gpt est gérer par débian, ça fait plus d’un an que je l’utilise…

j’admet que ce n’est(était?) pas facile à mettre en place, mais ça fonctionne parfaitement.

d’ailleurs, gpt c’est pas mal quand tu n’as qu’un seul disque et que tu veux un dual boot avec partoche système + données, tu ajoute le swap de linux et ça fait 5 partitions minimum(enfin 6 avec l’efi), impossible à mettre en place sans gpt.



bref à la base, on parlait du secure boot, je serais curieux de savoir combien d’utilisateurs ont besoin de ça.

des windows verolés au boot, si j’en croise un sur mille…(sur un million ?)

donc j’ai du mal à comprendre l’intéret de la chose, à part faire chier quand on veut installer autre chose que windows. <img data-src=" />


votre avatar







Jed08 a écrit :



La possibilité de désactiver le secure boot dépend uniquement des constructeurs. Pas de MS ni des distrib’ Linux.

Les industriels n’ont rien a gagné à retirer cette option (sauf des actions en justices).



Après on a la garantie de rien ! On a pas la garantie que Linus Torvalds ne va pas intégré une immense backdoor dans la prochaine version du kernel Linux. On a pas la garantie que Apple ne va pas financer un énorme programme pour lutter contre la faim dans le monde avec tout son fric. On a pas la garanti que PCI ne va pas faire du lobby pour les ayant droits. On a pas la garantie que Scarlette Johansson ne tournera jamais dans un prn <img data-src=" />





On A la garantie que toutes cartes mères certifiées Windows 8 aura le secure boot désactivable SI ! Et pour les autres cartes mères, osef, elles ne se vendront pas.

On A la garantie que Linus ne mettra pas de backdoor, il se fera descendre par tous les autres mainteneurs.

Demain, avec la prochaine version de Windows, on a rien mais aujourd’hui (c’est à dire pour encore 10 ans) on a cette garantie


votre avatar







Kerberos a écrit :



On A la garantie que toutes cartes mères certifié Windows 8 aura le secure boot désactivable SI ! Et pour les autres cartes mères, osef, elles ne se vendront pas.

On A la garantie que Linus ne mettra pas de backdoor, il se fera descendre par tous les autres mainteneurs.

Demain, avec la prochaine version de Windows, on a rien mais aujourd’hui (c’est à dire pour encore 10 ans) on a cette garantie









Donc crier au loup aujourd’hui est inutile, totalement.



D’ailleurs le problème n’est pas vraiment pris du bon coté. Au lieu d’hurler sur Microsoft qui ne fait qu’utiliser le SecureBoot ils ont qu’à demander aux constructeurs pour inclure leur propre clef. C’est la méthode préconisée par Ubuntu, qui du coup restera parfaitement indépendant vis à vis de Microsoft.

Et si le constructeur ne veux pas de ces clefs, c’est sur lui qu’il faut taper, c’est lui qui bloque, pas Microsoft.



D’aileurs au passage il semblerait pour contrebalancer un peu ce que je viens de dire, que Canonical refuse de signer pour les autres distribs avec sa propre clef donc qui bloque le plus au final Microsoft ou un acteur du libre comme Canonical ? …


votre avatar

D’ailleurs au passage (toujours :) ), apparemment Microsoft aurai signé un bootloader pour Linux. Donc inutile de signer systématiquement les nouveaux noyaux.



Dans la série, je bloque tout le monde et j’impose mon OS, ya comme un bug là …

votre avatar







zzzZZZzzz a écrit :



d’ailleurs, gpt c’est pas mal quand tu n’as qu’un seul disque et que tu veux un dual boot avec partoche système + données, tu ajoute le swap de linux et ça fait 5 partitions minimum(enfin 6 avec l’efi), impossible à mettre en place sans gpt.





Qu’est-ce qui empêche d’installer le swap et les données sur des partitions logiques ?



On peut parfaitement avoir un dual boot avec 5 partitions (en fait on peut même avoir autant d’OS qu’on veut en faisant du chain loading à partir de BOOTMGR) sur un disque utilisant un partitionnement mbr.


votre avatar







tass_ a écrit :



Sauf pour les ARM à ce que j’ai compris…. C’est quand même une des archi qui a le vent en poupe non ?





Mais là c’est un autre problème. Sauf si tu considères qu’il n’y a aucun verrou sur les matériels qui font tourner Android/iPhoune.

Microsoft a juste eu la présence d’esprit de standardiser le verrouillage du bootloader sur l’ensemble de ses plateformes (c’est à dire: utiliser SecureBoot sur ARM pour faire la même chose que les autres sur ARM)


votre avatar







tass_ a écrit :



Sauf pour les ARM à ce que j’ai compris…. C’est quand même une des archi qui a le vent en poupe non ?







ON va dire que c’est pour windows RT et windows phone où ce ne doit pas être désactivable. Si windows 8 demain fonctionne sur ARM il devra être désactivable.


votre avatar







Thald’ a écrit :



C’est le point de vue que je me suis forgé en lisant ça et ça à l’époque et de mon expérience récente pour utiliser UEFI sous debian (J’ai bien galéré quand même) pour au final une solution qui ne marche qu’a moitié chez moi (Impossible de booter mon portable quand il est docké par exemple).



Puis qu’elle en vrai vraiment l’intérêt pour nous ? Booter sur des disques &gt; à 4TO

Pour les constructeurs, c’est de verrouiller un peu plus le matériel.



EDIT: Et je crois que pour le 4TO je confond avec autre chose, je n’en suis plus sur et j’ai la flemme de vérifier.







Je crois que GPT n’est pas utilisable sans boot EFI.

Donc impossible de faire plus de 4 partitions sur un même disque.(c’est important surtout maintenant avec les énormes disques dur)


votre avatar







tass_ a écrit :



Sauf pour les ARM à ce que j’ai compris…. C’est quand même une des archi qui a le vent en poupe non ?









C’est (alors je vais dire, à mon avis pour n’engager que moi) pas le SecureBoot qui verrouille le plus les tablettes ARM.



Les tablettes android ou l’ipad sont verrouillées également et elles ont pas besoin de SecureBoot pour ça.



Le SecureBoot est actif de base dessus parce qu’ils partent du principe que si la tablette est vérouillée (par une autre moyen que le SecureBoot), l’utilisateur n’ira pas installer autre chose, donc la désactivation du SecureBoot est parfaitement inutile. Si tu restes sur un OS le prenant en charge, il t’apporte quand même une sécurité supplémentaire.



Pourquoi vérouille t’on les tablettes ARM ? Ca c’est un autre sujet que celui du Secure Boot obligatoire ou pas.


votre avatar







zzzZZZzzz a écrit :



Je crois que GPT n’est pas utilisable sans boot EFI.

Donc impossible de faire plus de 4 partitions sur un même disque.(c’est important surtout maintenant avec les énormes disques dur)







Tu peux quand même contourner le nombre de partitions en créant des partitions logiques.



Cela dit, je préfère l’EFI et GPT. Une partition EFI qui est créée automatiquement avec une table de partition GPT et ya plus qu’a copier le programme EFI à démarrer avec le bon nom. Plus besoin d’aller bidouiller le MBR.


votre avatar







Lanthares a écrit :



Qu’est-ce qui empêche d’installer le swap et les données sur des partitions logiques ?



On peut parfaitement avoir un dual boot avec 5 partitions (en fait on peut même avoir autant d’OS qu’on veut en faisant du chain loading à partir de BOOTMGR) sur un disque utilisant un partitionnement mbr.







Certes, mais ce n’est pas propre.

Pour avoir tester ça, c’est franchement pas le pied(j’avais un triple boot sur un macbook)

A chaque maj de grub, tu risques que ton boot dégage.(Pour moi ou pour toi ça ne doit pas poser de problème, mais pour un non geek, ce n’est pas la joie <img data-src=" /> )



@methos1435, on est d’accord, c’est de la bidouille pas stable… MBR est fait pour gérer 4 partoches au delà… <img data-src=" />


votre avatar

Pas le choix, les clés doivent être publiées car tous le monde doit pouvoir changer d’OS, et mettre un OS open source.

votre avatar

Quelle merde ce secure boot <img data-src=" />

votre avatar

Si Red Hat veut pratiquer la gorge profonde sur Microsoft,



Ca peut faire un film sympa <img data-src=" />

votre avatar

Et bien, ça l’air d’être un beau bordel cette protection.

votre avatar

Suck my boot ! <img data-src=" />

votre avatar

Et read heat c’est pas un acteur de confiance pour signer des clé?



En tout cas si on sort des dogmes et qu’on est pragmatique la solution qui consiste à utiliser les clés de MS ne pose aucun problème pratique.



Linux paie sa fragmentation, faut pas en vouloir à MS d’avoir mit au point une technologie pour sécuriser les machine non plus.

votre avatar

Le problème c’est que Linux est un système ouvert, dont les sources sont publics.



Si les clefs de Microsoft sont incluses dans les sources de Linux, tout auteur de virus pourra en faire autant…



Sinon, cette histoire me rappelle le coup du deCSS<img data-src=" />

votre avatar

Toujours aussi fin ce garçon… <img data-src=" />



Il a vraiment un problème de quéquette sexisme dans ses déclarations.

votre avatar







klemix a écrit :



Si Red Hat veut pratiquer la gorge profonde sur Microsoft,



Ca peut faire un film sympa <img data-src=" />







Pas sur que ce soit très vendeur. Tu peux tester toi-même…



-&gt; Prends un chapeau, pose le sur la poignée d’une fenêtre et essaye d’estimer le potentiel artistico-érotique du résultat ! <img data-src=" />



edit: typo


votre avatar

J’ai pas très bien compris… Linus Torvalds est en colère sur le fait que MS oblige le Secure Boot ? Ou il est en colère sur le fait qu’on arrête pas de lui demander ce qu’il en pense et comment il compte adapter le kernel linux à cette problématique ?

votre avatar







yvan a écrit :



Toujours aussi fin ce garçon… <img data-src=" />



Il a vraiment un problème de quéquette sexisme dans ses déclarations.





il a le mérite d’être clair, et de se tromper rarement. Pas mal pour un chef, c’est pas donné à tout le monde..


votre avatar







Jed08 a écrit :



J’ai pas très bien compris… Linus Torvalds est en colère sur le fait que MS oblige le Secure Boot ? Ou il est en colère sur le fait qu’on arrête pas de lui demander ce qu’il en pense et comment il compte adapter le kernel linux à cette problématique ?





Non le problème c’est qu’à l’heure actuelle, les signatures doivent aussi être incluses dans les UEFI des cartes mères, et les fabricants ne veulent faire confiance qu’à Microsoft (ambiance). Sauf que Microsoft ne signe que des blobs binaires, donc impossible de gérer les sources d’un truc pareil. Et comme Linux a une sainte horreur des blobs (remember Nvidia <img data-src=" /> ), pour lui il n’est pas question d’inclure un truc binaire directement dans le noyau, encore moins “signé” par Microsoft (il est vrai qu’une seule entité de certification pour UEFI, c’est vachement sécurisé…)


votre avatar







Jed08 a écrit :



J’ai pas très bien compris… Linus Torvalds est en colère sur le fait que MS oblige le Secure Boot ? Ou il est en colère sur le fait qu’on arrête pas de lui demander ce qu’il en pense et comment il compte adapter le kernel linux à cette problématique ?





Non de ce que j’ai compris il a pique une crise contre un dev Red-Hat qui a propose d’intégrer un patch a ce propos par défaut directement dans le noyau linux. Son raisonnement étant que c’est un boulot a faire du cote de la distribution et non pas directement en “polluant” le noyau.


votre avatar







FREDOM1989 a écrit :



Et read heat c’est pas un acteur de confiance pour signer des clé?



En tout cas si on sort des dogmes et qu’on est pragmatique la solution qui consiste à utiliser les clés de MS ne pose aucun problème pratique.



Linux paie sa fragmentation, faut pas en vouloir à MS d’avoir mit au point une technologie pour sécuriser les machine non plus.





Linux ne paie que la volonté d’égémonie de MS qui veut imposer un système prétendant sécuriser le démarage des machines.

D’ailleurs le choix technique de MS est parfaitement discutable…







Jed08 a écrit :



J’ai pas très bien compris… Linus Torvalds est en colère sur le fait que MS oblige le Secure Boot ? Ou il est en colère sur le fait qu’on arrête pas de lui demander ce qu’il en pense et comment il compte adapter le kernel linux à cette problématique ?





