Le nouveau système de démarrage sécurisé UEFI dans Windows 8 a provoqué plus que sa juste part de confusion, en particulier chez les double-booters. Lisez la suite pour clarifier les idées fausses sur le double démarrage avec Windows 8 et Linux.

La séance de questions-réponses d’aujourd’hui nous est offerte par SuperUser, une subdivision de Stack Exchange, un regroupement communautaire de sites Web de questions-réponses.

La question

Le lecteur superutilisateur Harsha K est curieux de connaître le nouveau système UEFI. Il écrit:

J’ai beaucoup entendu parler de la façon dont Microsoft implémente UEFI Secure Boot dans Windows 8. Apparemment, il empêche les chargeurs de démarrage «non autorisés» de s’exécuter sur l’ordinateur, pour empêcher les logiciels malveillants. Il y a une campagne de la Free Software Foundation contre le démarrage sécurisé, et beaucoup de gens disent en ligne que c’est une «prise de pouvoir» par Microsoft pour «éliminer les systèmes d’exploitation libres».

Si je reçois un ordinateur sur lequel Windows 8 et Secure Boot sont préinstallés, serai-je toujours en mesure d’installer Linux (ou un autre système d’exploitation) plus tard? Ou est-ce qu’un ordinateur avec Secure Boot ne fonctionne qu’avec Windows?

Alors, quel est l’affaire? Les dual booters n’ont-ils pas vraiment de chance?

La réponse

Le contributeur SuperUser Nathan Hinkle offre un aperçu fantastique de ce qu’est l’UEFI et de ce qu’il n’est pas:

Tout d’abord, la réponse simple à votre question:

  • Si vous avez une tablette ARM exécutant Windows RT (comme le Surface RT ou l’Asus Vivo RT), puis vous ne pourrez pas désactiver le démarrage sécurisé ou installer d’autres systèmes d’exploitation. Comme de nombreuses autres tablettes ARM, ces appareils seulement exécutez le système d’exploitation fourni.
  • Si vous avez un ordinateur non ARM exécutant Windows 8 (comme Surface Pro ou l’un des innombrables ultrabooks, ordinateurs de bureau et tablettes dotés d’un processeur x86-64), puis vous pouvez désactiver complètement le démarrage sécuriséou vous pouvez installer vos propres clés et signer votre propre chargeur de démarrage. D’une manière ou d’une autre, vous pouvez installer un système d’exploitation tiers comme une distribution Linux ou FreeBSD ou DOS ou tout ce qui vous plaît.

Maintenant, pour en savoir plus sur le fonctionnement de cette opération Secure Boot: il y a beaucoup de désinformation sur Secure Boot, en particulier de la part de la Free Software Foundation et de groupes similaires. Il a été difficile de trouver des informations sur ce que fait réellement le démarrage sécurisé, je vais donc faire de mon mieux pour l’expliquer. Notez que je n’ai aucune expérience personnelle avec le développement de systèmes de démarrage sécurisé ou quelque chose comme ça; c’est exactement ce que j’ai appris en lisant en ligne.

Tout d’abord, Le démarrage sécurisé est ne pas quelque chose que Microsoft a trouvé. Ils sont les premiers à l’implémenter largement, mais ils ne l’ont pas inventé. Cela fait partie de la spécification UEFI, qui est essentiellement un remplacement plus récent de l’ancien BIOS auquel vous êtes probablement habitué. UEFI est essentiellement le logiciel qui communique entre le système d’exploitation et le matériel. Les normes UEFI sont créées par un groupe appelé «Forum UEFI», qui est composé de représentants de l’industrie informatique, notamment Microsoft, Apple, Intel, AMD et une poignée de fabricants d’ordinateurs.

Deuxième point le plus important, l’activation du démarrage sécurisé sur un ordinateur ne pas signifie que l’ordinateur ne peut jamais démarrer un autre système d’exploitation. En fait, les exigences de certification matérielle Windows de Microsoft stipulent que pour les systèmes non ARM, vous devez être en mesure de désactiver le démarrage sécurisé et de modifier les clés (pour autoriser d’autres systèmes d’exploitation). Plus sur cela plus tard cependant.

