Discussion :

[imikado]

Windows 10 : Un grand pas vers la fin de la désactivation de Secure Boot
Les PC Windows seront-ils fermés à Linux ?

Avec la sortie de Windows 8, la firme de Redmond a remplacé son système BIOS par un nouveau firmware connu comme UEFI (Unified Extensible Firmware Interface) Secure Boot.

Pour rappel, UEFI Secure Boot comprend une fonction de démarrage sécurisé qui vérifie que le système d'exploitation contient une signature « valide » avant de le lancer. Il protège l'OS contre les logiciels malveillants qui interfèrent avec le processus de démarrage afin de s'injecter dans le système d'exploitation. Si la signature n'est pas valide, le système ne démarrera pas, Secure Boot a donc l'avantage d'offrir plus de sécurité à l'utilisateur.

Cependant, à l'époque de la sortie de Windows 8, une polémique autour du nouveau firmware avait fait couler beaucoup d'encre. UEFI Secure Boot ne permettait pas d'installer l'OS de son choix sur le matériel acheté, qu'il s'agisse des versions antérieures de Windows, ou des distributions Linux et autres OS alternatifs.

Au final, Microsoft a revu sa position pour permettre aux constructeurs d'expédier des PC offrant la possibilité aux utilisateurs de désactiver cette fonctionnalité. La firme a en effet exigé que chaque système puisse avoir une commande accessible à l'utilisateur pour lui permettre de désactiver Secure Boot. Elle permettait ainsi d'assurer la compatibilité des machines Windows 8 avec d'autres systèmes d'exploitation.

Pour permettre encore aux utilisateurs de bénéficier de la protection offerte par Secure Boot lorsqu'ils exécutent d'autres OS, Microsoft a également exigé que ces derniers puissent ajouter leurs propres signatures et des certificats cryptographiques pour le firmware.

C'est dans ce sens que la fondation Linux a publié une solution permettant de faire fonctionner les systèmes d’exploitation Linux sur les ordinateurs Windows 8 utilisant l’UEFI Secure Boot. La solution utilise un « pre-bootloader », avec une clé dédiée obtenue de Microsoft, pour installer un OS Linux sur un dispositif Windows 8 avec le firmware.

Tout allait bien jusqu'aux dernières nouvelles qui semblent faire renaître la polémique autour de Secure Boot. Dans une diapositive présentée lors de sa conférence WinHEC, Microsoft a annoncé que la commande pour permettre à Secure Boot d'être désactivée est maintenant optionnelle, alors qu'elle était obligatoire jusqu’alors.

La présentation de la société US montre clairement que Secure Boot « doit être activé » lorsque les PC sont expédiés et cela revient aux constructeurs de décider « s'il faut autoriser l'utilisateur final à désactiver Secure Boot ». Autrement dit, si les fabricants le désirent, les PC Windows 10 seront expédiés sans aucun moyen de désactiver Secure Boot. Du coup, la possibilité d'installer d'autres OS serait inexistante. On pourrait alors se demander quel intérêt les constructeurs auraient à supprimer la possibilité de désactiver Secure Boot.


Source

Et vous?

Qu'en pensez-vous ?

[awak35]

S'il n'est pas possible d'installer l' Operating System Linux sur le pc que l'on achète, je n'achèterai pas ce pc.
Il reste à espérer que certains constructeurs conservent la possibilité d'installer l'OS de son choix.
Les autres constructeurs seront à bannir des achats

[doudoustephane]

Le problème, c'est que 99% du commun des mortels ne portera aucune attention à ce genre de chose et se retrouvera potentiellement bloqué par la suite, au plus grand bonheur des fabricants qui leur proposeront de changer de matériel ...

Perso, comme awak35, SecureBoot obligé = pas ces machines pour moi, même si je n'achète quasi jamais chez les fabricants classiques type asus acer dell et companie...

[esperanto]

Le problème, c'est que 99% du commun des mortels ne portera aucune attention à ce genre de chose et se retrouvera potentiellement bloqué par la suite, au plus grand bonheur des fabricants qui leur proposeront de changer de matériel ...

Non, moi je crains un problème bien plus grave : que les constructeurs refusent de communiquer sur le sujet et/ou que les vendeurs de PC ne sachent pas répondre.
Même si je vais chez un assembleur, si je lui demande si sa carte mère autorise la suppression du secure boot, je suis presque sûr que 80% d'entre eux ne sauront pas répondre.
Et bien sûr qu'ils refusent de reprendre le matériel si on se rend compte que ça ne marche pas, qu'ils aient prétendu ou non le contraire.

