Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Le Secure Boot de l’UEFI peut désormais être pris en charge par Linux

Merci la Fondation

Le Secure Boot de l'UEFI peut désormais être pris en charge par Linux

Le 11 février 2013 à 15h17

Avant que Windows 8 ne sorte, Microsoft avait averti qu’une protection, Secure Boot, serait mise en place pour vérifier l’intégrité du boot de la machine. La Linux Foundation, de son côté, avait par la suite garanti qu’une solution serait trouvée pour permettre à Linux d’en profiter. Chose promise, chose due : la première version de cette solution a été publiée.

secure boot

L'opposition entre Windows 8 et les distributions Linux 

Durant le développement de Windows 8, une polémique a surgi autour du Secure Boot. Il s’agit d’une technologie faisant partie de la norme UEFI. Elle permet, une fois utilisée, de vérifier l’intégrité de tous les éléments impliqués dans la chaine de démarrage du système d’exploitation. Le problème était que pendant tout ce temps, Windows 8 était le seul système à pouvoir l’utiliser. Or, les premiers échos faisaient état de PC qui seraient vendus avec un Secure Boot obligatoire.

 

L’inquiétude concernant Linux avait été soulevée par Matthew Garrett, développeur chez Red Hat. À l’époque, il avait expliqué que le verrouillage de la chaine de démarrage, si elle permettait de repousser de nombreux malwares, laissait également les systèmes d’exploitation alternatifs à la porte. Microsoft avait par la suite répondu, ce qui avait engendré un ping-pong de questions et réponses. Au final, Microsoft avait annoncé que les OEM auraient l’obligation de proposer une option pour désactiver le Secure Boot sur l’ensemble des machines vendues.

 

Quelques mois plus tard, on apprenait toutefois que les tablettes ARM sous Windows RT auraient un Secure Boot totalement bloqué.

La solution de Linux Foundation

En novembre dernier, nous vous informions que la Linux Foundation travaillait à une solution pour permettre à Linux d’exploiter le Secure Boot. Après tout, il était logique que les distributions se penchent sur une fonctionnalité qui permet un surplus de sécurité plutôt que de devoir systématiquement la désactiver. Les fichiers sont proposés par James Bottomley, qui a lui-même dirigé le travail sur la question au sein de la fondation :

Comme on le remarquera vite toutefois, ces fichiers sont fournis tels quels et s’adressent pour l’instant à des utilisateurs chevronnés qui sauront comment les utiliser. La véritable solution arrivera quand ils seront inclus en standard dans les distributions, ce qui ne devrait pas manquer d’arriver durant l’année.

 

En outre, James Bottomley précise qu’il s’agit dans tous les cas d’une première version, d’où son état « brut ». Il fournit toutefois une petite image ISO pour clé USB qui permettra de démarrer.

La période d'intégration

En dépit d’une solution commune fournie par la Linux Foundation, il faut bien comprendre que les distributions, et donc les éditeurs ou les développeurs qui se tiennent derrière, n’ont pas obligation de l’intégrer en l’état.

 

On se rappellera notamment qu’Ubuntu compte procéder de sa propre manière, en proposant une nouvelle clé qui sera négociée avec les constructeurs. Si ces derniers l’acceptent, cela créera une infrastructure parallèle à celle de Microsoft pour les clés de sécurité. Un choix qui avait d’ailleurs été nettement critiqué par Matthew Garrett en juin 2012 : « La différence significative entre l’approche d’Ubuntu et celle de Microsoft est qu’il n’y a aucun signe que Canonical ouvrira un quelconque service de signature ». Fedora, à laquelle Red Hat participe activement, emploiera d’ailleurs la méthode « généraliste ».

 

Nous ne manquerons de vous tenir informés des progrès qui seront réalisés sur le support du Secure Boot dans les mois qui viennent, notamment au travers des nouvelles moutures des distributions.

Commentaires (76)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Donc il faut toujours racheter cette clé secrète, recompiler son propre noyau Linux reste toujours bloqué non ?

votre avatar







al_bebert a écrit :



heu oui d’accord, mais la tu bidouille un OS tu balance ces clef t’es authentifier alors que ton OS est vérolé jusqu’a l’os (hahahah :/)



ou alors j’ai le cerveau qui manque de coca en ce lundi ?







C’est comme un MD5.



Tu as un MD5, tu prend ton fichier 3Go, il a une image MD5 => il est bon

Mais il n’y a pas d’algo permettant à un pirate de “connaissant” le MD5 faire un fichier “pirate” ayant le même MD5.


votre avatar







metaphore54 a écrit :



Je ne comprends plus rien là, car si j’ai bien compris la news, tu peux installer ton linux vérolé ou pas malgré secure boot activé.







Bah heu, non… c’est absolument pas ce qui est dit dans le morceau de niouze que tu cites.



En gros t’as deux possibilités pour mettre linux sur une machine avec Secure Boot :




  • tu désactives Secure Boot, mais du coup tu n’es plus protégé si un malware tente d’infecter tes fichiers de boot linux. C’est la solution qui était utilisée jusqu’à maintenant.

  • tu laisses le Secure Boot activé et tu utilises un linux “signé” qui sera reconnu par le Secure Boot. C’est nouveau, et c’est justement l’objet de la niouze. Après, forcément, il faut le temps que ça se mette en place dans les différentes distribs, on en est juste aux balbutiements, mais ça marche.


votre avatar







metaphore54 a écrit :



Je ne comprends plus rien là, car si j’ai bien compris la news, tu peux installer ton linux vérolé ou pas malgré secure boot activé.







Euh le passage de l’article que tu cites n’est pas vraiment en rapport avec ton commentaire. Mais non si le secure boot est activé tu ne peux pas booter sur un OS non signé.







arno53 a écrit :



Donc il faut toujours racheter cette clé secrète, recompiler son propre noyau Linux reste toujours bloqué non ?





