Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Canonical détaille ses plans pour le support de l'UEFI Secure Boot
GRUB 2 ne sera plus utilisé par défaut sur les futures versions d'Ubuntu

Le , par Hinault Romaric

0PARTAGES

7  0 
Pour son futur système d’exploitation Windows 8, Microsoft a opté pour l’utilisation de l’UEFI ( Unified Extensible Firmware Interface) en remplacement du BIOS.

Les constructeurs désireux de proposer des dispositifs sous l’OS seront donc obligés de passer à l’UEFI, avec une activation par défaut de la fonction Secure Boot.

Cette fonctionnalité de sécurité offrira au système d’exploitation un processus de démarrage signé et mesuré, qui aide à protéger le PC en détectant les logiciels malveillants au démarrage, et en empêchant le chargement de ceux-ci.

Le revers de la médaille de cette nouveauté est qu’elle rend compliquée l’installation en dual-boot d’un système alternatif (Linux par exemple) sur un dispositif. En effet, le firmware UEFI embarque une clé de sécurité, et le système d’exploitation doit connaitre la clé pour démarrer.

Vivement critiquée par les acteurs de l’open source (Red Hat, Canonical, etc.), Microsoft a finalement autorisé la mise en place des clés spécifiques pour les plateformes Intel.

Les éditeurs des systèmes Linux travaillent donc actuellement sur des solutions pour prendre en charge l’UEFI. Canonical vient de livrer ses plans pour son système d’exploitation Ubuntu.

La société a déjà généré une clé Ubuntu, et est en active discussion avec les partenaires pour l’intégration de cette clé dans le firmware UEFI.

La clé ne pouvant être divulguée, les futures versions d’Ubuntu ne pourront plus utiliser GRUB 2 sur les systèmes ou le Secure Boot est activé. En effet, GRUB 2 étant publié sous une licence GPL 3, l’intégralité de son corde source doit rester de ce fait accessible.

Les versions suivantes d’Ubuntu à partir de la 12.10, utiliseront une version modifiée du chargeur d'Intel Efilinux.

Red Hat, pour sa part, a déjà trouvé une solution pour la prise en charge de l’UEFI et le Secure Boot sur architecture Intel. La firme a travaillé avec Microsoft et des fabricants afin de trouver un moyen de fournir des clés pour ses distributions.

La solution de Red Hat a été mise à la disposition des autres éditeurs qui devront s'acquitter d'un droit de 99 dollars chez Verisign pour obtenir une clé valide. Solution que Canonical a préféré ignorer.

Source : Ubuntu

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de floyd45
Nouveau membre du Club https://www.developpez.com
Le 25/06/2012 à 14:40
Citation Envoyé par Hinault Romaric Voir le message

La clé ne pouvant être divulguée, les futures versions d’Ubuntu ne pourront plus utiliser GRUB 2 sur les systèmes ou le Secure Boot est activé. En effet, GRUB 2 étant publié sous une licence GPL 3, l’intégralité de son corde source doit rester de ce fait accessible.
Par ce moyen microsoft va forcer toutes les distros a utiliser du code proprio si elles veulent être installables. J'ai bien envie de les insulter pour le coup.
10  1 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 25/06/2012 à 17:31
Citation Envoyé par l.bruninx Voir le message
Sur les bonne carte mère équipée UEFI, il suffit de désactiver l'option "Secure Boot" et la question ne se pose plus (protection de polichinelle).
Pour le moment, mais nul doute que cette option risque de disparaitre sur la majorité des machines à venir.
Citation Envoyé par l.bruninx Voir le message
Bien sûr, en tant que client, vous pouvez demander à votre revendeur d'ordinateurs de vous fournir du bon matériel (C-à-d, celui que vous pouvez configurer comme vous l'entendez, ce qui exclut les marques qui ferment intentionnellement leur produit).
Certes mais, la tendance actuelle ne va malheureusement pas du tout dans ce sens. La micro informatique est toujours moins un domaine d'experts qui souhaitent avoir le contrôle de son matériel.
Citation Envoyé par abriotde Voir le message
le principe est le même. Il suffit de rechercher une signature valide de microsoft.
Mais le principe si je ne me trompe pas va plus loin... Il s'agit de calculer un Hash (http://fr.wikipedia.org/wiki/Hash) du programme de boot et de signer ce Hash avec la clef privé.
Oui je n'ai pas détaillé ça car c'est le principe de base d'une signature électronique, de n'être valide que pour les données pour lesquelles elle a été généré. A moins de trouver une collision sur le hash, mais ça m'étonnerait que SecureBoot utilise un algo de hash compromis.