[mat1554]

Personnellement, je dirais que UEFI n'est que problème. Ça rend le démarrage en sans échec (F8) impossible, en plus du boot sur CDROM, USB ou autre.

Bref, UEFI ne sert au finale qu'a rien selon moi. C'est bien la sécurité, mais si on peu rien faire....

[Valente82]

Il me semble qu'il y'a confusions des genres.

Petit rappel :
- Un ordinateur est un objet manufacturé.
- Windows 10 est un simple licence d'utilisation.

C'est un abus - plutôt une suppression d'un droit naturel : propriété - si une licence d'utilisation impose une limitation de l'usage d'un bien matériel.
Je vois mal un assurance auto interdire l'accès ou transport d'un contrat d'assurance dans mon véhicule achetée!?!

Et si un utilisateur a une licence d'utilisation Seven ou XP, juridiquement l'éditeur ne peut interdire l'utilisation ou transfert sur un matériel X compatible.

C'est une clause abusif dans un contrat de licence... et si un juriste pouvait répondre sur ce sujet.

J'ai toujours trouvé malhonnête cette clef UEFI imposé par Microsoft. Il n'existe aucune indépendance.
C'est plutôt à l'UEFI.org d'émettre les clefs... en toute indépendance.

A titre perso je vais pas sur le Web avec un OS Windows (sauf eu boulot) donc je m'en fou un peut

Bref ! Un grand pas vers la fin de la désactivation de Secure Boot et une abolition d'un droit naturel - la propriété - par une société de droit privé dont le taux d’imposition est très inférieur à un SMICARD !

[DarkHylian]

Il me semble qu'il y'a confusions des genres.

Petit rappel :
- Un ordinateur est un objet manufacturé.
- Windows 10 est un simple licence d'utilisation.

C'est un abus - plutôt une suppression d'un droit naturel : propriété - si une licence d'utilisation impose une limitation de l'usage d'un bien matériel.
Je vois mal un assurance auto interdire l'accès ou transport d'un contrat d'assurance dans mon véhicule achetée!?!
[...]

J'ai tronqué pour éviter la surcharge, mais je suis totalement d'accord avec toi !

Je ne vois pas ce qui autorise un éditeur de logiciel à limité l'expérience utilisateur d'un produit dont il n'est pas le concepteur, juste pour combler une faille de sécurité qu'ils ne veulent pas combler autrement.
Le problème qui se pose derrière UEFI et son SecureBoot (de m**de), c'est qu'il faut une signature pour être autorisé à démarrer.
Si cette signature est intégrée dans un programme OpenSource, n'importe qui pourrait en faire la mauvaise utilisation qui va avec, je me trompe ?

En me basant sur ça, ça veut dire que le démarrage par signature n'est pas adapté.
Qu'il y ait des mécanismes de protection du démarrage d'un ordi, c'est une bonne chose : il faut qu'un Admin Sys puisse gérer ce genre de cas de manière très spécifique et très ciblé.
En revanche, pour un utilisateur lambda, la première protection c'est que l'OS ne se donne pas le droit de modifier le système de démarrage, hormis son bootloader.
Et la dernière protection : pouvoir verrouiller le bootloader pour qu'il ne soit modifiable que dans un cas, très spécifique, très sécurisé, innaccessible à distance ou j'en passe.

Il doit bien y avoir des experts en sécurité capable de dire et mettre en place le système le plus adapté pour rendre le démarrage d'un ordi sûr et configurable par M. Michu sans qu'elle ait à apprendre tout l'aspect admin sys, tout en laissant la possibilité à une Mme Admin Sys de pouvoir configurer aux petits oignons le démarrage des ordis du parc de l'entreprise (ou de sa maison).

Ca commence à devenir gonflant de voir MS continuer sa politique de m**de sur la vente de son S.E.
Depuis le temps qu'il se vend, et plutôt bien, ils auraient pu arrêter cette vente forcée sans pour autant perdre de pdm.

Pour ma part, les ordis que j'achète (généralement en pièces détachées) je refuse la licence Windows (ouais, dans pas mal de cas, quand on achète une carte-mère, un proco et de la RAM, on "t'offre" un Windows, mais en fait non, c'est juste inclus dans le prix, et faut demander la contre-partie de la licence), et je me ressors ma vieille licence Windows quand j'en ai encore une valide, et tjs en dual boot, une petite debian, ou Mint, ou une Ubuntu, c'est selon l'humeur du moment

[esperanto]

Je ne vois pas ce qui autorise un éditeur de logiciel à limité l'expérience utilisateur d'un produit dont il n'est pas le concepteur, juste pour combler une faille de sécurité qu'ils ne veulent pas combler autrement.