Je pense que c’est un peu des 2 et surtout qu’il ne veut pas entendre parler de cette daube dans le kernel (et on peut le comprendre). MS ayant fait un choix, et l’ayant “imposé” au constructeur, Linux serait donc obligé de s’aligner…


votre avatar







Thald’ a écrit :



Déjà que l’UEFI c’est codé avec la bite. Inutilement compliqué et buggué.

Rien que le fait que ça m’oblige a avoir une partition FAT me prouve que c’est de la daube.



M’en branle de leur Secure boot moisi, que MS aille se faire voir.



:fuck: &lt;- il me manque ce smiley :p







<img data-src=" />


votre avatar







sky99 a écrit :



La question est comment faire pour les classes de machines ou le secure boot est non désactivable? tablettes et consorts, par exemple?







Bah tu ne prends pas une tablette ou il y a windows RT ce qui n’est pas difficile à trouver. <img data-src=" />


votre avatar







Tolor a écrit :



Tu n’as rien de mieux qu’un vieux mail de 1999 pour essayer de prouver qu’une décision de 2012 est uniquement faire pour nuire à Linux? <img data-src=" />





Faudra attendre les prochaines perquisitions pour avoir du neuf désolé :p



On a ce mail mais aussi ses conséquences, un compilateur ACPI Microsoft volontairement buggé pour que les tables compilés avec ne marchent bien que sous Windows et que les tables compilés avec un autre compilateur ne fonctionnent pas sous Windows.



Et SecureBoot c’est pas 2013, on en parle depuis presque dix ans !


votre avatar







Tolor a écrit :



Le fait que ce soit imposé par MS dans les specs des machines livrées avec Windows 8?







On en reparle dans quelques mois


votre avatar







Tolor a écrit :



Tu n’as rien de mieux qu’un vieux mail de 1999 pour essayer de prouver qu’une décision de 2012 est uniquement faire pour nuire à Linux? <img data-src=" />





c’est vrai que Microsoft est devenu une société calme et généreuse.

D’ailleurs des bruits courent que Steve Balmer sera le prochain Dalai Lama.

Mais en attendant il sera bientôt nommé Pape.


votre avatar







metaphore54 a écrit :



Bah tu ne prends pas une tablette ou il y a windows RT ce qui n’est pas difficile à trouver. <img data-src=" />









<img data-src=" /> C’est pourtant simple.


votre avatar







FREDOM1989 a écrit :



Et read heat c’est pas un acteur de confiance pour signer des clé?



En tout cas si on sort des dogmes et qu’on est pragmatique la solution qui consiste à utiliser les clés de MS ne pose aucun problème pratique.



Linux paie sa fragmentation, faut pas en vouloir à MS d’avoir mit au point une technologie pour sécuriser les machine non plus.







Securité != Restriction


votre avatar



Le fait que ce soit imposé par MS dans les specs des machines livrées avec Windows 8?





Je pense que par source, il voulait dire source fiable ;)

votre avatar







sky99 a écrit :



La question est comment faire pour les classes de machines ou le secure boot est non désactivable? tablettes et consorts, par exemple?





La meilleur des armes dans ce monde commercial c’est d’abord un lobbying intensif de la communauté auprès des constructeurs.

Voire l’appel au boycott si les constructeurs font la sourde oreille au lobbying.


votre avatar







Tolor a écrit :



Le fait que ce soit imposé par MS dans les specs des machines livrées avec Windows 8?







Cette partie là des specs est-elle réellement respectée?





Je n’essaie pas de l’attaquer, mais de me faire une idée sur le sujet. J’ai eu plusieurs retours assez mauvais sur des cas où c’est pas désactivable (ou mal désactivable).



Quoi qu’il en soit, je ne trouve pas qu’ajouter des contraintes à l’utilisateur par ce qu’il souhaite changer d’OS soit une bonne chose. Bien au contraire.



Les distributions GNU/Linux à destination du grand public ont fait un immense travail de simplification pour l’installation. Venir rajouter des étapes dans ce processus d’installation, étapes qui en plus sont propre à chaque machine, ressemble à un acte de sabotage.


votre avatar







FREDOM1989 a écrit :



Et read heat c’est pas un acteur de confiance pour signer des clé?



En tout cas si on sort des dogmes et qu’on est pragmatique la solution qui consiste à utiliser les clés de MS ne pose aucun problème pratique.



Linux paie sa fragmentation, faut pas en vouloir à MS d’avoir mit au point une technologie pour sécuriser les machine non plus.







RedHat n’est a priori pas un acteur pouvant signer.



Le fond du problème n’est pas les clés MS mais la manière dont MS impose la signature d’un binaire


votre avatar







Jed08 a écrit :



C’est surtout que cela ne s’adresse pas au même public.

On aura beau dire et beau faire, Linux s’adresse quand même à des technophiles qui savent dans une certaine mesure ce qu’ils font.

Donner la possibilité de faire tout et n’importe quoi un utilisateur qui n’y connait absolument rien est pas forcément la meilleur des solutions







J’ai justement parlé de l’administrateur pour cette raison. L’installation et l’administration de Linux s’adresse à des gens qui savent ce qu’ils font, c’est toujours vrai. Tout comme celle de Windows! Par contre, l’utilisation de Linux est aussi simple que l’utilisation de Windows. Lorsqu’un utilisateur tombe sur une machine pré-configurée avec une distribution Linux, il se débrouille de la même manière (ni mieux, ni pire) que lorsqu’il achète une machine pré-configuré sous Windows. La différence, c’est que pour le moment, pour pouvoir utiliser Linux, il faut très souvent jouer le rôle de l’installateur et de l’administrateur, ce qui n’est pas donné à tout le monde et explique la réputation de l’OS.

Linux, comme tous les OS modernes, utilise un système de droit qui empêche qu’un utilisateur qui n’y connaît rien (ou mal intentionné) ne fasse n’importe quoi.


votre avatar







Para-doxe a écrit :



Cette partie là des specs est-elle réellement respectée?





Je n’essaie pas de l’attaquer, mais de me faire une idée sur le sujet. J’ai eu plusieurs retours assez mauvais sur des cas où c’est pas désactivable (ou mal désactivable).



Quoi qu’il en soit, je ne trouve pas qu’ajouter des contraintes à l’utilisateur par ce qu’il souhaite changer d’OS soit une bonne chose. Bien au contraire.



Les distributions GNU/Linux à destination du grand public ont fait un immense travail de simplification pour l’installation. Venir rajouter des étapes dans ce processus d’installation, étapes qui en plus sont propre à chaque machine, ressemble à un acte de sabotage.







Microsoft serait sanctionné, même si il faut le dire MS aimerait bien que ce ne soit pas désactivable. Mais il y a des règles, on est pas au far west.


votre avatar







moi1392 a écrit :



Je pense que par source, il voulait dire source fiable ;)





Et tu considères pareil quand tu as les specs d’une machine? Tu ne crois jamais les specs d’un constructeur, c’est pour toi pas une source fiable ?


votre avatar

Encore un truc qui sert à rien.(le secure boot)



Ils en ont pas marre chez MS de ralentir l’évolution de l’informatique ? <img data-src=" />

votre avatar







metaphore54 a écrit :



Microsoft serait sanctionné, même si il faut le dire MS aimerait bien que ce ne soit pas désactivable. Mais il y a des règles, on est pas au far west.





MS ne serait pas sanctionné, ce sont des specs rédigées par elle-même pour sa certification. Par contre, les certifications Windows sont strictes, et pas données si elles ne respectent pas le CDG depuis de nombreuses années maintenant.


votre avatar







Para-doxe a écrit :



Je vais me répéter (et commencer à en avoir mare):



La plupart des utilisateurs de GNU/Linux et BSD l’ont découvert sur une machine qui n’était pas vendu avec. Machine sur laquelle ils n’ont pas fait attention à la présence de bridage.







Donc par ce que les utilisateurs de GNU/Linux sont une minorité, ça autorise tout ajout de contrainte et discrimination. Bien, bravo, belle esprit.







Les distributions Linux se mettent elle même de coté sur le coup. Des solutions sur le SecureBoot il y en a. Ils ont qu’a expliquer ça aux utilisateurs au lieu de les prendre pour des débiles qui sont pas capable de faire deux clics de souris pour désactiver une option à la con.



Sérieux, t’en à peut être marre, ba moi aussi ça me saoule de voir autant de monde à hurler pour un faux problème. Je gueule contre un enfermement de l’utilisateur quand il existe réellement, je gueule pas sur du vent.


votre avatar

Mais LOL !! <img data-src=" /> <img data-src=" />

y’a que moi qui fait un bond ?!!





Ah parce que un anti-virus peut te protéger avant le boot de l’OS ?



[quote:4477732:TexMex]



S’il est lancé en premier : oui.

On est pas obligé d’avoir un OS pour avoir un antivirus.

y’a 15ans on avait des anti-virus 100% autonome (en bootsecteur)



suit un blabla incompréhensible !! jVachez/Illuminati <img data-src=" />



[quote:4477732:TexMex]



mais pitié, étudie un peu notre domaine d’expertise, apprends le fonctionnement d’un ordinateur, code un programme sans utiliser d’API, paye ton antivirus en ASM pur et surtout , surtout arrête de raconter des connerie !!



<img data-src=" /><img data-src=" />

votre avatar







Tolor a écrit :



C’est ralentir l’informatique que d’implémenter un nouveau standard en laissant la possibilité de le désactiver… On marche sur la tête parfois dans certains commentaires.





C’est pas faisable sur toutes les machines, les Surface en étant un exemple.

Elles ne sont pas seules.


votre avatar







coucou78 a écrit :



Pourquoi tu dis ca ?

(j’ai bossé sur l’UEFI (dev en C), je trouve la stack riche en fonctionnalités, mais c clair que l’on commence à fabriquer un OS avant l’OS ….)







Fonctionnalités pour quelle entreprise? MS seulement peut-être?


votre avatar







Kerberos a écrit :



Bah normal, 4 partitions principales sur un disque MBR max.





<img data-src=" /> Autant que tu en veux si tu as une partition étendue.


votre avatar







methos1435 a écrit :



Les distributions Linux se mettent elle même de coté sur le coup. Des solutions sur le SecureBoot il y en a. Ils ont qu’a expliquer ça aux utilisateurs au lieu de les prendre pour des débiles qui sont pas capable de faire deux clics de souris pour désactiver une option à la con.



Sérieux, t’en à peut être marre, ba moi aussi ça me saoule de voir autant de monde à hurler pour un faux problème. Je gueule contre un enfermement de l’utilisateur quand il existe réellement, je gueule pas sur du vent.







Les gens gueulent contre ce qui leur porte préjudice.



Le Secure-Boot amène de problèmes donc les solutions sont:




  • Payer Microsoft pour être autorisé à booter.

  • Passer par des contraintes supplémentaires pour contourner le problème.



    Donc le secure-boot porte préjudice aux utilisateurs de GNU/Linux, BSD, Haiku, etc. Ce qui explique le fait qu’il gueulent contre ça.



    Maintenant que leur plaintes contre Microsoft te portent préjudice, je ne vois pas en quoi. T’as des actions chez eux? T’es employé chez eux? Ballmer est ton amis d’enfance? T’as un problème émotionnel qui te pousse à t’attacher à une personne morale représentant à tes yeux une autorité paternel de référence in-critiquable?



    Par ce que depuis le début de cette news tu saute sur qui-conque vient à avoir le moindre esprit critique envers les choix de Microsoft, que cette critique soit fondée ou pas.


votre avatar







psn00ps a écrit :



C’est pas faisable sur toutes les machines, les Surface en étant un exemple.

Elles ne sont pas seules.





Bien sur que si, le secure boot est désactivable sur la surface Pro, étant donné que c’est un PC équipé de WIndows 8 (et certifié)



Surface RT ça ne l’est pas, tout comme quasiment toutes les autres tablettes sous ARM qui ont un bootloader bloqué, que ce soit sous Android ou iOS, mais les machines ARM n’étaient pas le sujet de la discussion


votre avatar







psn00ps a écrit :



C’est pas faisable sur toutes les machines, les Surface en étant un exemple.

Elles ne sont pas seules.







La surface est un produit tout compris. Tu m’achètes pour ce qu’elle est ou tu vas voir la concurrence pour vérifier si l’herbe est plus verte.



D’ailleurs il est illusoire de penser que seul le SecureBoot empèche le changement dOS sur une tablette Surface.

Je vois bien la gueule de celui qui va essayer d’installer sa distribution “SecureBoot Ready” sur une Surface et qui va s’apercevoir que même avec la bonne clef, ça marche pas. Faut pas rêver c’est pas le SecureBoot qui verrouille la tablette au final.


votre avatar

Perso je ne le sens pas en colère.



