IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Ubuntu Discussion :

Canonical détaille ses plans pour le support de l’UEFI Secure Boot


Sujet :

Ubuntu

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut Canonical détaille ses plans pour le support de l’UEFI Secure Boot
    Canonical détaille ses plans pour le support de l’UEFI Secure Boot
    GRUB 2 ne sera plus utilisé par défaut sur les futures versions d’Ubuntu

    Pour son futur système d’exploitation Windows 8, Microsoft a opté pour l’utilisation de l’UEFI ( Unified Extensible Firmware Interface) en remplacement du BIOS.

    Les constructeurs désireux de proposer des dispositifs sous l’OS seront donc obligés de passer à l’UEFI, avec une activation par défaut de la fonction Secure Boot.

    Cette fonctionnalité de sécurité offrira au système d’exploitation un processus de démarrage signé et mesuré, qui aide à protéger le PC en détectant les logiciels malveillants au démarrage, et en empêchant le chargement de ceux-ci.

    Le revers de la médaille de cette nouveauté est qu’elle rend compliquée l’installation en dual-boot d’un système alternatif (Linux par exemple) sur un dispositif. En effet, le firmware UEFI embarque une clé de sécurité, et le système d’exploitation doit connaitre la clé pour démarrer.

    Vivement critiquée par les acteurs de l’open source (Red Hat, Canonical, etc.), Microsoft a finalement autorisé la mise en place des clés spécifiques pour les plateformes Intel.

    Les éditeurs des systèmes Linux travaillent donc actuellement sur des solutions pour prendre en charge l’UEFI. Canonical vient de livrer ses plans pour son système d’exploitation Ubuntu.

    La société a déjà généré une clé Ubuntu, et est en active discussion avec les partenaires pour l’intégration de cette clé dans le firmware UEFI.

    La clé ne pouvant être divulguée, les futures versions d’Ubuntu ne pourront plus utiliser GRUB 2 sur les systèmes ou le Secure Boot est activé. En effet, GRUB 2 étant publié sous une licence GPL 3, l’intégralité de son corde source doit rester de ce fait accessible.

    Les versions suivantes d’Ubuntu à partir de la 12.10, utiliseront une version modifiée du chargeur d'Intel Efilinux.

    Red Hat, pour sa part, a déjà trouvé une solution pour la prise en charge de l’UEFI et le Secure Boot sur architecture Intel. La firme a travaillé avec Microsoft et des fabricants afin de trouver un moyen de fournir des clés pour ses distributions.

    La solution de Red Hat a été mise à la disposition des autres éditeurs qui devront s'acquitter d'un droit de 99 dollars chez Verisign pour obtenir une clé valide. Solution que Canonical a préféré ignorer.


    Source : Ubuntu
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre du Club
    Profil pro
    Inscrit en
    Juin 2012
    Messages
    7
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2012
    Messages : 7
    Points : 43
    Points
    43
    Par défaut
    Je crois que les UEFI actuels permettent de simuler le fonctionnement d'un BIOS classique, permettant ainsi de booter même avec un bootloader qui ne serait pas conçu a priori pour les UEFI. Est-ce que cette fonction ne sera plus activable dans les futurs PCs Windows 8 OEM ? Si oui, ça serait bien dommage, un ordinateur est à la base une machine permettant de faire tourner n'importe quel code afin de réaliser n'importe quelle tache (d'où le principe originel du BIOS qui est de faire le minimum de travail pour passer la main le plus vite possible à l'OS), or ce Secure Boot obligatoire restreint l'utilisation qu'on peut faire de la machine qu'on a achetée. Et sera-t-il obligatoire d'avoir un UEFI pour faire tourner un Windows 8 acheté séparément ?

    Et puis quid des distributions GNU/Linux qui suivent une sorte de "charte" sur le libre, et qui ne peuvent donc pas intégrer de "clé" secrète ? Je pense notamment à Debian : le fait que le développement se fait de manière communautaire et publique interdirait cela...