Le seul fait qu'il ait un monopole et que donc tous les constructeurs l'acceptent

Le problème qui se pose derrière UEFI et son SecureBoot (de m**de), c'est qu'il faut une signature pour être autorisé à démarrer.

Non. Le problème, c'est que pour obtenir cette signature il faut passer par... Microsoft.
Lequel est donc en quelque sorte juge et partie.
RedHat et Canonical ont vu là une occasion inespérée d'augmenter leur part dans le marché linux, acheter la signature à Microsoft en sachant très bien que les petites distributions ne sauraient pas le faire, ne les dérangeait pas outre mesure.

La solution intermédiaire proposée à l'époque, à savoir la possibilité pour l'utilisateur d'enregistrer des fournisseurs de signature (comme on le faisait déjà pour la signature des applets java par exemple) était à la limite acceptable, ce qui serait juste c'est que plusieurs fournisseurs de signature indépendants, libres de leur politique (gratuit ou payant, on peut aussi imaginer un fournisseur gratuit mais n'acceptant de signer que des systèmes libres, etc.) soient pré-chargés dans toutes les cartes mères.

Si cette signature est intégrée dans un programme OpenSource, n'importe qui pourrait en faire la mauvaise utilisation qui va avec, je me trompe ?

La signature repose sur un système de clé asymétrique, une partie publique et une privée. Un système de signature peut être open source, mais celui qui l'utilise le fait avec sa propre clé privée, qu'il ne divulgue évidemment pas. Ensuite, seuls ceux qui font confiance à ce fournisseur particulier le rajoutent dans la liste des fournisseurs qu'ils acceptent.
Une fois ces bases acquises, l'ouverture du code source EST un gage de sécurité : si l'algorithme présente une faille on augmente les chances qu'un utilisateur la trouve et publie un patch. Impossible avec un système fermé : si quelqu'un trouve la faille, il ne pourra pas la corriger lui-même quand bien même il le voudrait, et s'il a la mauvaise idée de la divulguer, en France en tout cas il risque la prison (cas réellement avéré de gens qui avaient dévoilé des failles sur les systèmes de cartes bancaires par exemple)

[Dasoft]

Je trouve cette polémique un peu exagérée. L'utilisateur lambda qui veut installer l'OS Linux n'est pas un utilisateur lambda, c'est quelqu'un d'expérimenté : il ne se fera pas avoir par ce type de matériel.
Certes cette limitation est malheureusement une aubaine pour brider un peu le matériel mais cela est et sera toujours contournable par un utilisateur expérimenté.

[Traroth2]

Je trouve cette polémique un peu exagérée. L'utilisateur lambda qui veut installer l'OS Linux n'est pas un utilisateur lambda, c'est quelqu'un d'expérimenté : il ne se fera pas avoir par ce type de matériel.
Certes cette limitation est malheureusement une aubaine pour brider un peu le matériel mais cela est et sera toujours contournable par un utilisateur expérimenté.

Et les mêmes vont dire que Linux est réservé aux utilisateurs expérimentés parce que, par exemple, un "utilisateur lambda" n'est pas capable de désactiver SecureBoot...

[I_Pnose]

Les spécifications ne sont pas encore définitives, et d’ici la sortie de l’OS tout peut changer... cela dit, s’il ne revienne pas sur ce point je prédis un bon gros tollé des familles.

Je ne suis pas le premier quidam venu, mais s’il faut que je fasse gaffe à la machine que j’achète sous prétexte que l’UEFI peut potentiellement m’empêcher d’y installer autre chose qu’un W10, ça va rapidement "heurter ma sensibilité" (pour rester poli). Déjà que ce n’est pas forcément aisé de trouver un laptop (mon principal outil de travail) qui corresponde précisément à mes besoins, cette contrainte en plus et ça va devenir l’enfer.

[Traroth2]

Il y a un truc que j'aimerais comprendre : est-ce que les spécifications de Windows 8 lui interdisent de fonctionner sans SecureBoot ? Parce que légalement, ça me parait limite, comme dispositif...

[nirgal76]

Il y a un truc que j'aimerais comprendre : est-ce que les spécifications de Windows 8 lui interdisent de fonctionner sans SecureBoot ? Parce que légalement, ça me parait limite, comme dispositif...

