Linux : vers une solution universelle pour Secure Boot

Romain Heuillard
Publié le 14 février 2013 à 16h51
La Linux Foundation a publié la semaine dernière une nouvelle solution pour prendre en charge le controversé Secure Boot. Elle a également annoncé le développement d'une solution universelle combinant les avantages des deux existantes. Installer Linux sur un ordinateur certifié Windows 8 n'entrainera alors plus aucune complication.

000000BE05285430-photo-logo-uefi.jpg

Une solution de sécurité problématique

L'UEFI, successeur du BIOS, inaugure pour rappel la fonction Secure Boot, qui permet en substance d'interdire le démarrage de composants qui n'ont pas été préalablement validés, dans l'optique de bloquer les logiciels malveillants démarrant avant le système d'exploitation (rootkits).

Le problème de cette fonction est qu'elle repose sur une liste blanche de clés secrètes que chacun des éditeurs doit transmettre à tous les fabricants d'ordinateurs et de cartes mères, ce qui est contraire à l'approche maison de Linux (chacun peut concevoir sa propre distribution) et dans certains cas aux licences libres (qui interdisent le moindre secret).

000000BE05719854-photo-logo-windows-8-compatible.jpg

Or pour obtenir l'indispensable certification Windows 8, les fabricants d'ordinateurs et de cartes mères doivent se conformer à un programme de certification imposant notamment que Secure Boot soit enclenché. On pouvait craindre que certains fabricants ne permettent pas de le désactiver, mais probablement pour éviter d'être accusé d'abus de position dominante, Microsoft a également imposé que ce soit bien le cas.

L'objectif de Secure Boot étant louable, et pour éviter aux utilisateurs de modifier leurs paramètres à chaque bascule de système d'exploitation, la communauté Linux a néanmoins imaginé plusieurs solutions.

Linux Foundation Secure Boot vs Shim

La fondation Linux a donc publié vendredi, au travers de James Bottomley, un « préchargeur » qui présente la particularité d'avoir été signé par Microsoft lui-même avec la même clé que Windows 8. Il est donc garanti qu'il fonctionnera avec tous les ordinateurs certifiés Windows 8.

Comme l'explique sur son blog Matthew Garrett, ex-développeur en charge du noyau pour Red Hat et spécialiste de la question, la solution Secure Boot de la fondation Linux a l'intérêt de s'intégrer étroitement à l'UEFI, à bas niveau.

La solution qu'il avait développée, baptisée Shim (littéralement cale), était comme son nom l'indique quelque peu détournée. Intégrée à plus haut niveau, Shim doit répéter la plupart des opérations, ce qui est « loin d'être idéal » de l'aveu même de son concepteur. En contrepartie, cet outil permet à l'utilisateur de valider les mises à jour logicielles liées au démarrage à distance, alors que l'implémentation de la fondation Linux requiert la présence physique de l'utilisateur.

Vers une fusion des deux solutions

Les deux solutions ont donc leurs avantages et leurs inconvénients. Mais leurs deux auteurs sont en relation dans l'optique de fusionner les deux solutions, pour ne conserver que le meilleur de chacune.

À terme, les concepteurs de distributions Linux, qu'ils soient des éditeurs commerciaux (comme Red Hat ou Ubuntu) ou des développeurs indépendants (qui élaborent leur propre distribution à partir de zéro), disposeront donc d'une solution universelle permettant de démarrer facilement sur des ordinateurs certifiés Windows 8, sur lesquels Secure Boot sera activé.

000000F000092171-photo-linux-tux-logo-officiel.jpg
Romain Heuillard
Par Romain Heuillard

C'est vers l'âge de 12 ans, lorsque j'ai reçu mon premier ordinateur (un Pentium 100), que j'ai décidé d'abandonner ma prometteuse carrière de constructeur de Lego pour me consacrer pleinement à ma nouvelle passion pour l'informatique. Depuis je me suis aussi passionné pour l'imagerie en général et pour la photo en particulier, mais je reste fan de sujets aussi obscurs que les procédés de fabrication de composants électroniques ou les microarchitectures de processeurs, que l'infiniment grand et l'infiniment petit. Je suis enfin foncièrement anti-DRM et pro-standards ouverts.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles