Publié par Simon Robic, le Vendredi 08 Juin 2012

Red Hat annonce une solution controversée au Secure Boot de Windows 8

L'arrivée de Windows 8 sur le marché sera accompagnée de la mise en place de l'UEFI, un système permettant notamment de sécuriser le démarrage des ordinateurs. Mais cette sécurité demande à ce que les OS soient signés, ce qui met en danger de nombreuses distributions Linux. Red Hat a annoncé qu'une solution avait été trouvée, ce qui ne chasse pas toutes les inquiétudes.

En présentant Windows 8 en septembre 2011, Microsoft avait indiqué que l'OS imposerait l'UEFI pour sécuriser la phase de démarrage de l'ordinateur. L'UEFI se base sur un système de clés qui doivent être reconnues pour charger le logiciel. Pour éviter l'exécution d'un code malicieux qui poserait un risque critique au démarrage de l'ordinateur, un système d'exploitation non signé ne pourra pas être lancé sur un ordinateur où est aussi installé Windows 8. Une grosse épine dans le pied des amateurs de "dual boot".

En dehors de Windows 8, aucun système d'exploitation ne dispose de la signature nécessaire au "Secure Boot". Pas même les anciennes versions de Windows.

Microsoft a fait savoir qu'il empêcherait de passer outre cette protection sur les machines basées sur une architecture ARM (essentiellement des tablettes), mais il fait aussi le forcing pour qu'il soit activé par défaut sur les autres machines.

Linux en danger

Dès novembre 2011, la Linux Foundation, Red Hat (qui soutient également Fedora) et Canonical (Ubuntu) ont donc parlé d'une même voix pour demander à ce que cette sécurité soit au contraire désactivée par défaut. L'utilisateur qui veut sécuriser son ordinateur pourrait l'activer, mais ceux qui acceptent le risque pourraient toujours installer un autre OS facilement. La Free Software Foundation avait également pressé les fabricants de cartes mères d'implémenter un moyen de désactiver l'UEFI.

En effet, les différentes distributions Linux seront les premières à subir le Secure Boot puisqu'elles sont, par définition, extrêmement fragmentées. Chaque utilisateur peut re-créer sa propre version de l'OS qui demanderait, alors, à être de nouveau signée.

Une solution controversée

Tim Burke, le vice président de Red Hat en charge de l'ingénierie Linux, a publié le 5 juin dernier un article détaillant le compromis auquel la firme était parvenue pour tenter de résoudre ce problème. Il explique que "Red Hat a travaillé pendant plusieurs mois avec un consortium industriel, la Linux Foundation, des fabricants et Microsoft pour développer un mécanisme permettant à l'utilisateur de choisir."

Red Hat fournira donc des clés pour ses destributions, dont Fedora. Les autres distributions pourront s'acquitter d'un droit de 99 dollars, payé à Verisign, pour être validées. Toutes les distributions devront passer par cette étape sans laquelle elles ne pourront pas fonctionner sur les machine équipées d'UEFI. C'est donc aussi vrai pour les distributions communautaires qui ne sont pas soutenues par une entreprise comme Red Hat ou Canonical.

Pour les modifications personnelles, qui n'ont pas vocation à être distribuées, il sera possible de signer localement sa distribution, gratuitement.

Vers une rationalisation ?

Mais ces frais sont un véritable frein pour de nombreuses distributions développées par des anonymes souvent seuls, parfois réunis en petites communautés. Les utilisateurs, que Red Hat se défend de faire payer avec cette solution, ne seront souvent pas près à faire un don, même minime, pour tester une distribution dont ils disposaient gratuitement. C'est aux développeurs que reviendra alors la charge de cette signature alors qu'ils font ce travail bénévolement et par passion.

Nous risquons donc de voir naître une rationalisation des distributions Linux au profit des entreprises ou fondations puissantes qui en soutiennent quelques unes. Les distributions marginales ou cantonnées à un rôle précis vont, elles, avoir beaucoup de mal à survivre.

Publié par Simon Robic, le 8 Juin 2012 à 10h38
 
42
Commentaires à propos de «Red Hat annonce une solution controversée au Secure Boot de Windows 8»
Inscrit le 09/07/2008
98 messages publiés
C'est rigolo, Mark Shuttleworth/Canonical est devenu riche en vendant justement des certificats de sécurité. Tu m'étonnes qu'ils aient finalement trouvé un 'arrangement', mais à 99$.
Haaa, le business de la peur...
Inscrit le 21/11/2011
624 messages publiés
Ayé, la "liberté" d'installer ce que l'on veut commence à s'étioler. C'est le début de la fin. Que c'est beau le commerce... à quand la signature pour compiler et lancer un programme ? Ah mince, on me dit que ça se fait déjà... ;-)
Inscrit le 22/11/2011
268 messages publiés
Pour votre sécurité, mais bien sur
Inscrit le 18/06/2003
101 messages publiés
Est-ce que ce Secure Boot pourra être désactivé dans le bios pour les architectures x86
et x86-64?
[message édité par ethan le 08/06/2012 à 11:25 ]
Inscrit le 11/05/2006
14 messages publiés
Attention à ne pas tout diaboliser :
- L'arrivée de Win8 ne signifie pas " mise en place de l'UEFI " : l'UEFI existe depuis plusieurs années, notamment sur les MAC.
- Win8 n'impose pas l'UEFI : on peut très bien installer Win8 sur des PC à simple BIOS.
- L'UEFI en soi n'est pas une mauvaise techno, bien au contraire ; il permet de faire tout plein de chose bien plus intéressantes que les anciens BIOS (shell, multi-boot géré dès l'allumage, accès réseau possible dès l'allumage, etcâ€). La possibilité d'y mettre des clés n'en est qu'une parmi d'autre, mais il n'y a aucune raison de le mettre à la poubelle à cause de ça. Perso, j'ai essayé l'UEFI pour un PC en double-boot avec Win8 Consumer Preview et ArchLinux, et ça marche très bien, bien plus rapide que l'ancien BIOS.
Inscrit le 16/06/2007
191 messages publiés
ethan, le 08/06/2012 - 11:23
Est-ce que ce Secure Boot pourra être désactivé dans le bios pour les architectures x86
et x86-64?


