La Linux Fondation arrache une solution de contournement pour le Secure Boot de Windows 8

[Nissa Comet]

La Linux Fondation arrache une solution de contournement pour le Secure Boot de Windows 8
Qui empêche le démarrage d’autres systèmes sur les PC certifiés

Depuis que Microsoft a opté pour le “Secure Boot” pour les PC sous Windows 8, un grand désarroi règne dans la communauté Linux. Cette fonctionnalité de démarrage sécurisé, directement intégrée à l’UEFI (interface micrologicielle extensible unifiée), empêche de facto l’installation de tout autre système d'exploitation. Microsoft transmet en effet une signature numérique aux constructeurs de cartes mères certifiées Windows 8.

Plusieurs éditeurs de distributions Linux (Red Hat, SUSE et Canonical) sont allés de leurs propres négociations avec Microsoft pour trouver un compromis, une situation qui exaspère la Linux Fondation déterminée à trouver une solution et à resserrer les rangs.

À quelques jours de la sortie officielle de Windows 8 le 26 octobre, la fondation s'investit pleinement pour résoudre ce problème des restrictions de démarrage. Elle vient en effet de mettre au point un moyen pour contourner le démarrage sécurisé pour permettre aux utilisateurs de systèmes d'exploitation open source de continuer à booter sur du matériel certifié pour Windows 8.

Contrairement au BIOS actuel, où l'on peut interrompre le processus et avoir accès à l'interface du BIOS pour en modifier les options, le processus de démarrage UEFI modifié n’autorise pas une telle manœuvre.

James Bottomley, le président du conseil technique de Linux Fondation, vient d’annoncer que la fondation allait bénéficier d’une clé auprès de Microsoft ainsi que d’un petit programme d’amorçage « pre-bootloader ». Ce programme va charger une chaîne d’amorçage prédéfinie sans aucune vérification de signature et ainsi rendre possible le démarrage de tout autre système d'exploitation.

Cependant, arracher cette clé des mains de Microsoft devait prendre un certain temps. Chose faite, le « pre-bootloader » sera bientôt disponible afin qu’il soit exploitable pour toute la communauté open source.

Si les distributions Linux peuvent booter sur du matériel Windows 8, il n’y aurait que les anciennes versions de Windows qui ne le pourront pas. Ceci ne pourrait-il pas entraîner une fuite vers Linux des adeptes de ces anciennes versions voulant travailler sur ce nouveau matériel ? Microsoft y a certainement pensé et préférerait orienter les utilisateurs vers le nouvel OS.


Source : Linux Foundation

Et vous ?

Que pensez-vous à la base de l’adoption de l’UEFI par Microsoft ?
Croyez-vous que Microsoft devrait penser à une alternative même pour ses anciennes versions de l'OS ?

[Paul TOTH]

c'est inexacte, l'UEFI n'interdit pas l'installation d'un autre OS, c'est un choix du constructeur.

ça me fait penser qu'Apple interdit l'installation de MacOSX dans une machine virtuelle... je ne sais pas s'il autorise l'installation d'un autre OS sur un Mac.

[gangsoleil]

Hum, reste a savoir comment charger les BSD et autres Unix.

[newinn]

plutot "raciste" comme decision de la part de microsoft de pas laisser booter d'autre os (si je veut booter plan9 ou haiku ce sera donc impossible du coup, ce sont des os non linux et non unix tellement petit)... si faut commencer a lui demander de faire des "exceptions" pour pouvoir installer/faire son OS ou va-t-on ? le PC est a nous, on doit pouvoir en faire ce qu'on veut ... et meme, quel est l'intérêt pour eux de faire ca ? je les comprend pas...

[pmithrandir]

J'ai juste une question...

A quoi peut bien servir un système qui sécurisait(de manière selon moi abusive) le démarrage sur un seul logiciel... si on a en open source un système qui permet de le contourner ?

Finalement, on a un système qui doit compliquer la vie de tout le monde pour garantir que personne ne vient mettre des choses interdites... qui finalement ne le garanti pas.

Quel est donc la plu valu de ce nouveau système

Après, pour les anciens OS, entre un OS ressemblant et compatible et un OS complètement incompatible, les boites feront vite leur choix... ou refuseront pendant quelques années ce matériel "coincé" dans une version qui ne leur convient pas.

