Forum

Open Source : Depuis quelques semaines, une fonctionnalité intégrée aux nouvelles générations de BIOS fait râler : le "secure boot" permet certes de sécuriser le démarrage... Mais aussi d'empêcher l'installation d'OS alternatif.

On a beau changer d'année, certaines choses semblent immuables : les efforts faits par Microsoft pour compliquer l'installation d'une distribution GNU / Linux sur un ordinateur livré avec Windows 8, par exemple, ont le don d'agacer le blogueur de ZDNet.com Steven J. Vaughan-Nichols.

Pour lui, c'est un calvaire : comme il le raconte sur son blog "Linux and Open Source", c'est "au nom de la sécurité" que l'éditeur de Redmond met des bâtons dans les roues des utilisateurs qui souhaiteraient installer un autre système d'exploitation.

Le coupable : "Secure Boot"

Ces restrictions couvrent évidemment les distributions GNU / Linux, mais aussi les versions plus anciennes de Windows. Sans compter la quasi-impossibilité d'installer quoi que ce soit d'autre sur les appareils tournant sur Windows RT.

Le coupable : un BIOS de nouvelle génération, UEFI (Unified Extensible Firmware Interface), qui intègre la fonctionnalité "secure boot". Censée lutter contre les malwares capables de se lancer avant le système d'exploitation (rootkits), il est plutôt utile pour éviter le détournement de l'ordinateur par des programmes malicieux.

Même la Free Software Foundation (FSF), qui ne porte pas Microsoft dans son coeur, en a admis l'utilité, explique Steven J. Vaughan-Nichols. Dans l'explication fournie par la FSF, il est pourtant bien noté que dans les faits, cette fonctionnalité de démarrage sécurisé permet aussi de bloquer tout système qui ne serait pas autorisé.

Pas de souci a priori, tant que l'utilisateur a la possibilité d'autoriser les systèmes auxquels il accorde sa confiance. Y compris ceux qui ont été modifiés par lui ou des gens de confiance, et recompilés ensuite. Mais comme l'explique la FSF, Microsoft et ses partenaires ne voient pas les choses comme ça...

Impossible de démarrer autre chose que Windows 8 dans les implémentations faites par l'éditeur et les fabricants. De quoi appeler la technologie "restricted boot" (démarrage restrictif) plutôt que "secure boot (démarrage sécurisé), estime la fondation de promotion du logiciel libre. "Une restriction désastreuse pour l'utilisateur et pas du tout une fonctionnalité de sécurité."

La FSF demande donc aux fabricants implémentant "secure boot" sur l'UEFI de le faire "d'une façon que les systèmes libres puissent être installés. Pour respecter la liberté de l'utilisateur et vraiment protéger sa sécurité, les fabricants doivent soit permettre au propriétaire de l'appareil de désactiver la restriction au démarrage, soit une façon sure d'installer le système de son choix."

Vérifications empiriques

En se basant sur ces craintes de la FSF, Steven J. Vaughan-Nichols a tenté de s'attaquer au problème de façon empirique. Comment installer Linux ? Le plus simple, pour lui : désactiver le "secure boot".

Problème n°1 : vous voilà exposé à d'éventuels rootkits, "qui sont une menace réelle," estime le blogueur. Problème n°2 : la plupart des fabricants n'ont pas prévu de procédure simple de désactivation de la fonctionnalité.

Aucune procédure universelle, et il faudra la plupart du temps passer par les paramètres du l'UEFI pour tenter de s'y retrouver. A l'utilisateur de chercher dans un menu qui pourrait s'appeler "Secure Boot Parameters" ou "Boot Mode" une option pour désactiver la fonctionnalité de démarrage sécurisé.

Et si vous souhaitez le mode secure boot actif et une distribution GNU / Linux, il vous faudra de la patience conclut notre blogueur... Canonical, Red Hat et la Fondation Linux y travaillent. Mais comme le rappelle l'expert Linux Matthew Garrett, c'est loin d'être gagné.

La Fondation Linux n'a pas encore obtenu de copie de son bootloader signée par Microsoft, Debian ne prend pas encore la fonctionnalité en charge, Ubuntu et Suse peuvent utiliser des contournements, mais le flou règne encore, pour elles comme pour les autres distributions.

Tablettes... Oubliez Linux

Et pour les appareils fonctionnant sur puce ARM... "Vous devriez cracker Secure Boot vous-mêmes," explique Steve J. Vaughan-Nichols au sujet des appareils sous Windows RT. Les tablettes "Surface sont un système verrouillé, et devraient le rester."

Quant aux tablettes Surface sous Windows 8 Pro, attendues pour janvier sur une architecture Intel, elles devraient se rapprocher des PC quant aux problématiques de Secure Boot. Même si rien n'indique que Microsoft ne cherchera pas à restreindre encore plus la fonctionnalité, prévient le blogueur.

"Abandonnez l'idée de faire tourner Linux sur une tablette Surface," du moins pour l'instant, donc. Quelqu'un finira par réussir à contourner la protection, mais Microsoft patchera probablement ses tablettes à mesure que des failles sont exploitées.

Quant aux PC, il faudra soit désactiver l'option - et se passer de sa protection - soit acheter un PC directement sous Linux, ou au moins sans Windows 8. Ce qui là aussi n'est pas aisé.

L'article original sur ZDnet

Salut,

En fait, le concept de SecureBoot est génial en soi. Il n'est pas là le problème. Le problème est que Krosoft exige une clé signé krosoft et vendu par krosoft. Le pire dans tout ça : les OEMs. Tous des vendus et prêts à embarquer dans un galère comme ça avec krosoft.