Il est prévu, à terme, que UEFI remplace le BIOS.
Dont tout déprendra des constructeurs.
Inscrit le 20/11/2004
2123 messages publiés
[Troll de compétition]
Peut-être que comme ça les distros linux arrêteront de s'éparpiller dans toutes les directions en gâchant toute perspective de toucher un jour le grand public, scrogneugneu.
[/Troll]
[message édité par Sabinou le 08/06/2012 à 11:32 ]
Inscrit le 21/02/2011
984 messages publiés
Simon Robic (Rédacteur forum) le 08/06/2012 à 11:33
raymondcal, le 08/06/2012 - 11:29
Attention à ne pas tout diaboliser :
- L'arrivée de Win8 ne signifie pas " mise en place de l'UEFI " : l'UEFI existe depuis plusieurs années, notamment sur les MAC.


J'ai pas dit ça :-)

raymondcal, le 08/06/2012 - 11:29

- Win8 n'impose pas l'UEFI : on peut très bien installer Win8 sur des PC à simple BIOS.



Pas sur les machines à processeur ARM.

raymondcal, le 08/06/2012 - 11:29

- L'UEFI en soi n'est pas une mauvaise techno, bien au contraire ; il permet de faire tout plein de chose bien plus intéressantes que les anciens BIOS (shell, multi-boot géré dès l'allumage, accès réseau possible dès l'allumage, etcâ
€). La possibilité d'y mettre des clés n'en est qu'une parmi d'autre, mais il n'y a aucune raison de le mettre à la poubelle à cause de ça. Perso, j'ai essayé l'UEFI pour un PC en double-boot avec Win8 Consumer Preview et ArchLinux, et ça marche très bien, bien plus rapide que l'ancien BIOS.


Je n'ai pas dit que c'était une mauvaise techno, simplement que, si le Secure Boot est activé et imposé, il y a un vrai danger pour les distributions Linux et que la solution de Red Hat ne règle pas le problème.
Inscrit le 05/10/2011
2885 messages publiés
Simon, le 08/06/2012 - 11:33

raymondcal, le 08/06/2012 - 11:29
Attention à ne pas tout diaboliser :
- L'arrivée de Win8 ne signifie pas " mise en place de l'UEFI " : l'UEFI existe depuis plusieurs années, notamment sur les MAC.



J'ai pas dit ça :-)





Ben non, t'avais rien dit

Edit : ah, j'y suis. On doit pas voir le bon auteur sur le forum.
[message édité par milord le 08/06/2012 à 11:37 ]
Inscrit le 06/08/2009
999 messages publiés
milord, le 08/06/2012 - 11:36
Simon, le 08/06/2012 - 11:33

raymondcal, le 08/06/2012 - 11:29
Attention à ne pas tout diaboliser :
- L'arrivée de Win8 ne signifie pas " mise en place de l'UEFI " : l'UEFI existe depuis plusieurs années, notamment sur les MAC.



J'ai pas dit ça :-)





Ben non, t'avais rien dit

Edit : ah, j'y suis. On doit pas voir le bon auteur sur le forum.


A part l'article

Sinon, je vois pas vraiment comment ça va se passer techniquement. Si j'ai bien compris, lorsqu'il y aura win8 d'installé, seuls les OS signés pourront booter ?

Comment un OS sur lequel on ne tente pas de booter peut influencer le boot d'un autre OS sur une autre partition ?

Ou alors est-ce que win8 refusera de booter si l'option secure boot n'est pas activée, forçant ainsi l'utilisateur à l'activer en permanence, ou à l'activer/désactiver lorsqu'il voudra booter win8/linux ?
Inscrit le 17/03/2008
2745 messages publiés
ethan, le 08/06/2012 - 11:23
Est-ce que ce Secure Boot pourra être désactivé dans le bios pour les architectures x86
et x86-64?


Dans le bios UEFI, oui. Mais dans ce cas tu pourras plus booter Windows 8.
(En gros, pour un dual-boot, il faudra repasser par le BIOS à chaque fois, impossible de faire comme actuellement, cad sélectionner l'OS à booter dans Grub).

