La rumeur voulait que Microsoft soit en pourparlers avec OpenAI pour un investissement extrêmement massif de 10 milliards de dollars dans l’entreprise. Le montant exact n’a pas été confirmé, mais les deux entreprises ont indiqué, dans un communiqué commun, qu’il s’agissait bien de plusieurs milliards de dollars.
Le nouveau partenariat implique plusieurs changements. D’une part, Microsoft s’engage à fournir à OpenAI des supercalculateurs spécialisés pour une poursuite plus rapide de ses travaux. Ensuite, Microsoft déploiera les modèles OpenAI à ses clients et dans ses produits entreprise pour introduire de « nouvelles catégories d’expériences numériques ».
Enfin, et c’était à prévoir, Azure devient le partenaire cloud exclusif d’OpenAI. Dans la pratique, c’était déjà le cas, tous les développements d’OpenAI s’étant faits dans Azure. C’est maintenant une obligation contractuelle.
« Dans la phase suivante de notre partenariat, les développeurs et organisations de toutes les industries auront accès aux meilleurs modèles, architecture IA et chaines d’outils avec Azure pour construire et exécuter leurs applications », s’enthousiasme Satya Nadella.
Il ne fait aucun doute que Microsoft se positionne désormais comme un acteur de l’intelligence artificielle. Les ambitions de l’entreprise vont loin, et on peut s’attendre à ce que tous les produits de Redmond finissent par contenir une dose plus ou moins importante d’IA.
Commentaires (42)
#1
Autant un Windows boosté à l’IA serait un gain de fou, qui connait tes habitudes et ton niveau d’approche face à l’OS augmenterait considérablement la sécurité ainsi que les optimisations des process.
Autant MS va vraiment tout connaitre du client et surpasser Google dans la pub ciblée & co.
#2
C’est vrai que l’intelligence naturelle moyenne derrière le clavier/mulot d’un windows étant ce qu’elle est, on comprends de suite l’intérêt de lui ajouter de l’artificielle!
Pour ceux que ça va exaspérer qu’on essaie de penser à leur place, il fallait déjà fermer le bec de l’ispice di counnasse de Cortana qui vous casses les couilles dès l’install, espérons que ce support AI/ML sera désactivable.
#2.1
De toute façon, dans intelligence artificielle, le mot important est artificielle. L’intelligence n’y est pas.
Je te laisse sur l’appréciation de l’intelligence des utilisateurs qui n’ont pas forcément le choix au moins au travail, mais elle reste forcément supérieure à celle d’une IA.
#2.2
Est-ce que tu as entendu parler de la Série Halo ?
Perso, je n’avais jamais joué au jeu, donc je m’attendais à tout… sauf à ça !
J’ai commencé à regarder le premier épisode, peinard… jusqu’à l’arrivée de… Cortana in person !!! Là j’ai sauté en l’air, je me suis écroulé de rire, et me suis dit : Naaan…. Ils ont pas osé ? C’est pas possible, une telle connerie !
Alors maintenant question à Zéro dollar : est-ce qu’il ont nommé la Cortana de Windows 10 d’après le jeu, ou nommé le perso du jeu et de la série d’après leur stupide AI ?
Si vous ne l’avez pas encore fait, ou si vous avez oublié comment faire, voici un script Powershell pour désinstaller complètement Cortana.
#3
C’est très cher pour assez peu de “plus”.
Windows avec de l’IA:
Tout ca c’est possible sans IA, seulement de la stat et un peu de jus de citron de développeur qui comprend ce qu’il fait.
Après je vois pas trop. Si on met de l’IA dans les gestions internes de Windows (base de registre) ca pourrait plus faire de mal que de bien. Et pour quel gain ? Si Windows fonctionnait si mal il ne serait N°1 de OS vendus.
Tout logiciel peut aider l’utilisateur. Mais avant tout; tout passe par un peu d’éducation. Et c’est pas une IA qui va résoudre le problème.
#4
J’imagine que l’IA sera plutôt dans les applis comme MS-Office pour aider à « bien » écrire. Comme ce que propose DeepL depuis quelques jours en version beta : https://www.deepl.com/write (je n’ai pas encore testé).