En effet mais ça sera jamais possible de par la nature même de secureboot. Comment vérifier un noyeau que tu as compilé toi même ?


votre avatar

Sauf erreur, la clé publique qui sert à valider la signature (faite avec la clé privée méga-secrète), elle est dans l’eeprom qui contient le code de l’UEFI ?



Qu’est-ce qui empêche de la flasher avec une autre clé publique dont on détient le pendant privé pour s’auto-signer SON noyau juste sorti de compilation ?



Un dump d’UEFI, ça doit pas être la mer à boire à faire, si ?

votre avatar







Thald’ a écrit :



J’avais cherché, je n’ai pas trouvé encore.



Et j’ai encore des comportements chelou, genre il ne lance pas lo noyal quand le PC est docké … -_-’







CQFD ce n’est pas au point il va falloir encore 1 à 2 ans de travail pour que cela soit pleinement fonctionnel.



Le plus marrant sur l’EFI j’avais lu un article d’un ingénieur chez Microsoft de mémoire il raconte que l’EFI est tellement hardcore à faire fonctionner qu’il découvrait jour après jour qu’il y avait des spécifications dont il n’avait même pas connaissance.



EDIT HAHAHAHA J’ai retrouvé le tweet !!!! Je savais que j’avais marqué la page dans mon bordel.



twitter.com Twitter





Every time I think I understand UEFI, something comes along to show me that there’s more to learn.





Pour ceux qui ne le connaissent pas, Michael Niehaus est spécialiste Microsoft Deployment Toolkit


votre avatar



On se rappellera notamment qu’Ubuntu compte procéder de sa propre manière



Plus maintenant. Depuis il y a eu des discussions avec la Linux Fondation.

votre avatar

C’est bien le problème… une solution plus ouverte avait été proposée en laissant la possibilité à l’utilisateur de rajouter ses propres clés de confiance dans l’UEFI.



C’était mieux… mais visiblement trop “ouvert” pour plaire à Microsoft !

votre avatar







bzc a écrit :



Euh le passage de l’article que tu cites n’est pas vraiment en rapport avec ton commentaire. Mais non si le secure boot est activé tu ne peux pas booter sur un OS non signé.





Ok, merci, c’est ce passage qui m’a mis en erreur.





Après tout, il était logique que les distributions se penchent sur une fonctionnalité qui permet un surplus de sécurité plutôt que de devoir systématiquement la désactiver.


votre avatar







atomusk a écrit :



C’est comme un MD5.



Tu as un MD5, tu prend ton fichier 3Go, il a une image MD5 => il est bon

Mais il n’y a pas d’algo permettant à un pirate de “connaissant” le MD5 faire un fichier “pirate” ayant le même MD5.







et donc les fichiers fournis dans la news servent à quoi ?


votre avatar







Elwyns a écrit :



Je ne vois pas vraiment ce qui choque pour une tablette et surtout du Windows RT .. Ipad on peut mettre un Debian dessus ?







Ça doit pouvoir se faire



http://www.techhive.com/article/239059/linux_now_runs_on_ipad_tuxedo_optional.ht…



http://www.idroidproject.org/



votre avatar







Elwyns a écrit :



Je ne vois pas vraiment ce qui choque pour une tablette et surtout du Windows RT .. Ipad on peut mettre un Debian dessus ?







Moi ça me choque. Et ce qui me choque également, c’est que ça n’a pas l’air de vous choquer.

Quelque soit le constructeur, quelque soit l’OS, c’est délirant mais on avale ça sans broncher et c’est de pire en pire. Je serais curieux de savoir à quel stade de disparition de leur liberté cela réveillera les gens. <img data-src=" />


votre avatar

Bah ça va les commentaires sont intéressants ici. Sur le blog de départ je m’attendais à voir une discussion sur comment intégrer les clés, où sur des problèmes rencontré avec l’image.

Et c’est parti en ANTI-MS primaire…



:crains:

votre avatar

<img data-src=" />



Je préfère virer le secure Boot carrément, pas envie d’avoir ça chez moi.

votre avatar







paradise a écrit :



<img data-src=" />



Je préfère virer le secure Boot carrément, pas envie d’avoir ça chez moi.







+1 c’est inutile


votre avatar

Je vois qu’il y a beaucoup de confusion sur ce sujet mais il est vrai que l’article de PCI n’est pas très clair.









al_bebert a écrit :



et donc les fichiers fournis dans la news servent à quoi ?







Ce sont les signatures (signés par MS) pour un mini bootloader proposé par la Linux Foundation. (disponible ici http://blog.hansenpartnership.com/wp-uploads/2013/sb-usb.img)



Grace à ces signatures ce mini-bootloader pourra être chargé avec le secure boot activé.

Typiquement ce mini bootloader appellera un autre bootloader plus classique (GRUB, etc) qui appellera le noyau linux.



Comme ce deuxième boot loader et le noyeau ne sont pas signés l’utilisateur devra confirmer à chaque boot qu’il fait confiance aux deux.

Normalement le hash du deuxième boot loader et du noyeau peuvent être ajoutés comme étant “de confiance” manuellement grâce au KeyTool mais celui-ci n’a pas été signé par Microsoft à cause d’un bug dans l’UEFI qui aurait permis de supprimer la “Platform Key”



En espérant avoir été clair …


votre avatar

Donc en gros, si MS décide un jour de ne plus vouloir signer le bootloader Secure Boot Compliant, la seule solution qu’il reste est de désactiver complètement le Secure Boot… Car j’imagine que ce bootloader de premier niveau va évoluer dans le temps… et il faudra bien le resigner à chaque fois…



Mieux vaut donc toujours avoir un UEFI qui permet de désactiver le Secure Boot… Histoire de ne pas l’avoir dans l’os un jour. <img data-src=" />

votre avatar







Edtech a écrit :



Vous me faites rire avec vos pertes de liberté ! Vous vous offusquez car un téléphone ou une tablette ne sont pas modifiables ? Mais réagissez-vous pareil pour d’autres produits tout autant bridés et qui pourraient être modifiés ?







