L'arrivée de Windows 8 sur le marché sera accompagnée de la mise en place de l'UEFI, un système permettant notamment de sécuriser le démarrage des ordinateurs. Mais cette sécurité demande à ce que les OS soient signés, ce qui met en danger de nombreuses distributions Linux. Red Hat a annoncé qu'une solution avait été trouvée, ce qui ne chasse pas toutes les inquiétudes.

En présentant Windows 8 en septembre 2011, Microsoft avait indiqué que l’OS imposerait l’UEFI pour sécuriser la phase de démarrage de l’ordinateur. L’UEFI se base sur un système de clés qui doivent être reconnues pour charger le logiciel. Pour éviter l’exécution d’un code malicieux qui poserait un risque critique au démarrage de l’ordinateur, un système d’exploitation non signé ne pourra pas être lancé sur un ordinateur où est aussi installé Windows 8. Une grosse épine dans le pied des amateurs de « dual boot ».

En dehors de Windows 8, aucun système d’exploitation ne dispose de la signature nécessaire au « Secure Boot ». Pas même les anciennes versions de Windows.

Microsoft a fait savoir qu’il empêcherait de passer outre cette protection sur les machines basées sur une architecture ARM (essentiellement des tablettes), mais il fait aussi le forcing pour qu’il soit activé par défaut sur les autres machines.

Linux en danger

Dès novembre 2011, la Linux Foundation, Red Hat (qui soutient également Fedora) et Canonical (Ubuntu) ont donc parlé d’une même voix pour demander à ce que cette sécurité soit au contraire désactivée par défaut. L’utilisateur qui veut sécuriser son ordinateur pourrait l’activer, mais ceux qui acceptent le risque pourraient toujours installer un autre OS facilement. La Free Software Foundation avait également pressé les fabricants de cartes mères d’implémenter un moyen de désactiver l’UEFI.

En effet, les différentes distributions Linux seront les premières à subir le Secure Boot puisqu’elles sont, par définition, extrêmement fragmentées. Chaque utilisateur peut re-créer sa propre version de l’OS qui demanderait, alors, à être de nouveau signée.

Une solution controversée

Tim Burke, le vice président de Red Hat en charge de l’ingénierie Linux, a publié le 5 juin dernier un article détaillant le compromis auquel la firme était parvenue pour tenter de résoudre ce problème. Il explique que « Red Hat a travaillé pendant plusieurs mois avec un consortium industriel, la Linux Foundation, des fabricants et Microsoft pour développer un mécanisme permettant à l’utilisateur de choisir.« 

Red Hat fournira donc des clés pour ses destributions, dont Fedora. Les autres distributions pourront s’acquitter d’un droit de 99 dollars, payé à Verisign, pour être validées. Toutes les distributions devront passer par cette étape sans laquelle elles ne pourront pas fonctionner sur les machine équipées d’UEFI. C’est donc aussi vrai pour les distributions communautaires qui ne sont pas soutenues par une entreprise comme Red Hat ou Canonical.

Pour les modifications personnelles, qui n’ont pas vocation à être distribuées, il sera possible de signer localement sa distribution, gratuitement.

Vers une rationalisation ?

Mais ces frais sont un véritable frein pour de nombreuses distributions développées par des anonymes souvent seuls, parfois réunis en petites communautés. Les utilisateurs, que Red Hat se défend de faire payer avec cette solution, ne seront souvent pas près à faire un don, même minime, pour tester une distribution dont ils disposaient gratuitement. C’est aux développeurs que reviendra alors la charge de cette signature alors qu’ils font ce travail bénévolement et par passion.

Nous risquons donc de voir naître une rationalisation des distributions Linux au profit des entreprises ou fondations puissantes qui en soutiennent quelques unes. Les distributions marginales ou cantonnées à un rôle précis vont, elles, avoir beaucoup de mal à survivre.

Partager sur les réseaux sociaux

Articles liés