Depuis que Microsoft a abordé la question du Secure Boot, la question du démarrage de Linux sur des machines Windows 8 revient de manière récurrente. En effet, le simple processus de boot est rendu plus complexe pour les systèmes alternatifs. Cependant, la Linux Foundation travaillait sur une solution et celle-ci est presque prête.
Une solution unique pour tous les Linux
Le 10 octobre dernier, la Linux Foundation a annoncé travailler sur une solution commune à un problème : le délicat mélange du Secure Boot et des distributions Linux. Le Secure Boot est un mécanisme faisant partie des spécifications UEFI et utilisé par Windows 8. Sur les tablettes ARM, le mécanisme est obligatoire et permet de contrôler l’intégrité des éléments de la chaine de démarrage. Sur les machines x86, et en particulier les PC classiques, l’élément doit être présent, et si son activation est présente par défaut, le Secure Boot doit pouvoir être désactivé.
Dans l’idéal, les distributions Linux devraient pouvoir s’installer sur une machine équipée d’un UEFI et du Secure Boot. Après tout, ce dernier n’est pas un mécanisme de Microsoft mais une technologie neutre qui devrait pouvoir être exploitée par n’importe quel système. Dans la pratique, le Secure Boot est largement influencé par Microsoft et se mettre au diapason réclame l’achat d’une clé chez Verisign pour signer l’ensemble des éléments impliqués dans le démarrage.
L’idée de la Linux Foundation était simple. Les distributions Linux se basent le plus souvent sur un « bootloader » qui permet ensuite au système de démarrer. Un processus en deux temps auquel la fondation proposait d’en ajouter un troisième : un pré-bootloader qui interviendrait en premier lieu pour s’occuper de l’initialisation du démarrage sécurisé. Un test doit faire partie du processus pour contrôler qu’il est initié par un utilisateur réel et non par un malware quelconque. Mais le projet a pris du retard à cause des étapes nécessaires, notamment l’obtention de la clé Microsoft.
Presque terminé, mais...
James Bottomley, membre du Technical Advisory Board de la fondation, mainteneur du noyau Linux et directeur technique de la société Parallels, est l’un des auteurs principaux du projet. Dans un échange avec ZDnet, on apprend cependant que le projet est pratiquement réalisé : « Nous en avons terminé avec le contrat signé de Microsoft et le fichier binaire est prêt pour la distribution ».
Il signale toutefois que des problèmes du côté de l’éditeur de Redmond ont ralenti l’ensemble des démarches : « La première fois que j’ai envoyé le loader, il s’est retrouvé coincé (il l’est toujours en fait). J’en ai donc envoyé un autre une semaine après environ. Ce qui a produit finalement un téléchargement, dont j’ai vérifié la signature (clé MS UEFI) et qui est fonctionnel, mais les personnes du centre sysdev de Microsoft indiquent maintenant que cette signature est une erreur et que nous devons attendre que le problème soit réglé ».
Entre les mains de Microsoft
Selon James Bottomley, le problème pourrait venir que le binaire n’est pas signé d’une clé spécifique à la Linux Foundation, et ne l’identifiant pas comme tel en dernier ressort. De fait, le problème est actuellement entre les mains de Microsoft et Bottomley espère que la réponse ne mettra que quelques jours à arriver. Steven J. Vaughan-Nichols de ZDnet signale pour sa part qu’avec la période des fêtes de fin d’année, il est possible que le processus nécessite encore plusieurs semaines.
À terme, si les problèmes sont dépassés, ce fichier binaire signé devrait permettre à toute distribution Linux de pouvoir démarrer sur une machine disposant du Secure Boot activé, et donc de profiter de la dose de sécurité supplémentaire. Notez que le travail de la fondation pourrait court-circuiter certaines initiatives comme celle de Canonical qui tentent de proposer leur propre clé, avec le bénéfice de proposer une solution commune à tous les éditeurs Linux. Ce qui est précisément le travail de la Linux Foundation.
Commentaires (97)
Reste que par principe, je n’aime pas ce Secure Boot, et que Microsoft s’incruste encore d’avantage dans nos PC sans même avoir windows d’installé.
" />
Le PC personnel doit rester une norme ouverte à tous permettant l’exécution de n’importe quel code non signé.
Cette histoire, je ne la sent pas, on commence par une belle cage dorée, jusqu’à ce qu’on ne puisse plus en sortir…
J’ai raté un truc : si ils mettent un bootloader-secureboot intermediaire, qu’est-ce qui empeche quelqu’un de mettre derriere un linux verolé ? ou un windows verolé ?