Comparaison abusive. Les téléphones et téléviseurs n’ont jamais été modifiables. Il n’y a donc pas “perte” de liberté. Les ordinateurs eux, l’ont toujours été. Il y a bien perte. Donc non, on ne s’offusque pas de ne pas pouvoir GAGNER cette liberté, pour le moment.


votre avatar

Bizarre que cette news se trouve dans la section “Navigateurs”.

votre avatar

Question bête : Si une clef privée vient à leaker (ce qui arrivera un jour ou l’autre), il y aura un moyen facile de la révoquer ou tous les ordinateurs vendus jusque là seront susceptibles d’être vérolés ?

votre avatar







Athropos a écrit :



Question bête : Si une clef privée vient à leaker (ce qui arrivera un jour ou l’autre), il y aura un moyen facile de la révoquer ou tous les ordinateurs vendus jusque là seront susceptibles d’être vérolés ?







Pouvoir rajouter ses propres clefs privées a été considéré comme une brèche… alors pouvoir les révoquer… idem.


votre avatar







Edtech a écrit :



Vous me faites rire avec vos pertes de liberté ! Vous vous offusquez car un téléphone ou une tablette ne sont pas modifiables ? Mais réagissez-vous pareil pour d’autres produits tout autant bridés et qui pourraient être modifiés ?



Par exemple, votre belle TV 40” 3D sous Linux, avez-vous ne serait-ce que songé à aller en changer l’OS pour le mettre à votre sauce ? Non, car ça ne vous choque pas qu’une TV ne soit pas modifiable. Et il en va de même pour plein d’équipement (four, cafetière, lecteur DVD, etc.).



La liberté que vous réclamez, vous l’oubliez très facilement quand le produit ne vous semble pas ressembler à un “ordinateur”. Donc tout cela est très subjectif. Pour moi, un téléphone, c’est comme ma cafetière ou ma TV, je ne vois pas de raison d’en changer l’OS.



Par contre, le PC, là je suis entièrement d’accord que ça doit pouvoir se faire.









j’ai déja tenter de dumper l’os de ma TV pour voir…



ensuite ma boulloir na pas d’OS, j’ai aussi regarder pour dumper l’os de mon Z-5500 …



et pour info mon téléphone possède un OS libre et j’en fait ce que je veux :)


votre avatar

Mais tu représentes une personne sur un million (ou moins). Et sinon, à part des connaissances sans doute sympathiques, qu’est-ce que ça t’a apporté ?

votre avatar







Edtech a écrit :



Mais tu représentes une personne sur un million (ou moins). Et sinon, à part des connaissances sans doute sympathiques, qu’est-ce que ça t’a apporté ?







de tenter de bricoler ma TV et mon ampli ? du plaisir :) même si j’ai pas réussit !



bon ok je suis un cas à part mais ç’est pour dire que voila il y a des gens que ça interesse.



de plus je trouve ta comparaison moitier foireuse. il y a un monde entre une tablette ou un smartphone et une TV.



mais regarde prend l’exemple de pas mal de lecteurs mp3 il y a eu énormement de travail pour changer leur microprogramme pour mettre je sais plus quel lecteur presque universel qui apportait énormement de choses (EQ…) dont je ne me souviens plus du nom.



franchement sur ce genre d’appareil laisser l’oportunité d’apporter des modifications est pour moi important, regarde l’exemple de google, qui avait laisser un port USB sur le Q (je sens venir les blagues de merde) pour que les bidouilleurs s’en donne à coeur joie dessus !



après il y a aussi les soucis de fermeture et vérouillage des OS, Apple ou Sony qui supprime des applications ou fonctions à distance sur leur terminaux franchement tu trouve ça bien ?

pour rappel Sony cella leur à couter le hack de leur console ! si ils n’avaient pas supprimer OtherOS la console serait toujours pas hacker ! car avant cet incident peu de monde bossais sur le hack de cette console, la suppression de la possibilité d’installer Linux (et ce n’est pas le fait du supprimer linux plus que le fait de supprimer une fonctionnalité tout comme ça à été le cas pour la rétro compatibilité ps2) et PAF une horde de hackeur se penchent sur le cas de la ps3 et voila on se retrouve avec la possibilité de jouer à des jeux piraté et même en ligne !



ne pas oublier que l’on à acheter le matos ! nous devrions avoir la possibilité d’en faire ce que l’on souhaite !



tu accèpterais pas de ne pouvoir installer un autre OS sur ton pc, pourquoi l’accepte tu sur un smartphone ? ok TOI ça te sert à rien par ce que tu na pas envie, mais ce n’est pas le cas de tout le monde



votre avatar







B.O.R.E.T.’ a écrit :



Non et non… Un peu de lecture fera pas de mal:

fr.wikipedia.org WikipediaLe seul moyen d’arriver à s’authentifier en tant que constructeur/développeur autorisé (Microsoft, Canonical, …) c’est de choper le clé secrète, qui est… secrète. Même principe que pour les certificats SSL…





Donc ce n’est pas impossible puisque les fournisseur de certificats racine se font hack toute l’année ?


votre avatar







Edtech a écrit :



La liberté que vous réclamez, vous l’oubliez très facilement quand le produit ne vous semble pas ressembler à un “ordinateur”. Donc tout cela est très subjectif. Pour moi, un téléphone, c’est comme ma cafetière ou ma TV, je ne vois pas de raison d’en changer l’OS.





Ça ne t’intéresse pas, d’accord. Donc il faut empêcher les gens que ça intéresse de pouvoir le faire, parce qu’ils sont minoritaires ?


votre avatar







Zulgrib a écrit :



Donc ce n’est pas impossible puisque les fournisseur de certificats racine se font hack toute l’année ?







Ah, mais je n’ai pas dit que c’était impossible. Après, non, les fournisseurs de CA Root ne se font pas hack toute l’année, mais effectivement ça peut arriver (cf COMODO).