Pour l'instant....

Car pour moi la voie est très claire: C'est un 1er pied dans la porte, il est probable que si aujourd'hui ça se passe comme papa dans maman, ben pour Windows 9 Microsoft imposera, comme sur ARM, soit que le BIOS ne puisse pas désactiver le Secure Boot, soit (au choix) que les clés soient révoqués au moment où l'on désactive Secure Boot ce qui empêchera tout redémarrage futur de Windows 9, sauf à réinsérer les clés, une procédure qui n'est même pas prévue à l'heure actuelle (et qui sera aussi payante je pense)


Pour moi, le seul espoir c'est que les constructeurs chinois leakent la clé, et/ou créent des machines qui ne respectent pas les contraintes de Microsoft.

Bien sur l'idéal serais que les gens se passent de Windows 8:-)

Ce qui est dommage c'est que la techno en elle-même n'est pas mauvaise: J'aimerais bien pouvoir, moi, installer ma distro Linux puis pouvoir en générer une clé. Tant que la création et la mise en place est sous MON contrôle, celui de l'utilisateur de la machine.
Mais c'est pas *du tout* le point de vue des vendeurs commerciaux, y compris Redhat, comme démontré par cet article.
Je reste persuadé que cet fonction a son utilité, en particulier en entreprise pour des ordinateur "techniques", lié à des processus de certification par exemple, pour être sur que ce qui a été testé n'a pas été modifié après-coup.

Là, il y a un déséquilibre manifeste entre les utilisateurs (qui payent...) et les constructeurs de matériel/vendeurs de logiciels ou de solutions.

Je pense qu'a terme, ils cherchent un modèle où le matériel est donné ou prêté, et ou le public est exclusivement consommateur, type TV ou Minitel, le but est de toujours revenir à un cas "connu" , et verrouiller le modèle pour en compliquer au maximum la sortie.
http://robertbranche...ir-de-leau.html
Par exemple, le fait que l'application Netflix sur Android ne marche QUE sur un téléphone non rooté est un bon exemple de ce vers quoi on tends dans les années qui viennes.
Inscrit le 16/06/2007
191 messages publiés
Sabinou, le 08/06/2012 - 11:31
[Troll de compétition]
Peut-être que comme ça les distros linux arrêteront de s'éparpiller dans toutes les directions en gâchant toute perspective de toucher un jour le grand public, scrogneugneu.
[/Troll]


Linux, ca devrait rester réservé aux Chuck Norris de l'informatique !
Inscrit le 11/05/2012
39 messages publiés
Je saisi pas trop, secure-boot = impossibilité de se booter via un live-cd par exemple?
Inscrit le 29/05/2012
48 messages publiés
Quand on installe un dual boot, c'est déjà qu'on a 2-3 compétences en informatiques, nan ? On est déjà une peu plus à l'aise avec les ordis que Mme Michu...
Et quand on est habitué à utiliser un ordinateur, près à installer un OS fait par 1 mec seul dans son garage, c'est pas aller dans les options désactiver le SecureBoot qui va nous faire peur...

Ici on parle de son activation PAR DÉFAUT.
Suffit de décocher une case pour le virer.

Donc les OS bizarres continueront d'exister.
Et les OS les plus répandus pourront s'acquitter des 99$ et continuer à vivre...
Inscrit le 21/11/2011
624 messages publiés
Ce qui est inquiétant, c'est pourquoi généraliser une chose dont le grand public n'est pas demandeur ? N'ont qu'a fabriquer des machines spécifiques pour les entreprises friandes de "sécurité" et laisser le peuple tranquille.
Inscrit le 25/09/2009
473 messages publiés
@DoubleJ : le problème, c'est que si 1 million de PC "grand public" sont victime de chevaux de troies, ils peuvent être utiliser pour faire tomber des sites de grandes entreprises. Ce sont les fameux zombies PC. Ce n'est pas qu'une hypothèse mais un fait établi. (A l'époque des premiers BIOS non protégé, un virus pouvait te faire griller un processeur en le boostant de façon incensée...)

La sécurité est importante, mais pas au détriment de la liberté.

Ici, on a simplement une sécurité mise par défaut, qui peut-être désactivé pour installer Linux. Une action très simple, par rapport à l'installation d'un OS quelqu'il soit.

Bref, pour moi pas de problème, c'est surtout un soucis de politique et de marché, Linux essayant de protéger ses intérêts. Cela serait honnête, si c'était vraiment pour le bien de tous, mais il s'agit ici d'intérêt d'entreprise au même titre que Microsoft, Apple et Google ...

En plus comme l'on signalité d'autres personnes, il ne s'agit pas que d'une technologie de sécurité mais également d'intérêt pratique, car il y bien plus d'avantages que cités ...
Inscrit le 10/01/2008
466 messages publiés
DoubleJ, le 08/06/2012 - 12:41
Ce qui est inquiétant, c'est pourquoi généraliser une chose dont le grand public n'est pas demandeur ?
Ce sont les lobbies, les Majors du cinéma et de la musique qui sont (très) demandeurs : avec un OS "de confiance" signé et imposé, on peut interdire d'installer un logiciel, de le lancer, de le lancer 3 fois, ou seulement le jour de votre anniversaire ! Le rêve (pour certains) !
Crak : interdit bien sur !
VLC : interdit (DVD, blu-ray, touca-touca...)
LibreOffice : interdit (!)
tout produit non M$ ou non Apple : interdit
Inscrit le 27/05/2009
426 messages publiés
@DoubleJ @Kisame : le problème d'avoir le Secure Boot est que rien n'impose au constructeur de pouvoir le désactiver. Le risque est donc d'être bloqué par cette option.