Que fait Secure Boot?

Essentiellement, il empêche les logiciels malveillants d’attaquer votre ordinateur via la séquence de démarrage. Les logiciels malveillants qui pénètrent via le chargeur de démarrage peuvent être très difficiles à détecter et à arrêter, car ils peuvent s’infiltrer dans les fonctions de bas niveau du système d’exploitation, le rendant invisible aux logiciels antivirus. Tout ce que Secure Boot fait vraiment, c’est qu’il vérifie que le chargeur de démarrage provient d’une source fiable et qu’il n’a pas été falsifié. Pensez-y comme aux bouchons escamotables sur les bouteilles qui disent «ne pas ouvrir si le couvercle est ouvert ou si le sceau a été altéré».

Au niveau supérieur de protection, vous disposez de la clé de plate-forme (PK). Il n’y a qu’un seul PK sur n’importe quel système et il est installé par l’OEM lors de la fabrication. Cette clé est utilisée pour protéger la base de données KEK. La base de données KEK contient des clés d’échange de clés, qui sont utilisées pour modifier les autres bases de données de démarrage sécurisé. Il peut y avoir plusieurs KEK. Il existe alors un troisième niveau: la base de données autorisée (db) et la base de données interdite (dbx). Ceux-ci contiennent respectivement des informations sur les autorités de certification, des clés cryptographiques supplémentaires et des images de périphériques UEFI à autoriser ou à bloquer. Pour qu’un chargeur de démarrage soit autorisé à fonctionner, il doit être signé de manière cryptographique avec une clé qui est dans le db, et n’est pas dans le dbx.

Image de la création de Windows 8: protection de l’environnement pré-OS avec UEFI

Comment cela fonctionne sur un système certifié Windows 8 réel

L’OEM génère son propre PK, et Microsoft fournit une KEK que l’OEM doit précharger dans la base de données KEK. Microsoft signe ensuite le chargeur de démarrage Windows 8 et utilise leur clé pour placer cette signature dans la base de données autorisée. Lorsque UEFI démarre l’ordinateur, il vérifie le PK, vérifie la KEK de Microsoft, puis vérifie le chargeur de démarrage. Si tout semble bon, le système d’exploitation peut démarrer.


Image de la création de Windows 8: protection de l’environnement pré-OS avec UEFI

Où les systèmes d’exploitation tiers, comme Linux, interviennent-ils?

Tout d’abord, n’importe quelle distribution Linux pourrait choisir de générer une KEK et demander aux OEM de l’inclure dans la base de données KEK par défaut. Ils auraient alors autant de contrôle sur le processus de démarrage que Microsoft. Les problèmes avec cela, comme l’explique Matthew Garrett de Fedora, sont que a) il serait difficile d’amener chaque fabricant de PC à inclure la clé de Fedora, et b) ce serait injuste pour les autres distributions Linux, car leur clé ne serait pas incluse , car les petites distributions n’ont pas autant de partenariats OEM.

Ce que Fedora a choisi de faire (et d’autres distributions suivent le mouvement) est d’utiliser les services de signature de Microsoft. Ce scénario nécessite de payer 99 $ à Verisign (l’autorité de certification que Microsoft utilise) et accorde aux développeurs la possibilité de signer leur chargeur de démarrage à l’aide de KEK de Microsoft. Étant donné que la KEK de Microsoft sera déjà présente sur la plupart des ordinateurs, cela leur permet de signer leur chargeur de démarrage pour utiliser Secure Boot, sans avoir besoin de leur propre KEK. Il finit par être plus compatible avec plus d’ordinateurs et coûte globalement moins cher que de configurer son propre système de signature et de distribution de clés. Il y a plus de détails sur la façon dont cela fonctionnera (à l’aide de GRUB, des modules du noyau signés et d’autres informations techniques) dans le billet de blog susmentionné, que je recommande de lire si vous êtes intéressé par ce genre de chose.