Dans le cadre des certificats SSL, les clés peuvent être révoquées une fois que le hack est constaté. Pour le Secure Boot, je sais pas si/comment le processus de mise à jour est mis en place.


votre avatar







themagicbanana a écrit :



Ça ne t’intéresse pas, d’accord. Donc il faut empêcher les gens que ça intéresse de pouvoir le faire, parce qu’ils sont minoritaires ?







Non, évidemment, mais mettez-vous un instant à la place d’une entreprise. Elle a le choix entre laisser accès ou non, avec ce que ça comporte comme implications :



Fermer:




  • Le client n’a aucun risque ou presque (rien n’est infaillible) de provoquer une panne de sa machine, volontaire ou involontairement.



    Ouvert :

  • L’utilisateur peut tout casser, se prendre des virus, ce qui signifie plus de support, plus de retours garantie, donc plus de frais alors que 99.99% des gens n’ont pas besoin d’y avoir accès.



    Personnellement, je ne serais pas du tout choqué que les PC “pré-montés” soient verrouillés et que les PC que l’ont monte soit-même soient ouverts.



    Le jour où je veux un téléphone bidouillable, je le monte ! (bon, ça risque d’être dur à trouver, c’est vrai !).



    Actuellement, on a le choix autant sur Smartphone que tablette ou PC. Et je pense qu’il y aura toujours le choix car il y a suffisamment de concurrence pour que ça intéresse un fabriquant. Donc on achète le matériel qui correspond à ce que l’on veut en faire. Moi je veux juste un smartphone, je m’en fous de prendre du fermé. Vous voulez un bidouillable, vous en prenez un ouvert.



    Mais pas la peine de crier au loup sans cesse à propos de matériel que vous n’envisagerez jamais d’acheter !



    Et au passage, les clefs dans l’UEFI sont modifiables manuellement, il n’y a pas de blocage (sur ma carte mère ASUS en tout cas). Donc vous pouvez signer votre noyau et activer le secure boot !


votre avatar







al_bebert a écrit :



ne pas oublier que l’on à acheté le matos, mais seulement un droit d’utilisation des logiciels (OS) fournis avec !





<img data-src=" />



Et par pitié, arrêtez avec la faute é / er …


votre avatar







Edtech a écrit :



Non, évidemment, mais mettez-vous un instant à la place d’une entreprise. Elle a le choix entre laisser accès ou non, avec ce que ça comporte comme implications :



Fermé:




  • Le client n’a aucun risque ou presque (rien n’est infaillible) de provoquer une panne de sa machine, volontaire ou involontairement.



    Ouvert :

  • L’utilisateur peut tout casser, se prendre des virus, ce qui signifie plus de support, plus de retours garantie, donc plus de frais alors que 99.99% des gens n’ont pas besoin d’y avoir accès.



    Personnellement, je ne serais pas du tout choqué que les PC “pré-montés” soient verrouillés et que les PC que l’ont monte soit-même soient ouverts.



    Le jour où je veux un téléphone bidouillable, je le monte ! (bon, ça risque d’être dur à trouver, c’est vrai !).



    Actuellement, on a le choix autant sur Smartphone que tablette ou PC. Et je pense qu’il y aura toujours le choix car il y a suffisamment de concurrence pour que ça intéresse un fabriquant. Donc on achète le matériel qui correspond à ce que l’on veut en faire. Moi je veux juste un smartphone, je m’en fous de prendre du fermé. Vous voulez un bidouillable, vous en prenez un ouvert.



    Mais pas la peine de crier au loup sans cesse à propos de matériel que vous n’envisagerez jamais d’acheter !



    Et au passage, les clefs dans l’UEFI sont modifiables manuellement, il n’y a pas de blocage (sur ma carte mère ASUS en tout cas). Donc vous pouvez signer votre noyau et activer le secure boot !







    Faut pas confondre l’ouverture/la fermeture d’un système, et les qualités/défauts inhérents à sa conception. Pour troller un peu, quand tu utilises Windows, tu es sur un système fermé, ce qui ne t’empêche pas de ramasser des virus.



    Je pense que ça t’a déjà été dit, mais le problème, c’est d’avoir la garantie qu’on aura le choix, et qu’on pourra le faire en toute connaissance de cause.



    Demain, Intel décide de souder la carte mère avec le processeur, et Microsoft décide d’estampiller “Windows compatible” ses machines uniquement pour les CM forçant le Secure Boot (ces 2 scénarii ayant été un temps envisagés), tu n’auras plus le choix, parce que tous les constructeurs de CM voudront le joli logo pour faire vendre.



    Enfin, si: le choix entre une machine récente et fermée, et une machine pourrie mais ouverte.



    Et pour finir, l’ouverture d’un système permet de prolonger sa durée de vie. Un vieux PC, tu y installes Linux et tu peux lui donner une seconde vie. Si c’est plus possible, tu le fous à la poubelle et tu rachète tout <img data-src=" />


votre avatar







methos1435 a écrit :



<img data-src=" />



Et par pitié, arrêtez avec la faute é / er …







dsl j’ai jamais réussit à comprendre cette chose


votre avatar







Edtech a écrit :



Non, évidemment, mais mettez-vous un instant à la place d’une entreprise. Elle a le choix entre laisser accès ou non, avec ce que ça comporte comme implications :



Fermer:




  • Le client n’a aucun risque ou presque (rien n’est infaillible) de provoquer une panne de sa machine, volontaire ou involontairement.



    Ouvert :

  • L’utilisateur peut tout casser, se prendre des virus, ce qui signifie plus de support, plus de retours garantie, donc plus de frais alors que 99.99% des gens n’ont pas besoin d’y avoir accès.





    La preuve : Windows et Linux, oh wait…


votre avatar







B.O.R.E.T.’ a écrit :



Faut pas confondre l’ouverture/la fermeture d’un système, et les qualités/défauts inhérents à sa conception. Pour troller un peu, quand tu utilises Windows, tu es sur un système fermé, ce qui ne t’empêche pas de ramasser des virus.