De plus, même si l'option existe, si d'aventure Windows 8 (ou ultérieur) impose que ce soit activé, et que pour utiliser ton dual-boot linux tu doives le désactiver, ça signifie qu'à chaque fois tu devras repasser par l'UEFI. C'est pas grave en soi, mais cette étape supplémentaire sera quand même un poil pénible.

Enfin, comme dit plus haut, c'est la porte ouverte à des choix techniques plus "élaborés" tels qu'une révocation automatique des clés lorsque tu le désactives ; et dans ce cas, tu l'as bien profond !
Inscrit le 11/03/2009
3541 messages publiés
Si on laisse faire sans se revolter je crains que la prochaine étape soit le secure boot non désativable , puis ça peu vite glisser sur HD western digital , ram kingston , video nvidia et aucune autre marque acceptée par l'UEFI , Par contre si au moins un ou 2 fabriquants de MB leur disent merde ya de l'espoir , avenir inquietant et incertain tout de meme , j'aime pas ça , déjà choisir un smartphone en faisant gaffe à ce qu 'il soit rootable , custom rom ça me saoule déjà ...
[message édité par speed le 08/06/2012 à 13:54 ]
Inscrit le 11/03/2009
3541 messages publiés
ils vont aussi nous pondre l'interdiction des virtual machines ??
ça y est j suis en rogne ...

Sinon le plus simple:qu'on fabrique des mac , des windows PC DRMisés
et des PC "normaux"
le client fera son choix .
Quoique le client par méconaissance vas foncer droit sur l'objet DRMisé c'est ça le pire


à titre purement égoiste , tant que l'on trouveras des MB bios ou meme UEFI mais non DRMisée ça m'ira
, mais qu'est ce que je regrette le temps où les limites etaient celles de la machine et pas celles des bureaux de marketting
Inscrit le 17/01/2006
3607 messages publiés
ethan, le 08/06/2012 - 11:23
Est-ce que ce Secure Boot pourra être désactivé dans le bios pour les architectures x86
et x86-64?


àa dépendra des cartes mères. Certaines le permettront, d'autres pas. On peut supposer que les cartes mères achetées au détail avec un BIOS complet le permettront généralement, tandis que les PC tout prêts achetés chez Dell ou HP ne le permettront souvent pas. Et qu'il y aura des exceptions des deux côtés. àa reste une supposition. Ce qui est sûr c'est que Microsoft n'impose pas que le secure-boot soit forcé. Ce sera donc aux constructeurs de choisir.



Sinon, cet article est bourré d'approximations, Simon n'a visiblement pas compris que UEFI et Secure-Boot n'avaient que peu de choses en commun, et même dans les commentaires c'est la foire au n'importe quoi, alors expliquons :


- Le Secure-Boot est une des fonctionnalités possibles de l'UEFI. Ce n'est absolument pas obligatoire d'être présent sur une carte mère à UEFI. L'UEFI n'est rien d'autre qu'un "BIOS 2.0" si on veut. Il peut contenir le Secure-Boot ou ne pas le contenir.


- Les constructeurs de cartes mères auront le choix de permettre - ou pas - la désactivation du Secure-Boot. Et aussi de l'activer par défaut ou pas.


- Windows 8 n'a PAS besoin du Secure-Boot pour les machines x86 (et x86-64). Ce que dit obcd à ce sujet est juste faux. En revanche, pour les machines ARM, et SEULEMENT pour les machines ARM, le Secure-Boot est obligatoire. De plus, pour obtenir la certification "designed for Windows 8", le Secure-Boot devra obligatoirement être bloqué (non-désactivable) SUR LES MACHINES ARM UNIQUEMENT. Un constructeur pourra, s'il le souhaite, fournir des tablettes avec Windows8 et le secure-boot désactivable manuellement par l'utilisateur, mais dans ce cas le constructeur devra renoncer à son sticker "certifié Windows8" et l'utilisateur devra switcher entre secure-boot activé et secure-boot désactivé à chaque fois qu'il change d'OS sur lequel booter. Cela concerne exclusivement l'ARM je le répète.



- Au final, on peut penser que le Secure-Boot bloqué sera la norme quasi-immédiatement sur ARM. Alors que sur x86 le secure-boot sera, au moins dans un premier temps, une option. À charge pour les constructeurs de ne pas en faire une norme de-facto. Il va falloir mettre la pression sur les fabricants de carte mères.