La réaction intégrale :



Guys, this is not a dick-sucking contest.



If you want to parse PE binaries, go right ahead.



If Red Hat wants to deep-throat Microsoft, that’s your issue. That

has nothing what-so-ever to do with the kernel I maintain. It’s

trivial for you guys to have a signing machine that parses the PE

binary, verifies the signatures, and signs the resulting keys with

your own key. You already wrote the code, for chissake, it’s in that

f*cking pull request.



Why should I care? Why should the kernel care about some idiotic “we

only sign PE binaries” stupidity? We support X.509, which is the

standard for signing.



Do this in user land on a trusted machine. There is zero excuse for

doing it in the kernel. 




            Linus



votre avatar







Jed08 a écrit :



Dans le cas contraire, les nouvelles distributions les plus accessibles aux Michu (par exemple Ubuntu) intègreront d’ici là des mécanismes pour ne pas être bloqué par le Secure Boot.







Sources, preuves? Parce que là tu ne fais que des conjectures sans rien pour appuyer. Le fanboyisme c’est bien beau, mais là faut quand pas exagérer.


votre avatar







TexMex a écrit :



S’il est lancé en premier : oui. On est pas obligé d’avoir un OS pour avoir un antivirus. C’est juste un autre programme. D’ailleurs y’a 15ans on avait des anti-virus 100% autonome. Rien n’empêche de le faire aujourd’hui.



Le seul moyen pour un “virus boot-sector” de s’incruster c’est de :

-Soit re-façonner le boot pour qu’il charge le code malveillant avant le reste.

-Soit de modifier une liste de lancement (ce qui est pareil à peu près).





Tu as entendu parler de konboot? Il intercepte tout et ne laisse aucune trace.


votre avatar







psn00ps a écrit :



Pourquoi cette différence de traitement avec les jeux vidéos ?

Le public a le droit de savoir dans ce cas <img data-src=" />







Seriously ?


votre avatar







lateo a écrit :



Perso je ne le sens pas en colère.



La réaction intégrale :



Guys, this is not a dick-sucking contest.



If you want to parse PE binaries, go right ahead.



If Red Hat wants to deep-throat Microsoft, that’s your issue. That

has nothing what-so-ever to do with the kernel I maintain. It’s

trivial for you guys to have a signing machine that parses the PE

binary, verifies the signatures, and signs the resulting keys with

your own key. You already wrote the code, for chissake, it’s in that

f*cking pull request.



Why should I care? Why should the kernel care about some idiotic “we

only sign PE binaries” stupidity? We support X.509, which is the

standard for signing.



Do this in user land on a trusted machine. There is zero excuse for

doing it in the kernel. 




            Linus








Non c’est évident, il concoure pour le poste de Secrétaire Générale de l’ONU là <img data-src=" />


votre avatar







Para-doxe a écrit :



Les gens gueulent contre ce qui leur porte préjudice.



Le Secure-Boot amène de problèmes donc les solutions sont:




  • Payer Microsoft pour être autorisé à booter.







    Ah bon ? Faut payer Microsoft pour désactiver une option dans l’UEFI ? Première nouvelle…





  • Passer par des contraintes supplémentaires pour contourner le problème.





    Question de point vue, à savoir si le SecureBoot est au final un problème ou une solution à un problème.





    Donc le secure-boot porte préjudice aux utilisateurs de GNU/Linux, BSD, Haiku, etc. Ce qui explique le fait qu’il gueulent contre ça.



    Pauvres petits. Tu sais quoi ? Toute l’informatique ne tourne pas autours d’eux. Ils veulent continuer à exister ? Ils s’adaptent.





    Maintenant que leur plaintes contre Microsoft te portent préjudice, je ne vois pas en quoi. T’as des actions chez eux? T’es employé chez eux? Ballmer est ton amis d’enfance? T’as un problème émotionnel qui te pousse à t’attacher à une personne morale représentant à tes yeux une autorité paternel de référence in-critiquable?



    Tu pars dans un délire là…

    Moi ça me saoule parce qu’on écoute de plus en plus ces gus qui ont tendance à dir un peu n’importe quoi et que ça ça peux porter préjudice à beaucoup de monde. Aller expliquer àl’utilisateur que le SecureBoot va le vérouiller obligatoirement sur Windows c’est un mensonge, tout comme lui expliquer que c’est Microsoft le problème. Ils ne sont qu’utilisateur de cette fonctionnalité, pas créateurs.





    Par ce que depuis le début de cette news tu saute sur qui-conque vient à avoir le moindre esprit critique envers les choix de Microsoft, que cette critique soit fondée ou pas.





    Désolé mais à la vue de beaucoup trop de commentaires, j’estime ne pas être la personne qui raconte le plus de conneries ici…


votre avatar







nucle a écrit :



Il ne s’agit pas seulement d’Ubuntu, ni même de Linux. Il s’agit simplement que le matériel que tu achètes ne t’obéit plus. D’ailleurs, le problème du secure boot ne vient que du fait qu’il faut demander une clé à un agence extérieur pour pouvoir utiliser ton matériel. Alors évidement, ils n’ont pas tout verrouillé en une fois. Il faut y aller par minorité.

C’est l’enfance de l’art de la manipulation de foule. En s’attaquant par minorité, on fini par atteindre tout le monde sans s’être trouvé, à aucun moment, avec tout le monde sur le dos en même temps. C’est comme abattre une armée dans un couloir étroit. Une fois que les smartphones, les tablettes, les All-In-One, les Ultrabooks, les portables de luxes, les portables en général et les barebones seront touchés. Les tours seront la minorité facile à abattre.



C’est incompréhensible que vous ne voyez pas que nous perdons tous les jours un peu plus de liberté avec nos machines et à quel point c’est terrifiant. C’est fou qu’il faut toujours une crise pour que la majorité s’aperçoive qu’on va dans le mur.





<img data-src=" /><img data-src=" />


votre avatar







Test1024 a écrit :



Mais LOL !! <img data-src=" /> <img data-src=" />

y’a que moi qui fait un bond ?!!



mais pitié, étudie un peu notre domaine d’expertise, apprends le fonctionnement d’un ordinateur, code un programme sans utiliser d’API, paye ton antivirus en ASM pur et surtout , surtout arrête de raconter des connerie !!



<img data-src=" /><img data-src=" />







Théoriquement il a pas tord.

Si tu arrives à implémenter un anti virus qui peut scanner tout le contenu et fonctionnement d’un OS avant que celui ci ne boot…







Dellara a écrit :



Sources, preuves? Parce que là tu ne fais que des conjectures sans rien pour appuyer. Le fanboyisme c’est bien beau, mais là faut quand pas exagérer.







Ce qu’Ubuntu et Red Hat sont en train d’essayer de faire ?

Pouvoir distribuer des certificats avec leurs OS pour qu’ils se fassent pas emmerdé par le Secure Boot. Une fois que c’est fait tu les intègre dans les Live…


votre avatar







zzzZZZzzz a écrit :



Je crois que GPT n’est pas utilisable sans boot EFI.

Donc impossible de faire plus de 4 partitions sur un même disque.(c’est important surtout maintenant avec les énormes disques dur)





C’est géré par les systèmes à BIOS. Il y a une “fausse” partition avec l’ancien schéma pour assurer la compatibilité.


votre avatar







psn00ps a écrit :



C’est géré par les systèmes à BIOS. Il y a une “fausse” partition avec l’ancien schéma pour assurer la compatibilité.





Exact, la fake table de partition indique juste que tout est pris sur le disque.

Mais cela ne permet pas de booter sur un disque GPT depuis un bios


votre avatar







Kerberos a écrit :



Exact, la fake table de partition indique juste que tout est pris sur le disque.

Mais cela ne permet pas de booter sur un disque GPT depuis un bios





Certain BIOS le font.

fr.wikipedia.org Wikipedia


votre avatar

moi tout ce que je vois c’est que du materiel (bien physique mobilier) que je vais acheter sera en fait n appareil en licence locative indéfinie puisque je ne disposerait pas de tous les choix/droits possibles pour l’utiliser d’une façon autre que celle prevue par le concessionnaire (qui est con mais ne cesse/cede rien du tout, du reste) et son partenaire commercial



merci si j’veux ca j’achete du apple !



quand j’achete des bouts de pc pour monter mon pc, ou quand j’achete mon pc, ca m’appartient c’est à moi…



j’prefere meme pas faire d’analogie foireuse avec la voiture sinon j’vais etre grossier

votre avatar







sylware a écrit :



Pas le choix, les clés doivent être publiées car tous le monde doit pouvoir changer d’OS, et mettre un OS open source.







ou mettre un os de la generation precedente que celle dont le distributeur/createur de l’os actuel essaye desesperement d’imposer et faire la promotion ! :)



qui plus est si on possede DEJA une licence transferable (non oem) du dit os de la generation precedente, payé au prix fort (ou en promo mais la n’est pas la question)


votre avatar







Vincent_H a écrit :



Non c’est évident, il concoure pour le poste de Secrétaire Générale de l’ONU là <img data-src=" />







‘Faut relativiser, c’est du Linus, donc du brut de fonderie, pour ne pas dire vulgaire.

Il n’est pas franchement violent là. Enfin c’est mon avis, et n’étant pas moi-meme irréprochable au taf dans le domaine de la communication, j’imagine que je ne suis pas objectif. <img data-src=" />


votre avatar







methos1435 a écrit :



Rien à battre de la transparence. La personne qui veux installer linux elle se documente et elle désactive.

Si c’est pas désactivable c’est que cette eprsonne à acheté du matos de merde. La prochaine fois elle fera plus attention <img data-src=" />



Non mais sérieux, attention le pingouin arrive et veux qu’on lui serve tout sur un plateau doré…





donc le vente liée est parfaitement légitime, les rares qu’elle emmerde n’ont qu’a se brosser et fermer leur gueule ?


votre avatar







_fefe_ a écrit :



donc le vente liée est parfaitement légitime, les rares qu’elle emmerde n’ont qu’a se brosser et fermer leur gueule ?







T’arrives après la guerre toi <img data-src=" /> Et en plus t’es hors sujet.


votre avatar







Kerberos a écrit :



Exact, la fake table de partition indique juste que tout est pris sur le disque.

Mais cela ne permet pas de booter sur un disque GPT depuis un bios







C’est en effet impossible sous Windows, qui exige l’UEFI pour booter sur un disque GPT, mais les UNIX like gèrent ça sans complexe (à part OSX). Certains BIOS mal conçus bloquent également, mais normalement il n’y a aucune raison de ne pas pouvoir booter dans une configuration BIOS+GPT.


votre avatar







methos1435 a écrit :



T’arrives après la guerre toi <img data-src=" />





La guerre ?

Garde ta vision des échanges.





Et en plus t’es hors sujet.



Ça m’apprendra à essayer t’engager un dialogue avec toi. <img data-src=" />


votre avatar







Test1024 a écrit :



Mais LOL !! <img data-src=" /> <img data-src=" />

y’a que moi qui fait un bond ?!!



Ah parce que un anti-virus peut te protéger avant le boot de l’OS ?



[quote:4477732:TexMex]



S’il est lancé en premier : oui.

On est pas obligé d’avoir un OS pour avoir un antivirus.

y’a 15ans on avait des anti-virus 100% autonome (en bootsecteur)



suit un blabla incompréhensible !! jVachez/Illuminati <img data-src=" />



[quote:4477732:TexMex]



mais pitié, étudie un peu notre domaine d’expertise, apprends le fonctionnement d’un ordinateur, code un programme sans utiliser d’API, paye ton antivirus en ASM pur et surtout , surtout arrête de raconter des connerie !!



<img data-src=" /><img data-src=" />







De toutes façon quand t’as un boot-virus, tu réinstalles.



Tu peux faire des bonds autant que tu veux. Au commencement le compilo il a bien fallu le coder. Ta lib, ton API, il a bien fallu la programmer/coder. C’est jamais que du code que tu peux inclure dans un autre programme. Rien n’impose l’ASM. Rien n’impose de charger un kernel dès le boot. Un petit programme qui fait le ménage pour nettoyer la RAM c’est plutôt facile à faire même en ASM et si tu connais pas, tu loupes quelque chose. Ca élargi les horizons mais un peu moins sur le X86 je le concède. Si t’as jamais codé sans lib, bin commences. On développe vite “l’esprit pratique” ensuite.



Un anti-virus par définition n’est pas l’action d’inspecter chaque fichier et de le confronter à une base d’empreintes C’est seulement une de ses fonctions/outil. C’est surtout d’empêcher les virus de proliférer et d’agir. Et des moyens, il y en a. C’est un peu comme le rôle du préservatif, ce n’est pas l’existence du virus qui dérange c’est son action délétère. Le préservatif bloque de manière adapté et suffisante le virus. La bêtise humaine parfois, c’est un fait.