[transgohan]

Citation:

Envoyé par newinn

plustot "raciste" comme decision de la part de microsoft de pas laisser booter d'autre os (si je veut booter plan9 ou haiku ce sera donc impossible du coup, ce son des os non linux et non unix tellemen petit)... si faut commencer a lui demander de faire des "exeptions" pour pouvoir installer/faire son OS ou va-t-on ? le PC est a nous, on doit pouvoir en faire ce qu'on veut ... et meme, quel est l'interrai pour eux de faire ca ? je les comprend pas...

La raison qu'ils invoquent c'est que cela permettra de sécuriser le boot et d'interdire les programmes malicieux de le modifier ou de s'y ajouter.
Mais selon moi la vrai raison est de consolider leur marque en amenant sur le marché des PCs qui ne pourront fonctionner que sous windows. Comme si on avait pas déjà assez des PCs qui ne sont vendus qu'avec cela...

[Jon Shannow]

Citation:

Envoyé par nissacomet

Que pensez-vous à la base de l’adoption de l’UEFI par Microsoft ?
Croyez-vous que Microsoft devrait penser à une alternative même pour ces anciennes versions de OS ?

Je pense que tout ce qui lie de manière trop forte, trop fermée ou trop bridée un PC à un logiciel est mauvais.

Si Microsoft veut empêcher les gens d'utiliser l'OS qu'ils souhaitent sur leurs PC, alors ils se sont trompés de logos lors du changement, fallait prendre ça ...

[christophen]

A ce que je comprend la fondation linux aurait une clef pour installer un truc genre grub... si on a ce "grub" configurable dans l'uefi, on peut après démarrer sur n'importe quoi même du bsd, du solaris ou du plan9... ce sera même certainement un prérequis pour démarer les "hackintoshs".

[fredo38]

En France la vente liée est interdite

[hotcryx]

christophen >> clair, il y aura ensuite un gros trou de sécurité pour lire, supprimer... les partitions win8...

[methos1435]

Le SecureBoot est une fonctionnalité de l'EFI, pas de Microsoft. Ils ne font que l'utiliser.

La présence du SecureBoot n'est obligatoire que pour les PC certifiés Windows 8 et cette même certification IMPOSE la possibilité de désactivation par l'utilisateur si il le souhaite.

Bref, avant d'hurler, il serait peut être utile de se renseigner et d'éviter de cacher certains points. Mais bon cracher sur Microsoft, de la part de la Linux Foundation on dira que c'est normal...

[nirgal76]

En fait, Microsoft veut prendre le chemin d'Apple en voulant créer un système totalement fermé. Je pari que sur windows 9, l'installation d'appli ne sera possible QUE par le market Microsoft.
Le problème c'est que si c'est pour avoir un système fermé, autant prendre l'original, en général meilleur.

Ils ont déjà voulu faire ça pour Flight Simulator avec MS Flight (en fait Flight Simulator 11).
Plus de sdk pour la communauté (alors que c'est ce qui faisait vivre FS), un market obligatoire. Résultat, persone n'en a voulu, et au bout de quelques mois, arrêt du produit. ils ont coulé une franchise qui avait plus de 15 ans d'existence.

[amon2010]

@fredo38 : oui et pourtant, essaie d'acheter un PC/Portable (hors mac) dans le commerce sans un windows ! Je trouve ça aberrant.

@newinn : ce n'est pas du "racisme" comme tu dis, mais une volonté marquée d'imposer W8 à tout le monde. Le but est purement mercantile, revenir à un 99.9% Cro$oft dans l'univers du PC.

@methos1435 : quand tu dis

Citation:

La présence du SecureBoot n'est obligatoire que pour les PC certifiés Windows 8 et cette même certification IMPOSE la possibilité de désactivation par l'utilisateur si il le souhaite.

C'est justement cette partie là que Cro$oft a "oublié" de mettre en place pour les linuxiens et autres "alternatifs"

[Firwen]

Secure Boot est une blague, rien de plus.


L'efficacité d'un système de signature tient dans le fait de pouvoir révoquer rapidement les clés privées compromises.
Dans le cas de SecureBoot, qui va mettre à jour la base de signature de l'UEFI ? Comment ?

Je donne pas 3 mois avant qu'on retrouve des clés privés dans la nature qui serviront à rendre "authentique" le premier malware venu.
Et ceci tout en continuant à faire chier au maximum les OS alternatifs qui eux devront passer par la voie officielle et faire marcher leur portefeuille.


je mets ça dans le même sac que les système de chiffrement DVD ( CSS ), du blueRay ou encore de l' HDMI. A part faire chier les utilisateurs normaux avec des problèmes de compatibilité, ça n'a jamais empêcher de retrouver un contenu sur the pirate bay.