On peut imaginer plein d’autres choses dans le genre assistant personnel. Par exemple rappeler de répondre par courriel à quelqu’un à qui on a déjà promis une réponse et proposer un choix entre une réponse dilatoire pour faire encore attendre, une réponse « oui » et une réponse « non » avec la forme professionnelle qui va bien.
Si MS est loyal vis-à-vis de ses clients, il pourrait en résulter une assistance qui apporte un vrai gain à l’utilisateur, sans que ses données soient pillées par MS/OpenAI. Je rêve probablement.
#5
Sauf que les clients de Microsoft, ce ne sont pas forcément les utilisateurs de Windows. Ce sont (et de manière croissante) les annonceurs. Comme c’est le cas pour Google à l’heure actuelle.
D’autre part Microsoft n’a jamais été loyal. Il a menti. Il a collaboré avec des dictatures pour permettre à des gouvernements d’espionner les échanges réseau. Il fournit à certains citoyens des versions modifiées de Windows et Skype pour permettre les écoutes par certains gouvernement. Il ment sur les failles de sécurité et les refile à certaines agences gouvernementales et attend jusqu’à un mois avant de les révéler au public.
Et des exemple comme ça, on en a plein.
Je ne fais aucune confiance à Microsoft.
Je hais déjà la pseudo-intelligence incluse dans les outils Microsoft (au hasard: le format automatique des cellules d’Excel ? Les “suggestions” d’Office365 ? ), je leur fais confiance pour nous pourrir jusqu’à l’OS avec des suggestions d’I.A. toutes plus débiles les unes que les autres.
Mais ça sera séduisant vis-à-vis du public, alors ça va commercialement marcher. La tristesse.
#5.1
Tu n’es pas sympa, moi j’espérais pouvoir rêver un peu.
Cela dit, je suis totalement d’accord avec toi.
#6
À titre d’exemple je rappelle que les super enceintes connectées “intelligentes” sont vendues à perte, les enregistrements de vos paroles sont envoyés à des sous-traitants de Google, Apple et Amazon dans tous les pays (donc écoutés par des humains) pour améliorer leurs I.A.
Quand à GPT3, au coeur de la future techno de Microsoft, elle est aussi entraînée avec des jeux de données biaisés (elles sont racistes, entre autres : demandez aux I.A. génératrices d’image de vous montrer un terroriste, il aura systématiquement la peau basanée).
En plus des données d’entraînement de GPT3 biaisées, cette I.A. est “corrigée” à grand coup d’exploitation de populations dans des pays pauvres, payés 2$ dollars de l’heure.
#7
Les clients de Microsoft sont les clients de Microsoft.
Quel rapport entre les annonceurs et les plateformes vendues par MS, comme M365 ou encore Azure ?
Comme d’hab, le discours de lobbyist qui ne change pas depuis 20 ans, c’est lassant au plus haut point.
Tu n’es pas la cible de ces features (ne serait-ce qu’au vu de ta haine affichée) mais le monde devrait penser et agir comme toi ? De lobbyist, on passe à prosélytiste.
Pour travailler tous les jours avec du M/D365 au complet, ça apporte un confort non-négligeable. Libre à toi de t’en servir ou pas, rien ne te force à les utiliser.
Fourre-tout habituel militant, dont acte.
Marrant, je viens de faire le test sous DALL-E, et les terroristes sont bien blancs.
Mais je te rejoins, c’est totalement biaisé, encore une fois infusé par la dérive “plus gauche qu’à gauche”, tout comme google. On peut le voir via les exemples suivants : https://twitter.com/njhochman/status/1613061827067363329
“Et des exemple comme ça, on en a plein.”
Exploitation ? Au nom de ton prisme d’européen ?
Marrant, parce que dans l’article à la source du brief auquel tu fais référence, https://time.com/6247678/openai-chatgpt-kenya-workers/ , les concernés ne sont pas forcément de cet avis et ont d’ailleurs perdu leur boulot grâce au gentil Time
Pas forcément, il y a déjà des travaux dans ce sens qui vont au-delà de ça; par exemple dans la gamme Surface avec un NPU intégré pour apporter/accélérer de nouveaux algorithmes, incluant le floutage dans Teams : https://blogs.windows.com/devices/2022/10/12/introducing-new-surface-devices-that-take-the-windows-pc-into-the-next-era-of-computing/
Il y a beaucoup d’imagination, du très basique “clic droit contextualisé” au très fantasmagorique “pillage de données”, mais tout ça ne se base sur de la spéculation.