Donc une analyse même poussée de Windows au débogueur ne donnera rien, car si le boot est modifié d'un seul octet, la signature ne sera plus valide. Il faudrait en régénérer une nouvelle à partir de la clé privé que Microsoft garde bien sûr à l’abri, chez lui, probablement sur une machine déconnectée.

Citation Envoyé par maxwell302 Voir le message
Si à terme le BIOS est remplacé par l'UEFI, si les responsables des différentes distrib linux/unix/whatever veulent pouvoir installer leurs OS sur les nouvelles machines équipée de l'UEFI, ils devront les adapter.
Et ils ont déja commencé.

Alors ou est le problème?
Il n'y a pas de problème a part la GPLv3 qui interdit explicitement ça sauf si on fournit la clé privée, ce qui est inenvisageable car ça ruinerait le principe même de la protection.

Heureusement, il y a des licences reconnues libres qui n'ont pas cette restriction. Mais grub se retrouve hors-jeu.
4  0 
Avatar de eti0123456789
Membre du Club https://www.developpez.com
Le 25/06/2012 à 18:00
Citation Envoyé par maxwell302 Voir le message
Si à terme le BIOS est remplacé par l'UEFI, si les responsables des différentes distrib linux/unix/whatever veulent pouvoir installer leurs OS sur les nouvelles machines équipée de l'UEFI, ils devront les adapter.
Et ils ont déja commencé.

Alors ou est le problème?

Ne pas pouvoir installer une version obsolète sur une machine récente?
Le problème est un problème de fond, c'est celui de l'informatique de confiance, qui paradoxalement est de nature à donner moins confiance à l'utilisateur expert, puisqu'il doit s'en remettre à des autorités de signature pour attester de la "sécurité" de l'OS qu'il exécute : on décide que seule une poignée d'entreprises ont le pouvoir d'autoriser l'exécution de tel ou tel programme/OS sur tous les ordinateurs, même ceux dont l'utilisateur souhaite utiliser explicitement un autre programme (qui peut être libre, non libre, venir d'une entreprise, d'une communauté, peu importe, ce n'est pas la question). Cela a quand même une tendance anti-concurrentielle assez forte !
4  0 
Avatar de l.bruninx
Membre régulier https://www.developpez.com
Le 25/06/2012 à 16:30
Sur les bonne carte mère équipée UEFI, il suffit de désactiver l'option "Secure Boot" et la question ne se pose plus (protection de polichinelle).

Cela permet de pouvoir faire démarrer n'importe quel système sur ces cartes.

Ce dont on parle pour Linux est aussi valable pour les autres systèmes y compris BSD et autres dérivés *nix.

Bien sûr, en tant que client, vous pouvez demander à votre revendeur d'ordinateurs de vous fournir du bon matériel (C-à-d, celui que vous pouvez configurer comme vous l'entendez, ce qui exclut les marques qui ferment intentionnellement leur produit).
3  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 27/06/2012 à 7:20
Pour le coup une applet Java avec le droit suffisant pour pourrir ton système, ça doit être signé depuis toujours. Si tu acceptes d’accorder le droit de détruire ton système à des programmes douteux, je vois mal comment Windows y pourrait quelquechose.
3  0 
Avatar de eti0123456789
Membre du Club https://www.developpez.com
Le 25/06/2012 à 14:37
Je crois que les UEFI actuels permettent de simuler le fonctionnement d'un BIOS classique, permettant ainsi de booter même avec un bootloader qui ne serait pas conçu a priori pour les UEFI. Est-ce que cette fonction ne sera plus activable dans les futurs PCs Windows 8 OEM ? Si oui, ça serait bien dommage, un ordinateur est à la base une machine permettant de faire tourner n'importe quel code afin de réaliser n'importe quelle tache (d'où le principe originel du BIOS qui est de faire le minimum de travail pour passer la main le plus vite possible à l'OS), or ce Secure Boot obligatoire restreint l'utilisation qu'on peut faire de la machine qu'on a achetée. Et sera-t-il obligatoire d'avoir un UEFI pour faire tourner un Windows 8 acheté séparément ?

