Publié par Simon Robic, le Lundi 16 Juillet 2012

Vers un déblocage de l'UEFI pour Linux

Les développeurs Linux entrevoient le bout du tunnel. Une version open-source de l'UEFI imposé par Microsoft vient d'être publiée. Elle leur permet d'adapter leur OS à ce système qui sécurise la phase de démarrage de l'ordinateur. Sans ça, il faudra que le logiciel soit signé. Un processus payant qui signerait la fin d'un bon nombre de distributions.

Nous en avons déjà parlé, l'arrivée sur le marché de Windows 8 dans les prochains mois s'accompagnera de l'adoption par les constructeurs de l'UEFI. Ce système qui permet notamment de sécuriser le démarrage des ordinateurs est imposé par Microsoft sur les machines basées sur une architecture ARM, et fortement recommandé sur les autres.

Seulement, il demande que l'OS de la machine soit signé afin d'être lancé. Red Hat a annoncé la création d'un système permettant aux éditeurs de faire signer leur travail. Mais ce processus est payant, et les auteurs de distributions Linux n'ont pas toujours les moyens de les faire signer. Le problème reste donc entier.

Zdnet explique ce dimanche que James Bottomley, qui est à la tête du Conseil Technique de la Linux Foundation, a peut-être débloqué la situation en publiant les sources d'Intel Tianocore. Ces fichiers sont la version open-source de l'UEFI d'Intel et intègrent le système de signature utilisé par Microsoft.

Ils permettent donc aux développeurs de commencer à travailler à l'adaptation de leur OS sans avoir de machine équipée d'UEFI. Le magazine précise que plusieurs constructeurs ont également salué cette publication, tous ne disposant pas encore de matériel compatible.

Bottomley souligne que c'est encore une version alpha, certaines fonctionnalités n'étant stables que depuis quelques jours. Mais c'est un signe encourageant vers la résolution de ce problème.

Publié par Simon Robic, le 16 Juillet 2012 à 10h07
 
43
Commentaires à propos de «Vers un déblocage de l'UEFI pour Linux»
Inscrit le 10/01/2008
467 messages publiés
Boycotter les machines UEFI reste encore la meilleure option, sauf si votre installation est critique. Mais les PC noname en seront-ils dépourvus ?
Inscrit le 23/11/2011
197 messages publiés
dsant, le 16/07/2012 - 10:46
Boycotter les machines UEFI reste encore la meilleure option, sauf si votre installation est critique. Mais les PC noname en seront-ils dépourvus ?

Tu peux utiliser le mode boot BIOS dans tous les UEFI et booter comme avant. C'est plus simple que de boycotter les machines avec UEFI qui seront amener à remplacer complètement les machines avec BIOS.
Inscrit le 29/11/2010
67 messages publiés
Sauf que... votre screenshot pourrait bien rester de la science fiction ! Avoir les sources permet de faire un soft compatible, mais le point de contention est la présence ou non, justement, d'un "disable" pour le secure boot. Microsoft ne veut pas que ce soit désactivable.

Donc dans ce cas, sources ou non, Linux reste condamné.
Inscrit le 05/03/2008
923 messages publiés
Le monde du libre n'a pas voulu prendre le virage du TPM. Ils ont fermé les yeux, croisés les doigts, sorti leurs gousses d'ail et ont prié très fort se jurant que le TPM ne passerait pas. Genre le monde libre a réussi à faire accepter le HD-DVD plutôt que le BlueRay ou empêché le HDCP d'exister.

Le monde du libre avait l'occasion de se saisir du TPM dès sa version 1.2 (aux possibilités très ouvertes) mais ils ont préférés bêler devant Saint Stallman.

L'utilisation de chaines de signatures hiérarchique n'était pas une fatalité! GPG aurait presque pu être aussi bien. Si la situation et telle qu'elle est aujourd'hui c'est parce que les libristes cherchent encore à imposer leur idéal plutôt que de composer avec la réalité. Qu'ils ne se présentent pas en martyr des corporations sur ce coup.
[message édité par lildadou le 16/07/2012 à 11:17 ]
Inscrit le 09/03/2011
5 messages publiés
perso; j'utilise le menu de sélection du lecteur (f8) pour booter sur ubuntu avec mon bios uefi; ça ne me pose pas de problème particulier (je l ai installé sur un autre disque). si je laisse en auto il boot sur windows.
Inscrit le 23/11/2011
197 messages publiés
Targa, le 16/07/2012 - 11:24
perso; j'utilise le menu de sélection du lecteur (f8) pour booter sur ubuntu avec mon bios uefi; ça ne me pose pas de problème particulier (je l ai installé sur un autre disque). si je laisse en auto il boot sur windows.

Tu n'as pas un UEFI conforme aux specs 2.3.1 et en plus du doit surement booter en mode legacy BIOS.
Le secure boot sera présent uniquement dans les futures UEFI.
Inscrit le 25/04/2008
536 messages publiés
Article plein d'incompréhensions ou semble donner de fausses idées :

_Il n'est pas nécessaire de payer/faire signer quoi que ce soit pour développer un chargeur de démarrage utilisant secure boot : un certificat auto-signé et une VM supportant secure boot, comme qemu/kvm, suffit et ça existait déjà. (mais ça ne marchera pas sur une machine physique, c'est juste pour le dev).
_Malgré la publication des sources d'Intel Tianocore, il sera toujours nécessaire de payer pour obtenir un certificat qui permettra de générer une signature valide.


Tout ce que ça change, c'est qu'Intel Tianocore ouvre l'API et les outils, ça va faciliter le travail des développeurs.