En réalité, rien n’est annoncé publiquement, si ce n’est une volonté et une tendance pour les prochaines années.
#8
Il n’est sans doute plus numéro 1, hormis sur PC avec la vente liée à laquelle il faudrait enfin mettre un terme, car absent de tous les nouveaux usages qui génèrent désormais plus de vente que le PC. A commencer par le mobile ou Androïd et iOS ont pris le marché.
Il semble d’ailleurs que Microsoft ressente un léger besoin à pousser à la consommation, sinon il n’imposerait pas un TMP2.0 alors que la plupart des machines avant cette annonce intégraient au mieux des 1.2, y compris des laptops gamme pro (censés être mieux pourvus de ce côté) encore fabriqués en 2020!
Pas certain que ce soit couronné de succès vu des utilisateurs surtout que l’intérêt est fort limité: Un TPM typiquement interfacé en I2C pour valider la signature d’un binaire que l’on doit lui envoyer pour ce faire, on comprends bien qu’on ne va l’utiliser que pour éviter de se faire taper quelques points clef de firmware de démarrage de taille limitée avec derrière une gestion de la sécurité classique. Hors de question de lui faire valider le noyau Linux ou Windows et tout ce qu’on pourra charger de modules/drivers.
Ce truc est con comme le secure-boot qui n’est qu’un emplâtre sur une jambe de bois lié au fait que Microsoft n’a jamais su se passer de services liés au BIOS (les fumeuses “interruptions” BIOS des débuts, qui ont fait le nid des virus de secteur de boot pouvant gauler tout ce qui passait au clavier/stockage…) puis à l’UEFI (runtime services utilisables tout l’uptime, après la césure de l’exit boot services réalisée par NTLDR/Grub). Tout ce dont se passe Linux sur toute architecture autre que x86.
#8.1
Je ne comprends pas tout ce que tu dis. Je suppose que tu parles du I²C pour souligner le fait que matériellement c’est faillible ? (Ce qui laisse en suspend la question fTPM, je suppose que la réponse dépend des implémentation, mais certainement plus compliqué de mettre un place un wiretap)
Que veux-tu dire avec les virus de boot et interruptions ? L’UEFI/BIOS fournissent une couche d’abstraction qui permet par exemple de charger un driver pour une carte RAID spéciale. Comment faire autrement, à part, plus d’abstraction, un (ou quelques) standard que tout le monde suit au niveau matériel ? Ou alors tu prêches le support d’un matériel limité ? (Exemple : juste tel contrôleur) ?
#9
Attention aux guillemets et à l’ensemble: “Interruptions” BIOS ce n’était pas vraiment des interruptions au sens matériel mais la porte d’entrée à des services BIOS via une instruction spéciale avec un numéro de service (j’avais personnellement piqué les mdp de toute mon école d’ingé ou presque en récupérant celle du clavier, et quand je voyais passer les caractères “login” “passwd” et d’autres à cette époque ou on utilisait essentiellement la CLI, j’enregistrais 2 dizaines de caractères derrière sur une zone cachée du HDD qui contenait alors user+password).
https://en.wikipedia.org/wiki/BIOS_interrupt_call
Pour l’I2C, il y a surtout que c’est très lent… et que devoir lui envoyer des binaires complets, bin faut limiter sinon on va booter en 10mn et on perds un peu l’intérêt de mettre des SSD NVME!
#9.1
Oui oui, int 13 = hdd… 21 pour ms dos, 33 la souris… 1 ou 0 pour rtc je ne sais plus.
Sauf que une fois windows chargé, il n’y a plus d’usage de ces interruptions (toutes les interruptions “software”).
Je parle là de la branche NT, la branche 95 98 ME c’est autre chose. Je ne comprendd pas trop par exemple comment en installant un virus dans le secteur boot (sachant qu’à l’époque où c’était la mode il y avait des hooks dans le BIOS pour empêcher l’écriture du secteur 0) tu arrives à récupérer les frappes clavier destinées à winlogon venant en plus d’un clavier USB.