Ouais et puis même si ça devient transparent techniquement, va savoir si ce sera durable. Et de toute façon c’est vachement pervers de devoir attendre une réponse de MS pour un preloader universel signé, rien que ça, ça me filerait des boutons.
Et puis je vois pas d’intérêt au Secure Boot de toute façon, si un mec à un accès physique à ton PC il en fera ce qu’il veut, qu’il soit bootable avec un autre OS ou pas.
Attention en faisant le raccourci “sur toute machine disposant du Secure Boot activé”. Activer le secure boot n’est pas si simple, il faut du matériel compatible !
La carte mère avec l’UEFI ne suffit pas ! Actuellement, sur ma machine, la carte graphique (AMD HD7970) et le SSD (OCZ Revodrive 3) ne sont pas compatibles !
La première je ne sais pas encore pourquoi, le second parce qu’il faut que le type de secteur d’amorçage soit en GPT et non en MBR.
J’ai ouvert un sujet sur le forum pour que les gens puissent indiquer quels sont les matériels compatibles ou non :http://forum.pcinpact.com/topic/164863-compatibilite-du-materiel-avec-le-secure-…
Le soucis, avec le secure boot, c’est que c’est fondamentalement inefficace : un utilisateur lambda, si ça ne fonctionne pas, il va forcer. Il ne va pas chercher à comprendre d’où ça viens, il veut juste que ça démarre. Donc, forcément, le secure boot sera désactivé au lieu de vérifier si le démarrage n’est pas corrompu.
Alors, qu’un message d’alerte clair et bien expliqué par dessus la séquence de boot avec une pause de celle ci serai sûrement plus efficace (n’empêche pas le boot, mais s’affiche à chaque démarrage) et moins paralysant.
…Linux de pouvoir démarrer sur une machine disposant du Secure Boot activé, et donc de profiter de la dose de sécurité supplémentaire.
Tout est relatif. SB a été décrié bien des fois pour des manque ou des “lock” qui rendent le truc trop chiant.
C’est assez navrant de voir que le marché PC prend les travers du marché mobile (qui enferme bien fort lui aussi) mais les utilisateurs ne le voient pas encore. ils ont encore un PC (ou mac) sans trop de prise de tête.
SB est au PC ce qu’un Android / WM8 /ios est au mobile (tu passes par le “store” du fabriquant, sans trop de choix). “Attention malheureux ne regarde pas par dessus la palissage, le loup va te manger!”.
Le principe du boot loader alternatif ne viens t-il pas en contradiction de ce qu’est censé “protéger” le secure boot???
De plus c’est quoi cette histoire d’accord de MS, je croyais que l’OS devait être signé et que cela ce passe entre l’éditeur du système d’exploitation et les fabricants matériels?
Bon a se rappeler : desactiver cette chose lors de l’achat d’un nouveau PC ^^.
Secure Boot inutile , c’est comme tout ceux qui croyaient dur comme fer que MAC était immunisé au virus .
" />
Vous n’avez jamais vu Independance Day les jeunes , même les aliens finissent par crever faute d’antivirus et secure boot .
@ Oungawak c’est la premiere etape d’abord on fait un truc pseudo parametrable
en disant oui sa apporte ceci
puis apres on dit oue enfaite c’est efficace mais seulement si c’est en dure dans le bios
personelement ya toujours un ptit C.. qui va trouver la faille et se dire super j’ai fait chier 30 millions de personne aujourd’hui
j’entend un concpeteur de virus malware ou que sais je encore
ceci et une tentative desepsere de windows pour boucler les gens dans son eco systeme comme son market ceux qui ne marchera pas tout le monde ne s’appele pas Apple
parce que personelement si ya plus qu’ un market et une imposibilité (ou une complication suplementaire de metre un nouvel os autre que window 8 ou 9 )
je n’acheterai ni l’os ni le materiel
A la lecture de l’article, j’en conclus donc que le secure boot est bien le cheval de troie de microsoft pour TUER LE CONCEPT DU PC libre, et prendre le contrôle sur nos ordinateurs de manière détournée !
C’est inacceptable !
Mais que fout le législateur européen pour taper du poing sur la table, et arrêter ce massacre ?!
Je comprends pas bien : si le Secure boot est une norme UEFI, que vient faire MS là dedans ?
C’est MS qui est seul responsable de la norme ?
Toutes les plus sombres prédiction de la prose anti-Palladium (il y une petite dizaine d’année environ je crois ?) sont en train de se réaliser. Ca à commencé avec l’iPhone et son modèle ultra fermé, l’histoire des bouquins éffacés à distance des liseuses éléctronique, le DPI, le secure boot… etc.