Et pour répondre à ce qu'on peut lire dans les commentaires, le secure boot, même pour Linux, c'est bien et ça apporte plus de sécurité :
http://mjg59.dreamwidth.org/13061.html
http://mjg59.dreamwidth.org/12897.html
Inscrit le 17/01/2006
3624 messages publiés
C'est pas vrai... ce qui est fabuleux avec Numerama, c'est que tu peux leur signaler 15 fois qu'ils ont raconté une grosse connerie, ils rediront exactement la même à la news suivante.

L'UEFI N'A RIEN À VOIR AVEC L'OBLIGATION DE SIGNATURE DE L'OS. UN OS NON-SIGNÉ PEUT PARFAITEMENT TOURNER SANS UEFI. L'UEFI N'A RIEN À VOIR AVEC L'OBLIGATION DE SIGNATURE DE L'OS. UN OS NON-SIGNÉ PEUT PARFAITEMENT TOURNER SANS UEFI. L'UEFI N'A RIEN À VOIR AVEC L'OBLIGATION DE SIGNATURE DE L'OS. UN OS NON-SIGNÉ PEUT PARFAITEMENT TOURNER SANS UEFI. L'UEFI N'A RIEN À VOIR AVEC L'OBLIGATION DE SIGNATURE DE L'OS. UN OS NON-SIGNÉ PEUT PARFAITEMENT TOURNER SANS UEFI. L'UEFI N'A RIEN À VOIR AVEC L'OBLIGATION DE SIGNATURE DE L'OS. UN OS NON-SIGNÉ PEUT PARFAITEMENT TOURNER SANS UEFI. L'UEFI N'A RIEN À VOIR AVEC L'OBLIGATION DE SIGNATURE DE L'OS. UN OS NON-SIGNÉ PEUT PARFAITEMENT TOURNER SANS UEFI. L'UEFI N'A RIEN À VOIR AVEC L'OBLIGATION DE SIGNATURE DE L'OS. UN OS NON-SIGNÉ PEUT PARFAITEMENT TOURNER SANS UEFI. L'UEFI N'A RIEN À VOIR AVEC L'OBLIGATION DE SIGNATURE DE L'OS. UN OS NON-SIGNÉ PEUT PARFAITEMENT TOURNER SANS UEFI. L'UEFI N'A RIEN À VOIR AVEC L'OBLIGATION DE SIGNATURE DE L'OS. UN OS NON-SIGNÉ PEUT PARFAITEMENT TOURNER SANS UEFI.


VOUS CONFONDEZ ENCORE UEFI et Secure-Boot.


L'UEFI est le successeur du BIOS, POINT. Il n'impose en aucun cas que l'OS soit signé pour le démarrer. àa, c'est le Secure-Boot. C'est une des fonctions POSSIBLES de l'UEFI.

Cela fait longtemps que des cartes mères UEFI sont sur le marché, et que divers OS (Mac OS X, Linux, Windows 7) sont compatibles UEFI.

Le problème, c'est une nouvelle fonctionnalité des UEFI qui s'appelle Secure-Boot, et qui empêche de booter un OS non-signé. Cette fonctionnalité peut être désactivable si le constructeur de carte mère ajoute la fonction dans le menu de config UEFI. Sous machine x86, ça ne pose aucun problème. Cependant, sous ARM, ça obligerait à l'activer/désactiver à chaque fois qu'on passe d'un OS non-signé à Windows. Et autoriser la désactivation fait perdre la certification "designed for Windows RT". Mais c'est possible dans l'absolu. Mais sur nos PCs standards x86, zéro problème, le Secure-Boot peut être désactivable, c'est vraiment une pure question de volonté de la part des fabricants de cartes mères.

En tout état de cause, en AUCUN CAS l'UEFI en tant que tel impose que l'OS soit signé pour fonctionner.
Inscrit le 17/01/2006
3624 messages publiés
Ha et évidemment, la publication de ce code source ne règle EN RIEN la question de Secure-Boot. àa n'empêchera PAS l'UEFI de refuser de booter un OS s'il n'est pas signé. Le problème est toujours exactement le MàME. (C'est comme si vous disiez "depuis que le code source de TrueCrypt a été publié, il est possible de décrypter n'importe quel container true-crypt sans en posséder la clé : ça n'a pas de sens).

Bref vous pouvez purement et simplement supprimer cette news, elle raconte n'importe quoi de la première à la dernière ligne. Voilà ce qui arrive quand on écrit sans se renseigner ni faire gaffe aux corrections déjà apportés par les lecteurs dans les news précédentes.
Inscrit le 16/10/2010
1115 messages publiés
lildadou, le 16/07/2012 - 11:16
Le monde du libre n'a pas voulu prendre le virage du TPM. Ils ont fermé les yeux, croisés les doigts, sorti leurs gousses d'ail et ont prié très fort se jurant que le TPM ne passerait pas. Genre le monde libre a réussi à faire accepter le HD-DVD plutôt que le BlueRay ou empêché le HDCP d'exister.

Le monde du libre avait l'occasion de se saisir du TPM dès sa version 1.2 (aux possibilités très ouvertes) mais ils ont préférés bêler devant Saint Stallman.

L'utilisation de chaines de signatures hiérarchique n'était pas une fatalité! GPG aurait presque pu être aussi bien. Si la situation et telle qu'elle est aujourd'hui c'est parce que les libristes cherchent encore à imposer leur idéal plutôt que de composer avec la réalité. Qu'ils ne se présentent pas en martyr des corporations sur ce coup.