Je ne dis pas qu’avoir un virus dans le secteur boot ne permet pas ça, juste que c’est un poil compliqué (ie sous NT tu ne vas pas récupérer les frappes clavier juste en hookany l’interruption clavier du BIOS)
Pour ce qui est de la TPM, es-tu sûr de comprendre comment secureboot fonctionne ? Je ne suis pas du tout sûr que le binaire se fasse envoyer à la tpm, mais plutôt une empreinte… Faudrait que je relise mais ma dernière investigation en détail des TPM ne m’a pas fait penser qu’on envoyait tout. Tu “mets à jour” un registre et si tu arrives à la bonne valeur alors certains éléments sont descelés.
#10
Le retour de “Clippy”, version 3.0 boosté à l’IA.
#11
Ce qui m’inquiète plus c’est que par défaut Windows enregistre les documents perso dans son cloud, de là à ce que MS utilisent cette source de données pour “éduquer” son IA (comme c’est actuellement le cas avec les assistants vocaux).
Déjà, quand je vois dans ma boite que Teams me suggère des réponses dans mes conversations à accès restreint…
#11.1
Ben les utilisateurs de Windows un tant soit peu inquiets pour leur vie privée ou la confidentialité de leurs données vont finir par ne travailler qu’avec des containers chiffrés j’imagine.
Perso le seul Windows que j’ai chez moi me sert uniquement au jeu vidéo, donc j’ai pas trop d’inquiétudes à me faire, c’est une coquille vide. Et quand je vois les petits changements de comportements au fil des mises à jour, les fonctionnalités qui me dérangent côté vie privée qui sont activées par défaut, le prompt “Windows hello” tous les X temps, etc, ça me conforte dans ma position de ne pas lui en donner plus. Je suis de la vieille école et préfère un minimum de maîtrise de mes appareils, et non être maîtrisé par ceux-ci.
#11.2
Je suis pas d’accord pour la confidentialité des données. MS ne respecte pas le principe de Kerckhoffs. Partant de là, il n’y a aucune confiance ni raison de leur confié des données (même du jeu vidéos, merci Proton).
Après, savoir ta liste de jeux vidéos est déjà une info intéressante pour de la pub ou de l’espionnage.
#11.3
A quel moment me diffuseraient-ils de la pub ? Si tu parles des vignettes dans le menu démarrer, dans la mesure où je ne l’ouvre jamais ça n’ira pas bien loin
#11.5
Si tu as Adblock & NoScript, jamais. Mais bon, c’est toujours une donnée privée de plus à ton égo numérique.
#11.6
Oui c’est pour ça que je veille à leur en donner le moins possible. Ce PC ne sert à rien d’autre.
A dire vrai, c’est pas tant Microsoft pour le coup qui est inquiétant côté profilage pour le jeu vidéo, mais plutôt Steam qui est devenu un acteur central quasi incontournable.
#11.4
Perso j’utilise la suite graphique Corel, et désolé mais The Gimp ce n’est pas Painter (sans parler de la compatibilité des tablettes Wacom).
Du coup je stocke mes créations sur mon DD mais je n’ai pas spécialement envie qu’elle viennent remplir les bases de connaissances de Dall-E et autres Midjourney.
Et effectivement je joue également (essentiellement des jeux GoG)
edit : Non Halo ça a été édité par Bungie qui a été racheté par MS ;)
#12
#13
Tu n’as pas testé sur Linux ?
Une très grande partie des jeux Steam (même ceux marqués Windows seulement) et Epic Games (certainement aussi ceux sur Origin (EA) ou d’Ubisoft, mais j’ai pas trop testé ceux-là) fonctionnent très facilement sous Linux (sous Steam c’est natif avec proton, pour les autres plateformes regarde du côté de Lutris).
Pour les autres jeux, c’est un peu plus compliqué à lancer, et la liste des titres compatibles est disponible ici.
Le gros point négatif c’est easy anti-cheat qui ne fonctionne pas sous linux et donc pareil pour tous les jeux qui l’utilisent… (malgré des annonces, je l’ai pas encore vu fonctionner, mais j’ai pas eu beaucoup d’occasions).
#13.1
L’assistant Cortana de Windows a été nommé par rapport au personnage de Halo, c’est un jeu édité par Microsoft à l’origine.