    Je pense qu'au final, le mieux serait d'activer ce Secure Boot par défaut, et d'autoriser l'utilisateur à le désactiver via l'équivalent de l'écran de configuration du BIOS actuel (à ce que je sache, cette configuration ne peut pas être écrasée par un virus, puisqu'elle se fait alors que la machine n'a pas encore lu le moindre octet sur le disque dur, CD ou autre périphérique externe pouvant en contenir). Comme ça, les utilisateurs qui comprennent et acceptent les risques pourraient exploiter le plein potentiel de leur machine sans se limiter aux systèmes "approuvés".

  3. #3
    Nouveau membre du Club
    Inscrit en
    Mai 2008
    Messages
    2
    Détails du profil
    Informations forums :
    Inscription : Mai 2008
    Messages : 2
    Points : 25
    Points
    25
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    La clé ne pouvant être divulguée, les futures versions d’Ubuntu ne pourront plus utiliser GRUB 2 sur les systèmes ou le Secure Boot est activé. En effet, GRUB 2 étant publié sous une licence GPL 3, l’intégralité de son corde source doit rester de ce fait accessible.
    Par ce moyen microsoft va forcer toutes les distros a utiliser du code proprio si elles veulent être installables. J'ai bien envie de les insulter pour le coup.

  4. #4
    Expert confirmé
    Avatar de Loceka
    Profil pro
    Inscrit en
    Mars 2004
    Messages
    2 276
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2004
    Messages : 2 276
    Points : 4 845
    Points
    4 845
    Par défaut
    Et puis c'est bien connu que la sécurité par l'obscurité est une très bonne chose...
    Qu'est-ce qui empêchera les concepteurs de rootkits de passer Windows au débuggueur pour trouver la clef ?

    Donc bon, question sécurité je ne suis pas certain que ça tienne vraiment la route, par contre pour empêcher le multi-boot et pour faire disparaître des distribs linux, c'est très réussi...

  5. #5
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    Citation Envoyé par Loceka Voir le message
    Et puis c'est bien connu que la sécurité par l'obscurité est une très bonne chose...
    Qu'est-ce qui empêchera les concepteurs de rootkits de passer Windows au débuggueur pour trouver la clef ?

    Donc bon, question sécurité je ne suis pas certain que ça tienne vraiment la route, par contre pour empêcher le multi-boot et pour faire disparaître des distribs linux, c'est très réussi...
    La clé privée de Microsoft n'est bien sur pas fournie dans les versions qu'il distribue, ça serait complètement idiot. Les disques d'installation de Windows contiendront juste une signature que Microsoft aura généré chez lui.
    Les firmware UEFI quant à eux, contiendront la clé publique de Microsoft qui permettra de vérifier cette signature.

  6. #6
    Membre régulier
    Homme Profil pro
    Directeur de projet
    Inscrit en
    Juin 2011
    Messages
    44
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Directeur de projet
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juin 2011
    Messages : 44
    Points : 114
    Points
    114
    Par défaut
    Sur les bonne carte mère équipée UEFI, il suffit de désactiver l'option "Secure Boot" et la question ne se pose plus (protection de polichinelle).

    Cela permet de pouvoir faire démarrer n'importe quel système sur ces cartes.

    Ce dont on parle pour Linux est aussi valable pour les autres systèmes y compris BSD et autres dérivés *nix.

    Bien sûr, en tant que client, vous pouvez demander à votre revendeur d'ordinateurs de vous fournir du bon matériel (C-à-d, celui que vous pouvez configurer comme vous l'entendez, ce qui exclut les marques qui ferment intentionnellement leur produit).

  7. #7
    Membre extrêmement actif
    Profil pro
    Inscrit en
    Juin 2010
    Messages
    794
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2010
    Messages : 794
    Points : 987
    Points
    987
    Par défaut
    Citation Envoyé par Loceka Voir le message
    Et puis c'est bien connu que la sécurité par l'obscurité est une très bonne chose...
    Qu'est-ce qui empêchera les concepteurs de rootkits de passer Windows au débuggueur pour trouver la clef ?