Pour ce qu'il en est de Linux, plusieurs distributeurs ont déjà indiqué qu'ils ont la solution pour permettre une cohabitation de win8 avec leur distribution : fedora, openSUSE, Mint,Ubuntu pour e nommer que ceux-là.

Donc, ce n'est pas si infernal.

Salut,

Moi je n'y vois que des bonnes choses : une nouvelle façon de "consommer" notre informatique, réfléchir un peu et ne plus acheter un ordinateur n'importe comment. Y aura bien d'autres constructeurs / assembleurs (petits) qui y verront l'occasion de se faire une place, en tout cas plus facilement que dans l'état actuel des choses.

Merci

Oui mais quelle complexité pour déterminer si le matériel qu'on veut acheter est bien compatible linux. Pour moi c'est un abus de position dominante. Et même si je veux pas de windows, pourrais je y installer un autre OS ? Je crois que les gens deviendront contraint à utiliser windows. C'est à mes yeux une privation de liberté.

Salut,

Evident qu'il s'agit d'une privation tout çà ... mais ca n'empêche pas que !

De toute façon pourquoi acheter un produit qui n'est tout simplement pas compatible avec ce que tu mets dessus ?

Au moins, là le jeu sera franc. On verra comment va s'en sortir MS.

Merci

En fait, ce qui est contraignant est la façon dont krosoft et les OEMs ont mis le shmilblick en place. C'est carrément de l'abus.



Mais tel que le dit xkomodor, ça laissera la place à de petits constructeurs/assembleurs de pouvoir offrir des alternatives intéressantes.

Hello,

moi, il y a un truc que je ne comprends pas...
Il faut une clé signée, mais certaines distribs GNU/Linux en ont obtenu.

Un système GNU/Linux se veut d'être ouvert, donc la clé est en clair dans le code donc un pirate qui veut modifier le Windows en question peut changer la clé pour se faire passer pour un linux ?

J'ai pas tout saisi ...

Salut,

Je pense que Linux est vraiment perdant. Imaginons un débutant motivé, qui a entendu de partout le plus grand bien de Linux. Il insère son LiveCD fraîchement gravé, et là, paf, il ne peut pas démarrer sur Linux. Il ne va même pas chercher à fouiller dans les options de l'UEFI, car ça lui paraît invraisemblable que l'on puisse toucher à sa liberté de booter. Il va donc rejeter le problème sur Linux. Et voilà, ça fait peut-être un utilisateur de moins pour Linux, mais surtout ça nuit à sa réputation.

Tu as tout compris. C'est bien le but rechercher par krosoft. Mais ça peut avoir un revers. Si un petit fabriquant fait sa pub sur l'universalité de son système, ça pénalisera krosoft. Et comment va faire dell pour proposer des PC linux ?

Salut,





Dell fabrique des PC sous ubuntu qui gère le secure boot.

Ne pourrait-on pas utiliser EasyBCD pour rajouter Linux au bootloader de Windows.

Salut,
très concrètement, je viens d'acheter un ordi, dans lequel on peut classiquement entrer dans le BIOS/UEFI au démarrage. On y trouve alors une section "UEFI boot support" que l'on peut activer ou désactiver. Sauf erreur, il me semble qu'il s'agit là de l'option secure boot. L'option étant désactivée, on peut alors installer n'importe quoi, et surtout linux.
Si on peut désactiver la fonction, les problèmes d'installation de linux ne se posent pas, sauf si comme le suggère Daax on veut augmenter le niveau de sécurité de la machine.
Moralité, si on installe linux seul, no problemo. En revanche, celui qui veut un double boot windows/linux devra probablement affronter la gestion des clés....

Lors de mon achat, je n'ai pas voulu prendre de machine sous windows 8, étant donné les annonces sur le secure boot.

Quelqu'un a t'il une expérience avec une machine W8 ?

Oui, moi... Sur un Toshiba Satellite C870-199, que j'ai acheté pour mon père et sur lequel j'ai installé Mageia2.

Ça a été galère pour réussir à rentrer dans le BIOS/UEFI... Une fois dedans, il m'a fallu désactiver la verification de securité (je n'ai plus le terme exact en tête) et changer de mode UEFI à mode CSM.

Sans ça, aucun démarrage car ça bloquait a la verification, même sur les livecd

Salut,



Ouais, ben moi, ça m'embête déjà... Je voudrais me racheter un portable, y mettre bien sûr Mageia, et garder un bout de windows parce que Dragon NS sous Wine, ça marche mal et que les ocr faut pas vraiment y compter non plus...



Mais je vais chercher un ordinateur avec W7 comme Wato.



Mais



parce que souvent, hélas, Linux est installé en 2e intention sur un ordinateur déjà acheté.



Il me semble qu'il y a quand même abus de position dominante. L'April ou quelque autre association n'a pas l'intention de se mobiliser pour exiger de Microsoft de livrer les clefs avec les ordinateurs ? Il est de curieuse politique de sécuriser un ordinateur contre son propriétaire... C'est une étrange dérive du DRM...

Bonsoir,

si cela concerne les pc portables, alors achetez des PC portables sans O.S (cela existe) du style LDLC, voir Clevo. Pour ce dernier, ce sera un peu plus cher par rapport à un pc portable "classique", mais vous êtes gagnant. En effet, ces portables sont compatibles Gnu/Linux (certains revendeurs Clevo proposent des distributions Gnu/Linux telles que Ubuntu ou Mint à l'achat), et je ne pense pas que l'uefi/bios présent dans ces machines posera un problème.