Tu m'expliques comment tu fais pour tester ton OS quand t'es dans une distrib communautaire avec que du UEFI qui veut un truc signé ?
Et pour recompiler mon noyau à mon envie ? je dois payer 99$ à chaque recompilation et attendre un mois d'avoir la clef et attendre encore que la CM mette à jour ses clefs ?
Inscrit le 05/03/2008
923 messages publiés
skydevil, le 16/07/2012 - 13:01
Tu m'expliques comment tu fais pour tester ton OS quand t'es dans une distrib communautaire avec que du UEFI qui veut un truc signé ?
Et pour recompiler mon noyau à mon envie ? je dois payer 99$ à chaque recompilation et attendre un mois d'avoir la clef et attendre encore que la CM mette à jour ses clefs ?

C'est quoi ton fromage? Evidement que c'est le bordel, moi non plus je suis pas content de la situation actuelle. Je dis juste (t'as lu ce que j'ai écrit?) que cette situation toute pourrie c'est le monde du libre qui l'a voulu en ne participant pas au débat. "C'est la merde? On l'a bien cherché."
Inscrit le 04/05/2009
1174 messages publiés
Du grand n'importe quoi cette news d'un point de vu technique qui du coup décrédibilise totalement la problématique posé par le secure boot.
Inscrit le 04/05/2009
1174 messages publiés
lildadou, le 16/07/2012 - 13:07
skydevil, le 16/07/2012 - 13:01
Tu m'expliques comment tu fais pour tester ton OS quand t'es dans une distrib communautaire avec que du UEFI qui veut un truc signé ?
Et pour recompiler mon noyau à mon envie ? je dois payer 99$ à chaque recompilation et attendre un mois d'avoir la clef et attendre encore que la CM mette à jour ses clefs ?

C'est quoi ton fromage? Evidement que c'est le bordel, moi non plus je suis pas content de la situation actuelle. Je dis juste (t'as lu ce que j'ai écrit?) que cette situation toute pourrie c'est le monde du libre qui l'a voulu en ne participant pas au débat. "C'est la merde? On l'a bien cherché."

Le monde du libre a participé au débat... sauf qu'aucun industriel n'écoute ou presque les libristes car cela ne rapporte pas d'argent et que de l'autre coté MS prétend que c'est pour notre sécurité qu'il nous enferme dans un système fermé... qui n'avantage que lui.
Inscrit le 11/03/2009
3541 messages publiés
@ prozac , à ta connaissance si par exemple j'achete dans 2 ans une carte mère UEFI .

-Le sécure boot sera absent ou désactivable à coup sur ?
-Il faudras faire gaffe lors de l'achat de la MB ,ça dépendras des marques/modèles?
- à l'heure actuelle on a aucune idée de l'issue?

Parce que mine de rien depuis un an on en entends parler mais sans en savoir beaucoup plus

l'UEFI ça peut se flasher comme un Bios ?? ( si oui une sorte de "jailbreak" est possible ??)

Mine de rien entre les tablettes et les PC DRMisés sur quoi on vas faire tourner nos OS? J'ai plein de PC en état , plein de pièces détachées mais une fois toutes ces configs bien obsoletes .......
[message édité par speed le 16/07/2012 à 13:35 ]
Inscrit le 17/01/2006
3624 messages publiés
Yvanhoe, le 16/07/2012 - 11:11
Sauf que... votre screenshot pourrait bien rester de la science fiction ! Avoir les sources permet de faire un soft compatible, mais le point de contention est la présence ou non, justement, d'un "disable" pour le secure boot. Microsoft ne veut pas que ce soit désactivable.

Donc dans ce cas, sources ou non, Linux reste condamné.


Ils ne veulent pas pour les machines ARM. Pour les machines x86/x86-64 ils n'ont donné aucune consigne aux fabricants, ni dans un sens ni dans l'autre.
Inscrit le 25/04/2008
536 messages publiés
skydevil, le 16/07/2012 - 13:01

Tu m'expliques comment tu fais pour tester ton OS quand t'es dans une distrib communautaire avec que du UEFI qui veut un truc signé ?
Et pour recompiler mon noyau à mon envie ? je dois payer 99$ à chaque recompilation et attendre un mois d'avoir la clef et attendre encore que la CM mette à jour ses clefs ?

Ah ben c'est pas bien compliqué, si c'est pour "tester" comme tu dis tu désactives la fonctionnalité dans ton BIOS ou tu testes dans une VM UEFI. Seule ta "distrib" devra payer 99$ pour signer tes changement si elle les acceptes et qu'elle veut que ça tourne sur les ordis des gens sans désactiver le secure-boot.
Et sinon une fois que tu as payé ta clef, tu peux signer autant de fois que tu veux avec, c'est aisé ! Pas besoin de payer et d'attendre comme tu dis. La clef à une durée de vie mais c'est tout.
Arrêtez avec ces faux problèmes...
La seule inquiétude du "monde libre" c'est que payer 99$ pour une petite distrib communautaire dans un pays sous-développé ça peut être lourd.
Inscrit le 17/01/2006
3624 messages publiés
skydevil, le 16/07/2012 - 13:01
Tu m'expliques comment tu fais pour tester ton OS quand t'es dans une distrib communautaire avec que du UEFI qui veut un truc signé ?
Et pour recompiler mon noyau à mon envie ? je dois payer 99$ à chaque recompilation et attendre un mois d'avoir la clef et attendre encore que la CM mette à jour ses clefs ?


Tu lis les news précédentes ou tu te renseignes deux minutes, et tu apprends que tu as la possibilité de t'auto-signer gratuitement et que ça marche en local (mais seulement en local).
Inscrit le 21/02/2011
984 messages publiés
Simon Robic (Rédacteur forum) le 16/07/2012 à 14:10
kubrick, le 16/07/2012 - 12:26
Article plein d'incompréhensions ou semble donner de fausses idées :

_Il n'est pas nécessaire de payer/faire signer quoi que ce soit pour développer un chargeur de démarrage utilisant secure boot : un certificat auto-signé et une VM supportant secure boot, comme qemu/kvm, suffit et ça existait déjà. (mais ça ne marchera pas sur une machine physique, c'est juste pour le dev).


