Windows 10 : un grand pas vers la fin de la désactivation de Secure Boot
Les PC Windows seront-ils fermés à Linux ?
Le 2015-03-22 12:03:36, par imikado, Rédacteur
Avec la sortie de Windows 8, la firme de Redmond a remplacé son système BIOS par un nouveau firmware connu comme UEFI (Unified Extensible Firmware Interface) Secure Boot.
Pour rappel, UEFI Secure Boot comprend une fonction de démarrage sécurisé qui vérifie que le système d'exploitation contient une signature « valide » avant de le lancer. Il protège l'OS contre les logiciels malveillants qui interfèrent avec le processus de démarrage afin de s'injecter dans le système d'exploitation. Si la signature n'est pas valide, le système ne démarrera pas, Secure Boot a donc l'avantage d'offrir plus de sécurité à l'utilisateur.
Cependant, à l'époque de la sortie de Windows 8, une polémique autour du nouveau firmware avait fait couler beaucoup d'encre. UEFI Secure Boot ne permettait pas d'installer l'OS de son choix sur le matériel acheté, qu'il s'agisse des versions antérieures de Windows, ou des distributions Linux et autres OS alternatifs.
Au final, Microsoft a revu sa position pour permettre aux constructeurs d'expédier des PC offrant la possibilité aux utilisateurs de désactiver cette fonctionnalité. La firme a en effet exigé que chaque système puisse avoir une commande accessible à l'utilisateur pour lui permettre de désactiver Secure Boot. Elle permettait ainsi d'assurer la compatibilité des machines Windows 8 avec d'autres systèmes d'exploitation.
Pour permettre encore aux utilisateurs de bénéficier de la protection offerte par Secure Boot lorsqu'ils exécutent d'autres OS, Microsoft a également exigé que ces derniers puissent ajouter leurs propres signatures et des certificats cryptographiques pour le firmware.
C'est dans ce sens que la fondation Linux a publié une solution permettant de faire fonctionner les systèmes d’exploitation Linux sur les ordinateurs Windows 8 utilisant l’UEFI Secure Boot. La solution utilise un « pre-bootloader », avec une clé dédiée obtenue de Microsoft, pour installer un OS Linux sur un dispositif Windows 8 avec le firmware.
Tout allait bien jusqu'aux dernières nouvelles qui semblent faire renaître la polémique autour de Secure Boot. Dans une diapositive présentée lors de sa conférence WinHEC, Microsoft a annoncé que la commande pour permettre à Secure Boot d'être désactivée est maintenant optionnelle, alors qu'elle était obligatoire jusqu’alors.
La présentation de la société US montre clairement que Secure Boot « doit être activé » lorsque les PC sont expédiés et cela revient aux constructeurs de décider « s'il faut autoriser l'utilisateur final à désactiver Secure Boot ». Autrement dit, si les fabricants le désirent, les PC Windows 10 seront expédiés sans aucun moyen de désactiver Secure Boot. Du coup, la possibilité d'installer d'autres OS serait inexistante. On pourrait alors se demander quel intérêt les constructeurs auraient à supprimer la possibilité de désactiver Secure Boot.
Source
Et vous?
Qu'en pensez-vous ?
Pour rappel, UEFI Secure Boot comprend une fonction de démarrage sécurisé qui vérifie que le système d'exploitation contient une signature « valide » avant de le lancer. Il protège l'OS contre les logiciels malveillants qui interfèrent avec le processus de démarrage afin de s'injecter dans le système d'exploitation. Si la signature n'est pas valide, le système ne démarrera pas, Secure Boot a donc l'avantage d'offrir plus de sécurité à l'utilisateur.
Cependant, à l'époque de la sortie de Windows 8, une polémique autour du nouveau firmware avait fait couler beaucoup d'encre. UEFI Secure Boot ne permettait pas d'installer l'OS de son choix sur le matériel acheté, qu'il s'agisse des versions antérieures de Windows, ou des distributions Linux et autres OS alternatifs.