J'ajoute aussi que le soucis du secure-boot même désactivable, dès lors qu'il est activé par défaut, est qu'il faut en passer par l'UEFI pour le désactiver. Une man?uvre extrêmement intimidante pour beaucoup de "power users débutants" (les gens qui veulent commencer à se servir vraiment de l'informatique pour faire autre chose que du traitement de texte, mais qui ont encore tant de choses à apprendre), beaucoup plus qu'insérer un simple LiveCD dans le lecteur et suivre les instructions. Dans l'esprit de beaucoup de gens, l'UEFI/BIOS garde un aspect "si je touche là où il faut pas là-dedans je fais exploser l'ordinateur". D'autant que quand on est dans le menu de l'UEFI/BIOS, on ne peut pas être assisté par messagerie instantanée en direct par le-copain-qui-s'y-connait. àa peut donc décourager des gens de se mettre à un autre OS je pense.
Inscrit le 17/01/2006
3607 messages publiés
Signalons quand-même que $99 pour faire signer son OS, ça n'est pas la mort, d'autant que c'est un coût unique, un "one-time fee" (pas par mois ni même par an), qu'on paye une seule fois. àa représente une somme et c'est énervant de se dire qu'à terme on pourrait ne plus pouvoir distribuer un OS totalement gratuitement (gratuitement pour soi - l'user n'aura de toute façon rien à payer), mais même pour un développeur seul, $99 c'est rarement une somme inaccessible. àa ne représente qu'une fraction du prix d'un PC, et développer+distribuer un OS c'est rarement l'action d'un môme de 12 ans qui n'a pas encore accès à une carte bleue.

Par contre, ça veut dire qu'un tel OS n'est pas anonyme. Le signer numériquement implique de donner une identité réelle, la sienne ou celle de sa boîte légalement enregistrée. Impossible de faire un AnonymousOS capable de booter avec secure-boot (cela dit il parait que l'AnonymousOS distribué il y a quelques mois est blindé de malwares donc l'un dans l'autre...).


Ce que j'espère, c'est qu'on devrait trouver des moyens pour faire un mini-OS signé une bonne fois pour toute et qui serve en réalité de "bootloader" à des OS complets qui n'auront du coup pas besoin de signature.
Inscrit le 15/07/2011
593 messages publiés
Fro-Mage, le 08/06/2012 - 12:32
Quand on installe un dual boot, c'est déjà qu'on a 2-3 compétences en informatiques, nan ? On est déjà une peu plus à l'aise avec les ordis que Mme Michu...
Et quand on est habitué à utiliser un ordinateur, près à installer un OS fait par 1 mec seul dans son garage, c'est pas aller dans les options désactiver le SecureBoot qui va nous faire peur...

Ici on parle de son activation PAR DÉFAUT.
Suffit de décocher une case pour le virer.

Donc les OS bizarres continueront d'exister.
Et les OS les plus répandus pourront s'acquitter des 99$ et continuer à vivre...


Oui et non. Aujourd'hui, une distrib comme Ubuntu ne demandent vraiment pas de grandes compétences pour être installées. Par contre, oui, ceux qui vont s'intéresser à Linux ne sont pas des utilisateurs normaux, mais ils faut cesser de penser qu'il faut être un geek pour installer un Linux.
Dell, le 08/06/2012 - 14:51
Oui et non. Aujourd'hui, une distrib comme Ubuntu ne demandent vraiment pas de grandes compétences pour être installées. Par contre, oui, ceux qui vont s'intéresser à Linux ne sont pas des utilisateurs normaux, mais ils faut cesser de penser qu'il faut être un geek pour installer un Linux.

ubuntu ne devrait pas avoir trop de mal pour payer 99$...
Inscrit le 11/03/2009
3541 messages publiés
j'ai beau réfléchir je vois pas ce que ça apporte niveau sécurité par rapport au virus boot warning qu'on a dans certains bios , ça doit dépasser mes compétences où l'argument sécure est bidon . excusez de ma parano mais j'ai jamais jamais jamais oublié le paladium project ...
Inscrit le 10/01/2012
11 messages publiés
Signalons quand-même que $99 pour faire signer son OS, ça n'est pas la mort, d'autant que c'est un coût unique, un "one-time fee" (pas par mois ni même par an), qu'on paye une seule fois. àa représente une somme et c'est énervant de se dire qu'à terme on pourrait ne plus pouvoir distribuer un OS totalement gratuitement (gratuitement pour soi - l'user n'aura de toute façon rien à payer), mais même pour un développeur seul, $99 c'est rarement une somme inaccessible. àa ne représente qu'une fraction du prix d'un PC, et développer+distribuer un OS c'est rarement l'action d'un môme de 12 ans qui n'a pas encore accès à une carte bleue.


Je ne suis pas sûr que ce soit vrai, chaque version d'un OS étant, en soi, un nouvel OS, il faudra déjà payer une fois tous les six mois pour Ubuntu (par exemple).

Ensuite, pour ceux qui compilent leur noyau également, chaque nouveau noyau leur coûtera 99$, je pense qu'il y a de quoi pêter un cable en cas de kernel panic ...

Enfin, pour ceux qui utilisent Linux from Scratch (c'est mon cas), aucun développeur gentil ne va payer mes 99$, c'est donc entièrement à moi que reviendra la charge de ma passion, et franchement, ça ne me fait pas plaisir.