Y’a juste besoin d’occuper le terrain et de lancer un petit message de bienvenue du genre “AVG/karpsky tout va bien” après un petit nettoyage. Nettoyage que l’UEFI ne fait pas il me semble. Si l’utilisateur ne voit pas le msg rassurant = problème.



Tiens pourquoi on aurait pas des programmes anti-viraux signés qui sont lancer avant l’OS ??? Pourquoi ce serait réservé a un OS qui finalement ne garanti que peu de chose dans le cas de Windows ?



Ton PC il boot s’allumant tout ses petits circuits, en faisant un POST puis il faut qu’il lance quelque chose. Bin vi, c’est un peu la vie d’un PC. Il trouve ça sur une unité de stockage accessible grâce à un driver hein. Cette unité qu’on lui a donné dans le BIOS ah pardon l’Uber EFI. Et comment qu’on fait pour s’y retrouver dans une unité de stockage ? On prend les premiers secteurs qui vont un peu décrire les choses et trouver ce qu’il y a à lancer. aka MBR/VBR. C’est la cible du virus de boot.



La séquence de boot n’est pas l’OS ou BL (type GRUB) c’est seulement ce qu’on en fait. Sinon il ne pourrait pas y avoir de virus de boot. Fabriquer un “mini OS” (vu comme tel par certains (EFI shell)) comme l’UEFI n’est jamais que de compliquer les choses pour obtenir à la fin le lancement (take over) d’un second programme.



En fait y’a rien qui change vraiment. Un livre tu le commence toujours à la première page. l’UEFI pose une préface plus que contestée pour nombre de problèmes.

-les PK (les KEK aussi). Signer des programmes nécessite une structure trop lourde et contraignante et surtout non libre. Debian ne pouvant pas en acheter auprès de M$ par définition. Un système plus souple et aussi permettant l’autonomie serait bienvenue mais pour le moment pas prévu.

-L’éternel problème des pilotes. Vu dans le BIOS (un pour l’OS l’autre pour le BIOS) se verra tôt ou tard avec UEFI.



Avec la belle perle ici :

en.wikipedia.org Wikipedia

avec de core dump dans le firmware, je me permet de rire.



Faut juste se demander mais qui ça arrange le plus (comme toujours) ? Et pire que tout cela ne résout pas le problème N°1 de la sécurité: l’utilisateur. Quoique… avec un préservatif…


votre avatar







Quiproquo a écrit :



Tu as dû utiliser une très vieille version. J’ai une Debian qui boot sans problème sur un disque GPT (sur CM non UEFI) via GRUB.







Fort possible. :/



Ça m’apprendra à écrire trop vite.







zzzZZZzzz a écrit :



heu, gpt est gérer par débian, ça fait plus d’un an que je l’utilise…

j’admet que ce n’est(était?) pas facile à mettre en place, mais ça fonctionne parfaitement.

d’ailleurs, gpt c’est pas mal quand tu n’as qu’un seul disque et que tu veux un dual boot avec partoche système + données, tu ajoute le swap de linux et ça fait 5 partitions minimum(enfin 6 avec l’efi), impossible à mettre en place sans gpt.



bref à la base, on parlait du secure boot, je serais curieux de savoir combien d’utilisateurs ont besoin de ça.

des windows verolés au boot, si j’en croise un sur mille…(sur un million ?)

donc j’ai du mal à comprendre l’intéret de la chose, à part faire chier quand on veut installer autre chose que windows. <img data-src=" />







C’est faisable, mais il ne faut pas créer quatre partitions principales (ce que tu sembles décrire), mais deux partitions principales (pour chacun des systèmes) et deux autres étendues dans lesquelles tu peux faire autant de partitions logiques qu’il reste de lettres de l’alphabet (pour le home, swap, tmp, etc).


votre avatar

tu peut quand meme toujours pas installer sur le deuxieme disque .

En meme temps comme ca microsoft sont sur de pas effacer de donnée :)

Pas cable de memorise le disque choisis pour l’install



Obliger de debrancher tous mes disque pour faire l’install de windows8 :(

votre avatar







_fefe_ a écrit :



La guerre ?

Garde ta vision des échanges.





Ça m’apprendra à essayer t’engager un dialogue avec toi. <img data-src=" />









Oh c’est bon faut pas prendre la mouche comme ça <img data-src=" />



Et puis “arriver après la guerre” c’est une expression.


votre avatar

Vous êtes sûr d’encore posséder un Personal Computer, ne serait-ce pas, plutôt, un Profiler Computer ou un Bullet Computer <img data-src=" />



Celui qui prend son PC pour une console, qu’il réfléchisse à deux fois avant de se mettre un bracelet au pied (à moins de ne pas avoir qu’un seul PC) <img data-src=" />

votre avatar







Onishin a écrit :



tu peut quand meme toujours pas installer sur le deuxieme disque .

En meme temps comme ca microsoft sont sur de pas effacer de donnée :)

Pas cable de memorise le disque choisis pour l’install



Obliger de debrancher tous mes disque pour faire l’install de windows8 :(







C’était pareil avec Windows 7 : quand il détectait plusieurs disques à la sélection de celui que tu voulais formater il t’affichait une erreur sans aucune explication.


votre avatar

Je me demande bien pourquoi Red Hat s’interrese autant au secure boot. Les clients Red Hat qui font du dual boot avec Windows doivent pas être nombreux !

votre avatar







printf a écrit :



Je me demande bien pourquoi Red Hat s’interrese autant au secure boot. Les clients Red Hat qui font du dual boot avec Windows doivent pas être nombreux !





Le but pour Redhat est de pouvoir remplacer Windows de manière transparente sur une machine verrouillée grâce à ça.


votre avatar

Il a raison. Pas de binaires dans le noyau…



Et je le trouve très mesuré pour le coup, c’est rare chez lui.

votre avatar







patos a écrit :



Le but pour Redhat est de pouvoir remplacer Windows de manière transparente sur une machine verrouillée grâce à ça.









Ca se fait en deux trois clics dans l’interface UEFI:





  • Allumer ordinateur

  • Accéder interface EFI

  • Désactiver SecureBoot

  • Redémarrer ordinateur


votre avatar







Drepanocytose a écrit :



Il a raison. Pas de binaires dans le noyau…



Et je le trouve très mesuré pour le coup, c’est rare chez lui.





Il me semble que la traduction a été édulcoré <img data-src=" />


votre avatar

Déjà que l’UEFI c’est codé avec la bite. Inutilement compliqué et buggué.

Rien que le fait que ça m’oblige a avoir une partition FAT me prouve que c’est de la daube.



M’en branle de leur Secure boot moisi, que MS aille se faire voir.



:fuck: &lt;- il me manque ce smiley :p

votre avatar







Jed08 a écrit :



J’ai pas très bien compris… Linus Torvalds est en colère sur le fait que MS oblige le Secure Boot ? Ou il est en colère sur le fait qu’on arrête pas de lui demander ce qu’il en pense et comment il compte adapter le kernel linux à cette problématique ?





Sur le coup expliqué dans l’article, il est en colère parce qu’un développeur propose une solution qui n’est pas compatible avec sa vision personnelle


votre avatar







zefling a écrit :



Et bien, ça l’air d’être un beau bordel cette protection.





C’est fait pour, depuis le temps que Microsoft cherche à nuire à Linux via les labos de standardisation auquel il participe, genre :http://antitrust.slated.org/www.iowaconsumercase.org/011607/3000/PX03020.pdf



Là ils ont réussi à imposer la tivoisation du noyau sur une bonne partie du hardware moderne :/


votre avatar







Drepanocytose a écrit :



Il a raison. Pas de binaires dans le noyau…



Et je le trouve très mesuré pour le coup, c’est rare chez lui.





La version traduite est plus gentille que l’original <img data-src=" />


votre avatar



Une question dont Microsoft doit bien peu se soucier.



Bien au contraire : ca doit leur fournir l’occasion de rire. Pour paraphraser Tolor, ils sont heureux de proposer une solution qui n’est compatible qu’avec leur vision monopolistique de l’industrie.



Fin bon, ca a permis a Tovalds de s’enerver, il a besoin de lacher un peu de pression de temps en temps <img data-src=" />

votre avatar







Jed08 a écrit :



J’ai pas très bien compris… Linus Torvalds est en colère sur le fait que MS oblige le Secure Boot ? Ou il est en colère sur le fait qu’on arrête pas de lui demander ce qu’il en pense et comment il compte adapter le kernel linux à cette problématique ?







Un peu des deux. En fait il est pas contre le B en tant que tel, il est contre la façon dont MS l’a conçu d’une part (mais ça revient limite au même…), et clairement contre le fait de foutre les clés dans le noyau d’autre part.


votre avatar



Au centre de la colère de Linus Torvalds se trouve en fait la manière dont Microsoft a conçu sa solution. Selon David Howells, la solution serait d’intégrer les clés de sécurité dans un certificat X.509, puis de placer ce dernier dans un EFI PE (Extensible Firmware Interface Portable Executable) pour le faire signer par Microsoft, ce dernier ne signant que des binaires. Mais les binaires sont justement à l’opposé de la philosophie open source : les fichiers sont déjà compilés et les développeurs n’en ont pas la maîtrise, à la manière d’un corps étranger. Les binaires se retrouvent le plus souvent dans certains pilotes, notamment graphiques, mais l’inclusion dans le noyau est une autre paire de manches.





Je n’ai pas nécessairement compris cela de cette facon.



Microsoft ne signe que des binaires PE. PE est un format 100% Microsoft. La solution proposée par le développeur Red Hat est donc d’embarquer dans un binaire PE le module Linux à signer par Microsoft. Cela implique donc de développer coté Linux et kernel la brique à même de parser le binaire PE pour en extraire le module Linux et l’utiliser.



Et la Linus n’est pas d’accord… <img data-src=" />

votre avatar

C’est un problème insoluble dans la mesure où les 2 entités ont une vue complètement différente de l’informatique domestique.

Pour Microsoft (comme pour Apple,..), c’est l’industrie qui est maître de ta machine et doit essayer de la protéger même contre toi-même. Et le Secure Boot a été conçu dans cette optique.

Pour la Fondation Linux, c’est l’administrateur de la machine qui a tous les pouvoirs et donc toute la responsabilité.

Ces 2 vues sont complètement incompatibles. Et comme la majorité des gens n’aiment pas les responsabilités, la 2ieme finira rapidement par disparaître.

votre avatar







serged a écrit :



Le problème c’est que Linux est un système ouvert, dont les sources sont publics.



Si les clefs de Microsoft sont incluses dans les sources de Linux, tout auteur de virus pourra en faire autant…







Tu n’as pas bien compris comment marche une signature avec du chiffrement asymétrique …



Il suffit pas de récupérer un fichier signé pour signer toi même d’autres fichiers …


votre avatar







methos1435 a écrit :



Ca se fait en deux trois clics dans l’interface UEFI:





  • Allumer ordinateur

  • Accéder interface EFI

  • Désactiver SecureBoot

  • Redémarrer ordinateur





    Là, tu pourrais imaginer l’installer sur une machine ARM Secureboot…. (si tu as un noyau ARM, œuf course)


votre avatar







patos a écrit :



Là, tu pourrais imaginer l’installer sur une machine ARM Secureboot…. (si tu as un noyau ARM, œuf course)









Tu achètes en conséquence et tu prend pas une Surface pour venir y péter un linux.


votre avatar







methos1435 a écrit :



Mais à qui la faute au final ?

Non je pose la question parce qu’au final on n’entend que le nom de Microsoft, mais jamais celui des constructeurs.







Par ce que leur position face à Microsoft pourrait être comparé à avoir les couilles coincé dans un étaux.


votre avatar







ArchLord a écrit :



Securité != Restriction





Ouais ouais ça c’est vraiment discutable.







Nithril a écrit :



RedHat n’est a priori pas un acteur pouvant signer.



Le fond du problème n’est pas les clés MS mais la manière dont MS impose la signature d’un binaire





Le problème c’est surtout que les fabricant n’en ayant pas tous quelque chose à faire de linux ne proposent pas tous de désactiver le secure boot.



Comme Linux est réservé à des personne averties ces dernières doivent avoir les présence d’esprit de regarder ce qu’ils achètent.


votre avatar







methos1435 a écrit :



Un “standard”’ pour la sécurisation qui t’empêche de faire n’importe nawak. Oh my God …







Si c’était si simple on en parlerait pas


votre avatar







Tolor a écrit :



MS ne serait pas sanctionné, ce sont des specs rédigées par elle-même pour sa certification. Par contre, les certifications Windows sont strictes, et pas données si elles ne respectent pas le CDG depuis de nombreuses années maintenant.







