Une solution de sécurité problématique
L'UEFI, successeur du BIOS, inaugure pour rappel la fonction Secure Boot, qui permet en substance d'interdire le démarrage de composants qui n'ont pas été préalablement validés, dans l'optique de bloquer les logiciels malveillants démarrant avant le système d'exploitation (rootkits).Le problème de cette fonction est qu'elle repose sur une liste blanche de clés secrètes que chacun des éditeurs doit transmettre à tous les fabricants d'ordinateurs et de cartes mères, ce qui est contraire à l'approche maison de Linux (chacun peut concevoir sa propre distribution) et dans certains cas aux licences libres (qui interdisent le moindre secret).
Or pour obtenir l'indispensable certification Windows 8, les fabricants d'ordinateurs et de cartes mères doivent se conformer à un programme de certification imposant notamment que Secure Boot soit enclenché. On pouvait craindre que certains fabricants ne permettent pas de le désactiver, mais probablement pour éviter d'être accusé d'abus de position dominante, Microsoft a également imposé que ce soit bien le cas.
L'objectif de Secure Boot étant louable, et pour éviter aux utilisateurs de modifier leurs paramètres à chaque bascule de système d'exploitation, la communauté Linux a néanmoins imaginé plusieurs solutions.
Linux Foundation Secure Boot vs Shim
La fondation Linux a donc publié vendredi, au travers de James Bottomley, un « préchargeur » qui présente la particularité d'avoir été signé par Microsoft lui-même avec la même clé que Windows 8. Il est donc garanti qu'il fonctionnera avec tous les ordinateurs certifiés Windows 8.Comme l'explique sur son blog Matthew Garrett, ex-développeur en charge du noyau pour Red Hat et spécialiste de la question, la solution Secure Boot de la fondation Linux a l'intérêt de s'intégrer étroitement à l'UEFI, à bas niveau.
La solution qu'il avait développée, baptisée Shim (littéralement cale), était comme son nom l'indique quelque peu détournée. Intégrée à plus haut niveau, Shim doit répéter la plupart des opérations, ce qui est « loin d'être idéal » de l'aveu même de son concepteur. En contrepartie, cet outil permet à l'utilisateur de valider les mises à jour logicielles liées au démarrage à distance, alors que l'implémentation de la fondation Linux requiert la présence physique de l'utilisateur.
Vers une fusion des deux solutions
Les deux solutions ont donc leurs avantages et leurs inconvénients. Mais leurs deux auteurs sont en relation dans l'optique de fusionner les deux solutions, pour ne conserver que le meilleur de chacune.À terme, les concepteurs de distributions Linux, qu'ils soient des éditeurs commerciaux (comme Red Hat ou Ubuntu) ou des développeurs indépendants (qui élaborent leur propre distribution à partir de zéro), disposeront donc d'une solution universelle permettant de démarrer facilement sur des ordinateurs certifiés Windows 8, sur lesquels Secure Boot sera activé.