===> Mais il restera toujours la solution de la virtual box, qui simule son propre UEFI, il suffira donc d'avoir une machine possédant un peu plus que les spécs requises pour faire tourner Microsoft Windows X ou toute application qu'on veut y faire tourner.
Inscrit le 29/05/2012
48 messages publiés
Prozac, le 08/06/2012 - 14:13

Dans l'esprit de beaucoup de gens, l'UEFI/BIOS garde un aspect "si je touche là où il faut pas là-dedans je fais exploser l'ordinateur". D'autant que quand on est dans le menu de l'UEFI/BIOS, on ne peut pas être assisté par messagerie instantanée en direct par le-copain-qui-s'y-connait. àa peut donc décourager des gens de se mettre à un autre OS je pense.


et

Dell, le 08/06/2012 - 14:51

Fro-Mage, le 08/06/2012 - 12:32
X

Oui et non. Aujourd'hui, une distrib comme Ubuntu ne demandent vraiment pas de grandes compétences pour être installées. Par contre, oui, ceux qui vont s'intéresser à Linux ne sont pas des utilisateurs normaux, mais ils faut cesser de penser qu'il faut être un geek pour installer un Linux.


Ubuntu et tout OS assez largement diffusé n'est pas pour moi un "OS" bizarre, et arrivera sans problème à se payer les 99$. Donc Mme Michu sous Ubuntu, ce sera possible malgré Secure Boot...
Quand je disais "OS bizarre", je parlais des "nombreuses distributions développées par des anonymes souvent seuls" dont parle l'article.
Quand on commence à bidouiller son ordi pour installer un OS faite par 1 gars, désactiver le Secure Boot ne doit pas poser problème...

Prozac, le 08/06/2012 - 14:13

Les constructeurs de cartes mères auront le choix de permettre - ou pas - la désactivation du Secure-Boot. Et aussi de l'activer par défaut ou pas.


Évidemment, cette info casse toute mon argumentation ! xD
[message édité par Fro-Mage le 08/06/2012 à 22:21 ]
shepard8, le 08/06/2012 - 15:35
Ensuite, pour ceux qui compilent leur noyau également, chaque nouveau noyau leur coûtera 99$, je pense qu'il y a de quoi pêter un cable en cas de kernel panic ...

Enfin, pour ceux qui utilisent Linux from Scratch (c'est mon cas), aucun développeur gentil ne va payer mes 99$, c'est donc entièrement à moi que reviendra la charge de ma passion, et franchement, ça ne me fait pas plaisir.

Tu n'as pas lu la news:
Pour les modifications personnelles, qui n'ont pas vocation à être distribuées, il sera possible de signer localement sa distribution, gratuitement.
Inscrit le 23/11/2011
187 messages publiés
En gros suffit de faire un bootstrap ultra simple de le signé en payant 99$ et de le mettre dans toute les distributions Linux et le tour est joué.
Inscrit le 24/04/2012
20 messages publiés
Et voilà, un peu de PALADIUM qui revient tranquillement...

Il faut dire stop à toussa, MAINTENANT !
Inscrit le 17/02/2010
1205 messages publiés
Linux en danger !


[message édité par H4rlocK le 08/06/2012 à 16:21 ]
Inscrit le 17/02/2010
1205 messages publiés
Il y a bien d'autres architectures que Gnu/linux supporte en dehors de l'Intel x86 et AMD64.
Les projets de hardware libre existent, en petite communauté de connaisseurs, mais ils existent.
La nature nous la prouvée à plusieurs reprises, les dinosaures sont pot-au-feu
Inscrit le 30/04/2012
201 messages publiés
Est-ce que ces différentes décisions de Microsoft ne vont pas nous amener à un nouveau procès Antitrust?
Inscrit le 11/08/2011
191 messages publiés
ils vont avoir un gros problème, en france la vente liée est interdite.plusieurs jugement on donnaient raison au personnes qui ont porte plein.si je veux un portable sans windows, ils doivent me le vendre pour pouvoir mettre linux
Inscrit le 09/06/2012
1 messages publiés
@sardanapale29

ms est en perte de vitesse sur tous les fronts : il veut conserver le racket de la vente liée qui lui rapporte du blé sans rien glander, en continuant de fausser les statistiques d'utilisation réelle (à ne pas confondre avec les statistiques de vente qui sont clairement de la propagande de bas niveau). En forçant la main aux fabricants, ms se construit donc sa chasse gardée sauce "apple".

Maintenant parler de "compatibilité" sur une architecture ARM, ça n'a pas de sens : il n'y a pas de "normes", et pour le moment, chacun fait sa tambouille dans son coin. A ce niveau là, et à sa décharge, ms ne fait pas pire que ses concurrents. Mais s'il décide de forcer la main dans le marche x86/AMD64, là, le concept même du PC est mort et enterré.

Déjà actuellement, certains netbooks ne permettent plus d'avoir plusieurs OS : il faut virer windows complètement pour pouvoir installer GNU/Linux, alors que le dual boot marche toujours sur les autres machines. Il y a donc bien des restrictions matérielles cachées qui existent déjà. Avec SB activé, ça va être un vrai bordel côté administration - et sécuriser le démarrage ne transformera pas miraculeusement une "passoire" de longue date en casserole blindée.