    Donc bon, question sécurité je ne suis pas certain que ça tienne vraiment la route, par contre pour empêcher le multi-boot et pour faire disparaître des distribs linux, c'est très réussi...
    Bah c'est pas une fonctionnalité de windows mais de l'uefi, donc si ce n'est pas possible de la supporter sous linux qu'est-ce que tu veux que ms y fasse ? Ne pas utiliser une option de sécurité juste parce que machin truc ne veux pas par principe ? A ce moment là on ne fait plus rien du tout ^^.

  8. #8
    Membre éclairé
    Avatar de Floréal
    Profil pro
    Inscrit en
    Novembre 2004
    Messages
    456
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : France

    Informations forums :
    Inscription : Novembre 2004
    Messages : 456
    Points : 849
    Points
    849
    Par défaut
    Tien ça me refait penser à cette vieille vidéo: [ame="http://www.youtube.com/watch?v=DuI6SLFnGbQ"]Trusted Computing - YouTube[/ame]
    Ancien membre du projet "Le Dernier Âge".

  9. #9
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2007
    Messages
    884
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Juillet 2007
    Messages : 884
    Points : 2 018
    Points
    2 018
    Par défaut
    La clé privée de Microsoft n'est bien sur pas fournie dans les versions qu'il distribue, ça serait complètement idiot. Les disques d'installation de Windows contiendront juste une signature que Microsoft aura généré chez lui.
    Les firmware UEFI quant à eux, contiendront la clé publique de Microsoft qui permettra de vérifier cette signature.
    le principe est le même. Il suffit de rechercher une signature valide de microsoft.

    Mais le principe si je ne me trompe pas va plus loin... Il s'agit de calculer un Hash (http://fr.wikipedia.org/wiki/Hash) du programme de boot et de signer ce Hash avec la clef privé.
    Ainsi on peut connaitre la signature autorisé, si l'on change le programme de boot, le hash ne sera plus le même et donc sa signature non plus et donc le PC refuse de booter.
    Ainsi si Mr Y veut que le PC boot sur son programme. Il doit signer le hash de son programme avec sa clef privé mais il faut que cette clef privé soit autoriser par VeriSign.
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  10. #10
    Membre confirmé
    Profil pro
    Inscrit en
    Mars 2009
    Messages
    198
    Détails du profil
    Informations personnelles :
    Âge : 35
    Localisation : France, Rhône (Rhône Alpes)

    Informations forums :
    Inscription : Mars 2009
    Messages : 198
    Points : 642
    Points
    642
    Par défaut
    Si à terme le BIOS est remplacé par l'UEFI, si les responsables des différentes distrib linux/unix/whatever veulent pouvoir installer leurs OS sur les nouvelles machines équipée de l'UEFI, ils devront les adapter.
    Et ils ont déja commencé.

    Alors ou est le problème?

    Ne pas pouvoir installer une version obsolète sur une machine récente?

  11. #11
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    Citation Envoyé par l.bruninx Voir le message
    Sur les bonne carte mère équipée UEFI, il suffit de désactiver l'option "Secure Boot" et la question ne se pose plus (protection de polichinelle).
    Pour le moment, mais nul doute que cette option risque de disparaitre sur la majorité des machines à venir.
    Citation Envoyé par l.bruninx Voir le message
    Bien sûr, en tant que client, vous pouvez demander à votre revendeur d'ordinateurs de vous fournir du bon matériel (C-à-d, celui que vous pouvez configurer comme vous l'entendez, ce qui exclut les marques qui ferment intentionnellement leur produit).
    Certes mais, la tendance actuelle ne va malheureusement pas du tout dans ce sens. La micro informatique est toujours moins un domaine d'experts qui souhaitent avoir le contrôle de son matériel.
    Citation Envoyé par abriotde Voir le message
    le principe est le même. Il suffit de rechercher une signature valide de microsoft.
    Mais le principe si je ne me trompe pas va plus loin... Il s'agit de calculer un Hash (http://fr.wikipedia.org/wiki/Hash) du programme de boot et de signer ce Hash avec la clef privé.
    Oui je n'ai pas détaillé ça car c'est le principe de base d'une signature électronique, de n'être valide que pour les données pour lesquelles elle a été généré. A moins de trouver une collision sur le hash, mais ça m'étonnerait que SecureBoot utilise un algo de hash compromis.