" />
A l’époque on nous traitait de parano. Je pensais que c’était de la part des gens qui n’y croyait pas, pas qu’on trouverait ça tout à fait normal
Vu que c’est desactivable, je voit pas ou est le probleme. Si un FABRICANT n’inclut pas l’option, la oui il y a un probleme.
Par contre, que MS soit celui qui fournit les clés, je voit pas le rapport avec la choucroute si c’est censé etre un standard …
Personnellement, ça me ch… grave qu’on en arrive là.
J’espère de toutes mes forces que je trouverai du matos 100% compatible afin de ne pas avoir à ajouter cette sorte de patch supplémentaire au boot.
Pas question que j’ajoute cela dans ma ou mes bécanes, PC/tour ou portable, ou autre tablette/smartphone.
Je ne pense pas que MS ait intentionnellement ajouté le SB pour nuire à Linux, ceci dit, ce sont plutôt les constructeurs qui sont à blâmer si cette fonction n’est pas désactivable dans le BIOS.
Une solution de “securite” materielle fortement appuyee par Microsoft “desactivable” pour le moment, et certains ne trouvent pas ca louche. Eh ben.
Quand on sait que Microsoft fait deja la pluie et le beau temps aupres des constructeurs en sortant ses windows au rythme qu’il le souhaite pour forcer (ou non) le renouvellement materiel, il n’est pas difficile d’imaginer que Microsoft n’aura pas grand mal a imposer le secure boot et a s’approprier les cles que visiblement, il possede deja ! Qu’est-ce qui les empecherait dans le futur de “mettre a jour pour plus de securite” le certificat et de refuser de le fournir a la Linux Foundation ?
je le dit et je le repete c’est une tentative d’enfermer le client dans un ecosystem
" /> dire qu’il font cela pour la securité des gens et un mensonge ehonté
dans 1 ans ou 2 tout les pc vendu par les centre comerciaux seront blocker sous
windows sauf si les constructeur ne se laisse pas faire
exactement comme a lepoque avec les tag des disque durs mais la ou c’est fort c’est que
si on veu metre un os plus ancien comme du temps de vista repasser a xp
on ne poura plus le faire
ou on devra acheter une carte mere “free boot”
ce qui ne comprenent pas cela vive au pays des bisounours
microsoft na jamais rien fait d’altruiste
et la fondation linux et bien con d’etre tomber dans le pannaux et jouer le jeu de microsoft
on vois bien ce que ça donne le system et a peine en place que les distribution n’arive pas a obtenir leur clee sous pretexte d’un probleme “informatique”
maintenant microsoft tien le libre par les c….
tu rira autant quand tu pourra une nouvel fois plus installer ton linux .. sur ton pc
et qu’il fautra attendre 2 ans pour que la pratique soit punis par la lois
le secure boot, c’est juste pour faire chier Kon-Boot, en fait. pourtant ça aide pas mal pour dépanner quand ces ahuris de clients oublient de me donner leur mot de passe de session!
Secure Boot c’est une défense supplémentaire du PC contre les attaques.
Mais bon, on reste dans le domaine de la sécurité dite “périmétrique”. C’est à dire s’assurer que le PC est une zone fortifiée dans laquelle on peut faire n’importe quoi.
Hors la plupart des attaques se font maintenant depuis l’intérieur du château-fort: failles 0-day, ingénierie sociale, spyware/malware, …
Vouloir faire de la sécurité périmétrique ca impliquerait de signer de bout en bout toute la chaine depuis le boot secteur jusqu’au moindre bout de code présent sur le PC, d’être sur qu’il n’y a pas de faille dans le gestionnaire de signatures, et bien sur de faire confiance a chaque installer qui se propose d’installer du code sur votre PC.
Même les plateformes en “walled garden” ont été hackés, piratés et vérolées.
En effet, le simple processus de boot est rendu plus complexe pour les systèmes alternatifs.
Pas seulement pour les systèmes laternatifs. Sur un PC HP, impossible de booter sur le moindre CD/DVD, même Windows 7. Il a fallu aller trifouiller dans le BIOS pour désactiver leur m*****. Heureusement que c’est désactivable.
Hé ben j’espère ne pas avoir besoin de changer de carte mère avant longtemps.
Pour moi c’est simple, boycot de toute machin avec secure boot.
C’est le coup de la grenouille dans la casserole, àmha c’est tout à fait normal d’être méfiant.
On pourrait l’être d’autres entreprises aussi s’ils faisaient le même genre de chose.
Par exemple Google empêchant (par une certification “Android secured”) d’installer des ROMS alternatives .. sur ses Nexus ou sur tous les smartphones Android
Edit: lisibilité