Si l'Europe ne se remue pas les fesses très rapidement pour stopper ces conneries, on va au devant de très gros problèmes.
Inscrit le 17/03/2008
2745 messages publiés
Prozac, le 08/06/2012 - 14:13


- Windows 8 n'a PAS besoin du Secure-Boot pour les machines x86 (et x86-64). Ce que dit obcd à ce sujet est juste faux. En revanche, pour les machines ARM, et SEULEMENT pour les machines ARM, le Secure-Boot est obligatoire. De plus, pour obtenir la certification "designed for Windows 8", le Secure-Boot devra obligatoirement être bloqué (non-désactivable) SUR LES MACHINES ARM UNIQUEMENT. Un constructeur pourra, s'il le souhaite, fournir des tablettes avec Windows8 et le secure-boot désactivable manuellement par l'utilisateur, mais dans ce cas le constructeur devra renoncer à son sticker "certifié Windows8" et l'utilisateur devra switcher entre secure-boot activé et secure-boot désactivé à chaque fois qu'il change d'OS sur lequel booter. Cela concerne exclusivement l'ARM je le répète.

Ok, mais alors si j'ai faux (ce que je te concède aisément) et qu'on peux sans problème booter un Windows 8 sur une machine qui ne dispose pas de SecureBoot (ou qui l'a désactivé) , alors on en revient à la situation actuelle, non ?
Auquel cas, je ne vois pas trop non seulement l'intérêt de l'article, mais je ne vois pas non plus l'intérêt de la réaction de Redhat, à payer pour un truc qui sert à rien. M'enfin bon.
Concernant les plateforme ARM, de toute façon les bootloaders verrouillés existent depuis longtemps, avec des tas de controverses - Qu'on appelle ça SecureBoot ou autrement, c'est pareil, puisqu'à l'heure actuelle il n'y a pas de normes sur le sujet. (Ptet que SecureBoot vise à normaliser ça, justement).
Les constructeurs ont un temps imposés ces bootloaders signés, mais dernièrement il semblent qu'ils reviennent en arrière, en filant les clés en échange d'un dédis de responsabilité (ce qui me parait normal).
Après, j'pense que c'est surtout les majors & les services qui imposent ça (genre netflix), plutôt que que les fabriquants de matériel eux-même, vu que eux, tant qu'ils vendent du matériel, bon...
Même google a dû céder pour avoir ces applis.
Inscrit le 09/06/2012
1 messages publiés
Pour des questions de sécurité, Windows 9 sera une distribution Linux!
Inscrit le 03/10/2011
6620 messages publiés
Pour éviter l'exécution d'un code malicieux qui poserait un risque critique au démarrage de l'ordinateur, un système d'exploitation non signé ne pourra pas être lancé sur un ordinateur où est aussi installé Windows 8
Pour une entreprise spécialisée dans la culture de virus ...
Encore de la sécurité à la Microsoft, il faut confirmer tout le temps, êtes-vous sûr de bien vouloir lancer l'application X. La page contient des scripts dangereux, pour votre protection IE a tout bloqué.
C'est juste de la protection envers Microsoft, pas envers l'utilisateur, comme on ne peut rien faire sans dire "Oui, je suis sûr", si jamais il y a une merde, Microsoft pourra dire que la faute en revient à l'utilisateur. Si encore ça prévenait uniquement en cas de danger, mais non, il n'y a aucune analyse de réalisée, juste clic => message.
ça ne protège pas, ça fait juste chier.

Une autre solution serait que son windows 8, il se le garde dans le fion. Les entreprises ont déjà été frileuses à passer de XP à Seven, ça m'étonnerait qu'elles se lancent les yeux fermées vers cette toute nouvelle interface, et certainement incompatible avec tout ce que les sociétés ont développé pour leur propre gestion.
Inscrit le 17/01/2006
3607 messages publiés
@obcd : Le Secure-Boot a pour but d'assurer que l'OS que tu charges est bien l'OS tel qu'il était prévu par le développeur au moment où il l'a signé. C'est à dire qu'il n'a pas subi de modification. C'est à dire notamment qu'il n'a pas subi de modification malicieuse. Bien entendu, ça n'empêche pas les virus en "espace utilisateur". Après tout, un virus, ça peut se limiter à distribue-moi.sh qui contient la ligne rm -rf ~/ et basta. Mais avec Secure-Boot tu as la garantie que l'OS en tant que tel est clean. S'il ne l'est pas tu peux aller casser la gueule du gars qui l'a signé car vu que t'as sa signature tu sais où il habite. àa peut éviter notamment les cas où un virus corromp l'OS si bien que les antivirus deviennent incapable de détecter l'infection car l'OS lui-même trompe l'antivirus.

Si Secure-Boot est activé, et si l'OS n'est pas signé, ou si son contenu ne correspond pas à sa signature, alors l'UEFI refuse de booter l'OS.


Si tu désactives Secure-Boot, Windows 8 bootera sans soucis (en x86 et x86-64, pas en ARM)... mais il bootera même s'il a été corrompu par un malware. C'est donc "à tes risques et périls" (des risques limités en l'occurrence si tu fais un peu attention à ce que tu fais).