Donc il subsiste toujours un problème pour la diffusion des OS. Tu le dis d'ailleurs dans ton commentaire de 13h44 : l'inquiétude reste pour les distributions communautaires.

Prozac, le 16/07/2012 - 12:27


VOUS CONFONDEZ ENCORE UEFI et Secure-Boot.


Regarde l'article. J'ai dit qu'il servait notamment à sécuriser le démarrage. Pas exclusivement.
Inscrit le 05/06/2009
581 messages publiés
Prozac, le 16/07/2012 - 12:31
Ha et évidemment, la publication de ce code source ne règle EN RIEN la question de Secure-Boot. àa n'empêchera PAS l'UEFI de refuser de booter un OS s'il n'est pas signé. Le problème est toujours exactement le MàME. (C'est comme si vous disiez "depuis que le code source de TrueCrypt a été publié, il est possible de décrypter n'importe quel container true-crypt sans en posséder la clé : ça n'a pas de sens).

Bref vous pouvez purement et simplement supprimer cette news, elle raconte n'importe quoi de la première à la dernière ligne. Voilà ce qui arrive quand on écrit sans se renseigner ni faire gaffe aux corrections déjà apportés par les lecteurs dans les news précédentes.

Tu me rassures et me confortes : la nouvelle ne me semblait avoir aucun sens. J'avais donc bien compris !
Inscrit le 25/04/2008
536 messages publiés
Simon, le 16/07/2012 - 14:10
Donc il subsiste toujours un problème pour la diffusion des OS. Tu le dis d'ailleurs dans ton commentaire de 13h44 : l'inquiétude reste pour les distributions communautaires.


Oui mais le problème c'est que tu dis dans ton intro :
"Une version open-source de l'UEFI imposé par Microsoft vient d'être publiée. Elle leur permet d'adapter leur OS à ce système qui sécurise la phase de démarrage de l'ordinateur. Sans ça, il faudra que le logiciel soit signé."
Et c'est cette dernière phrase que je critique particulièrement : il faut toujours que le logiciel soit signé. Ou alors je comprends pas ce que tu as voulu dire mais au mieux ça prête à confusion, au pire c'est complètement faux (sans parler de la concordance des temps).
[message édité par kubrick le 16/07/2012 à 14:19 ]
Inscrit le 17/01/2006
3624 messages publiés
speed, le 16/07/2012 - 13:28
@ prozac , à ta connaissance si par exemple j'achete dans 2 ans une carte mère UEFI .

-Le sécure boot sera absent ou désactivable à coup sur ?
-Il faudras faire gaffe lors de l'achat de la MB ,ça dépendras des marques/modèles?
- à l'heure actuelle on a aucune idée de l'issue?

Parce que mine de rien depuis un an on en entends parler mais sans en savoir beaucoup plus

l'UEFI ça peut se flasher comme un Bios ?? ( si oui une sorte de "jailbreak" est possible ??)

Mine de rien entre les tablettes et les PC DRMisés sur quoi on vas faire tourner nos OS? J'ai plein de PC en état , plein de pièces détachées mais une fois toutes ces configs bien obsoletes .......


Si dans deux ans tu achète une carte mère UEFI (il n'y aura a priori plus que ça de toute façon) :

- Le secure-boot sera très probablement présent.
- Il faudra très probablement faire gaffe lors de l'achat de la MB, afin de savoir s'il est désactivable ou pas. àa dépendra très probablement des marques/modèles. La fonction "disable secure-boot" n'est ni interdite, ni exigée par Microsoft. Ils laissent totalement le choix aux constructeurs sur ce point.
Par contre, on ignore totalement dans quelles proportions. Est-ce que le secure-boot désactivable sera la norme ou l'exception ? àa, on ne le sait pas. àa dépendra vraiment de la bonne volonté des constructeurs.
- L'UEFI peut se flasher bien-sûr. En revanche, il me semble qu'il faut que le firmware soit signé par le fabricant de la CM pour que le flash accepte de se faire, donc si ton idée était de flasher un UEFI modifié pour rajouter la fonctionnalité à un UEFI qui ne l'a pas, outre la difficulté de programmer un tel truc (qui plus est pour chaque carte mère), ça ne serait a priori pas flashable.

Au final donc, c'est sur les constructeurs de carte mère (et de PC pré-construits, typiquement les laptops) qu'il faut faire pression pour qu'ils laissent une fonction "disable secure-boot". àa dépend entièrement d'eux.

On ne devrait pas avoir trop de soucis pour trouver des CM avec secure-boot désactivable sur nos revendeurs informatiques préférés. Mais quid des laptop vendus par Dell ou Acer ? Là, c'est moins certain. On va avoir du lobbying à faire.
Inscrit le 17/01/2006
3624 messages publiés
kubrick, le 16/07/2012 - 14:17
Simon, le 16/07/2012 - 14:10
Donc il subsiste toujours un problème pour la diffusion des OS. Tu le dis d'ailleurs dans ton commentaire de 13h44 : l'inquiétude reste pour les distributions communautaires.


Oui mais le problème c'est que tu dis dans ton intro :
"Une version open-source de l'UEFI imposé par Microsoft vient d'être publiée. Elle leur permet d'adapter leur OS à ce système qui sécurise la phase de démarrage de l'ordinateur. Sans ça, il faudra que le logiciel soit signé."
Et c'est cette dernière phrase que je critique particulièrement : il faut toujours que le logiciel soit signé. Ou alors je comprends pas ce que tu as voulu dire mais au mieux ça prête à confusion, au pire c'est complètement faux (sans parler de la concordance des temps).