Je pense que ça t’a déjà été dit, mais le problème, c’est d’avoir la garantie qu’on aura le choix, et qu’on pourra le faire en toute connaissance de cause.



Demain, Intel décide de souder la carte mère avec le processeur, et Microsoft décide d’estampiller “Windows compatible” ses machines uniquement pour les CM forçant le Secure Boot (ces 2 scénarii ayant été un temps envisagés), tu n’auras plus le choix, parce que tous les constructeurs de CM voudront le joli logo pour faire vendre.



Enfin, si: le choix entre une machine récente et fermée, et une machine pourrie mais ouverte.



Et pour finir, l’ouverture d’un système permet de prolonger sa durée de vie. Un vieux PC, tu y installes Linux et tu peux lui donner une seconde vie. Si c’est plus possible, tu le fous à la poubelle et tu rachète tout <img data-src=" />







Mais je suis tout à fait d’accord ! Et on doit empêcher que ça n’arrive ! Je dis juste qu’on crie au loup un peu vite ! Tant qu’il y a des alternatives, ce n’est pas gênant que les gens communs aient des machines verrouillées pour leur propre sécurité.



Et moi, je revends ou file à mon frère les vieilles pièces, parce que mon matériel n’est pas pleinement exploitable sous linux (à moins d’en faire des serveurs).







Mihashi a écrit :



La preuve : Windows et Linux, oh wait…







Oh le vilain troll ! Il y a autant de virus sous Windows que Linux, même plus sous Linux, mais proportionnellement aux parts de marché respectives de chaque OS !



D’ailleurs, ils n’envisageraient pas d’être compatible Secure Boot si Linux était imperméable aux virus !


votre avatar







Edtech a écrit :



Mais je suis tout à fait d’accord ! Et on doit empêcher que ça n’arrive ! Je dis juste qu’on crie au loup un peu vite ! Tant qu’il y a des alternatives, ce n’est pas gênant que les gens communs aient des machines verrouillées pour leur propre sécurité.



Et moi, je revends ou file à mon frère les vieilles pièces, parce que mon matériel n’est pas pleinement exploitable sous linux (à moins d’en faire des serveurs).







Ben justement, on crie au loup avant que ça arrive dans l’espoir que ça fera bouger les choses (bon l’espoir fait vivre, et ceux qui vivent d’espoir meurent de faim, toussa toussa…).



C’est pas quand il n’y aura plus d’alternatives qu’il faudra se réveiller (cf ce qu’il se passe dans le jeu vidéo par exemple), et le meilleur moyen de s’en prémunir, c’est pas de prier pour que les fabricants daignent maintenir des produits spécifiques pour un marché de niche, mais bien de faire en sorte que le choix soit de facto un standard, et donc que les produits grand public (surtout les produits grand public en fait) bénéficient de cette ouverture.


votre avatar

Je ne suis pas assez utopiste pour croire qu’on est capable, nous, quelques geeks au fond de leur piole (fait moins froid que dans le garage) de faire dévier de leur trajectoire les marketeux et autres financiers. Je dois vieillir <img data-src=" />

votre avatar







Edtech a écrit :



Vous me faites rire avec vos pertes de liberté ! Vous vous offusquez car un téléphone ou une tablette ne sont pas modifiables ? Mais réagissez-vous pareil pour d’autres produits tout autant bridés et qui pourraient être modifiés ?



Par exemple, votre belle TV 40” 3D sous Linux, avez-vous ne serait-ce que songé à aller en changer l’OS pour le mettre à votre sauce ? Non, car ça ne vous choque pas qu’une TV ne soit pas modifiable. Et il en va de même pour plein d’équipement (four, cafetière, lecteur DVD, etc.).



La liberté que vous réclamez, vous l’oubliez très facilement quand le produit ne vous semble pas ressembler à un “ordinateur”. Donc tout cela est très subjectif. Pour moi, un téléphone, c’est comme ma cafetière ou ma TV, je ne vois pas de raison d’en changer l’OS.



Par contre, le PC, là je suis entièrement d’accord que ça doit pouvoir se faire.





Parce que ces appareils n’ont rien a voir avec les possibilité d’un PC, puis le succès des HTPC montre bien que n’est pas satisfait par le fonctionnement de leur lecteur DVD…



Sans oublier les problèmes de monopole…


votre avatar







Edtech a écrit :



Je ne suis pas assez utopiste pour croire qu’on est capable, nous, quelques geeks au fond de leur piole (fait moins froid que dans le garage) de faire dévier de leur trajectoire les marketeux et autres financiers. Je dois vieillir <img data-src=" />







ba déjà en évitant d’acheter des trucs ultra fermés.. on contribue à cette pensée !



si tout le monde réagit comme toi forcement on avance à rien.



il est hors de question que j’achète du matos apple, outre leur design que je trouve à gerber, leur politique est juste horrible et je refuse qu’une boite puisse agir sur mon terminal post achat sans me demander mon avis ! en plus de leur politique tarifaire …



et même android j’ai beaucoup de mal !



je suis pas prêt de lacher mon smartphone sous debian moi… bon faut que je change le port usb qui est en train de lâcher mais osef !



votre avatar







al_bebert a écrit :



dsl j’ai jamais réussit à comprendre cette chose









C’est ULTRA SIMPLE !



Tu remplaces le verbe en question par un autre du TROISIEME groupe …





ne pas oublier que l’on à acheter le matos !





Tu remplaces le verbe “acheter” par le verbe “prendre”





ne pas oublier que l’on à PRIS le matos !





PRIS —&gt; “é”

PRENDRE —&gt; “er”


votre avatar







montecristo a écrit :



C’est ULTRA SIMPLE !