Ce que je voulais plus exactement c’est que si MS oblige les constructeurs à ne pas rendre désactivable le secure BOOT, il serait sanctionné.







Para-doxe a écrit :



Sauf qu’entre le moment où une règle est transgressé et le moment où la transgression est sanctionné il peut s’écouler pas mal de temps, temps durant lequel le transgresseur à tout loisir de retirer les bénéfices de son acte. De plus, si la sanction est moindre que le bénéfice obtenu, c’est pas cette menace qui arrêtera qui que ce soit.







Maintenant ça va beaucoup plus vite regarde google, de plus l’amende peut aller jusqu’à 10% du CA mondiale rien que pour l’Europe ce qui est énorme.


votre avatar







ff9098 a écrit :



Un “standard” qui pose plus de problèmes qu’autre chose, et ce n’est que le début





Vu le nombre de périphérique ou il peut être désactivé et le petit pourcentage des utilisateur d’un linux autre que android sur pc et tablettes je doute que ce standard pose tellement de problèmes. Ça fait beaucoup de bruit surtout.


votre avatar







FREDOM1989 a écrit :



Le problème c’est surtout que les fabricant n’en ayant pas tous quelque chose à faire de linux ne proposent pas tous de désactiver le secure boot.





L’un des pré-requis pour avoir le joli logo “compatible Windows 8” est de justement avoir cette fonctionnalité désactivable.

C’est moche quand même une carte mère non officiellement compatible avec Windows (marketing-ement parlant)


votre avatar







methos1435 a écrit :



Un “standard”’ pour la sécurisation qui t’empêche de faire n’importe nawak. Oh my God …







C’est limite comme imposé des souris uniquement pour droitier et interdire les souris pour gaucher. Les gauchers n’ont qu’à s’adapter.


votre avatar







Kerberos a écrit :



L’un des pré-requis pour avoir le joli logo “compatible Windows 8” est de justement avoir cette fonctionnalité désactivable.

C’est moche quand même une carte mère non officiellement compatible avec Windows (marketing-ement parlant)





Il y a un lien officiel MS exprimant clairement que le secure boot doit etre debrayable pour obtenir le logo ? Genre pas un blog sur leur site.


votre avatar







serged a écrit :



Le problème c’est que Linux est un système ouvert, dont les sources sont publics publiques.



Si les clefs de Microsoft sont incluses dans les sources de Linux, tout auteur de virus pourra en faire autant…



Sinon, cette histoire me rappelle le coup du deCSS<img data-src=" />





JVachez, sors de ce corps….


votre avatar







ldesnogu a écrit :



Il y a un lien officiel MS exprimant clairement que le secure boot doit etre debrayable pour obtenir le logo ? Genre pas un blog sur leur site.





Un petit peu qu’il y a un lien officiel, puisque c’est le programme de certification matériel :download.microsoft.com Microsoft

page 121 §17 !!


votre avatar







methos1435 a écrit :



Un “standard”’ pour la sécurisation qui t’empêche de faire n’importe nawak. Oh my God …







Moi j’ai tendance à plutot voir cela comme la pierre angulaire de fondation d’une prison numérique, avec Redmond en gardien chef.



Maintenant, si tu comprends Red-Hat ca peut avoir du sens: Quand on n’a pas l’intention de faire des vagues pour si peu car on est déjà bien formaté, il vaut sans doute mieux la gorge profonde avant de se faire empapaouter. Question de goût. <img data-src=" />

<img data-src=" />


votre avatar







methos1435 a écrit :



Il suffit juste d’ouvrir les yeux. Des tablettes sans Secure Boot y’en a à la pelle.

Après si tu cherches volontairement une tablette bridée pour venir gueuler après, on peux rien faire…





Et quand elles seront toutes bridées ?


votre avatar







zefling a écrit :



C’est limite comme imposé des souris uniquement pour droitier et interdire les souris pour gaucher. Les gauchers n’ont qu’à s’adapter.





<img data-src=" /> Idem pour les stylos ou les baguettes chinoise. Bien fait pour eux. <img data-src=" />


votre avatar







Ricard a écrit :



Et quand elles seront toutes bridées ?





Android n’a pas l’air d’aller vers secure boot et MS a une pdm proche de 0. Donc le tout bridé n’est pas d’actualité et pas dans les 5 prochaines années.


votre avatar







GentooUser a écrit :



C’est fait pour, depuis le temps que Microsoft cherche à nuire à Linux via les labos de standardisation auquel il participe, genre :http://antitrust.slated.org/www.iowaconsumercase.org/011607/3000/PX03020.pdf



Là ils ont réussi à imposer la tivoisation du noyau sur une bonne partie du hardware moderne :/





Tu n’as rien de mieux qu’un vieux mail de 1999 pour essayer de prouver qu’une décision de 2012 est uniquement faire pour nuire à Linux? <img data-src=" />


votre avatar



il est en colère parce qu’un développeur propose une solution qui n’est pas compatible avec sa vision personnelle





Il est surtout en colère parce qu’on lui propose une mauvaise solution à un problème, même en laissant en dehors la discussion sur le problème lui même.

votre avatar







Tolor a écrit :



Sur le coup expliqué dans l’article, il est en colère parce qu’un développeur propose une solution qui n’est pas compatible avec sa vision personnelle l’Open Source







<img data-src=" />





ldesnogu a écrit :



Fin bon, ca a permis a Tovalds de s’enerver, il a besoin de lacher un peu de pression de temps en temps <img data-src=" />







En général il a pas besoin de prétexte pour ça <img data-src=" />



Je continue de rêver d’un match d’impro entre Torvalds et RMS avec de Icaza comme arbitre. Bring up your guns, guys !


votre avatar







Tolor a écrit :



La version traduite est plus gentille que l’original <img data-src=" />







Pas vraiment : je n’ai pas mis les passages les plus vulgaires ;)


votre avatar







Tolor a écrit :



Tu n’as rien de mieux qu’un vieux mail de 1999 pour essayer de prouver qu’une décision de 2012 est uniquement faire pour nuire à Linux? <img data-src=" />







On aura les e-mails de 20122013 en 2020, quand il sera trop tard. <img data-src=" />


votre avatar







GentooUser a écrit :



C’est fait pour, depuis le temps que Microsoft cherche à nuire à Linux via les labos de standardisation auquel il participe, genre :http://antitrust.slated.org/www.iowaconsumercase.org/011607/3000/PX03020.pdf



Là ils ont réussi à imposer la tivoisation du noyau sur une bonne partie du hardware moderne :/







Sachant que le Secure Boot est facilement désactivable… Je vois pas en quoi cela peut nuire efficacement à Linux.

En fait, cet article a le mérite de nous montrer que Linux n’est pas le monde des bisounours ou tout le monde est libre de faire ce qu’il veut !

Très clairement, la fragmentation de Linux joue un rôle important dans cette problèmatique : laisser chaque distribution implémenter de leur côté leur propre solution ou une solution généraliste, ou l’implémenter directement dans le kernel de façon à ce que cela ne soit fait qu’une fois et que tout le monde possède la même technologie implémentée de la même façon (quitte à se foutre papa Linus à dos)…







nucle a écrit :



C’est un problème insoluble dans la mesure où les 2 entités ont une vue complètement différente de l’informatique domestique.

Pour Microsoft (comme pour Apple,..), c’est l’industrie qui est maître de ta machine et doit essayer de la protéger même contre toi-même. Et le Secure Boot a été conçu dans cette optique.

Pour la Fondation Linux, c’est l’administrateur de la machine qui a tous les pouvoirs et donc toute la responsabilité.

Ces 2 vues sont complètement incompatibles. Et comme la majorité des gens n’aiment pas les responsabilités, la 2ieme finira rapidement par disparaître.







C’est surtout que cela ne s’adresse pas au même public.

On aura beau dire et beau faire, Linux s’adresse quand même à des technophiles qui savent dans une certaine mesure ce qu’ils font.

Donner la possibilité de faire tout et n’importe quoi un utilisateur qui n’y connait absolument rien est pas forcément la meilleur des solutions


votre avatar







Thald’ a écrit :



Rien que le fait que ça m’oblige a avoir une partition FAT me prouve que c’est de la daube







Ha oui tiens je ne savais pas ca?Elle est ou cette parttition fat sur le dd?


votre avatar







Vincent_H a écrit :



Pas vraiment : je n’ai pas mis les passages les plus vulgaires ;)





En fait, ça doit aussi venir de quelques mots qui sont beaucoup plus forts en anglais que leur trad fr. deep-throat par exemple, c’est assez violent en anglais. En FR, ça me fait penser aux informateurs des journalistes, mais pas à la pratique très douce que Linus évoque <img data-src=" />


votre avatar







Tolor a écrit :



En fait, ça doit aussi venir de quelques mots qui sont beaucoup plus forts en anglais que leur trad fr. deep-throat par exemple, c’est assez violent en anglais. En FR, ça me fait penser aux informateurs des journalistes, mais pas à la pratique très douce que Linus évoque <img data-src=" />







Ca dépend qui est le lecteur <img data-src=" />


votre avatar







methos1435 a écrit :



Ca se fait en deux trois clics dans l’interface UEFI:





  • Allumer ordinateur

  • Accéder interface EFI

  • Désactiver SecureBoot

  • Redémarrer ordinateur





    La question est comment faire pour les classes de machines ou le secure boot est non désactivable? tablettes et consorts, par exemple?


votre avatar







Jed08 a écrit :



Sachant que le Secure Boot est facilement désactivable… Je vois pas en quoi cela peut nuire efficacement à Linux.

En fait, cet article a le mérite de nous montrer que Linux n’est pas le monde des bisounours ou tout le monde est libre de faire ce qu’il veut !

Très clairement, la fragmentation de Linux joue un rôle important dans cette problèmatique : laisser chaque distribution implémenter de leur côté leur propre solution ou une solution généraliste, ou l’implémenter directement dans le kernel de façon à ce que cela ne soit fait qu’une fois et que tout le monde possède la même technologie implémentée de la même façon (quitte à se foutre papa Linus à dos)…





Cette chose n’a rien a foutre au niveau kernel puisque c’est presque en faite qu’un standard MS. De plus il semble qu’il y ai un petit problème notamment pour l’ARM, MS obligeant que le SB ne soit pas désactivable…


votre avatar







Jed08 a écrit :



Sachant que le Secure Boot est facilement désactivable… Je vois pas en quoi cela peut nuire efficacement à Linux.







Sur PC oui. Sur toutes les tablettes ARM vendues sous Windows RT par exemple, le secure boot n’est pas désactivable. A voir comment ça va évoluer par la suite.


votre avatar







Jed08 a écrit :



Sachant que le Secure Boot est facilement désactivable… Je vois pas en quoi cela peut nuire efficacement à Linux.







Source(s)? Statistique(s)?







Jed08 a écrit :



En fait, cet article a le mérite de nous montrer que Linux n’est pas le monde des bisounours ou tout le monde est libre de faire ce qu’il veut !







Mais que voilà une interprétation raccourcie et totalement fausse. Tu es libre de faire ce que tu veux avec un logiciel libre. Si David Howells n’est pas content de la réponse de Linus Torvalds il est libre de forker le kernel. Par contre Linux Torvalds reste libre de développer comme il veut son projet. Faire du logiciel libre ne veut pas dire abandonner tout ses droits sur sa création.







Jed08 a écrit :



Très clairement, la fragmentation de Linux joue un rôle important dans cette problèmatique : […]







Linux n’est pas fragmenté. C’est un noyau que chacun peut librement utiliser. Après, si tu fais référence aux distributions GNU/Linux, déjà tu te trompe de terme, mais tu fais aussi une interprétation faussée de la réalité. Il n’ a pas de fragmentation dans les distribution GNU/Linux, il y a de la richesse par la diversité.


votre avatar







Para-doxe a écrit :



Source(s)? Statistique(s)?





Le fait que ce soit imposé par MS dans les specs des machines livrées avec Windows 8?


votre avatar







Jed08 a écrit :



Sachant que le Secure Boot est facilement désactivable… Je vois pas en quoi cela peut nuire efficacement à Linux.







Cela ne nuit pas qu’à Linux, mais à l’informatique en général. Forcer au niveau matériel l’utilisation de certains logiciels, c’est imposer des restrictions qui n’ont de sens que pour les éditeurs des logiciels, car ils leur permettent de verrouiller leur monopole, d’entente avec les constructeurs.



