SecureBoot, ca sent le pingouin…

En septembre dernier, Matthew Garrett, ingénieur chez Red Hat, avait actionné le signal d’alarme UEFI. Microsoft demande, en effet, à tous ses partenaires OEM d’activer le SecureBoot sur leurs produits pour bénéficier de la certification Windows 8.

On pensait alors que Microsoft n’irait pas plus loin et laisserait aux constructeurs la possibilité d’implémenter la  désactivation du SecureBoot dans les menus UEFI. C’est en tout cas ce qui ressortait de la réponse de Microsoft publiée le 22 septembre sur le blog de Windows 8.

« The security that UEFI has to offer with secure boot means that most customers will have their systems protected against boot loader attacks. For the enthusiast who wants to run older operating systems, the option is there to allow you to make that decision.

A demonstration of this control is found in the Samsung tablet with Windows 8 Developer Preview that was offered to //BUILD/ participants. In the screenshot below you will notice that we designed the firmware to allow the customer to disable secure boot.« 

Depuis, les prérequis pour la certification Windows 8 ont été modifiés, et on les retrouve dans le document windows8-hardware-cert-requirements-system.pdf que je vous invite à consulter. Le point ci-dessous interdit tout simplement la désactivation du SecureBoot sur tous les systèmes sous processeur ARM.

System.Fundamentals.Firmware.UEFISecureBoot
21. MANDATORY: Enable/Disable Secure Boot. On non-ARM systems, it is required to implement the ability to disable Secure Boot via firmware setup. A physically present user must be allowed to disable Secure Boot via firmware setup without possession of PKpriv.
Programmatic disabling of Secure Boot either during Boot Services or after exiting EFI Boot Services MUST NOT be possible. Disabling Secure MUST NOT be possible on ARM systems.

Les systèmes sous processeur x86 semblent pour l’instant épargnés mais la direction prise par Microsoft avec Windows 8 ne laisse plus de place au doute. On s’oriente paisiblement vers des terminaux ARM (tablettes, téléphones, portables) verrouillés sous Windows 8 avec impossibilité pour l’utilisateur d’installer un autre système d’exploitation sur son matériel. Le ver est bel et bien dans le fruit.

8 réflexions au sujet de « SecureBoot, ca sent le pingouin… »

  1. rhaaaa.. qu’ils sont casse-pieds ces mauvais développeurs..

    j’espère franchement qu’ils se prendront une claque avec une telle bêtise (concurrence déloyale où je ne sais quoi.. il doit bien y avoir.. encore.. l’une ou l’autre loi qui protège de ça,non??)
    .
    c’est triste de voir que leur manque d’efficacité doit être comblée par ce genre de tour de passe-passe qui va à l’encontre de la liberté des gens.

  2. La FsF en parle.
    Pétition: https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement-fr

    Ou en est-on d’ailleurs par rapport à ce problème?
    Dans ces articles (http://www.pcmag.com/article2/0,2817,2411464,00.asp et http://www.theregister.co.uk/2012/11/03/win8_security_analysis/), on signale que le Secure boot est (doit être) activé par défaut mais qu’il est possible de le désactiver via le Bios si on veut installer un autre OS.

    Si c’est le cas, pourquoi pas.
    Ca ne me pose pas de problème que les utilisateurs Micro$oft aient une meilleure sécurité pour leur Os.

    Quelqu’un en sait plus?

    • Merci pour ce lien.

      J’ai lu avec intérêt les 5 pages de posts, mais je me pose toujours une question.
      Qu’en sera-t’il du dual boot distro linux / windows 8?
      En gros, est-ce que Windows 8 peut se lancer avec le secure boot désactivé?

      Autre question, sera-t’il possible d’installer un windows 8 virtuel (virtualbox, ..)?

      A noter cet amusant article (en anglais) qui explique qu’une firme italienne de sécurité à déjà trouvé une vulnérabilité à ce secure boot🙂
      http://www.theregister.co.uk/2012/09/19/win8_rootkit/

      • J’ai pu testé cette idée de dual boot Windows 8 / Linux Mint y a quelques jours.

        Le Windows 8 était déjà pré-installé bien sûr, avec l’UEFI actif.

        Afin de pouvoir installer mon Linux Mint, j’ai du désactiver l’UEFI dans le Bios (sinon il ne voulait pas démarrer sur ma clé Usb).
        Ensuite, installation sans problème.

        Par contre, après, pas de dual boot.

        Avec l’UEFI désactivé, je démarre auto sur Linux, avec l’UEFI activé, je démarre auto sur Windows 8… Pas très pratique bien sûr.

        Le problème est, je pense, que Windows 8 doit être installer avec l’UEFI désactivé pour qu’on ait notre duel boot.

        Sauf qu’on ne reçoit plus de CD de windows de nos jours quand on achète un ordi et donc qu’on est obligé de faire une demande de CD à Microsoft, refaire l’installation et ensuite installer son Linux…

        Je n’ai jamais fait de demande de cd à Microsoft et je ne suis même pas sûr que ça fonctionne comme ça. C’est peut-être le parcours du combattant pour y arriver.
        Ce qui est sûr, c’est que c’est lamentable de voir qu’on évolue à l’envers par moment.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s