Tu remplaces le verbe en question par un autre du TROISIEME groupe …







Tu remplaces le verbe “acheter” par le verbe “prendre”







PRIS —&gt; “é”

PRENDRE —&gt; “er”







merci maintenant faut que je me discipline pour appliquER cette règle… (c’est pas gagné)


votre avatar







Edtech a écrit :



Vous me faites rire avec vos pertes de liberté ! Vous vous offusquez car un téléphone ou une tablette ne sont pas modifiables ? Mais réagissez-vous pareil pour d’autres produits tout autant bridés et qui pourraient être modifiés ?





Le rapport avec l’article ?





Par exemple, votre belle TV 40” 3D sous Linux, avez-vous ne serait-ce que songé à aller en changer l’OS pour le mettre à votre sauce ? Non, car ça ne vous choque pas qu’une TV ne soit pas modifiable.



Ma vieille TV cathodique qui se refuse à crever n’est effectivement pas modifiable.

Néamoins, son entrée péritel accepte les données que mon PC lui transmet <img data-src=" />



Et il en va de même pour plein d’équipement (four, cafetière, lecteur DVD, etc.).



alors continue à t’exprimer depuis ta cafetière.





La liberté que vous réclamez, vous l’oubliez très facilement quand le produit ne vous semble pas ressembler à un “ordinateur”. Donc tout cela est très subjectif. Pour moi, un téléphone, c’est comme ma cafetière ou ma TV, je ne vois pas de raison d’en changer l’OS.



Par contre, le PC, là je suis entièrement d’accord que ça doit pouvoir se faire.



ça tombe bien, l’article que tu essaies de commenter est relatif au bios.


votre avatar







al_bebert a écrit :



je suis pas prêt de lacher mon smartphone sous debian moi… bon faut que je change le port usb qui est en train de lâcher mais osef !







Comment qu’on fait? Faut partir d’un dual-boot, ou changer le bootloader? Ca fonctionne sur toutes les architectures ARM?


votre avatar







B.O.R.E.T.’ a écrit :



Comment qu’on fait? Faut partir d’un dual-boot, ou changer le bootloader? Ca fonctionne sur toutes les architectures ARM?







mon téléphone est d’origine sous debian :)


votre avatar







al_bebert a écrit :



mon téléphone est d’origine sous debian :)







Ah, du home-made? Balaise ^^ Je suis plutôt pour le DIY, mais là j’ai peur que ça dépasse mon niveau de compétence, sans compter le temps à y passer… <img data-src=" />


votre avatar







B.O.R.E.T.’ a écrit :



Ah, du home-made? Balaise ^^ Je suis plutôt pour le DIY, mais là j’ai peur que ça dépasse mon niveau de compétence, sans compter le temps à y passer… <img data-src=" />







Nokia N900 Sous Maemo qui est basé sur debian


votre avatar







Edtech a écrit :



Je ne suis pas assez utopiste pour croire qu’on est capable, nous, quelques geeks au fond de leur piole (fait moins froid que dans le garage) de faire dévier de leur trajectoire les marketeux et autres financiers. Je dois vieillir <img data-src=" />





Il ne faut pas vendre la peau de la loi du marché avant de l’avoir tuée ! Les MS et autres Apple verrouillent le logiciel avec le matériel pour s’assurer un contrôle de leur part de marché mais ils ne sont pas les vrais constructeurs de leurs appareils. Et les constructeurs eux auront tout intérêt à proposer des équipements modifiables !



Il ne faut pas oublier que c’était comme ça pour les PC pendant longtemps aussi jusqu’à que cela ne vole en éclat grâce à … Microsoft ! A l’époque, même IBM qui était tout puissant n’avait pas réussi à renverser la vapeur avec ses PS2…


votre avatar

Pour expérimenté l’EFI sur un Dell XPS15 c’est un grand pas en avant avec Windows 8. Avec Windows 7 je ne suis jamais arrivé à faire une installation viable par contre le gestion par Linux c’est juste une usine à gaz..



Il va y avoir un énorme travail pour faire la migration en douceur vers cette solution.

votre avatar

Marche parfaitement sous Debian.



2 partitions à faire (dont une en FAT .. super ! )

Paquet à installer grub-efi-amd64 en SID, j’ai eu des soucis avec le paquet en testing.



Attention, on ne configure un loader UEFI que via un système booté en … UEFI !



EDIT : UEFI, pas secureboot.

votre avatar



On se rappellera notamment qu’Ubuntu compte procéder de sa propre manière, en proposer une nouvelle clé qui sera proposée aux constructeurs.



proposant ?

votre avatar

heuu un truc que je pige pas.



si la clef est publique la, qu’est ce qui empèche de faire un OS vérolé avec cette clé ?

votre avatar

C’est pas trop tôt.

votre avatar







al_bebert a écrit :



heuu un truc que je pige pas.



si la clef est publique la, qu’est ce qui empèche de faire un OS vérolé avec cette clé ?







Comme pour tout chiffrement asymétrique la clé privée sert à la signature et la clé publique sert pour la vérification de la signature.


votre avatar







bzc a écrit :



Comme pour tout chiffrement asymétrique la clé privée sert à la signature et la clé publique sert pour la vérification de la signature.







heu oui d’accord, mais la tu bidouille un OS tu balance ces clef t’es authentifier alors que ton OS est vérolé jusqu’a l’os (hahahah :/)



ou alors j’ai le cerveau qui manque de coca en ce lundi ?


votre avatar







Thald’ a écrit :



Marche parfaitement sous Debian.



2 partitions à faire (dont une en FAT .. super ! )

Paquet à installer grub-efi-amd64 en SID, j’ai eu des soucis avec le paquet en testing.



Attention, on ne configure un loader UEFI que via un système booté en … UEFI !



EDIT : UEFI, pas secureboot.







Ouais je me disais aussi <img data-src=" /> <img data-src=" />


votre avatar







al_bebert a écrit :



heu oui d’accord, mais la tu bidouille un OS tu balance ces clef t’es authentifier alors que ton OS est vérolé jusqu’a l’os (hahahah :/)



ou alors j’ai le cerveau qui manque de coca en ce lundi ?