Non mais t'inquiète pas, lui non-plus n'a pas compris ce qu'il voulait dire, cet article est un ramassis d'approximations et d'erreurs grossières. On peut les prendre une par une puisque Simon est parti dans la totale mauvaise foi, comme d'habitude.


" Elle leur permet d'adapter leur OS à ce système qui sécurise la phase de démarrage de l'ordinateur."

- Ce système ne sécurise pas la phase de démarrage de l'ordinateur. Enfin, pas forcément. Et c'est une très mauvaise définition de l'UEFI. Dit comme ça, on dirait que c'est à ça que sert l'UEFI... c'est une des fonctions POSSIBLES (même pas obligatoire) de l'UEFI.

- Linux est déjà compatible UEFI : https://help.ubuntu....ity/UEFIBooting

" Sans ça, il faudra que le logiciel soit signé."

- Aucun rapport. Un OS non-signé peut tourner sur UEFI, sauf si le constructeur met la fonction secure-boot et ne met pas de fonction permettant de le désactiver.
- Même avec la publication de ce code-source, si secure-boot est activé sans possibilité de le désactiver, alors un OS non-signé ne pourra pas booter. Exactement comme avant quoi.

"l'arrivée sur le marché de Windows 8 dans les prochains mois s'accompagnera de l'adoption par les constructeurs de l'UEFI."

àa fait des mois, voire des années, que les constructeurs se sont déjà mis à l'UEFI. En revanche, la fonction secure-boot est bien une nouveauté.

"Seulement, il demande que l'OS de la machine soit signé afin d'être lancé."

Non, l'UEFI ne demande rien de tel. àa, c'est Secure-Boot. Une fonction possible, mais pas obligatoire, des firmwares UEFI. Une fonction parmi d'autres.

"Zdnet explique ce dimanche que James Bottomley, qui est à la tête du Conseil Technique de la Linux Foundation, a peut-être débloqué la situation en publiant les sources d'Intel Tianocore."

àa ne débloque rien du tout. àa permet à ceux qui veulent bosser avec Secure-Boot de le faire plus facilement en leur donnant une implémentation de secure-boot au niveau de l'UEFI. àa n'a AUCUN rapport avec le fait de devoir ou ne pas devoir signer son OS. Il reste toujours obligatoire de signer son OS pour passer à travers Secure-Boot. Sinon il faut désactiver secure-boot. Cette publication n'y change rien. Elle ne permet pas non-plus de faire signer son OS plus facilement. Elle permet juste d'exploiter plus correctement les fonctionnalités liées à Secure-Boot au sein de l'OS (une possibilité parmi d'autres serait, par exemple, de créer une distribution qui refuse de se lancer si Secure-Boot n'est pas activé).



Bref, Simon Robic n'a RIEN bité à son sujet, a tenté un mauvais copier-coller de l'article de ZDNet sans le comprendre, du coup cet article raconte n'importe quoi.
Inscrit le 05/03/2008
923 messages publiés
plop42, le 16/07/2012 - 13:22

lildadou, le 16/07/2012 - 13:07
C'est quoi ton fromage? Evidement que c'est le bordel, moi non plus je suis pas content de la situation actuelle. Je dis juste (t'as lu ce que j'ai écrit?) que cette situation toute pourrie c'est le monde du libre qui l'a voulu en ne participant pas au débat. "C'est la merde? On l'a bien cherché."


Le monde du libre a participé au débat... sauf qu'aucun industriel n'écoute ou presque les libristes car cela ne rapporte pas d'argent et que de l'autre coté MS prétend que c'est pour notre sécurité qu'il nous enferme dans un système fermé... qui n'avantage que lui.

Le monde du libre a participé au débat? Comment?
Avec une bonne intervention lors de la Rencontre Mondiale du Logiciel Libre en 2009 restée lettre morte? http://2009.rmll.inf...edcomputing.pdf
Ou p'têt l'année suivante? http://2010.rmll.inf...s_article-2.pdf
Ou avec le Trusted Grub gracieusement fourni par IBM en 2005 et où la communauté a décidé de laisser mourir le projet?
La puce TPM, la base du Trusted Computing (secure-boot et co.) est devenu agnostique lors de la version 1.2 ; des usages compatible avec le monde libre étaient possibles. Le monde open-source a sciemment laissé les compagnies privées se saisir et
verrouiller
les usages. A la base, le Secure-Boot et le TPM n'ont pas de notion de certificats ou de clefs (juste des hashs et des mécanisme de scellement/déscellement) c'est le logiciel qui fait ensuite ces usages.
Inscrit le 05/09/2002
2542 messages publiés
En même temps, pourquoi vous vous énervez parce que l'article est bourré de conneries, d'erreurs, de trucs faux, c'est normal, c'est un article Simon Robic (genre depuis qu'il en écrit sur Numérama on doit pouvoir compter sur les doigts d'une main les articles ne contenant pas des conneries MAJEURES ou des erreurs de compréhension/traductions telles qu'il raconte l'inverse de ses sources....
Inscrit le 16/06/2009
704 messages publiés
Yvanhoe, le 16/07/2012 - 11:11
Sauf que... votre screenshot pourrait bien rester de la science fiction ! Avoir les sources permet de faire un soft compatible, mais le point de contention est la présence ou non, justement, d'un "disable" pour le secure boot. Microsoft ne veut pas que ce soit désactivable.