Merci pour les liens. J’avais gardé mon ancienne machine de jeux pour justement tester un peu tout ça… Mais ça traîne dans la todo list
#14
Le premier Halo est sorti en 2001. Tu as donc ta réponse :). La référence est volonaire.
#15
Natif ça veut dire ne pas utiliser de couche supplémentaire. Proton exclue par définition le natif.
Sur le fond, je ne lance plus wine staging seul car Proton fait le travail aussi bien, sinon mieux.
#16
Tay, l’lA de Microsoft qui tweetait laisse une idée de l’efficacité du deep learning. Souhaitons que ça fonctionne cette fois mais on est encore loin de la mise en production.
#17
Je pense que concernant les GAFAM tu as raté quelques wagons sur la manière dont ils font leur beurre.
lobbyist ? Je n’ai rien à venre. Contrairement à Microsoft, Google et autres GAFAM qui dépensent des dizaines de millions d’euros en lobbying auprès de l’U.E. 🤷♂️
En fait, je m’en fout que les gens utilisent Linux, vois-tu. Ils font ce qu’ils veulent.
Mais au moins on essaie d’éduquer les gens sur les conséquences.
(Ah… et tout ce que j’ai mentionnés (collaboration avec des dictatures, etc.) est vérifiable.)
Faites vos choix.
Ah non je ne suis pas la cible. En fait, Microsoft cible vraiment très mal. Tellement mal qu’on a dû changer la nomenclature mondiale génomique pour éviter qu’Excel foute sa merde (c’est juste un exemple, mais c’est assez représentatif du fait que non, Microsoft n’a pas que de bonnes idées, et oui, ça fout la merde).
https://www.teampay.co/blog/biggest-excel-mistakes-of-all-time
(On parle aussi de l’autorun responsable d’infections de centaines de milliers de machines pendant des années ?)
Justement, j’utilise au quotidien du Office365, du Teams et d’autres outils non-Microsoft (imposés par mon boulot). Ce qui me permet de comparer. Teams - par exemple - est une bouse infâme qui consomme du CPU et de la mémoire de façon absurde. Même un Jitsi dans une page web marche mieux.
Je pourrais aussi parler de la passerelle Exchange/IMAP de Microsoft qui n’arrive régulièrement pas à récupérer des mails.
Ou de l’agenda qui te fait sonner inutilement un rappel pour les réunion annulées.
Je répète: je m’en fout que les gens utilisent Linux. Je n’ai rien à vendre.
Et je répète encore: il faut que les gense sachent ce que font les outils qu’ils utilisent (Encore un exemple ? Vous chiffrez votre disque avec Windows BitLocker ? La première chose qu’il fait est d’envoyer une copie de la clé de chiffrement à Microsoft. J’aurais assez peu confiance dans un serrurier qui garde en douce une copie des cles de chez moi.)
Le biais des I.A. est largement documenté. 🤷♂️
Oui, wait and see. On verra ce qu’il en sort. Mais Windows collecte déjà énormément de choses, et vendre du logiciel n’étant plus vraiment rentable, la tendance est à vendre du service.
Les différentes annonces de Microsoft vont dans ce sens (cf l’article sur Windows 12).
Et quand toutes tes données sont sur le
cloudl’ordinateur de quelqu’un d’autre, l’exploitation de tes données privées n’est jamais loin. Et on en a un très bon exemple avec Adobe qui a soudain décidé d’exploiter toutes les données de ses clients dans son cloud pour entraîner ses I.A.Donc non, étant donné le passé de Microsoft et ses annonces récentes, je ne suis pas optimiste concernant les produits Microsoft.
#18
Car c’était dans les années 90, époque DOS+windows 3.11 for workgroups… et bien avant la branche NT et les claviers USB! En ces temps lointains ou internet balbutiait à peine dans les écoles d’ingé, pas encore vraiment chez soi, on récupérait des freeware via des boites qui te les envoyaient sur disquette.
Pour la petite histoire… C’est ainsi que mon 486DX33 n’ayant jamais vu un réseau avait chopé, via une disquette DPToolClub (https://fr.wikipedia.org/wiki/DP_Tool_Club), un virus de secteur de boot. Le hasard voulait que j’ai installé qq temps auparavant le 1er antivirus fonctionnant à base d’heuristiques sur ma machine (F-Prot de mémoire). Et il a tilté sur une séquence de code assemblé suspecte.