J’ai du mal à déchiffrer ton commentaire, mais pour faire simple tu ne peux pas signer ton OS bidouillé toi même puisque tu n’as pas la clé privée. En l’occurrence seul MS peut le faire, et peut être bientôt Canonical mais pour que ça ait un intérêt il faut qu’ils réussissent à faire reconnaitre leur clé par les constructeurs.


votre avatar

Question de noob mais qu’est ce qui empêche un malware d’utiliser ce secure boot ?

votre avatar







Lemon Pie a écrit :



Ouais je me disais aussi <img data-src=" /> <img data-src=" />







J’avais cherché, je n’ai pas trouvé encore.



Et j’ai encore des comportements chelou, genre il ne lance pas lo noyal quand le PC est docké … -_-’


votre avatar



Quelques mois plus tard, on apprenait toutefois que les tablettes ARM sous Windows RT auraient un Secure Boot totalement bloqué.





Je ne vois pas vraiment ce qui choque pour une tablette et surtout du Windows RT .. Ipad on peut mettre un Debian dessus ?

votre avatar







al_bebert a écrit :



heu oui d’accord, mais la tu bidouille un OS tu balance ces clef t’es authentifier alors que ton OS est vérolé jusqu’a l’os (hahahah :/)



ou alors j’ai le cerveau qui manque de coca en ce lundi ?











arno53 a écrit :



Question de noob mais qu’est ce qui empêche un malware d’utiliser ce secure boot ?







Non et non… Un peu de lecture fera pas de mal:

fr.wikipedia.org WikipediaLe seul moyen d’arriver à s’authentifier en tant que constructeur/développeur autorisé (Microsoft, Canonical, …) c’est de choper le clé secrète, qui est… secrète. Même principe que pour les certificats SSL…


votre avatar







bzc a écrit :



J’ai du mal à déchiffrer ton commentaire, mais pour faire simple tu ne peux pas signer ton OS bidouillé toi même puisque tu n’as pas la clé privée. En l’occurrence seul MS peut le faire, et peut être bientôt Canonical mais pour que ça ait un intérêt il faut qu’ils réussissent à faire reconnaitre leur clé par les constructeurs.







Je ne comprends plus rien là, car si j’ai bien compris la news, tu peux installer ton linux vérolé ou pas malgré secure boot activé.





n novembre dernier, nous vous informions que la Linux Foundation travaillait à une solution pour permettre à Linux d’exploiter le Secure Boot. Après tout, il était logique que les distributions se penchent sur une fonctionnalité qui permet un surplus de sécurité plutôt que de devoir systématiquement la désactiver.


votre avatar







Elwyns a écrit :



Je ne vois pas vraiment ce qui choque pour une tablette et surtout du Windows RT .. Ipad on peut mettre un Debian dessus ?





C’est écrit nul part que c’est choquant. Je crois que c’est juste un rappel des faits par Vincent <img data-src=" />


votre avatar







bzc a écrit :



Je vois qu’il y a beaucoup de confusion sur ce sujet mais il est vrai que l’article de PCI n’est pas très clair.







Ce sont les signatures (signés par MS) pour un mini bootloader proposé par la Linux Foundation. (disponible ici http://blog.hansenpartnership.com/wp-uploads/2013/sb-usb.img)



Grace à ces signatures ce mini-bootloader pourra être chargé avec le secure boot activé.

Typiquement ce mini bootloader appellera un autre bootloader plus classique (GRUB, etc) qui appellera le noyau linux.



Comme ce deuxième boot loader et le noyeau ne sont pas signés l’utilisateur devra confirmer à chaque boot qu’il fait confiance aux deux.

Normalement le hash du deuxième boot loader et du noyeau peuvent être ajoutés comme étant “de confiance” manuellement grâce au KeyTool mais celui-ci n’a pas été signé par Microsoft à cause d’un bug dans l’UEFI qui aurait permis de supprimer des clés.



En espérant avoir été clair …







merci de l’explication !!<img data-src=" />


votre avatar







bzc a écrit :



Je vois qu’il y a beaucoup de confusion sur ce sujet mais il est vrai que l’article de PCI n’est pas très clair.







Ce sont les signatures (signés par MS) pour un mini bootloader proposé par la Linux Foundation. (disponible ici http://blog.hansenpartnership.com/wp-uploads/2013/sb-usb.img)



Grace à ces signatures ce mini-bootloader pourra être chargé avec le secure boot activé.

Typiquement ce mini bootloader appellera un autre bootloader plus classique (GRUB, etc) qui appellera le noyau linux.



Comme ce deuxième boot loader et le noyeau ne sont pas signés l’utilisateur devra confirmer à chaque boot qu’il fait confiance aux deux.

Normalement le hash du deuxième boot loader et du noyeau peuvent être ajoutés comme étant “de confiance” manuellement grâce au KeyTool mais celui-ci n’a pas été signé par Microsoft à cause d’un bug dans l’UEFI qui aurait permis de supprimer la “Platform Key”



En espérant avoir été clair …







Merci, enfin je comprends, j’étais perdu. <img data-src=" />


votre avatar

Et en voulant aller trop vite j’ai dit une bêtise ces deux fichiers ne sont pas les signatures, mais les fichiers même du mini-bootloader. L’image de boot usb étant juste une façon simple et rapide de les utiliser.



Les signatures ne sont pas intéressantes en elle même, il n’est pas nécessaire des les ajouter puisque justement ces fichiers sont signés par la clé privée de MS et que l’UEFI a déjà la clé publique.



Bref le reste de mon commentaire reste valide, grace à ce bootloader signé on peut charger GRUB etc etc …



Je me suis embrouillé moi même dans mon explication, ils nous ont pas pondu un truc simple avec cet UEFI :)

votre avatar







nucle a écrit :



Moi ça me choque. Et ce qui me choque également, c’est que ça n’a pas l’air de vous choquer.