Pour être totalement précis MS exige que :
- pour bénéficier du logo "Windows 8 compatible", cette vérification de signature DOIT être activée
- pour bénéficier du logo "Windows 8 RT compatible" - la version ARM - , cette vérification de signature DOIT être activée ET non désactivable, verrouillant de fait ces machines ARM aux seuls systèmes d'exploitations qui pourront payer l'ajout d'une signature dans ces machines par les constructeurs.

Donc dans ce cas, sources ou non, Linux reste condamné.


Vu comment MS a du retard y compris à l'allumage avec Windows 8, c'est peut-être eux qui sont pour l'instant le plus condamné, à reussir. Les constructeurs de plateformes ARM n'ont pas attendus MS pour l'aspect logiciel, et Linux constitue justement les bases de bons nombres de solutions sur ces plateformes. Avec les compétences en interne chez ces constructeurs.

Microsoft arrive en dernier ici, sans véritable écosystem applicatif (Windows 8 RT n'exécutera en aucun cas la logithèque colossale d'applications pour PC intel) qui justifierait de consentir à changer *encore* de système applicatif.

Enfin, les ventes de Nokia atteste qu'il n'y a pas tant que cela d'attente de "Windows" sur ces nouvelles plateformes, alors que Windows Phone 8 est nettement plus méritant pourtant que son grand frêre pour le moins bancale et hybride.
Inscrit le 17/03/2008
2787 messages publiés
Prozac, le 16/07/2012 - 14:25
speed, le 16/07/2012 - 13:28
@ prozac , à ta connaissance si par exemple j'achete dans 2 ans une carte mère UEFI .

-Le sécure boot sera absent ou désactivable à coup sur ?
-Il faudras faire gaffe lors de l'achat de la MB ,ça dépendras des marques/modèles?
- à l'heure actuelle on a aucune idée de l'issue?

Parce que mine de rien depuis un an on en entends parler mais sans en savoir beaucoup plus

l'UEFI ça peut se flasher comme un Bios ?? ( si oui une sorte de "jailbreak" est possible ??)

Mine de rien entre les tablettes et les PC DRMisés sur quoi on vas faire tourner nos OS? J'ai plein de PC en état , plein de pièces détachées mais une fois toutes ces configs bien obsoletes .......


Si dans deux ans tu achète une carte mère UEFI (il n'y aura a priori plus que ça de toute façon) :

- Le secure-boot sera très probablement présent.
- Il faudra très probablement faire gaffe lors de l'achat de la MB, afin de savoir s'il est désactivable ou pas. àa dépendra très probablement des marques/modèles. La fonction "disable secure-boot" n'est ni interdite, ni exigée par Microsoft. Ils laissent totalement le choix aux constructeurs sur ce point.
Par contre, on ignore totalement dans quelles proportions. Est-ce que le secure-boot désactivable sera la norme ou l'exception ? àa, on ne le sait pas. àa dépendra vraiment de la bonne volonté des constructeurs.
- L'UEFI peut se flasher bien-sûr. En revanche, il me semble qu'il faut que le firmware soit signé par le fabricant de la CM pour que le flash accepte de se faire, donc si ton idée était de flasher un UEFI modifié pour rajouter la fonctionnalité à un UEFI qui ne l'a pas, outre la difficulté de programmer un tel truc (qui plus est pour chaque carte mère), ça ne serait a priori pas flashable.

Au final donc, c'est sur les constructeurs de carte mère (et de PC pré-construits, typiquement les laptops) qu'il faut faire pression pour qu'ils laissent une fonction "disable secure-boot". àa dépend entièrement d'eux.


Surtout que si ça marche bien sur ARM, tu peux être sur que Windows 9 ou 10 même sur PC va *aussi* requérir, pour avoir le sticker "kivabien", la non-désactivabilité du secureboot.
Et le constructeurs (au moins comme tu dis Dell/HP/...) vont, comme a présent, obtempérer, le marché est trop gros. Je ne pense vraiment, vraiment pas que le lobbying qu'on pourrais faire aurais le moindre impact.
Surtout que OVH, si EUX ils veulent des machines DELL sans sécureboot, ils les auront.... simplement, c'est pour le grand public ou les PME/PMI (genre sur le site de vente du constructeur) que tu ne trouvera plus l'option.

Donc on s'oriente vers un monde où si tu veux du Linux faudra construire ta machine par morceau (ou demander à la boutique du coin de le faire pour toi) , peut-être que certaines marques sortiront des versions de certaines leurs machines "spécial Linux" avec secureboot désactivable comme dell avait fait à un moment. Pour les portables ça va être plus problématique, ou bien réduire très fortement le choix (cf. les portables sans OS de LDLC) et les innovations technologiques.

Au final Microsoft aura bien réussi son objectif: Compliquer fortement la mise en oeuvre de Linux pour les utilisateurs grand public et (surtout) les entreprises.
Le plus drôle c'est que je suis pas du tout certain que, concernant les menaces "classiques" (virus/troyens/...) ce soit efficace - il faudra voir dans le temps.

Aujourd'hui la complexité est surtout juridique (se faire rembourser Windows est un enfer) - la plupart des utilisateurs de Linux laissent tomber, moi le 1er, et sont donc comptabilisé par Microsoft comme des acquéreurs de Windows alors que ce n'est pas le cas.
Mais demain....
Inscrit le 10/07/2009
228 messages publiés
*Soupir*

Halala ces fameux boot sécurisés qui vont empécher le PC de démarer si c'est pas Windows qui est installé dessus, j'en entend parler depuis que j'ai eu mon premier PC (en 1992).