Et puis quid des distributions GNU/Linux qui suivent une sorte de "charte" sur le libre, et qui ne peuvent donc pas intégrer de "clé" secrète ? Je pense notamment à Debian : le fait que le développement se fait de manière communautaire et publique interdirait cela...

Je pense qu'au final, le mieux serait d'activer ce Secure Boot par défaut, et d'autoriser l'utilisateur à le désactiver via l'équivalent de l'écran de configuration du BIOS actuel (à ce que je sache, cette configuration ne peut pas être écrasée par un virus, puisqu'elle se fait alors que la machine n'a pas encore lu le moindre octet sur le disque dur, CD ou autre périphérique externe pouvant en contenir). Comme ça, les utilisateurs qui comprennent et acceptent les risques pourraient exploiter le plein potentiel de leur machine sans se limiter aux systèmes "approuvés".
2  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 25/06/2012 à 15:30
Citation Envoyé par Loceka Voir le message
Et puis c'est bien connu que la sécurité par l'obscurité est une très bonne chose...
Qu'est-ce qui empêchera les concepteurs de rootkits de passer Windows au débuggueur pour trouver la clef ?

Donc bon, question sécurité je ne suis pas certain que ça tienne vraiment la route, par contre pour empêcher le multi-boot et pour faire disparaître des distribs linux, c'est très réussi...
La clé privée de Microsoft n'est bien sur pas fournie dans les versions qu'il distribue, ça serait complètement idiot. Les disques d'installation de Windows contiendront juste une signature que Microsoft aura généré chez lui.
Les firmware UEFI quant à eux, contiendront la clé publique de Microsoft qui permettra de vérifier cette signature.
2  0 
Avatar de Floréal
Membre éclairé https://www.developpez.com
Le 25/06/2012 à 16:47
Tien ça me refait penser à cette vieille vidéo: [ame="http://www.youtube.com/watch?v=DuI6SLFnGbQ"]Trusted Computing - YouTube[/ame]
2  1 
Avatar de abriotde
Membre expérimenté https://www.developpez.com
Le 25/06/2012 à 16:50
La clé privée de Microsoft n'est bien sur pas fournie dans les versions qu'il distribue, ça serait complètement idiot. Les disques d'installation de Windows contiendront juste une signature que Microsoft aura généré chez lui.
Les firmware UEFI quant à eux, contiendront la clé publique de Microsoft qui permettra de vérifier cette signature.
le principe est le même. Il suffit de rechercher une signature valide de microsoft.

Mais le principe si je ne me trompe pas va plus loin... Il s'agit de calculer un Hash (http://fr.wikipedia.org/wiki/Hash) du programme de boot et de signer ce Hash avec la clef privé.
Ainsi on peut connaitre la signature autorisé, si l'on change le programme de boot, le hash ne sera plus le même et donc sa signature non plus et donc le PC refuse de booter.
Ainsi si Mr Y veut que le PC boot sur son programme. Il doit signer le hash de son programme avec sa clef privé mais il faut que cette clef privé soit autoriser par VeriSign.
1  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 27/06/2012 à 12:35
Citation Envoyé par Hinault Romaric Voir le message

La solution de Red Hat a été mise à la disposition des autres éditeurs qui devront s'acquitter d'un droit de 99 dollars chez Verisign pour obtenir une clé valide. Solution que Canonical a préféré ignorer.
Il est vrai que la signature par une entreprise externe est une solution extremement fiable, qui n'a jamais pose de probleme...

Les deux solutions sont mauvaises, car le principe meme de l'UEFI est mauvais : je veux certifier quoi ? Que c'est bien mon OS qui bootes, et pas un autre ? Mais quel est l'interet ? Certainement pas les virus, car des virus qui remplacent la sequence de boot, c'est franchement rare.
A moins que je ne veuille certifier que mon OS est garantie pour cette CM ?

A moins que le but ne soit d'empecher les OS autres que Windows d'exister ? A titre personnel, Windows, Ubuntu, RedHat, Fedora et consors sont tous dans le meme panier des trucs ultra lourds et finalement peu securises. Mais je crains que demain le choix ne se reduisent a ces OS.
1  0