    Donc une analyse même poussée de Windows au débogueur ne donnera rien, car si le boot est modifié d'un seul octet, la signature ne sera plus valide. Il faudrait en régénérer une nouvelle à partir de la clé privé que Microsoft garde bien sûr à l’abri, chez lui, probablement sur une machine déconnectée.

    Citation Envoyé par maxwell302 Voir le message
    Si à terme le BIOS est remplacé par l'UEFI, si les responsables des différentes distrib linux/unix/whatever veulent pouvoir installer leurs OS sur les nouvelles machines équipée de l'UEFI, ils devront les adapter.
    Et ils ont déja commencé.

    Alors ou est le problème?
    Il n'y a pas de problème a part la GPLv3 qui interdit explicitement ça sauf si on fournit la clé privée, ce qui est inenvisageable car ça ruinerait le principe même de la protection.

    Heureusement, il y a des licences reconnues libres qui n'ont pas cette restriction. Mais grub se retrouve hors-jeu.

  12. #12
    Membre du Club
    Profil pro
    Inscrit en
    Juin 2012
    Messages
    7
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2012
    Messages : 7
    Points : 43
    Points
    43
    Par défaut
    Citation Envoyé par maxwell302 Voir le message
    Si à terme le BIOS est remplacé par l'UEFI, si les responsables des différentes distrib linux/unix/whatever veulent pouvoir installer leurs OS sur les nouvelles machines équipée de l'UEFI, ils devront les adapter.
    Et ils ont déja commencé.

    Alors ou est le problème?

    Ne pas pouvoir installer une version obsolète sur une machine récente?
    Le problème est un problème de fond, c'est celui de l'informatique de confiance, qui paradoxalement est de nature à donner moins confiance à l'utilisateur expert, puisqu'il doit s'en remettre à des autorités de signature pour attester de la "sécurité" de l'OS qu'il exécute : on décide que seule une poignée d'entreprises ont le pouvoir d'autoriser l'exécution de tel ou tel programme/OS sur tous les ordinateurs, même ceux dont l'utilisateur souhaite utiliser explicitement un autre programme (qui peut être libre, non libre, venir d'une entreprise, d'une communauté, peu importe, ce n'est pas la question). Cela a quand même une tendance anti-concurrentielle assez forte !

  13. #13
    Futur Membre du Club
    Profil pro
    Inscrit en
    Février 2006
    Messages
    8
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : Suisse

    Informations forums :
    Inscription : Février 2006
    Messages : 8
    Points : 8
    Points
    8
    Par défaut Sécuriser le démarrage, c'est ça
    S'ils veulent vraiment sécuriser le démarrage du windows, ils feront mieux d'améliorer la sécurité au niveau des services/applications lancés une fois que windows a booté. Une applet java(rançonware) a rendu ma machine inutilisable. Je suis ingénieur en informatique et j'ai toujours pas trouver comment restaurer les icons du bureau. J'ai essayé plein de truc.

  14. #14
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    Pour le coup une applet Java avec le droit suffisant pour pourrir ton système, ça doit être signé depuis toujours. Si tu acceptes d’accorder le droit de détruire ton système à des programmes douteux, je vois mal comment Windows y pourrait quelquechose.

  15. #15
    Futur Membre du Club
    Profil pro
    Inscrit en
    Février 2006
    Messages
    8
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : Suisse

    Informations forums :
    Inscription : Février 2006
    Messages : 8
    Points : 8
    Points
    8
    Par défaut
    Citation Envoyé par Uther Voir le message
    Pour le coup une applet Java avec le droit suffisant pour pourrir ton système, ça doit être signé depuis toujours. Si tu acceptes d’accorder le droit de détruire ton système à des programmes douteux, je vois mal comment Windows y pourrait quelquechose.
    Je suis d'accord qu'il ne faut pas accepter les applets non signés. Mais le fait que, même en mode de récupération, une application se lance et qu'elle arrive à bloquer le clavier, la souris, c'est n'importe quoi. Au moins, le mode de récupération doit être vraiment sécurisé, sinon il ne faut pas l'appeler mode de recupération.