Au final, Microsoft a revu sa position pour permettre aux constructeurs d'expédier des PC offrant la possibilité aux utilisateurs de désactiver cette fonctionnalité. La firme a en effet exigé que chaque système puisse avoir une commande accessible à l'utilisateur pour lui permettre de désactiver Secure Boot. Elle permettait ainsi d'assurer la compatibilité des machines Windows 8 avec d'autres systèmes d'exploitation.
Pour permettre encore aux utilisateurs de bénéficier de la protection offerte par Secure Boot lorsqu'ils exécutent d'autres OS, Microsoft a également exigé que ces derniers puissent ajouter leurs propres signatures et des certificats cryptographiques pour le firmware.
C'est dans ce sens que la fondation Linux a publié une solution permettant de faire fonctionner les systèmes d’exploitation Linux sur les ordinateurs Windows 8 utilisant l’UEFI Secure Boot. La solution utilise un « pre-bootloader », avec une clé dédiée obtenue de Microsoft, pour installer un OS Linux sur un dispositif Windows 8 avec le firmware.
Tout allait bien jusqu'aux dernières nouvelles qui semblent faire renaître la polémique autour de Secure Boot. Dans une diapositive présentée lors de sa conférence WinHEC, Microsoft a annoncé que la commande pour permettre à Secure Boot d'être désactivée est maintenant optionnelle, alors qu'elle était obligatoire jusqu’alors.
La présentation de la société US montre clairement que Secure Boot « doit être activé » lorsque les PC sont expédiés et cela revient aux constructeurs de décider « s'il faut autoriser l'utilisateur final à désactiver Secure Boot ». Autrement dit, si les fabricants le désirent, les PC Windows 10 seront expédiés sans aucun moyen de désactiver Secure Boot. Du coup, la possibilité d'installer d'autres OS serait inexistante. On pourrait alors se demander quel intérêt les constructeurs auraient à supprimer la possibilité de désactiver Secure Boot.
Source
Et vous?
-
Traroth2Membre émériteEt les mêmes vont dire que Linux est réservé aux utilisateurs expérimentés parce que, par exemple, un "utilisateur lambda" n'est pas capable de désactiver SecureBoot...le 23/03/2015 à 14:18
-
ZirakInactifOui je suis d'accord sur le BIOS, autant pour l'UEFI, c'est moins évident, enfin si tu lis ton propre lien, quand on voit des phrases comme :Il existe depuis début 2013 deux bootloaders signés par Microsoft, et donc reconnus par les PC certifiés Windows 8 : Shim9 et Linux Foundation Secure Boot SystemRedhat Linux Utilisation confirmée, clé fournie par Microsoft pour 99 $ USD
Ubuntu Utilisation confirmée, clé fournie par Microsoft pour 99 $ USD
Au contraire, sur les appareils ARM, Microsoft interdit la désactivation du secure boot aux constructeurs
Donc oui l'UEFI n'est pas la propriété de Microsoft et est géré par l'UEFI Forum, cependant, j'ai quand même l'impression que cet UEFI Forum est quand même bien dirigé par Microsoft en majorité...
Pour moi l'UEFI niveau sécurité, c'est un peu comme la censure internet pour la lutte contre le terrorisme, ce n'est pas complètement inutile, il y a surement moyen de faire plus efficace, et cela permet surtout à une tiers partie (le gouvernement pour la censure, ou Microsoft pour l'UEFI) d'imposer sa vision des choses.
Juste pour imager sans forcément relancer le débat sur la facilité d'acheter une machine sous un autre OS que Windows, en gros si le secure boot devient obligatoire :
- on ne pourra même plus virer un Windows (que l'on a payé malgré tout et dont on est pas libre de se débarrasser), pour mettre une distrib autre (enfin autre que celles autorisées donc fini les distribs peu connues ou non maintenues par une sociétés, fini les distrib faites maisons, ...)