Désactivable ? c’est juste pour faire passer la pilule qu’il le propose actuellement. Je suis prêt à parier que d’ici 10 ans on trouvera des machines avec le Secure Boot imposé, sans cette option de désactivation.



A nouveau on nous prend pour des abrutis en sacrifiant notre liberté sur l’autel de la sécurité <img data-src=" />


votre avatar







gerfaut a écrit :



Comme disait Thomas J. en reprenant les propos de son copain Benjamin F. :





Ce qui est totalement ridicule.


votre avatar







ff9098 a écrit :



Quelle merde ce secure boot <img data-src=" />







quel merde ce M$ !!

Toujours prêt pour bloquer/ faire chier les solutions libres



Linus Torvalds à raison pourquoi nous caser les cxxx avec un morceau de code en plus dans le noyau !!



J’ai voulu installer le windows 8, il y avait des déjà des partitions

hd 500 GB




  1. primaire 120 Gb ntsf

  2. secondaire 250 GB ntsf

  3. swap 16gb

  4. ext4 les reste



    un partitionnement plutôt basqiue, juste 4 partions, alors qu’en général j’ai une 15zaine de partitions !



    Et bien impossible, l’installateur M$ win8 n’a rien voulu savoir !!

    j’ai du lui donner tout le disk dur !

    Encore heureux que je testais la chose, Bordel <img data-src=" />

    Et en plus sur un bios (normal) pas encore d’UEFI


votre avatar







Onishin a écrit :



Je peut deja vous donnez le motif de pourquoi dans 4 ans la desactivation sera impossible .



Bah oui , comme on peut mettre a jours les UEFI depuis windows . Il sera dit que l’on pourrais en flashant le UEFI desactivé le Secureboot . Donc la solution logic et que le secureboot ne sois pas desactivable par UEFI .



Accepter aujourd’hui seciureboot avec comme solution de contournement de le désactiver dans le UEFI et une erreur .

.





parce que c’est évident, si techniquement c’est possible, c’est forcément que ce sera fait. C’est sûr à 100% même si tu n’as aucune source qui pourrait indiquer qu’ils ont l’intention de le faire…


votre avatar

Je croyais que c’était Ubuntu qui faisait son truc dans son coin et que RedHat via sa fedora utilsait la solution de la fondation.



Me trompe-je ? <img data-src=" />

votre avatar

“Secure Boot” est une très bonne idée qui est très mal conçue. Tous les ingrédients d’un bon conflit entre les “pour” et les “contre”.



Avoir une signature de la chaine de boot, fournie par le bios/uefi, c’est un bon moyen pour un OS de savoir ce qui s’est passé avant que l’OS prenne la main.



Donner le pouvoir au bios/uefi d’interdire le boot à moins de connaitre une clé secrete qui n’est pas donnée au propriétaire du PC, c’est du bridage pur et simple.

votre avatar



parce que c’est évident, si techniquement c’est possible, c’est forcément que ce sera fait. C’est sûr à 100% même si tu n’as aucune source qui pourrait indiquer qu’ils ont l’intention de le faire…





L’histoire, c’est une source pas trop mal je trouve…

votre avatar







the_Grim_Reaper a écrit :



Je croyais que c’était Ubuntu qui faisait son truc dans son coin et que RedHat via sa fedora utilsait la solution de la fondation.



Me trompe-je ? <img data-src=" />





A confirmer, mais il me semble qu’Ubuntu/Canonical s’est au final rallie a la solution de la FSF.


votre avatar

Question bête quel est la position de BSD vis à vis de l’uefi ?

votre avatar







yoda_testeur a écrit :



Linus Torvalds à raison pourquoi nous caser les cxxx avec un morceau de code en plus dans le noyau !!





Pire qu’un morceau de code, du blob.

Linux ne gère que du code source, je comprends la position de Linus sur le fait de ne pas empoisonner plus que nécessaire les ource code avec des blobs.





yoda_testeur a écrit :



J’ai voulu installer le windows 8, il y avait des déjà des partitions



Et bien impossible, l’installateur M$ win8 n’a rien voulu savoir !!



Et en plus sur un bios (normal) pas encore d’UEFI





Bah normal, 4 partitions principales sur un disque MBR max.


votre avatar







yvan a écrit :



Toujours aussi fin ce garçon… <img data-src=" />



Il a vraiment un problème de quéquette sexisme dans ses déclarations.





La gorge profonde n’est pas réservée qu’à un sexe.



–&gt; []


votre avatar







canard_jaune a écrit :



La gorge profonde n’est pas réservée qu’à un sexe.



–&gt; []







ça dépend de quel coté <img data-src=" />


votre avatar

Si Secure boot est désactivable actuellement sur les PC et pas sur les Tablettes win, c’est surtout pour une chose : pas d’historique a supporter coté tablette alors que ceux qui veulent un pc pour y mettre win7 auraient bien gueulé si y avait pas moyen de démarrer autre chose que win8.



Par contre, à la fin du support de win 7, Secure boot désactivable sera devenu inutile et considéré dangereux par MS (vu que tous leurs OS supportés seront compatibles). Et là, ils pourront négocier la suppression de cette option.

(C’est vrai que pas grand chose ne le confirme actuellement, mais les scénarii de ce type ne sont pas nouveaux venant de MS…)

votre avatar







tass_ a écrit :



Ben oui, sinon ils n’ont plus le logo “Windows compatible” et comment tu veux vendre ton matos après ?





Il n’est pas obligatoire d’avoir une certification pour vendre du matériel avec Windows.


votre avatar







gerfaut a écrit :



Comme disait Thomas J. en reprenant les propos de son copain Benjamin F. :







Et Jesus a dit si on me frappe sur une joue je tends l’autre joue !



Blague à part, à quoi ça sert de sortir une phrase de son contexte pour le replacer dans un contexte différent à une époque différente ?


votre avatar







zefling a écrit :



Et bien, ça l’air d’être un beau bordel cette protection.





… protection qui sera dezingué dans quelques mois, et qui fera ch.I.E.R tout le monde !



Le business me fera toujours halluciner .


votre avatar







FREDOM1989 a écrit :



Et read heat c’est pas un acteur de confiance pour signer des clé?



En tout cas si on sort des dogmes et qu’on est pragmatique la solution qui consiste à utiliser les clés de MS ne pose aucun problème pratique.



Linux paie sa fragmentation, faut pas en vouloir à MS d’avoir mit au point une technologie pour sécuriser les machine non plus.





ben ouaih, red hat = confiance .



RAPPEL pour les étourdies :

version light :http://linuxfr.org/users/patrick_g/journaux/intrusion-sur-les-serveurs-fedorared…



La source :

http://rhn.redhat.com/errata/RHSA-2008-0855.html


votre avatar







sky99 a écrit :



La question est comment faire pour les classes de machines ou le secure boot est non désactivable? tablettes et consorts, par exemple?









C’est vraiment pas dure: si tu envisages d’utiliser linux, tu achètes ton matériel en conséquence.

Quand je m’achète une Clio, je viens pas gueuler après parce que je meux pas mettre un moteur de ferrari…


votre avatar







zzzZZZzzz a écrit :



Encore un truc qui sert à rien.(le secure boot)



Ils en ont pas marre chez MS de ralentir l’évolution de l’informatique ? <img data-src=" />





C’est ralentir l’informatique que d’implémenter un nouveau standard en laissant la possibilité de le désactiver… On marche sur la tête parfois dans certains commentaires.


votre avatar







Nithril a écrit :



Le fond du problème n’est pas les clés MS mais la manière dont MS impose la signature d’un binaire





Je dirais plutôt non pas la manière, mais l’objet lui-même signé, à savoir justement un format PE (le format utilisé pour les .exe, .dll), clairement pas standard en dehors du monde Microsoft.


votre avatar







MrJul a écrit :



Sur PC oui. Sur toutes les tablettes ARM vendues sous Windows RT par exemple, le secure boot n’est pas désactivable. A voir comment ça va évoluer par la suite.







C’possible aussi sous les ipad ? et il y a des exemples de Linux ( je parle pas d’android ) sous des galaxy tab etc ( facilement installable et pas à bidouiller profondément l’objet ) ?


votre avatar







IAmNotANumber a écrit :



<img data-src=" />



En général il a pas besoin de prétexte pour ça <img data-src=" />



Je continue de rêver d’un match d’impro entre Torvalds et RMS avec de Icaza comme arbitre. Bring up your guns, guys !







Non, Richard Stallman est indisponible car il est en train d’apprendre le portugais

<img data-src=" />


votre avatar







sylvere a écrit :



La meilleur des armes dans ce monde commercial c’est d’abord un lobbying intensif de la communauté auprès des constructeurs.

Voire l’appel au boycott si les constructeurs font la sourde oreille au lobbying.









Il suffit juste d’ouvrir les yeux. Des tablettes sans Secure Boot y’en a à la pelle.

Après si tu cherches volontairement une tablette bridée pour venir gueuler après, on peux rien faire…


votre avatar







Para-doxe a écrit :



Mais que voilà une interprétation raccourcie et totalement fausse. Tu es libre de faire ce que tu veux avec un logiciel libre. Si David Howells n’est pas content de la réponse de Linus Torvalds il est libre de forker le kernel. Par contre Linux Torvalds reste libre de développer comme il veut son projet. Faire du logiciel libre ne veut pas dire abandonner tout ses droits sur sa création.







C’est bien ce que je dis dans un certains sens ?

Ca a le mérite de nous montrer que Linux (ou par extension le libre) n’est pas un monde de bisounours ou tout le monde fait ce qu’il veut !

La contribution a un projet libre est quelque chose de structuré. Tout le monde ne peut pas balancer une modification comme il le veut !







Linux n’est pas fragmenté. C’est un noyau que chacun peut librement utiliser./





My bad, vulgarisation !





Après, si tu fais référence aux distributions GNU/Linux, déjà tu te trompe de terme, mais tu fais aussi une interprétation faussée de la réalité. Il n’ a pas de fragmentation dans les distribution GNU/Linux, il y a de la richesse par la diversité.





Tu ne fait que jouer sur les mots…

En quoi cela l’existence de plusieurs distribution Linux plus ou moins différentes les unes des autres n’est pas une fragmentation ?

Pourquoi quand on parle d’Android c’est de la fragmentation et pas de la richesse par la diversité ?


votre avatar







Tolor a écrit :



C’est ralentir l’informatique que d’implémenter un nouveau standard en laissant la possibilité de le désactiver… On marche sur la tête parfois dans certains commentaires.







Un “standard” qui pose plus de problèmes qu’autre chose, et ce n’est que le début


votre avatar







zzzZZZzzz a écrit :



Encore un truc qui sert à rien.(le secure boot)



Ils en ont pas marre chez MS de ralentir l’évolution de l’informatique ? <img data-src=" />









Le Secure Boot n’est pas une technologie Microsoft <img data-src=" />


votre avatar







sky99 a écrit :



La question est comment faire pour les classes de machines ou le secure boot est non désactivable? tablettes et consorts, par exemple?





Clairement pas. Les tablettes et consorts Apple, Android ou java (les pas-smartphones) sont également verrouillés de manière similaire. Pour ce cas là, SecureBoot n’est qu’une approche différente mais standardisé pour un but identique : tivoisation du matériel.


votre avatar







metaphore54 a écrit :



Microsoft serait sanctionné, même si il faut le dire MS aimerait bien que ce ne soit pas désactivable. Mais il y a des règles, on est pas au far west.







Sauf qu’entre le moment où une règle est transgressé et le moment où la transgression est sanctionné il peut s’écouler pas mal de temps, temps durant lequel le transgresseur à tout loisir de retirer les bénéfices de son acte. De plus, si la sanction est moindre que le bénéfice obtenu, c’est pas cette menace qui arrêtera qui que ce soit.



votre avatar







Jed08 a écrit :



La contribution a un projet libre est quelque chose de structuré. Tout le monde ne peut pas balancer une modification comme il le veut !







Si le dev chez Red Hat à envie dse sortir son truc, il crée un patch pour le kernel et répond à Torvald sur le même ton.

C’est l’inclusion dans les sources qui ne se fera pas. Mais Chez Red Hat ils sont libre de sortir un patch si ils veulent.


votre avatar







Para-doxe a écrit :



Sauf qu’entre le moment où une règle est transgressé et le moment où la transgression est sanctionné il peut s’écouler pas mal de temps, temps durant lequel le transgresseur à tout loisir de retirer les bénéfices de son acte. De plus, si la sanction est moindre que le bénéfice obtenu, c’est pas cette menace qui arrêtera qui que ce soit.