Une bonne blague de plus de la place de nos amis majors américains afin "de rendre le monde meilleur".

[CoZo]

C'est toujours le même problème, il suffit de ne pas utiliser/acheter de materiel comme ça et le tour est joué.
Le problème est que des milliers de pigeons (terme à la mode en ce moment) vont se précipiter sur les PC W8 avec uefi. C'est comme les iphone.
Comme disait mon grand père " c'est de la faute du con qui paye".

[methos1435]

Citation:

Envoyé par amon2010

@methos1435 : quand tu dis

C'est justement cette partie là que Cro$oft a "oublié" de mettre en place pour les linuxiens et autres "alternatifs"

Non non justement. Il est bien indiqué dans la certification que l'utilisateur à la possibilité à tout moment de désactiver le SecureBoot par les options de l'EFI. Une fois désactivé il installe ce qui lui chante. Et cette désactivation intervient au niveau de la machine pas de l'OS. C'est donc le fabricant qui est tenu de la proposer.

Ils ont juste "omis" de détailler ce point. C'est plus facile de cracher sur Microsoft comme ça...

La fourniture de clefs, c'est juste pour les Michu qui ont la flemme de prendre 10 secondes pour aller cocher une fois pour toute la case dans l'EFI. Si déja, ça ils veulent pas faire, ils vont pas aller bien loin sans leur Windows...

[shadowmoon]

Citation:

Envoyé par methos1435

C'est donc le fabricant qui est tenu de la proposer.

Ils ont juste "omis" de détailler ce point. C'est plus facile de cracher sur Microsoft comme ça...

Personnellement, je pense que cela s'est passé de cette manière : Microsoft a plus ou moins "obligé" les constructeurs à omettre ce point. J’image bien un truc du genre :

Représentant de Microsoft : on oublie la désactivation du SecureBoot ok ?

Représentant du constructeur : Non, mais ce n'est pas conforme avec la certification !

Représentant de Microsoft : Dans ce cas, au revoir, et ne vous inquiéter pas, nous ne ferons plus jamais appel à vous dans le futur ...


Représentant du constructeur : Attendez, attendez, nous allons bien trouver moyen de nous entendre ...

[methos1435]

Citation:

Envoyé par shadowmoon

Personnellement, je pense que cela s'est passé de cette manière : Microsoft a plus ou moins "obligé" les constructeurs à omettre ce point. J’image bien un truc du genre :

Représentant de Microsoft : on oublie la désactivation du SecureBoot ok ?

Représentant du constructeur : Non, mais ce n'est pas conforme avec la certification !

Représentant de Microsoft : Dans ce cas, au revoir, et ne vous inquiéter pas, nous ne ferons plus jamais appel à vous dans le futur ...


Représentant du constructeur : Attendez, attendez, nous allons bien trouver moyen de nous entendre ...

Faut arrêter direct la paranoïa... Les conditions de certification sont publiques. Tout constructeur voulant sa certification DEVRA proposer cette désactivation dans la config de l'EFI.

Le point en question copié-collé des règles de certification:

Mandatory. Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv.


Pour tout le reste la Linux Foundation comme d'autres, se permet de parler de PC qui ne sont pas encore en vente.

[Uther]

Citation:

Envoyé par Paul TOTH

ça me fait penser qu'Apple interdit l'installation de MacOSX dans une machine virtuelle... je ne sais pas s'il autorise l'installation d'un autre OS sur un Mac.

Bien sur, il fournit même Bootcamp, un outil qui permet d'installer windows sur les mac(partitionnement, drivers windows, ...) sur les CD d'installation de Mac OS X, .
C'est l'inverse qu'ils essaient d'interdire : l’installation de MacOS X sur des machines qu'ils n'ont pas fabriqués.

Citation:

Envoyé par methos1435

Bref, avant d'hurler, il serait peut être utile de se renseigner et d'éviter de cacher certains points. Mais bon cracher sur Microsoft, de la part de la Linux Foundation on dira que c'est normal...

Ca marche dans les deux sens. Autant je suis d'accord qu'il faut raison garder, dire que la fondation Linux crache sur Microsoft c'est idiot.

[Samuel_]

Je trouve que cette décison est une honte pour Microsoft.

Je suis un adepte du Dual Boot (LINUX / WINDOWS).

Cadenasser son OS, c'est une habitude pour Microsoft. Mais empéché l'installation d'autres OS, c'est vraiment pathétique.

Le monde de l'Open Source s'agrandit tout les jours. Fermé la porte à tout les utilisateurs de Linux n'est vraiment pas un choix pour l'avenir ...