Quelque soit le constructeur, quelque soit l’OS, c’est délirant mais on avale ça sans broncher et c’est de pire en pire. Je serais curieux de savoir à quel stade de disparition de leur liberté cela réveillera les gens. <img data-src=" />





Tellement vrais…


votre avatar







nucle a écrit :



Moi ça me choque. Et ce qui me choque également, c’est que ça n’a pas l’air de vous choquer.

Quelque soit le constructeur, quelque soit l’OS, c’est délirant mais on avale ça sans broncher et c’est de pire en pire. Je serais curieux de savoir à quel stade de disparition de leur liberté cela réveillera les gens. <img data-src=" />







Quand tu vois qu’ils existent des fanboys MS, et bcp ici., sans même comprendre les conséquences…. Je pense qu’ils aimeraient même être fouetter par Ballmer


votre avatar







moxepius a écrit :



Tellement vrais…







les abrutis s’en tape, les autres n’achète pas, manque de bol on est beaucoup moins à en avoir quelque chose à foutre qu’un système soit ouvert …


votre avatar







paradise a écrit :



<img data-src=" />



Je préfère virer le secure Boot carrément, pas envie d’avoir ça chez moi.





Moi aussi, je veux dire que je pense avoir compris l’intérêt de ce Secure Boot mais du coup je pense que pour moi il y aurait plus d’inconvénients que d’avantages à l’utiliser.


votre avatar







al_bebert a écrit :



les abrutis s’en tape, les autres n’achète pas, manque de bol on est beaucoup moins à en avoir quelque chose à foutre qu’un système soit ouvert …







J’ose espérer que ce n’est point le cas… <img data-src=" />


votre avatar







al_bebert a écrit :



les abrutis s’en tape, les autres n’achète pas, manque de bol on est beaucoup moins à en avoir quelque chose à foutre qu’un système soit ouvert …







Pourquoi abrutis ? Je m’en moque, car ça m’apporte rien de plus en terme d’usage.


votre avatar







nucle a écrit :



Moi ça me choque. Et ce qui me choque également, c’est que ça n’a pas l’air de vous choquer.

Quelque soit le constructeur, quelque soit l’OS, c’est délirant mais on avale ça sans broncher et c’est de pire en pire. Je serais curieux de savoir à quel stade de disparition de leur liberté cela réveillera les gens. <img data-src=" />









  • 1000



    We are doomed…<img data-src=" />


votre avatar

heu…je pige pas le truc “tpm”…cette m est integré où ?

votre avatar

Et pourquoi doit-on se farcir un truc “sécurisé” si on en veut pas ? Par exemple moi j’aime bien mes boots non-sécurisés, et je n’ai pas envie de devoir bricoler mes OS pour faire plaisir a Microsoft. Comment cela se passe dans ce cas ? Les constructeurs ont-ils prévu de me laisser le choix ? (j’imagine que non…)

votre avatar







RRMX a écrit :



Et pourquoi doit-on se farcir un truc “sécurisé” si on en veut pas ? Par exemple moi j’aime bien mes boots non-sécurisés, et je n’ai pas envie de devoir bricoler mes OS pour faire plaisir a Microsoft. Comment cela se passe dans ce cas ? Les constructeurs ont-ils prévu de me laisser le choix ? (j’imagine que non…)







Tout dépend du produit, sur un PC, tu as obligatoirement le choix, sur une tablette RT ou windows phone, tu n’a pas le choix, mais dans ces 2 derniers cas, tu as des alternatives.


votre avatar







Bylon a écrit :



C’est bien le problème… une solution plus ouverte avait été proposée en laissant la possibilité à l’utilisateur de rajouter ses propres clés de confiance dans l’UEFI.



C’était mieux… mais visiblement trop “ouvert” pour plaire à Microsoft !





C’est “mieux” en apparence…

mais ça permet à l’Interface Chaise-Clavier de provoquer une brèche dans la sécurité.

Tandis que celui qui veut se faire son OS ira enlever le SecureBoot après les avertissements

“Etes vous sur de bien vouloir être certain ?”


votre avatar







RRMX a écrit :



Et pourquoi doit-on se farcir un truc “sécurisé” si on en veut pas ? Par exemple moi j’aime bien mes boots non-sécurisés, et je n’ai pas envie de devoir bricoler mes OS pour faire plaisir a Microsoft. Comment cela se passe dans ce cas ? Les constructeurs ont-ils prévu de me laisser le choix ? (j’imagine que non…)







Si t’avais lu la news, t’aurais vu que la réponse à ta question s’y trouve. Oui les constructeurs PC te laisseront le choix, c’est obligatoire pour pouvoir obtenir la certification Windows 8. En revanche tu n’auras pas le choix sur tablette Windows RT.


votre avatar







al_bebert a écrit :



les abrutis s’en tape, les autres n’achète pas, manque de bol on est beaucoup moins à en avoir quelque chose à foutre qu’un système soit ouvert …







Vous me faites rire avec vos pertes de liberté ! Vous vous offusquez car un téléphone ou une tablette ne sont pas modifiables ? Mais réagissez-vous pareil pour d’autres produits tout autant bridés et qui pourraient être modifiés ?



Par exemple, votre belle TV 40” 3D sous Linux, avez-vous ne serait-ce que songé à aller en changer l’OS pour le mettre à votre sauce ? Non, car ça ne vous choque pas qu’une TV ne soit pas modifiable. Et il en va de même pour plein d’équipement (four, cafetière, lecteur DVD, etc.).



La liberté que vous réclamez, vous l’oubliez très facilement quand le produit ne vous semble pas ressembler à un “ordinateur”. Donc tout cela est très subjectif. Pour moi, un téléphone, c’est comme ma cafetière ou ma TV, je ne vois pas de raison d’en changer l’OS.



Par contre, le PC, là je suis entièrement d’accord que ça doit pouvoir se faire.


Le Secure Boot de l’UEFI peut désormais être pris en charge par Linux

  • L'opposition entre Windows 8 et les distributions Linux 

Fermer