Mais à qui la faute au final ?

Non je pose la question parce qu’au final on n’entend que le nom de Microsoft, mais jamais celui des constructeurs.


votre avatar







methos1435 a écrit :



Il suffit juste d’ouvrir les yeux. Des tablettes sans Secure Boot y’en a à la pelle.

Après si tu cherches volontairement une tablette bridée pour venir gueuler après, on peux rien faire…





Carrément pas. Prenons un exemple représentatif: une tablette Asus Transformer.

Elle est sous Android, mais le bootloader est verrouillée.

On arrive à le déverouuller avec un gros hack soit, second problème: les pilotes en sources-fermés, ce qui limite vachement la conception/adaptation d’un os alternatif en étant obligé de reprendre du blob, évidemment pas documenté, pour faire marcher approximativement au mieux un OS alternatif.


votre avatar







ff9098 a écrit :



Un “standard” qui pose plus de problèmes qu’autre chose, et ce n’est que le début









Un “standard”’ pour la sécurisation qui t’empêche de faire n’importe nawak. Oh my God …


votre avatar







methos1435 a écrit :



Il suffit juste d’ouvrir les yeux. Des tablettes sans Secure Boot y’en a à la pelle.

Après si tu cherches volontairement une tablette bridée pour venir gueuler après, on peux rien faire…







La plupart des gens qui utilisent aujourd’hui GNU/Linux l’ont découvert sur une machine qui n’en était pas équipé à la base et ils n’avaient pas acheté leur machines pour ça.







Jed08 a écrit :



C’est bien ce que je dis dans un certains sens ?







Alors précise tes propos, par ce que:







Jed08 a écrit :



Ca a le mérite de nous montrer que Linux (ou par extension le libre) n’est pas un monde de bisounours ou tout le monde fait ce qu’il veut !

La contribution a un projet libre est quelque chose de structuré. Tout le monde ne peut pas balancer une modification comme il le veut !







La première phrase sans la seconde peut très bien être interprété avec un sens très différent de celui que lui donne la seconde.







Jed08 a écrit :



Tu ne fait que jouer sur les mots…

En quoi cela l’existence de plusieurs distribution Linux plus ou moins différentes les unes des autres n’est pas une fragmentation ?

Pourquoi quand on parle d’Android c’est de la fragmentation et pas de la richesse par la diversité ?







Par ce qu’Android et une distribution GNU/Linux ne sont pas conçus et distribué de la même façon. De plus quand on parle de fragmentation sur android on parle de ses versions dut à un retard de mise à jour de la parte des constructeurs.


votre avatar







brokensoul a écrit :



il a le mérite d’être clair, et de se tromper rarement. Pas mal pour un chef, c’est pas donné à tout le monde..





Ca n’excuse rien. Pistorius court très vite aussi, c’est rare et pas donné à tout le monde.


votre avatar







canard_jaune a écrit :



La gorge profonde n’est pas réservée qu’à un sexe.



–&gt; []





Ca tombe bien ils sont nombreux chez microsoft



<img data-src=" /> [] également


votre avatar







brokensoul a écrit :



il a le mérite d’être clair, et de se tromper rarement. Pas mal pour un chef, c’est pas donné à tout le monde..





c clair , avec NVIDIA il avait totalement raison, et techniquement doublement raison.



ce mec m’impresionne.


votre avatar







coucou78 a écrit :



… protection qui sera dezingué dans quelques mois, et qui fera ch.I.E.R est déjà désactivable par tout le monde !



Le business me fera toujours halluciner .







<img data-src=" />







coucou78 a écrit :



ben ouaih, red hat = confiance .



RAPPEL pour les étourdies :

version light :http://linuxfr.org/users/patrick_g/journaux/intrusion-sur-les-serveurs-fedorared…



La source :

http://rhn.redhat.com/errata/RHSA-2008-0855.html







J’aime pas qu’on tape sur Windows à tout bout de champ. Mais quand on veut taper sur Linux il faudrait donner des sources qui datent pas d’il y a 5 ans ^^


votre avatar







Thald’ a écrit :



Déjà que l’UEFI c’est codé avec la bite. Inutilement compliqué et buggué.

Rien que le fait que ça m’oblige a avoir une partition FAT me prouve que c’est de la daube.



M’en branle de leur Secure boot moisi, que MS aille se faire voir.



:fuck: &lt;- il me manque ce smiley :p





Pourquoi tu dis ca ?

(j’ai bossé sur l’UEFI (dev en C), je trouve la stack riche en fonctionnalités, mais c clair que l’on commence à fabriquer un OS avant l’OS ….)


votre avatar







Jed08 a écrit :



<img data-src=" />







J’aime pas qu’on tape sur Windows à tout bout de champ. Mais quand on veut taper sur Linux il faudrait donner des sources qui datent pas d’il y a 5 ans ^^





On tape pas sur Linux , je te parle de redHat qui LUI aussi est soumis au Patriot Act , si tu bosses en sécu tu dois comprendre la portée de mon propos ?



et puis de 5 ans ou pas : je devance celle qui va tomber dans 6 ou 12 mois … isn’t it ?


votre avatar







canard_jaune a écrit :



La gorge profonde n’est pas réservée qu’à un sexe.



–&gt; []







Peut être, mais là, si.



En fait la news ne cite pas tout le message de Linus, dont l’introduction ne laisse que peu de doute <img data-src=" />


votre avatar







Tolor a écrit :



Il n’est pas obligatoire d’avoir une certification pour vendre du matériel avec Windows.





En théorie oui, en pratique non (j’ai pas vu de PCs vendus à la FNAC par exemple sans logo windows dessus).







Ricard a écrit :



Ha. Donc le matos peut très bien fonctionner sans Windows, mais pas l’inverse.<img data-src=" />

Cherchez l’erreur.





Le jour où il y aura une marque de matos qui couvrira + de 90% du parc (comme Microsoft avec les OS), elle pourra s’imposer…


votre avatar







coucou78 a écrit :



On tape pas sur Linux , je te parle de redHat qui LUI aussi est soumis au Patriot Act , si tu bosses en sécu tu dois comprendre la portée de mon propos ?







Pardon Red Hat !

Oui, mais je comprends que Patriot Act ou pas il y a toujours un risque pour que des données fuitent et que donc les données sensibles doivent être chiffrées et stockée sur des serveurs dans un réseau fermé uniquement depuis l’entreprise, que les données métiers doivent également être sauvegardée sur ce même réseau, et que seule les données publiques peuvent être accessible depuis l’extérieur.



En partant de ce principe tu as beau utiliser des outils d’une boite soumise au Patriot Act, si ces outils ne sont accessibles uniquement depuis le LAN de l’entreprise, le Patriot Act est très peu efficace.





et puis de 5 ans ou pas : je devance celle qui va tomber dans 6 ou 12 mois … isn’t it ?





Seul l’avenir nous le dira ^^


votre avatar







Tolor a écrit :



C’est ralentir l’informatique que d’implémenter un nouveau standard en laissant la possibilité de le désactiver… On marche sur la tête parfois dans certains commentaires.







En attendant, j’ai une carte mère(asus récente) ou on peut désactiver leur machin mais toujours impossible de booter dessus avec un debian.



Tu m’explique où est l’évolution ?



Si l’évolution, c’est restreindre les possibilités, non merci.


votre avatar







zzzZZZzzz a écrit :



En attendant, j’ai une carte mère(asus récente) ou on peut désactiver leur machin mais toujours impossible de booter dessus avec un debian.



Tu m’explique où est l’évolution ?



Si l’évolution, c’est restreindre les possibilités, non merci.







Absolument !!!: L’ordinateur est décoléré de l’OS pour de très bonnes raisons. Et il faut que ça reste comme ça. Le “secure boot” (tel que défini aujourd’hui) est un moyen d’enfermement commercial au final. Donc anti-concurentiel… vive le libéralisme hein?!



On nous vend ça comme un truc pour la sécurité alors que les anti-virus font déjà un très bon boulot PLA-NE-TAI-RE. Après on peut se pencher sur la définition de malware et des abus de grands site. Le grand G en tête.



On peut se demander aussi si dans ces “solutions” il n’y a pas des petits moyens détournés de faire de l’espionnage. Un système non ouvert est par définition dangereux puisqu’on en a plus la maîtrise.





A part ça c’est quoi les problème avec debian? (en pm)


votre avatar

Debian ne prend en pas charge ni le GPT (utilisé par l’UEFI), ni le SecureBoot. Autant le second point est moins problématique parce que Windows ne force pas l’utilisation du SecureBoot pour s’installer ainsi que le fiat qu’il soit désactivable dans le BIOS/UEFI, autant le second est un problème si tu as une carte mère UEFI only.

votre avatar







TexMex a écrit :



On nous vend ça comme un truc pour la sécurité alors que les anti-virus font déjà un très bon boulot PLA-NE-TAI-RE. Après on peut se pencher sur la définition de malware et des abus de grands site. Le grand G en tête.







Ah parce que un anti-virus peut te protéger avant le boot de l’OS ?





On peut se demander aussi si dans ces “solutions” il n’y a pas des petits moyens détournés de faire de l’espionnage. Un système non ouvert est par définition dangereux puisqu’on en a plus la maîtrise.





Le code source de l’UEFI est ouvert il me semble.

http://www.uefi.org/home/


votre avatar







Jed08 a écrit :



Le code source de l’UEFI est ouvert il me semble.

http://www.uefi.org/home/





Eeuh, à part des documents décrivant les specs, rien trouvé à cette adresse.

En plus, c’est un peu comme pour les phones android : Les drivers (son, réseau, etc…) ne vont surement pas êtres ouverts !


votre avatar







coucou78 a écrit :



Pourquoi tu dis ca ?

(j’ai bossé sur l’UEFI (dev en C), je trouve la stack riche en fonctionnalités, mais c clair que l’on commence à fabriquer un OS avant l’OS ….)







C’est le point de vue que je me suis forgé en lisant ça et ça à l’époque et de mon expérience récente pour utiliser UEFI sous debian (J’ai bien galéré quand même) pour au final une solution qui ne marche qu’a moitié chez moi (Impossible de booter mon portable quand il est docké par exemple).



Puis qu’elle en vrai vraiment l’intérêt pour nous ? Booter sur des disques &gt; à 4TO

Pour les constructeurs, c’est de verrouiller un peu plus le matériel.



EDIT: Et je crois que pour le 4TO je confond avec autre chose, je n’en suis plus sur et j’ai la flemme de vérifier.


votre avatar







methos1435 a écrit :



Ca se fait en deux trois clics dans l’interface UEFI:





  • Allumer ordinateur

  • Accéder interface EFI

  • Désactiver SecureBoot

  • Redémarrer ordinateur



    C’est tout sauf transparent. Et ce n’est pas toujours faisable.


votre avatar







Vincent_H a écrit :



Seriously ?





Heureusement non, smiley inside.

Mais lateo a donné la V.O 3 commentaires plus haut. <img data-src=" />


votre avatar







methos1435 a écrit :



Rien à battre de la transparence. La personne qui veux installer linux elle se documente et elle désactive.

Si c’est pas désactivable c’est que cette eprsonne à acheté du matos de merde. La prochaine fois elle fera plus attention <img data-src=" />



Non mais sérieux, attention le pingouin arrive et veux qu’on lui serve tout sur un plateau doré…







Le pingouin est là depuis 20 ans hein


votre avatar







methos1435 a écrit :



Ah bon ? Faut payer Microsoft pour désactiver une option dans l’UEFI ? Première nouvelle…







T’es vraiment malhonnête comme type. Je faisait référence à l’achat d’une signature auprès de Microsoft et tu le sais très bien. La technique de l’homme de paille c’est assez minable.







methos1435 a écrit :



Question de point vue, à savoir si le SecureBoot est au final un problème ou une solution à un problème.







Pourtant depuis le début de cette news tu semble considérer ton point de vue est une vérité universel et que les autres points de vue n’ont pas de raison d’être.







methos1435 a écrit :



Pauvres petits. Tu sais quoi ? Toute l’informatique ne tourne pas autours d’eux. Ils veulent continuer à exister ? Ils s’adaptent.







Là on atteint des sommets. En gros, par ce qu’il sont une minorité, ils ont cas accepter la discrimination. Après tout, c’est eux qui ont choisit la minorité. Quelle belle mentalité, bravo.







methos1435 a écrit :



Tu pars dans un délire là…

Moi ça me saoule parce qu’on écoute de plus en plus ces gus qui ont tendance à dir un peu n’importe quoi et que ça ça peux porter préjudice à beaucoup de monde. Aller expliquer àl’utilisateur que le SecureBoot va le vérouiller obligatoirement sur Windows c’est un mensonge, tout comme lui expliquer que c’est Microsoft le problème. Ils ne sont qu’utilisateur de cette fonctionnalité, pas créateurs.