  16. #16
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 148
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 148
    Points : 28 113
    Points
    28 113
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    La solution de Red Hat a été mise à la disposition des autres éditeurs qui devront s'acquitter d'un droit de 99 dollars chez Verisign pour obtenir une clé valide. Solution que Canonical a préféré ignorer.
    Il est vrai que la signature par une entreprise externe est une solution extremement fiable, qui n'a jamais pose de probleme...

    Les deux solutions sont mauvaises, car le principe meme de l'UEFI est mauvais : je veux certifier quoi ? Que c'est bien mon OS qui bootes, et pas un autre ? Mais quel est l'interet ? Certainement pas les virus, car des virus qui remplacent la sequence de boot, c'est franchement rare.
    A moins que je ne veuille certifier que mon OS est garantie pour cette CM ?

    A moins que le but ne soit d'empecher les OS autres que Windows d'exister ? A titre personnel, Windows, Ubuntu, RedHat, Fedora et consors sont tous dans le meme panier des trucs ultra lourds et finalement peu securises. Mais je crains que demain le choix ne se reduisent a ces OS.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  17. #17
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    Citation Envoyé par yesilay
    Je suis d'accord qu'il ne faut pas accepter les applets non signés. Mais le fait que, même en mode de récupération, une application se lance et qu'elle arrive à bloquer le clavier, la souris, c'est n'importe quoi. Au moins, le mode de récupération doit être vraiment sécurisé, sinon il ne faut pas l'appeler mode de recupération.
    Le mode récupération est normalement fait pour récupérer des incidents techniques, pas des malwares. De toute façon s'il ne pouvait pas s’exécuter en mode récupération, un logiciel avec tous les droits pourrait volontairement flinguer ce mode.
    Et si le noyau protège les fichiers système (je ne sais pas si c'est le cas), il pourrait attaquer le bootloader, d’où l’intérêt de le protéger.

  18. #18
    HRS
    HRS est déconnecté
    Membre confirmé
    Avatar de HRS
    Inscrit en
    Mars 2002
    Messages
    677
    Détails du profil
    Informations forums :
    Inscription : Mars 2002
    Messages : 677
    Points : 638
    Points
    638
    Par défaut
    Si j'ai bien compris, le verrou "secure boot" ne concerne pas seulement les OS qu'on veut installer sur le disque dur, mais aussi ceux ("live") qu'on peut booter à partir du lecteur CD/DVD ou du port USB

    Donc avant d'acheter un PC, l'acquéreur aura intérêt à vérifier qu'il peut booter un OS quelconque à partir d'une des 2 entrées et ce sera au vendeur de démontrer que le "secure boot" peut-être désactivé

  19. #19
    Membre émérite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2008
    Messages
    832
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Décembre 2008
    Messages : 832
    Points : 2 625
    Points
    2 625
    Par défaut
    Citation Envoyé par gangsoleil Voir le message
    Il est vrai que la signature par une entreprise externe est une solution extremement fiable, qui n'a jamais pose de probleme...

    Les deux solutions sont mauvaises, car le principe meme de l'UEFI est mauvais : je veux certifier quoi ? Que c'est bien mon OS qui bootes, et pas un autre ? Mais quel est l'interet ? Certainement pas les virus, car des virus qui remplacent la sequence de boot, c'est franchement rare.
    A moins que je ne veuille certifier que mon OS est garantie pour cette CM ?

    A moins que le but ne soit d'empecher les OS autres que Windows d'exister ? A titre personnel, Windows, Ubuntu, RedHat, Fedora et consors sont tous dans le meme panier des trucs ultra lourds et finalement peu securises. Mais je crains que demain le choix ne se reduisent a ces OS.
    Par curiosité, quel os utilises-tu? BSD?