Je l’avais analysé/modifié en récupérant son mode d’installation afin d’en faire mon piqueur de login interceptant le service BIOS qui voyait chaque touche passer et utilisant les services disque pour enregistrer les infos sur une zone cachée utilisée en fifo/raw. J’avais un utilitaire pour retourner glaner ce qui avait été piqué (faute de réseau utilisable via le BIOS, c’est venu bien plus tard).
#18.1
Mmm OK c’est juste qu’en lisant ton commentaire on dirait que tu parles de quelque chose d’actualité. Oui, Ms-Dos et tous les windows non NT souffraient de ce problème. En même temps, ils n’avaient pas non plus la moindre sécurité. Dans les temps où j’ai pu écrire des choses offensives (jamais utilisées sans consentement des propriétaires de machines où ils ont été déployés, à savoir les machines d’amis me disant “attends tu vas voir j’ai un super programme (insérer antivirus, firewall, hips) qui va intercepter ton logiciel !”) je m’étais même amusé à avoir un programme “rundll32.com”. Méthode classique sous MS-DOS et mon programme se faisait exécuter au démarrage par un programme windows qui appelait “rundll32” sans préciser “.exe”.
Avant windows NT, la mémoire physique était accessible de tous. Aucune protection. J’en passe et des meilleures, bref, ça n’a jamais été protégé.
Avec secure boot par contre je ne suis pas au courant d’une façon triviale de récupérer les mots de passe.
#19
C’est un peu HS par rapport à la news, mais est-ce que tu pourrais épiloguer sur la notion d’acteur central ? Joueuse sous Linux, je suis d’accord pour ton affirmation (même s’il y a des alternatives). Mais pour les jeux sous Windows, tu as bien d’autres stores comme GOG, non ?
#19.1
Acteur central au sens où cette plateforme est un middleware entre le joueur et le jeu qui maintient forcément un profil pour chaque joueur en fonction de sa bibliothèque.
#19.2
Steam est devenu tellement central, incontournable, que beaucoup de jeux ne sortent que sur cette plateforme. Tant mieux pour toi Black si tu peux trouver ton bonheur ailleurs comme GOG, mais dans les faits, il reste beaucoup de jeux ‘bloqués’ à Steam. Mes exemples récents : Raft, et Insurgency. D’ailleurs EpicGames a commencé à bien grossir, et ils ont eux aussi quelques jeux exclusif à leur plateforme (Fall Guys par exemple).
#20
En fait, Microsoft dès les débuts (ce que je voulais illustrer avec cet ancêtre des runtime services UEFI), n’a jamais su éviter de s’appuyer sur des services d’un boot-loader.
C’est en fait ces services qui ont largement fait le lit des virus de secteur de boot et justifié des complexités inutiles/sources d’emmerdes telles que secure-boot.
Et tout cela pour en arriver à quoi, y compris sur des trucs censés être très au delà d’un PC niveau sécurité: T’es root, tu sais comment utiliser les outils embarqués pour signer les binaires (car ils sont toujours présents, soit en raison d’une crypto utilisant le numéro de série gravé dans le matériel ou d’impératifs de production/maintenance), on s’en cogne d’aller taper un BIOS/U-BOOT largement customisé selon le HW et largement plus long à développer/difficile à débugger qu’un truc dans l’OS… Sauf à être la NSA qui impose de se faire mettre à dispo tous les sources/outils de build si on commercialise des infras jugées vitales chez eux: Là, clairement, aucun pb à taper n’importe quel firmware. Et c’est pas un secure-boot rajouté qui les arrête non plus!
#20.1
Ça serait bien d’arrêter le hors sujet. Ici, le sujet est l’IA et le partenariat avec OpenAI, pas Microsoft et son historique technique.
#20.2
Peux-tu m’expliquer un peu plus ce que font les autres qui ne s’appuient pas sur un “runtime service” (couche d’abstraction quelconque) ? Je vois 2 solutions : uniquement utiliser des standards (ce qui est acceptable, même si ça limite), ou pire, ne supporter qu’un tout petit échantillon de matériel.
Aurais-tu des exemples concrets ? Avoir les outils pour signer les binaires ne me semble pas un problème, l’idée étant qu’il faut avoir la clé.