Avec ton raisonnement je peux aller fracturer le crâne de mon voisin avec un marteau et je dirais au juge “c’est pas moi le problème, je n’ai fait qu’utiliser le marteau, c’est pas moi qui l’ai créé”. Ce qui est encore plus malhonnête dans ton raisonnement c’est que ce qui est critiqué ce n’est pas le sécure-boot, mais tel qu’il est déployé et utilisé aujourd’hui. Encore la technique de l’homme de paille.







methos1435 a écrit :



Désolé mais à la vue de beaucoup trop de commentaires, j’estime ne pas être la personne qui raconte le plus de conneries ici…







Non, mais tu es clairement un pro-Microsoft qui considère la critique comme du blasphème.


votre avatar







Para-doxe a écrit :



Non, mais tu es clairement un pro-Microsoft qui considère la critique comme du blasphème.







Suis tellement pro-microsoft que je tourne sous linux sur tous mes postes chez moi <img data-src=" />





Mais t’as raison traites les gens qui sont pas d’accord avec toi de pro-cequetuveux. C’est très tendance.

J’ai lu un article là dessus dans un journal il ya deux trois jours. Aujourd’hui, tu oses dire que t’es pas d’accord et on te case dans la catégorie pro-quelquechose, ou quelquechoseophobe … C’est plus facile que d’avoir à discuter.


votre avatar







methos1435 a écrit :



Ca se fait en deux trois clics dans l’interface UEFI:





  • Allumer ordinateur

  • Accéder interface EFI

  • Désactiver SecureBoot

  • Redémarrer ordinateur





    Je ne comprends pas que vous misiez sur ça. Vous avez la garantie que la désactivation sera possible sur toutes les machines ? C’est une porte trop ouverte de compter sur ces clics - là.


votre avatar







psn00ps a écrit :



<img data-src=" /> Autant que tu en veux si tu as une partition étendue.





<img data-src=" /> c’est ce que j’ai dit non “4 partitions principales” ?

Et je continue même en précisant qu’on ne boot pas sur une partition étendue.


votre avatar







methos1435 a écrit :



Suis tellement pro-microsoft que je tourne sous linux sur tous mes postes chez moi <img data-src=" />







Ça, c’est toi qui le dit. Je ne vis pas avec toi (heureusement). Cela ne change rien à ton comportement ici depuis le début de cette news.







methos1435 a écrit :



Mais t’as raison traites les gens qui sont pas d’accord avec toi de pro-cequetuveux. C’est très tendance.







Je n’ai pas dit cela par ce que tu avais un avis différent mais par rapport à ta façon d’interagir dans cette news. Encore la technique de l’homme de paille, ça devient gonflant.


votre avatar

Le Secure Boot n’est-il pas un moyen supplémentaire d’augmenter la sécurité de certaines machines accessible physiquement dans des secteurs critiques .

Cette technologie pour le grand public n’est pas forcément bien perçue mais elle est loin d’être inutile.

Si cette technologie a été mise en place , je pense que c’est aussi parce qu’il y avait une demande ,tout simplement afin de réduire considérablement un type d’attaque qui doit représenter un pourcentage assez faible mais qui peut faire pas mal de dégâts .



Le plus important c’est qu’il n’y a pas de limitation et que tout le monde peut en profiter quelque soit l’OS .




votre avatar







Vincent_H a écrit :



Non c’est évident, il concoure pour le poste de Secrétaire Générale de l’ONU là <img data-src=" />





Parler crûment et être en colère ne sont pas synonymies hein ?

On peut dire les pires atrocités tout en étant parfaitement calme et serein….


votre avatar







NotoRaptor a écrit :



Je ne comprends pas que vous misiez sur ça. Vous avez la garantie que la désactivation sera possible sur toutes les machines ? C’est une porte trop ouverte de compter sur ces clics - là.









Merde, j’ai acheté un véhicule Diesel. Quelle garantie j’ai de pouvoir acheter du gasoil dans quelques années. C’est un scandale …



Pour info, et puisque c’est Microsoft qui semble être le coupable idéal ici, ils imposent cette désactivation possible dans leur certification Windows 8.


votre avatar







Para-doxe a écrit :



. Encore la technique de l’homme de paille, ça devient gonflant.





Si ça te gonfle, j’ai bien une solution. Mais je vais te laisser deviner, pour rester poli en gros.


votre avatar







methos1435 a écrit :



Mais t’as raison traites les gens qui sont pas d’accord avec toi de pro-cequetuveux. C’est très tendance.

J’ai lu un article là dessus dans un journal il ya deux trois jours. Aujourd’hui, tu oses dire que t’es pas d’accord et on te case dans la catégorie pro-quelquechose, ou quelquechoseophobe … C’est plus facile que d’avoir à discuter.





En gros, vu que t’aimes les analogies automobile :

T’arrives chez Peugeot en traitant tous les gens présents d’abrutis finis; que Renault fait bien mieux les choses et que ce sont des parasites qui peuvent bien crever.

Et quand ils te répondent qu’ils n’ont rien à faire d’un lobotomisé pro-Renault comme toi, tu te sens offusqué parce qu’on t’a catalogué comme tel.



Moui, essaie de pas péter plus haut que ton cul pour commencer, après on pourra peut être te répondre…


votre avatar







statoon54 a écrit :



Le Secure Boot n’est-il pas un moyen supplémentaire d’augmenter la sécurité de certaines machines accessible physiquement dans des secteurs critiques .

Cette technologie pour le grand public n’est pas forcément bien perçue mais elle est loin d’être inutile.

Si cette technologie a été mise en place , je pense que c’est aussi parce qu’il y avait une demande ,tout simplement afin de réduire considérablement un type d’attaque qui doit représenter un pourcentage assez faible mais qui peut faire pas mal de dégâts .



Le plus important c’est qu’il n’y a pas de limitation et que tout le monde peut en profiter quelque soit l’OS .







Il suffirait de mettre un interrupteur physique, sur la carte mère, pour passer en mode “édition” et pouvoir ajouter ou supprimer un certificat, puis refermer ce bouton physique pour lancer ce qu’on veut de signé avec le certificat. Dans ce cas-là, je trouverais aussi que cette fonction est géniale.


votre avatar







tass_ a écrit :



Moui, essaie de pas péter plus haut que ton cul pour commencer, après on pourra peut être te répondre…





Vous allez faire passer Torvalds pour un ange à force <img data-src=" />


votre avatar







Emralegna a écrit :



Debian ne prend en pas charge ni le GPT (utilisé par l’UEFI), ni le SecureBoot. Autant le second point est moins problématique parce que Windows ne force pas l’utilisation du SecureBoot pour s’installer ainsi que le fiat qu’il soit désactivable dans le BIOS/UEFI, autant le second est un problème si tu as une carte mère UEFI only.







Tu as dû utiliser une très vieille version. J’ai une Debian qui boot sans problème sur un disque GPT (sur CM non UEFI) via GRUB.


votre avatar

Je voudrais corriger une grosse bêtise que j’ai lu plusieurs fois dans les commentaires : le Secure Boot n’empêche pas de booter sur un autre disque !!!



Si vous voulez utiliser un Live CD, il n’y a rien à faire ! Juste dire à l’UEFI de booter sur le CD !



Ce n’est que si vous voulez faire un branchement (multi-boot) que le problème se pose. Dans ce cas, il faut que l’intégralité de la chaîne de démarrage, de l’UEFI à CHAQUE système d’exploitation soit vérifiée. D’où le besoin d’un multiboot et de chaque noyau signés avec la même clef !



Ou autre méthode, signer jusqu’au multiboot (genre grub) et ensuite c’est lui qui vérifie entre lui et chaque OS (ce qui permet ds clefs différentes pour chaque OS).



Avant de parler de Secure Boot et d’UEFI, apprenez à l’utiliser tout comme je le fais depuis 3 mois !

votre avatar

<img data-src=" />

votre avatar







Kerberos a écrit :



Pire qu’un morceau de code, du blob.

Linux ne gère que du code source, je comprends la position de Linus sur le fait de ne pas empoisonner plus que nécessaire les ource code avec des blobs.



Bah normal, 4 partitions principales sur un disque MBR max.







Bien oui 4 partitions principales , (je sais) , ce que je n’ai pas compris c’est qu’en donnant la première et en plus formatée NTFS et bien rien a faire !



Je me demande encore et pourquoi avoir dû virer toutes les partoches !?



C’est un bordel, je ne consacrerais pas un HD complet pour le seul Windows_8 ! Même le plus petit disk dur en vente sur le marché !

Si je devais l’utiliser (win_8) et pour le moment pas question.


votre avatar







yoda_testeur a écrit :



Bien oui 4 partitions principales , (je sais) , ce que je n’ai pas compris c’est qu’en donnant la première et en plus formatée NTFS et bien rien a faire !



Je me demande encore et pourquoi avoir dû virer toutes les partoches !?



C’est un bordel, je ne consacrerais pas un HD complet pour le seul Windows_8 ! Même le plus petit disk dur en vente sur le marché !

Si je devais l’utiliser (win_8) et pour le moment pas question.





N’oublie pas que Windows 8 exige 2 partitions, une cachée pour le boot et la seconde pour le système. Es-tu bien certain de lui avoir proposé la 2ème, avec la première formatée avec la taille cluster par défaut et d’une taille d’au moins 350 Mo (minimum pour Windows 8) ?


votre avatar

au final, quels sont critères discriminants à prendre en compte si l’on cherche une nouvelle config bien prise en charge ?

votre avatar







Emralegna a écrit :



Debian ne prend en pas charge ni le GPT (utilisé par l’UEFI), ni le SecureBoot. Autant le second point est moins problématique parce que Windows ne force pas l’utilisation du SecureBoot pour s’installer ainsi que le fiat qu’il soit désactivable dans le BIOS/UEFI, autant le second est un problème si tu as une carte mère UEFI only.







j’ai eu une p8p67 avec disque only GPT, debian c’est tres bien installé dessus.

je viens d’acheter un portable tosh avec UEFI, SB desactivé pour installer debian et disque en GPT.



le GPT est supporté depuis pas mal de temps déjà.



faut sortir le dimanche hein!


votre avatar







hyro a écrit :



j’ai eu une p8p67 avec disque only GPT, debian c’est tres bien installé dessus.

je viens d’acheter un portable tosh avec UEFI, SB desactivé pour installer debian et disque en GPT.



le GPT est supporté depuis pas mal de temps déjà.



faut sortir le dimanche hein!







C’est peut-être justement parce que je fais autre chose dans le monde réel que je ne suis pas à jour dans le monde virtuel.



Que je sois pendu pour m’être trompé en espérant que mes écrits ne maudissent pas les familles de ceux qui on pu me lire sur 666 générations.





votre avatar







hyro a écrit :



je viens d’acheter un portable tosh avec UEFI, SB desactivé pour installer debian et disque en GPT.







Et tu as conservé 8 en version OEM en double boot sur un unique HDD?

J’ai mon laptop qui m’a définitivement lâché y’a qq jours et j’avoue que ce pb me bloque pour en changer. J’utilises principalement Linux mais 1 ou 2 fois par mois, genre pour mettre le GPS de ma caisse à jour ou autres saloperies d’Adobe pour que ma femme puisse coller ses eBook sur sa liseuse, j’ai besoin d’un win…



Et si je dois m’asseoir sur le préinstallé car je ne peut lui shrinker sa partoche et coller librement un grub dans son MBR… pas envie de faire “gorge profonde”.



Car il semble que pour les licences OEM, MS impose l’utilisation du SB =&gt; avoir un bios qui permet de le désactiver ne semble pas seul résoudre le pb.



Cela influera sur la marque à acheter si je dois y coller un win7 non OEM moi même: Je suis en discussion avec le support Asus qui semble désormais avoir une procédure de remboursement win8 au besoin, n’exigeant tjrs pas le retour machine… Mais j’ai de bons tarifs chez HP avec 200€ de moins à machine comparable, la finition alu en gamme pro en plus.



Bref, un peu de retour d’expérience sur les pb avec un laptop serait sympa!


votre avatar







manchette a écrit :



au final, quels sont critères discriminants à prendre en compte si l’on cherche une nouvelle config bien prise en charge ?





Utliser un OS Windows ?


Linus Torvalds en colère face au problème du Secure Boot

  • Un même problème, plusieurs solutions 

Fermer