REGULIEREMENT il faut que ca revienne (peut-être à chaque nouvelle version de Windowsq je ne sais pas) et que si c'est pas Windows le PC va exploser, et que Linux va mourir et que Microsoft préviendra les Chinois du FBI etc. etc.

SYSTEMATIQUEMENT, il ne se passe RIEN.
Mieux: avec le temps les offres alternatives à Windows (Apple, Android, Linux...) gagnent peu à peu du terrain.

Alors oui, je sais, on ne parle pas de Windows mais d'un OS signé.

Et vous savez quoi? Ben c'est une sacrée bonne nouvelle, car comme je viens de le dire avant on parlait de Windows et UNIQUEMENT de Windows !
Maintenant on parle de ce que tu veux du moment que c'est signé.

CE TRUC C'EST LA HADOPI DE l'ELECTRONIQUE: Ca fait parler les bavards et ca ne change rien !

Sérieux, quand bien même un gros constructeur va installer ce truc par défaut, vous pensez qu'il faudra combien de temps pour qu'un emmerdeur fligue ce verrou et diffuse le patch sur internet?

Allez je fais une copie d'écran de ce message et je vous la remet sur ce forum quand dans 2 ou 3 ans la prochaine rumeur va ressortir et que ca refera parler...
[message édité par Dyonis le 16/07/2012 à 16:10 ]
Inscrit le 16/06/2009
704 messages publiés
Prozac, le 16/07/2012 - 13:41

Ils ne veulent pas pour les machines ARM. Pour les machines x86/x86-64 ils n'ont donné aucune consigne aux fabricants, ni dans un sens ni dans l'autre.


Si : la certif "Windows 8 compatible" exige l'option SecureBoot activée.
La seule différence (pour l'instant, mais jusqu'à quand ?) c'est qu'elle n'impose pas que cette option ne puisse être désactivable, juste qu'elle devra l'être pour que Windows 8 accepte de booter sur ladite machine.
Inscrit le 10/11/2008
4008 messages publiés
Question con

Qui vérifie la validité d'une signature/certificat d'un OS si on active le mode secure boot?

Si je visite un site web via HTTPS le certificat du site et vérifier par le navigateur depuis le serveur d'une autorité de certification?

Mais ici on parle du boot d'une machine il faut donc un process de vérification de validité sinon n'importe quel certificat auto-signé peut être utilisé pour exploité le mode secure boot d'un UEFI?
Inscrit le 26/11/2003
1840 messages publiés
UEFI :

Mise à jour

Grâce à une pile de protocoles réseau, les mises à jour automatiques du micrologiciel depuis le site du constructeur, à la manière des mises à jour d'OS ;


Vous vouliez une sonde dans l'cul , il l'ont faite
va mais falloir sortir une liste de block longue comme le bras pour les routeur

Pour les utilisateurs ordinaires, d'après Vandewege, coreboot est aussi une protection contre les technologies dites de Gestion des droits numériques, telles que la fonction d'isolation de l'EFI d'Intel, qui contrôle l'accès au matériel. Selon Vandewege, l'introduction de telles fonctions représente une menace pour la vie privée et les droits des consommateurs, car quiconque contrôle le BIOS contrôle l'ordinateur. Si vous contrôlez le BIOS, vous pouvez rejeter tout programme qui se charge après le BIOS


ça va etre la cible numero un , custom UEFI pour tous le monde , en tous cas sans une custom que JE CHOISI , PAS D'UEFI CHEZ MOI ...
Inscrit le 16/10/2010
1115 messages publiés
lildadou, le 16/07/2012 - 13:07
skydevil, le 16/07/2012 - 13:01
Tu m'expliques comment tu fais pour tester ton OS quand t'es dans une distrib communautaire avec que du UEFI qui veut un truc signé ?
Et pour recompiler mon noyau à mon envie ? je dois payer 99$ à chaque recompilation et attendre un mois d'avoir la clef et attendre encore que la CM mette à jour ses clefs ?

C'est quoi ton fromage? Evidement que c'est le bordel, moi non plus je suis pas content de la situation actuelle. Je dis juste (t'as lu ce que j'ai écrit?) que cette situation toute pourrie c'est le monde du libre qui l'a voulu en ne participant pas au débat. "C'est la merde? On l'a bien cherché."

tant que les clefs sont centralisées, le libre sera entravé, il n'y a aucun moyen de rendre ça compatible avec le libre.
Inscrit le 05/05/2009
1192 messages publiés
C'est vrai que cet article raconte bien de la merde quand même
Rien que le titre est priceless
[message édité par Trycer le 16/07/2012 à 18:49 ]
Inscrit le 16/07/2012
2 messages publiés
Je ne comprends rien à l'article -_-'

En quoi c'est une solution pour les distributions GNU/linux ?

Dans le cas où c'est bien une solution, c'est aussi un moyen pour les virus de boot de continuer à nous faire ch*** et dans ce cas secure boot ne sert strictement à rien...
[message édité par Fredoo404 le 16/07/2012 à 20:28 ]
Inscrit le 26/11/2003
1840 messages publiés
Fredoo404, le 16/07/2012 - 20:27
Je ne comprends rien à l'article -_-'

En quoi c'est une solution pour les distributions GNU/linux ?

Dans le cas où c'est bien une solution, c'est aussi un moyen pour les virus de boot de continuer à nous faire ch*** et dans ce cas secure boot ne sert strictement à rien...


Serieusement , vous avez deja eu un virus de boot ou tous autre machin evil au boot ?

ça doit être aussi rare qu'un cheveux dans la soupe chez castel
Inscrit le 17/01/2006
3624 messages publiés
@golem : Bon bah c'est réglé, plus jamais de nouvel ordinateur chez toi alors. Le BIOS aura totalement disparu d'ici quelques années.
[message édité par Prozac le 16/07/2012 à 21:51 ]
Inscrit le 11/03/2009
3541 messages publiés
golem

Serieusement , vous avez deja eu un virus de boot ou tous autre machin evil au boot ?