- actuellement, il ne faut pas être regardant sur le choix au niveau des machines déjà montées sans Windows, mais au final cela sera encore pire, car certes on aura pas plus de choix, mais en plus derrière, on ne pourra pas forcément installer l'OS que l'on veut.
- même en montant sa propre machine, il faudra en plus, être restreint au niveau du choix des cartes mères, pour essayer d'en trouver sans UEFI avec le secure boot de désactivable et/ou se contenter des OS autorisés par Microsoft.
Enfin bref, je ne vois pas vraiment les avantages à ce que cela ne soit plus une option ?le 24/03/2015 à 11:57 -
awak35Membre du ClubS'il n'est pas possible d'installer l' Operating System Linux sur le pc que l'on achète, je n'achèterai pas ce pc.
Il reste à espérer que certains constructeurs conservent la possibilité d'installer l'OS de son choix.
Les autres constructeurs seront à bannir des achatsle 23/03/2015 à 13:28 -
doudoustephaneMembre éclairéLe problème, c'est que 99% du commun des mortels ne portera aucune attention à ce genre de chose et se retrouvera potentiellement bloqué par la suite, au plus grand bonheur des fabricants qui leur proposeront de changer de matériel ...
Perso, comme awak35, SecureBoot obligé = pas ces machines pour moi, même si je n'achète quasi jamais chez les fabricants classiques type asus acer dell et companie...le 23/03/2015 à 13:43 -
mat1554Membre régulierPersonnellement, je dirais que UEFI n'est que problème. Ça rend le démarrage en sans échec (F8) impossible, en plus du boot sur CDROM, USB ou autre.
Bref, UEFI ne sert au finale qu'a rien selon moi. C'est bien la sécurité, mais si on peu rien faire....le 23/03/2015 à 13:57 -
Valente82Nouveau membre du ClubIl me semble qu'il y'a confusions des genres.
Petit rappel :
- Un ordinateur est un objet manufacturé.
- Windows 10 est un simple licence d'utilisation.
C'est un abus - plutôt une suppression d'un droit naturel : propriété - si une licence d'utilisation impose une limitation de l'usage d'un bien matériel.
Je vois mal un assurance auto interdire l'accès ou transport d'un contrat d'assurance dans mon véhicule achetée!?!
Et si un utilisateur a une licence d'utilisation Seven ou XP, juridiquement l'éditeur ne peut interdire l'utilisation ou transfert sur un matériel X compatible.
C'est une clause abusif dans un contrat de licence... et si un juriste pouvait répondre sur ce sujet.
J'ai toujours trouvé malhonnête cette clef UEFI imposé par Microsoft. Il n'existe aucune indépendance.
C'est plutôt à l'UEFI.org d'émettre les clefs... en toute indépendance.
A titre perso je vais pas sur le Web avec un OS Windows (sauf eu boulot) donc je m'en fou un peut
Bref ! Un grand pas vers la fin de la désactivation de Secure Boot et une abolition d'un droit naturel - la propriété - par une société de droit privé dont le taux d’imposition est très inférieur à un SMICARD !le 23/03/2015 à 13:59 -
DarkHylianMembre habituéJ'ai tronqué pour éviter la surcharge, mais je suis totalement d'accord avec toi !
Je ne vois pas ce qui autorise un éditeur de logiciel à limité l'expérience utilisateur d'un produit dont il n'est pas le concepteur, juste pour combler une faille de sécurité qu'ils ne veulent pas combler autrement.
Le problème qui se pose derrière UEFI et son SecureBoot (de m**de), c'est qu'il faut une signature pour être autorisé à démarrer.
Si cette signature est intégrée dans un programme OpenSource, n'importe qui pourrait en faire la mauvaise utilisation qui va avec, je me trompe ?
En me basant sur ça, ça veut dire que le démarrage par signature n'est pas adapté.