Après avoir fait ma review de secure boot + tpm + fde, j’ai trouvé :
Par ailleurs, adméttons que Windows n’utilise plus de service BIOS/UEFI, et on vire secure boot. Vu qu’à un moment il faut bien charger le code de Windows, à moins que ce code ne soit signé (ce qui revient un peu à réintroduire secure boot), en quoi serait-on plus protégé d’un “virus boot” ?
#21
Hors x86, une simple description du matériel présent et de son mapping physique suffit à booter un noyau générique qui ne s’appuie sur aucun code du boot loader: Le device-tree suffit, on ne s’appuie nullement sur des runtime services ou autre. Même l’énumération pour tout ce qui le requiert (PCI…) est faite côté OS et plus vite/efficacement.
Niveau secure-boot, on peut renverser l’affaire: Quel intérêt à taper un BIOS si on n’y voit plus rien passer d’intéressant faute de services appelables par l’OS? Derrière, taper l’OS se faisant lors du runtime de l’OS, a quoi bon s’assurer au boot qu’on ne démarre pas un OS tapé à grand renfort de complexité alors mal placée, dans un FW qui se debuggue avec sa bite et son couteau?
En réalité, introduire le secure-boot (et les enclaves sécurisées par lesquelles il faut passer pour un certain nb d’opérations à “sécuriser”) revient à rendre obligatoire… des services fournis par les différents étages de lancement du processeur! Avec en prime une multiplication de couches logicielles doublées voir triplées, totalement étanches, chacune avec leurs drivers…
#21.1
Je tique encore sur un truc… Ok, on utilise le device-tree… Mais il reste un truc (firmware) qui va aller chercher l’OS, le charger en mémoire et lancer son exécution. Où que l’OS se trouve, sans signature, ça ramène au même soucis que le virus de secteur boot non ? (Après, plus compliqué de taper sur l’OS, pas comme dans les années 90, mais je ne vois pas trop la différence avec UEFI par exemple)
Sinon, il faut soit que ce qui démarre la machine charge tout le code nécessaire, soit que ça fournisse un service pour aller lire des données depuis un périphérique de stockage, soit que le système de stockage se conforme à une interface prédéfinie que le bout de code chargé au démarrage sait utiliser. Ce que tu décris est-il dans un de ces 3 cas, ou ai-je manqué une alternative ?
(Quant aux enclaves, c’est encore un autre débat, c’est très bien les enclaves sécurité, à part qu’on y voit rien, jusqu’à ce que leur sécurité saute, mais même un truc qui n’a pas trop vocation à être une enclave, genre SMM, c’est trèèèsss bien quand y’a un bug, mais en général, ça craint)
Ma principale expérience hors x86, c’est les Pi, qui sont bootés par un bout de firmware opaque qui réside dans le GPU. Je ne connais pas particulièrement les détails, mais ça ne me semble pas idéal non plus ceci dit.
#22
Il y a bien entendu la plupart du temps au moins un firmware qui va faire les inits de base (dont le contrôleur DDR) et fournir de quoi booter l’OS (stockage local, réseau, classiquement) et en premier lieu lui fournir une description du matériel présent (device-tree, ACPI…) et son interfaçage.
Par contre, même si ce firmware (classiquement uboot pour tout ce qui n’est pas x86) offre des services (support réseau au moins UDP pour du TFTP, stockages…) et même un shell et une capacité de script intégrée (à ce sujet, un shell uboot est bien plus agréable qu’un shell EFI qui n’est pas sans rappeler les syntaxes de .BAT du temps du DOS)… La césure avec l’OS est alors totale (même si on en retrouve désormais niveau enclaves).
Niveau PI, vu que c’est de l’ARM, a priori au moins les sources des “étages de la fusée” (pas sans rappeler le ME chez Intel) pouvant précéder un uboot (EBF, ATF) sont largement publiés, même si les patch de certains SoC nouveaux ne sont pas forcément publiés de suite (cf ARM Trusted Fw par exemple):
https://github.com/ARM-software
#23
Pas convaincu qu’il est l’OS vendus numéro parce qu’il fonctionne bien. Ils ont fait beaucoup de lobbying auprès des entreprises, des centres de formation, avec des licences attirantes pour avoir des gens vendor-locked.