Supposons que vous ne vouliez pas gérer les tracas de l’inscription au système de Microsoft, ou que vous ne vouliez pas payer 99 $, ou que vous ayez simplement une rancune contre les grandes entreprises qui commencent par un M. Il existe une autre option pour continuer à utiliser Secure Boot et exécutez un système d’exploitation autre que Windows. Certification matérielle de Microsoft a besoin que les OEM permettent aux utilisateurs d’entrer leur système en mode «personnalisé» UEFI, où ils peuvent modifier manuellement les bases de données Secure Boot et le PK. Le système peut être mis en mode de configuration UEFI, où l’utilisateur peut même spécifier son propre PK et signer lui-même les chargeurs de démarrage.

En outre, les propres exigences de certification de Microsoft obligent les OEM à inclure une méthode pour désactiver le démarrage sécurisé sur les systèmes non ARM. Vous pouvez désactiver le démarrage sécurisé! Les seuls systèmes sur lesquels vous ne pouvez pas désactiver le démarrage sécurisé sont les systèmes ARM exécutant Windows RT, qui fonctionnent de manière plus similaire à l’iPad, où vous ne pouvez pas charger de systèmes d’exploitation personnalisés. Bien que je souhaite qu’il soit possible de changer le système d’exploitation sur les appareils ARM, il est juste de dire que Microsoft suit la norme de l’industrie en ce qui concerne les tablettes ici.

Un démarrage sécurisé n’est donc pas intrinsèquement mauvais?

Donc, comme vous pouvez l’espérer, Secure Boot n’est pas mauvais et n’est pas limité à une utilisation uniquement avec Windows. La FSF et les autres sont si contrariés à ce sujet, car ils ajoutent des étapes supplémentaires à l’utilisation d’un système d’exploitation tiers. Les distributions Linux peuvent ne pas aimer payer pour utiliser la clé de Microsoft, mais c’est le moyen le plus simple et le plus rentable de faire fonctionner Secure Boot pour Linux. Heureusement, il est facile de désactiver Secure Boot et il est possible d’ajouter différentes clés, évitant ainsi d’avoir à faire affaire avec Microsoft.

Étant donné la quantité de logiciels malveillants de plus en plus avancés, Secure Boot semble être une idée raisonnable. Ce n’est pas censé être un complot maléfique pour conquérir le monde, et c’est beaucoup moins effrayant que certains experts en logiciels libres ne vous le feront croire.

Lecture supplémentaire:

  • Exigences de certification matérielle Microsoft
  • Construire Windows 8: Protéger l’environnement pré-OS avec UEFI
  • Présentation de Microsoft sur le déploiement de Secure Boot et la gestion des clés
  • Implémentation du démarrage sécurisé UEFI dans Fedora
  • Présentation de TechNet Secure Boot
  • Article Wikipédia sur UEFI

TL; DR: Le démarrage sécurisé empêche les logiciels malveillants d’infecter votre système à un niveau bas et indétectable pendant le démarrage. Tout le monde peut créer les clés nécessaires pour le faire fonctionner, mais il est difficile de convaincre les fabricants d’ordinateurs de distribuer votre clé pour tout le monde, vous pouvez donc choisir de payer Verisign pour utiliser la clé de Microsoft pour signer vos chargeurs de démarrage et les faire fonctionner. Vous pouvez également désactiver le démarrage sécurisé sur tout ordinateur non ARM.

Dernière réflexion, en ce qui concerne la campagne de la FSF contre le démarrage sécurisé: certaines de leurs préoccupations (c’est-à-dire Plus fort pour installer des systèmes d’exploitation gratuits) sont valides vers un point. Dire que les restrictions « empêcheront quiconque de démarrer autre chose que Windows » est cependant manifestement faux, pour les raisons illustrées ci-dessus. Faire campagne contre UEFI / Secure Boot en tant que technologie est à courte vue, mal informé et peu susceptible d’être efficace de toute façon. Il est plus important de s’assurer que les fabricants respectent réellement les exigences de Microsoft pour permettre aux utilisateurs de désactiver le démarrage sécurisé ou de modifier les clés s’ils le souhaitent.


Vous avez quelque chose à ajouter à l’explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d’autres utilisateurs de Stack Exchange avertis en technologie? Consultez le fil de discussion complet ici.

Laisser un commentaire