Microsoft a réagi à la polémique sur le risque d'un blocage du dual boot Linux sur un ordinateur certifié Windows 8. La firme affirme que ce problème n'est pas lié à Windows mais se situe au niveau de l'UEFI, programme qui va succéder au BIOS. Microsoft estime que c'est aux constructeurs de permettre la désactivation du démarrage sécurisé au niveau de l'UEFI. Le feront-ils ?

Les nouvelles exigences en matière de sécurité voulues par Microsoft lors du démarrage de l’ordinateur vont-elles empêcher les utilisateurs d’installer un chargeur d’amorçage leur permettant d’utiliser un système d’exploitation alternatif, comme une distribution Linux ? C’est la crainte de Matthew Garrett, développeur chez Red Hat. Il craint que les clients ne pourront pas installer Linux en dual boot sur des ordinateurs certifiés Windows 8.

Protéger le démarrage du PC

Quel est le problème ? Afin d’empêcher que la séquence de démarrage de l’ordinateur ne soit affectée par des logiciels malveillants, Microsoft a voulu renforcer cette partie grâce au « démarrage sécurisé » (secure boot). Cette procédure, chiffrée, a pour objectif d’empêcher la modification de la séquence de démarrage au sein de l’UEFI (Unified Extensible Firmware Interface), interface qui va succéder au fameux BIOS.

Pour recevoir le label « compatible avec Windows 8 », les fabricants devront répondre aux exigences de Microsoft en matière de sécurité. Ils seront donc poussés à intégrer le démarrage sécurisé afin de recevoir l’autocollant qui reste, aux yeux du grand public, un gage d’assurance certain. Pour des raisons commerciales, les constructeurs seront naturellement incités à suivre les recommandations de Microsoft.

« La nouvelle procédure de démarrage demande que les ‘clés de signature’ soient installées dans le firmware de l’ordinateur. Le démarrage sécurisé empêche les exécutables d’être lancés s’ils ne sont pas signés par l’une des clés » a expliqué Matthew Garrett. Or si Microsoft n’aura aucune difficulté à franchir ces étapes avec sa signature, ce n’est pas le cas des autres O.S.

Microsoft aura les clés. Mais les autres ?

Microsoft, qui demeure l’O.S. le plus utilisé dans le monde, sera forcément pris en compte par défaut. Mais les autres ? Plusieurs cas de figure peuvent se poser. Pour les distributions Linux de premier plan, on peut imaginer que les clés de déchiffrement seront obtenues, du fait de la visibilité de certains éditeurs. Ensuite, encore faut-il que celles-ci soient prises en compte par les constructeurs, puisque ce sont eux qui, au final, intégreront ces clés dans le matériel.

À supposer que les fabricants ne soient pas adeptes du minimum syndical, on peut penser que des distributions importantes auront tissé des accords de manière à intégrer leurs clés. Dans le cas des distributions Linux de moindre importance, la situation se corse. Il n’est déjà pas certain qu’elles puissent obtenir les clés, pour des raisons techniques, légales ou financières, et même si c’est le cas il n’est pas sûr que les fabricants souhaitent se fouler pour des distributions mineures.

Rappelons au passage que l’UEFI est né au sein d’un consortium réunissant des entreprises telles que AMD, Apple, Delle, Hewlett Packard, IBM, Intel, Lenovo ou encore Microsoft. C’est au sein de ce groupe d’industriels que le principe du démarrage sécurisé a vu le jour. Et Microsoft, dans un billet de blog, est sorti de son silence pour rappeler que c’est aux fabricants de prendre leurs responsabilités.

La balle est dans le camp des constructeurs

Dans un message publié jeudi, Microsoft explique qu’une option destinée à désactiver le démarrage sécurisé au sein de l’UEFI est toujours possible. Il suffit de se rendre dans le paramétrage et de changer le paramètre. Or, encore faut-il que celui-ci existe. Rien n’indique en effet que cette option soit en effet prévue dans chaque matériel certifié Windows 8.

Microsoft n’exige pas que le démarrage sécurisé soit systématiquement présent. Autrement dit, c’est aux constructeurs de prendre les mesures nécessaires afin de laisser le choix aux utilisateurs. « Nous travaillons avec notre écosystème OEM pour fournir cette flexibilité aux consommateurs » explique l’entreprise. Et d’ajouter que Microsoft ne contrôle par les réglages sur le firmware d’un PC sur d’autres O.S. que Windows.

Partager sur les réseaux sociaux

Articles liés