    Enfin, au sujet de l'UEFI, je n'ai toujours pas compris ce que l'on reproche au BIOS...
    Le BIOS vérifie une partie de mon matos, active/désactive un certain nombre de chose selon les volonté de celui qui a le pass... et l'UEFI, il ajoute quoi?
    Sur ma bécanne: la souris et le chinois. Super...
    A noter que j'ai le contrôle sur bien moins de choses qu'avec les BIOS "ancestraux" et que je soupçonne qu'il cause des problèmes sur mes périphériques SATA (qui marchent très bien sur d'autres bécannes, et de façon aléatoire sur celle en question).

    Et pour la signature, j'ai bien compris que ton affirmation est ironique, mais pour enfoncer le clou, de mémoire, une "autorité de confiance" (diginotar, ou un truc du genre) a eu pas mal de souci il y a quelques mois, en refusant d'admettre qu'ils s'étaient faits pirater, ce qui a exposé au risque de nombreuses machines, y compris des machines sensibles...

    La seule confiance que l'on peut placer dans une entreprise, c'est celle dans le fait que celle-ci préfèrera toujours entuber les clients si ça peut lui rapporter de l'argent...

  20. #20
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 148
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 148
    Points : 28 113
    Points
    28 113
    Par défaut
    Citation Envoyé par Freem Voir le message
    Par curiosité, quel os utilises-tu? BSD?
    Oui, entre autre. Mais regardons les OS :
    Windows : pas de soucis, Microsoft fait partie du consortium
    Linux : On compte 420 distributions.... Alors certes, RedHat, Mandriva, Ubuntu et Suse se taillent la part du lion, et vont suivre les conneries de l'UEFI, mais quid des autres ?
    BSD : pareil : pas de grosses entreprises derriere, et une communaute qui se mefie, a raison, des middleware que l'on pourrait introduire sous l'OS (voir ci-dessous)
    Unix : les principaux sont pousses par des grands groupes (Oracle, IBM, HP), qui vont suivre.

    Citation Envoyé par Freem Voir le message
    Enfin, au sujet de l'UEFI, je n'ai toujours pas compris ce que l'on reproche au BIOS...
    Officiellement, de n'etre pas securise.
    Sinon, on peut aussi voir que l'UEFI permet de tout controller, et donc d'autoriser ou non l'OS de faire certaines choses.

    Pour les processeurs ARM par exemple, Microsoft pousse pour que les constructeurs ne permettent pas le boot d'un OS non signe. Lorsqu'on sait que tous les smartphones sont equipes de processeurs ARM, on voit tout de suite la logique : vous achetez un smartphone avec un OS, et vous ne pouvez pas en changer.

    L'UEFI permet aussi l'utilisation de DRM avant le boot de l'OS. On peut donc imaginer qu'il soit capable d'interdire certaines choses a l'OS....

    L'article wikipedia sur l'UEFI est assez bien fait.
    FR : https://secure.wikimedia.org/wikipedia/fr/wiki/UEFI
    EN : https://en.wikipedia.org/wiki/Unifie...ware_Interface

    Citation Envoyé par Freem Voir le message
    Et pour la signature, j'ai bien compris que ton affirmation est ironique, mais pour enfoncer le clou, de mémoire, une "autorité de confiance" (diginotar, ou un truc du genre) a eu pas mal de souci il y a quelques mois, en refusant d'admettre qu'ils s'étaient faits pirater, ce qui a exposé au risque de nombreuses machines, y compris des machines sensibles...
    S'il n'y en avait qu'une !
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

Discussions similaires

  1. IBM dévoile ses plans pour le cloud hybride
    Par Michael Guilloux dans le forum Cloud Computing
    Réponses: 1
    Dernier message: 25/02/2015, 10h38
  2. Réponses: 125
    Dernier message: 27/12/2010, 11h35
  3. Réponses: 111
    Dernier message: 13/12/2010, 14h31
  4. Réponses: 6
    Dernier message: 14/06/2006, 09h56
  5. [MFC]arriere plan pour un objet de la classe CStatic
    Par gabriel knight dans le forum MFC
    Réponses: 13
    Dernier message: 28/07/2003, 11h42

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo