Windows 10 : le Secure Boot piège Linux ?

Le par  |  26 commentaire(s) Source : Ars Technica
Windows-10-logo

Le démarrage sécurisé refait parler de lui. Pour les fabricants OEM et avec Windows 10, il doit être activé et ce sont eux qui décideront si un utilisateur pourra le désactiver ou non. Cela pourrait compliquer l'installation de systèmes d'exploitation alternatifs comme une distribution Linux.

La polémique Secure Boot ressurgit avec Windows 10. Au sein de la communauté Open Source, elle avait été vive au moment de la sortie de Windows 8 qui a introduit la prise en charge de ce démarrage sécurisé. Le Secure Boot n'est toutefois pas une fonctionnalité de Windows mais un protocole de l'UEFI (le remplaçant du BIOS).

À l'occasion de sa conférence WinHEC 2015 qui s'est déroulée la semaine dernière en Chine, Microsoft a détaillé pour les fabricants la configuration matérielle pour Windows 10. Avec les nouveaux appareils équipés, il est évidemment question du Secure Boot.

Ars Technica a repéré dans une présentation (Building More Secure Windows 10 Devices with the TPM) que le Secure Boot doit être activé avec une nouvelle machine et c'est au fabricant OEM de décider s'il permet à l'utilisateur final de pouvoir le désactiver. C'est un changement par rapport à Windows 8 où Microsoft rendait obligatoire la possibilité pour un utilisateur de pouvoir désactiver le démarrage sécurisé.

Windows-10-UEFI-Secure-Boot
Ce changement fait peser une incertitude quant à la possibilité d'installation sur une nouvelle machine équipée de Windows 10 d'un système d'exploitation alternatif comme une distribution Linux.

Comme Microsoft ne fait pour le moment aucun commentaire, la situation est assez confuse. En 2011, la bombe avait été désamorcée avec donc l'obligation d'une possibilité de désactivation du Secure Boot (architecture x86) mais aussi un partenariat avec VeriSign pour une méthode visant à permettre la signature numérique d'autant de composants tiers que souhaité contre le paiement d'une clé à 99 $.

Rappelons que le but du Secure Boot est tout à fait louable. C'est une sécurisation de l'environnement pré-OS avec l'UEFI qui nécessite une clé numérique pour le boot d'un système. Elle vise à limiter les possibilités d'une attaque de type rootkit provoquant la compromission du processus de boot.

" Le démarrage sécurisé est une norme de sécurité mise au point par les acteurs de l'industrie du PC pour vérifier que votre PC démarre uniquement à l'aide d'un logiciel approuvé par le fabricant du PC. Quand le PC démarre, le microprogramme vérifie la signature de chaque logiciel de démarrage, notamment les pilotes du microprogramme (ROM en option) et le système d'exploitation. Si les signatures sont correctes, le PC démarre et le microprogramme cède le contrôle au système d'exploitation "

, explique Microsoft.

Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1837336
Alors là, il vas falloir qu'ils changent d'avis et VITE, car ces agissements sont passible de poursuites dans de nombreux pays !
Le #1837337
Le #1837338
Je ne vois pas où est le piège. L'UEFI est activé par défaut ce qui est bien. MS laisse le choix de l'option "activer/désactiver" l'UEFI aux fabricants ce qui est tout a fait normal. Un fabricant ne doit pas verrouiller l'UEFI et laisser le choix à l'utilisateur.

Après, chaque utilisateur fait ce qu'il veut, la machine lui appartient et a le droit d’accéder à tout sans restriction.
Le #1837339
Faut pas se leurrer, il y aura toujours un moyen. Et au pire, ça me fera toujours marrer, de voir le paquet de gens qui crachent de longue sur w10 rager de ne pouvoir l'installer.
"Assumer" ne veut plus rien dire de nos jours...
Le #1837345
salut

il est désactivable (OEM) si l'option et dans le bios tout dépendras des constructeur et la pression exercer par Microsoft
Le #1837349
La désactivation du Secure Boot n'a jamais posé le moindre problème si on voulait installer GNU/Linux.

Toutes les marques proposent sa désactivation d'une manière ou d'une autre dans le Bios (passage en mode CSM). Et si une marque ne le permettrait pas (ce que je doute fortement), elle risquerait de perdre de méchantes parts de marché face aux autres.

Faut arrêter de faire une tempête dans un verre d'eau... En plus on n'est pas vendredi
Le #1837355
Microsoft ne l'a pas fait exprès
Le #1837367
La crainte est de voir M$ proposer aux constructeurs des accords secrets, frauduleux et voir mafieux afin d'offrir des rabais s'il est impossible de désactiver leur secure boot sur leurs PCs.
Le #1837373
redmail >>>Dans ce cas, l'argument d'Ulysse2k prend toute sa mesure.

Un constructeur qui verrouillerait son Bios verrait ses ventes chuter à vitesse grand V...
Le #1837378
RexNebular a écrit :

Je ne vois pas où est le piège. L'UEFI est activé par défaut ce qui est bien. MS laisse le choix de l'option "activer/désactiver" l'UEFI aux fabricants ce qui est tout a fait normal. Un fabricant ne doit pas verrouiller l'UEFI et laisser le choix à l'utilisateur.

Après, chaque utilisateur fait ce qu'il veut, la machine lui appartient et a le droit d’accéder à tout sans restriction.


Je crois que t'as lu un peu vite... Le choix qui est laissé aux OEM c'est de NE PAS mettre DU TOUT d'option de désactivation. Et donc l'utilisateur n'AURA PAS LE CHOIX de désactiver cette option et sera donc OBLIGÉ de démarrer win10 et UNIQUEMENT win10.

"Rappelons que le but du Secure Boot est tout à fait louable."... Ça ça reste à prouver... Comme vous l'avez rappelé, la technique cherche à empêcher que ne soit démarré sur l'ordinateur un programme qui n'a pas été validé PAR LE CONSTRUCTEUR (sous - grosse - pression de l'ÉDITEUR de l'OS). Ça veut dire que l'UTILISATEUR n'est plus de décisionnaire des logiciels qui tournent ou non sur SON ordinateur... En gros, ça veut dire que M$ et les constructeurs considèrent que l'utilisateur est NÉCESSAIREMENT un mouton-pédophile-dangereux-terroriste qu'il faut empêcher de faire ce qu'il veut avec SON matériel. Et la conséquence directe c'est que le matériel l'utilisateur a beau l'acheter et le payer plein pot, il n'en n'est plus le propriétaire, mais juste le loueur des quelques "services" que voudront bien lui proposer M$+constructeur. Il est logiciellement déposédé de la jouissance libre de son bien.

Quant à la mise en place du système par M$, qui consiste à forcer les constructeurs à mettre en place un système de gestion des clefs que LUI SEUL contrôle (qui lui permet de TOUT contrôler : autant la révocation des clefs - la vie ou la mort de votre matériel - que la distribution des clefs - les clefs tierces étant VENDUES, cela limite DE FACTO le système à des éditeurs de logiciels COMMERCIAµUX)... C'est clairement à la fois de l'abus de position dominante et (empêcher les OS libres ou gratuits) et de l'obsolescence programmée/defective-by-design (soyez sûr que M$ ne vous fournira pas une nouvelle clefs quand vous souhaiterez mettre à jour vers une future version de windows, mais bien que M$ vous forcera à racheter un nouveau matériel avec le nouveau logiciel)...
D'ailleurs ce n'est pas pour rien que les constructeurs sont à fond avec M$ sur ce coup là : en ce moment on a atteint un seuil où les ordinateurs sont tellement performants pour une utilisation quotidienne (surf, mail, suite bureautique) qu'on peut les garder sans problème 10 ans, alors qu'avant il fallait en changer tous les 3 ans...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]