ça doit être aussi rare qu'un cheveux dans la soupe chez castel


et en plus d'etre rare le "virus boot warning" des bios etait là pour ça sans pour autant faire chier son monde comme ça vas etre le cas avec ce secure boot .

Paladium project is back pour de bon cette fois , prochaine etape pour win 9 , ne démarrer que sur de la ram kingston et un hd seagate . Bah quoi , au rythme où vont les choses tout deviens envisageable malheuresement
[message édité par speed le 16/07/2012 à 22:06 ]
Inscrit le 16/07/2012
2 messages publiés
golem, le 16/07/2012 - 21:39

Fredoo404, le 16/07/2012 - 20:27
Je ne comprends rien à l'article -_-'

En quoi c'est une solution pour les distributions GNU/linux ?

Dans le cas où c'est bien une solution, c'est aussi un moyen pour les virus de boot de continuer à nous faire ch*** et dans ce cas secure boot ne sert strictement à rien...



Serieusement , vous avez deja eu un virus de boot ou tous autre machin evil au boot ?

ça doit être aussi rare qu'un cheveux dans la soupe chez castel

La question n'est pas là et si secure boot a été mis en place c'est pas pour rien ... (oui oui, je sais m$ la vente lié et tout ça ... blablabla & blablabla)
Inscrit le 17/01/2006
3624 messages publiés
Ashareth, le 16/07/2012 - 15:51
En même temps, pourquoi vous vous énervez parce que l'article est bourré de conneries, d'erreurs, de trucs faux, c'est normal, c'est un article Simon Robic (genre depuis qu'il en écrit sur Numérama on doit pouvoir compter sur les doigts d'une main les articles ne contenant pas des conneries MAJEURES ou des erreurs de compréhension/traductions telles qu'il raconte l'inverse de ses sources....


Pas faux, cela dit le plus énervant c'est quand on leur signale des bourdes et qu'ils refont exactement la même à la news suivante sur le même sujet. Dans le genre, il a fallu répéter je ne sais combien de fois à Kad que non, le WPA1 n'était toujours pas "cracké" au sens où on pouvait se connecter sur un réseau WPA1 sans s'être vu donné le mot de passe "normalement" au préalable (il y a bien une petite faille en WPA1 mais on ne peut quasiment rien en faire et en tout cas absolument pas télécharger sur le réseau d'un inconnu grâce à elle). A chaque nouvelle news sur HADOPI et la sécurité des wifi, il revenait à la charge en disant que seul WPA2 était sûr. Il a fallu lui répéter que non, WPA1 aussi était sûr, articles à l'appui, une bonne dizaine de fois. Je ne sais d'ailleurs toujours pas s'il a fini par comprendre.


Numérama, c'est un article vraiment intéressant et original sur 50, 30 articles sans grand intérêt (copie de ce qui a déjà été vu/dit ailleurs), et 19 articles d'un amateurisme indigne d'un blogueur médiocre. On continue à venir pour l'article intéressant sur 50, mais les 19 articles digne de kevin-fait-son-site-web-sur-l'informatique sont vraiment horripilants.
Inscrit le 10/01/2008
467 messages publiés
speed, le 16/07/2012 - 21:58

golem

Serieusement , vous avez deja eu un virus de boot ou tous autre machin evil au boot ?

ça doit être aussi rare qu'un cheveux dans la soupe chez castel



et en plus d'etre rare le "virus boot warning" des bios etait là pour ça sans pour autant faire chier son monde comme ça vas etre le cas avec ce secure boot .

Paladium project is back pour de bon cette fois , prochaine etape pour win 9 , ne démarrer que sur de la ram kingston et un hd seagate . Bah quoi , au rythme où vont les choses tout deviens envisageable malheuresement

+1 , Paladium le retour.
Vous ne comprenez pas ? 1er "virus" réduit : Megaupload. Prochaine cible : Youtube (Google).
Bientôt, vous aurez un Microsoft Media Player avec DRM et catalogue Universal obligatoire.

MPAA, RIAA & Microsoft réunis
Mais pour ça, l'informatique de confiance est obligatoire.
http://fr.wikipedia....ue_de_confiance
Inscrit le 10/01/2008
467 messages publiés
La prochaine version majeure de Windows sera gratuite... car elle n'acceptera de lancer que des programmes signés

Inscrit le 03/12/2003
781 messages publiés
dsant, le 16/07/2012 - 10:46
Boycotter les machines UEFI reste encore la meilleure option, sauf si votre installation est critique. Mais les PC noname en seront-ils dépourvus ?

nawak. L'UEFI c'est le bien, et il faudra te faire à l'idée que le BIOS est morribond.
Inscrit le 19/07/2012
1 messages publiés
Comme d'hab, juste une machine a fric genre Thawte/Verisign pour passer un certificat en état signé (pas de générique, etc...). Et qui est l'autorité de certification finale ?
Car si un OS pourri demande juste a etre signé mais donne le pognon, je demande une distrib a base de virus ! C'est pas le certificateur qui va se donner la peine de vérifier si la distrib est ok!!!!
Inscrit le 15/09/2012
1 messages publiés
Bonjour,

Je n'y comprends rien, quelqu'un pourrait-il expliquer comment ça fonctionne l'UEFI et le secure-boot, c'est quoi ces histoires de clé ?

Merci.
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Juillet 2012
 
Lu Ma Me Je Ve Sa Di
25 26 27 28 29 30 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31 1 2 3 4 5