Qu'il y ait des mécanismes de protection du démarrage d'un ordi, c'est une bonne chose : il faut qu'un Admin Sys puisse gérer ce genre de cas de manière très spécifique et très ciblé.
En revanche, pour un utilisateur lambda, la première protection c'est que l'OS ne se donne pas le droit de modifier le système de démarrage, hormis son bootloader.
Et la dernière protection : pouvoir verrouiller le bootloader pour qu'il ne soit modifiable que dans un cas, très spécifique, très sécurisé, innaccessible à distance ou j'en passe.
Il doit bien y avoir des experts en sécurité capable de dire et mettre en place le système le plus adapté pour rendre le démarrage d'un ordi sûr et configurable par M. Michu sans qu'elle ait à apprendre tout l'aspect admin sys, tout en laissant la possibilité à une Mme Admin Sys de pouvoir configurer aux petits oignons le démarrage des ordis du parc de l'entreprise (ou de sa maison).
Ca commence à devenir gonflant de voir MS continuer sa politique de m**de sur la vente de son S.E.
Depuis le temps qu'il se vend, et plutôt bien, ils auraient pu arrêter cette vente forcée sans pour autant perdre de pdm.
Pour ma part, les ordis que j'achète (généralement en pièces détachées) je refuse la licence Windows (ouais, dans pas mal de cas, quand on achète une carte-mère, un proco et de la RAM, on "t'offre" un Windows, mais en fait non, c'est juste inclus dans le prix, et faut demander la contre-partie de la licence), et je me ressors ma vieille licence Windows quand j'en ai encore une valide, et tjs en dual boot, une petite debian, ou Mint, ou une Ubuntu, c'est selon l'humeur du momentle 23/03/2015 à 15:19 -
ILPMembre confirméDes utilisateurs « lambda » qui se servent de Linux, cela existe. Pour une utilisation basique ; Web + traitement de texte, une distro Ubuntu suffit largement. Et une fois installée et paramétrée, il n'y a pas de raison de mettre les mains dans le « cambouis »
.
Je pense que ce sera ce genre d'utilisateurs qui seront les plus pénalisés par l'impossibilité de désactiver le SecureBoot.le 24/03/2015 à 16:57 -
Traroth2Membre émériteEncore faut-il qu'une offre alternative existe. Si SecureBoot est indispensable pour faire marcher Windows 8, on va avoir du mal à trouver des PC qui en sont dépourvus. Et là, ça devient un moyen de verrouiller un monopole, tout simplement. Et comme justement, je n'ai pas envie de consommer bêtement, ça me dérange.le 25/03/2015 à 15:13
-
rtg57Membre expérimentéBonjour,
sans vouloir lancer une polémique, il serait temps de faire passer l'idée que Linux n'est pas réservé aux utilisateurs expérimentés.
Quand j'ai essayé d'utiliser Windows8 pour la première fois, j'ai failli balancer le PC par la fenêtre...
Je pense que 'certaines' versions de Linux sont bien plus abordables que Windows8, en terme d'utilisateur 'Lambda'.
Ceci dit, je ne comprends toujours pas pourquoi je n'ai pas le choix d'acheter un PC portable 'vierge'.
Cela me ferait économiser le prix d'une licence Windows 8 ou 10 d'une part, et me permettrait d'installer le système d'exploitation de mon choix:
* que j'ai déjà payé: Windows7 par exemple,
* ou gratuit: Linux.
J'appelle cela de la vente forcée.
Acheter un PC, et installer un système d'exploitation font partie des manœuvres de bases, qui ne sont pas plus compliquées que d'essayer de comprendre Windows 8 ( et peut être 10 ).
J'ai donné pendant plusieurs années des cours d'informatiques à des débutants, et croyez-moi, leur faire comprendre la logique d'un système d'exploitation µSoft, demande parfois de se munir de pilules pour les nerfs.
Le choix de passer à autre chose que Windows devrait être un droit !le 28/03/2015 à 7:51