La grande question, c'est est-ce que les fabricants de CM auront la sagesse de nous laisser nous débrouiller comme des grands garçons que nous sommes, et désactiver le Secure-Boot si on se sent assez fort pour affronter ce super truc d'aventurier de la mort de l'espace qui tue et qui fait mal qu'est le fait de booter un OS non-signé (ce qu'on a toujours fait jusqu'à présent)... j'espère que oui, mais je ne peux m'empêcher de craindre que sur les CM aux rabais et en OEM notamment, ce soit plutôt rare...
Inscrit le 17/01/2006
3607 messages publiés
shepard8, le 08/06/2012 - 15:35

Je ne suis pas sûr que ce soit vrai, chaque version d'un OS étant, en soi, un nouvel OS, il faudra déjà payer une fois tous les six mois pour Ubuntu (par exemple).


C'est une des grandes questions justement : qu'est-ce qu'un "nouvel OS" au juste ?? À partir de combien de MAJs un OS devient nouveau ? Si on met à jour des softs mais pas le noyau c'est un nouvel OS ou pas ? àa pose clairement tout un tas de questions et je n'ai pas encore vu de réponse claire à ce sujet.

shepard8, le 08/06/2012 - 15:35

Ensuite, pour ceux qui compilent leur noyau également, chaque nouveau noyau leur coûtera 99$, je pense qu'il y a de quoi pêter un cable en cas de kernel panic ...

Enfin, pour ceux qui utilisent Linux from Scratch (c'est mon cas), aucun développeur gentil ne va payer mes 99$, c'est donc entièrement à moi que reviendra la charge de ma passion, et franchement, ça ne me fait pas plaisir.


Non, ça c'est pas un soucis. Comme rappelé par un autre commentateur avant moi, tu peux signer ton propre OS localement (pas pour la redistribution donc), et dans ce cas c'est gratuit. Mais ça tournera que sur ta machine a priori, et il faudra peut-être le re-signer en cas de changement de matos.

shepard8, le 08/06/2012 - 15:35

===> Mais il restera toujours la solution de la virtual box, qui simule son propre UEFI, il suffira donc d'avoir une machine possédant un peu plus que les spécs requises pour faire tourner Microsoft Windows X ou toute application qu'on veut y faire tourner.
Inscrit le 17/03/2008
2745 messages publiés
@obcd : Le Secure-Boot a pour but d'assurer que l'OS que tu charges est bien l'OS tel qu'il était prévu par le développeur au moment où il l'a signé.

.... Si Secure-Boot est activé, et si l'OS n'est pas signé, ou si son contenu ne correspond pas à sa signature, alors l'UEFI refuse de booter l'OS.

C'est exactement ce que j'avais compris.
Et c'est aussi exactement ça qu'il y a sur les bootloader des téléphones & tablettes android, même si ca s'appelle pas Secureboot dans ce cas : Archos, Sony, Motorola/Droid.... Ils ont tous un système comme ça, dont, parfois et pour certains modèles, la boite donne la clé & le programme pour signer l'OS dans un SDK mais pas toujours.
Pour moi SecureBoot c'est "juste" une standardisation de ça - déjà via le fait que ça tourne sur ARM et x86.
Par contre il me *semble* que l'OS peux vérifier si il a été booté via SecureBoot ou pas, en tous cas par des appels au BIOS UEFI.
Peut-être que cette vérification n'est pas implémentée sous Windows 8, je ne sais pas (sur x86 seulement, bien sur) - Mais en tous cas, sur ARM c'est le cas car certaines applications détectent le fait qu'elles ne sont pas sur l'Android "natif, signé" et refusent de se lancer dans ces conditions.
Avec une puce TPM, je pense que ce genre de vérification est assez facile à vérifier du point de vue OS.
Donc pour moi , il y a déjà comme tu le dis le risque que le SecureBoot ne soit pas désactivable sur les PC autres que les pc chinois (Je pense particulièrement aux PC type "entreprise", qui, une fois en seconde main, se retrouveront bloqué), mais aussi le fait qu'une simple maj soft pourrait faire que W8 (ou W9)détecte ça et refuse de se lancer ....
Pas tout de suite, simplement une fois que SecureBoot sera bien implanté sur le parc :-)
D'autant plus que je ne suis pas certain que ça atteigne le but prévu (protection contre les malwares), puisque
les malwares entrent dans le système via des failles de l'OS, y compris si ce dernier est signé.
Par contre l'effet très net, c'est que ca compliquera fortement l'installation d'OS non signé, ou auto-signés (Je ne sais pas si il est prévu qu'on puisse stocker plusieurs clés dans un bios SecureBoot
ou dans une puce TPM).
Inscrit le 03/10/2011
6620 messages publiés
obcd, le 11/06/2012 - 12:16
Par contre il me *semble* que l'OS peux vérifier si il a été booté via SecureBoot ou pas, en tous cas par des appels au BIOS UEFI.


On va donc avoir des patchs - je suis signé -
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Juin 2012
 
Lu Ma Me Je Ve Sa Di
28 29 30 31 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 1
2 3 4 5 6 7 8