Bah par défaut, sur les smartphones ou tablettes, tu ne peux pas installer un autre OS non plus, et ça me parait légal. Pourtant, le fabriquant de l'OS n'est pas celui du matériel. C'est un partenariat, une offre, matériel + OS. Si tu la refuse, ben, achète un autre PC, mais si tu l'accepte, faut pas se plaindre derrière. Etre consommateur ne doit pas empêcher d'être intelligent et curieux. Quand les gens auront finit de consommer bêtement (surtout à ces prix là) on aura fait un grand pas.

[Médinoc]

Il y a un truc que j'aimerais comprendre : est-ce que les spécifications de Windows 8 lui interdisent de fonctionner sans SecureBoot ? Parce que légalement, ça me parait limite, comme dispositif...

Si j'ai bien compris, ça interdit de fournir un Windows pré-installé sur un ordinateur sans Secure Boot.

[ILP]

Je trouve cette polémique un peu exagérée. L'utilisateur lambda qui veut installer l'OS Linux n'est pas un utilisateur lambda, c'est quelqu'un d'expérimenté : il ne se fera pas avoir par ce type de matériel.
Certes cette limitation est malheureusement une aubaine pour brider un peu le matériel mais cela est et sera toujours contournable par un utilisateur expérimenté.

Et les mêmes vont dire que Linux est réservé aux utilisateurs expérimentés parce que, par exemple, un "utilisateur lambda" n'est pas capable de désactiver SecureBoot...

Des utilisateurs « lambda » qui se servent de Linux, cela existe. Pour une utilisation basique ; Web + traitement de texte, une distro Ubuntu suffit largement. Et une fois installée et paramétrée, il n'y a pas de raison de mettre les mains dans le « cambouis » .
Je pense que ce sera ce genre d'utilisateurs qui seront les plus pénalisés par l'impossibilité de désactiver le SecureBoot.

[MikeRowSoft]

Pas étonnant, ce sont les plus populaires dans ces domaines.

[nAKAZZ]

Bah on peut installer un linux tout en laissant le Secure boot activé...
Personnellement je me suis installé une distribution Ubuntu, généré une "clé sécurisée" et l'ai entrée dans le BIOS/UEFI. Ça marche nickel.

[RyzenOC]

Certaines personnes n'ont rien compris:

UEFI c'est juste le remplacement de nos bios traditionnel, avec des interfaces plus "user-friendly"

SecureBoot ne limite pas le pc a seul OS, sauf si le fabriquant le veut. Il peut s'il le souhaite autoriser la signature d'autre os.
Enfin MS ne peut pas forcer les fabricants a modifier leurs UEFI et enlever l'option "Désactiver secureBoot", chacun fait ce qu'il veut.

[frenchlover2]

Voila reflechissez bien avant d être contre l uefi http://www.tomsguide.fr/actualite/zi...que,31486.html
http://www.linux-france.org/article/....html/ch2.html
•les virus du « secteur de démarrage » : ces virus sont indépendants du système d'exploitation utilisé, ils se positionnent sur le secteur de démarrage qui est le premier secteur d'une disquette, ou d'une partition d'un disque dur. Ces virus infectent le secteur de démarrage en récrivant le code de démarrage avec un code infecté. Ce sont les virus les plus répandus. Une des façons pour qu'un système soit infecté par ce type de virus, est de démarrer à partir d'une disquette infectée, ou de la lire. Par exemple, le virus « Stoned » a été très répandu au début des années 1990. Il était prévu inoffensif et affichait parfois au démarrage de la machine le message « Your computer is now stoned. »;

[Max Lothaire]

Voila reflechissez bien avant d être contre l uefi http://www.tomsguide.fr/actualite/zi...que,31486.html
http://www.linux-france.org/article/....html/ch2.html
•les virus du « secteur de démarrage » : ces virus sont indépendants du système d'exploitation utilisé, ils se positionnent sur le secteur de démarrage qui est le premier secteur d'une disquette, ou d'une partition d'un disque dur. Ces virus infectent le secteur de démarrage en récrivant le code de démarrage avec un code infecté. Ce sont les virus les plus répandus. Une des façons pour qu'un système soit infecté par ce type de virus, est de démarrer à partir d'une disquette infectée, ou de la lire. Par exemple, le virus « Stoned » a été très répandu au début des années 1990. Il était prévu inoffensif et affichait parfois au démarrage de la machine le message « Your computer is now stoned. »;

Il ne s'agit pas d'être pour ou contre l'UEFI.
Le problème est le risque que l'on ne puisse pas installer l'OS que l'on veut sur un PC livré avec W10 (à cause de Secure Boot).