Le nouveau système UEFI Secure Boot de Windows 8 a causé plus que sa juste part de confusion, en particulier parmi les doubles booters. Continuez à lire pendant que nous clarifions les idées fausses sur le double démarrage avec Windows 8 et Linux.
Lecteur SuperUser Harsha K est curieux de connaître le nouveau système UEFI. Il écrit:
Le contributeur SuperUser Nathan Hinkle offre un aperçu fantastique de ce qu’est et n’est pas l’UEFI:
Tout d’abord, la réponse simple à votre question:
- Si vous avez une tablette ARM sous Windows RT (comme la Surface RT ou l’Asus Vivo RT), puis vous ne pourrez pas désactiver le démarrage sécurisé ou installer d’autres systèmes d’exploitation. Comme beaucoup d’autres tablettes ARM, ces appareils exécuteront le système d’exploitation avec lequel ils sont fournis.
- Si vous avez un ordinateur non ARM exécutant Windows 8 (comme la Surface Pro ou l’un des innombrables ultrabooks, ordinateurs de bureau et tablettes avec un processeur x86-64), puis vous pouvez désactiver complètement le démarrage sécurisé, ou vous pouvez installer vos propres clés et signer votre propre chargeur de démarrage. Dans les deux cas, vous pouvez installer un système d’exploitation tiers comme une distribution Linux ou FreeBSD ou DOS ou tout ce qui vous plaît.
Passons maintenant aux détails sur le fonctionnement de tout ce truc de Secure Boot: il y a beaucoup de désinformation sur Secure Boot, en particulier de la part de la Free Software Foundation et de groupes similaires. Cela a rendu difficile la recherche d’informations sur ce que fait réellement Secure Boot, alors je ferai de mon mieux pour vous expliquer. Notez que je n’ai aucune expérience personnelle du développement de systèmes de démarrage sécurisés ou quoi que ce soit de ce genre; c’est exactement ce que j’ai appris en lisant en ligne.
D’abord, Le démarrage sécurisé est quelque chose que Microsoft a proposé. Ils sont les premiers à le mettre en œuvre à grande échelle, mais ils ne l’ont pas inventé. C’est partie de la spécification UEFI, qui est essentiellement un remplacement plus récent de l’ancien BIOS auquel vous êtes probablement habitué. UEFI est essentiellement le logiciel qui communique entre le système d’exploitation et le matériel. Les normes UEFI sont créées par un groupe appelé «Forum UEFI«, Qui est composé de représentants de l’industrie informatique, notamment Microsoft, Apple, Intel, AMD et une poignée de fabricants d’ordinateurs.
Deuxième point le plus important, avoir le démarrage sécurisé activé sur un ordinateur signifie que l’ordinateur ne peut jamais démarrer un autre système d’exploitation. En fait, les exigences de certification matérielle Windows de Microsoft indiquent que pour les systèmes non ARM, vous devez être en mesure à la fois de désactiver le démarrage sécurisé et de modifier les clés (pour autoriser d’autres systèmes d’exploitation). Plus à ce sujet plus tard cependant.
Que fait Secure Boot?
Essentiellement, il empêche les logiciels malveillants d’attaquer votre ordinateur via la séquence de démarrage. Les logiciels malveillants qui pénètrent via le chargeur de démarrage peuvent être très difficiles à détecter et à arrêter, car ils peuvent s’infiltrer dans les fonctions de bas niveau du système d’exploitation, les gardant invisibles aux logiciels antivirus. Tout ce que Secure Boot fait vraiment, c’est vérifier que le chargeur de démarrage provient d’une source fiable et qu’il n’a pas été falsifié. Pensez-y comme les bouchons escamotables sur les bouteilles qui disent «ne pas ouvrir si le couvercle est ouvert ou si le sceau a été altéré».
Au niveau de protection le plus élevé, vous disposez de la clé de plate-forme (PK). Il n’y a qu’un seul PK sur n’importe quel système, et il est installé par l’OEM pendant la fabrication. Cette clé est utilisée pour protéger la base de données KEK. La base de données KEK contient des clés d’échange de clés, qui sont utilisées pour modifier les autres bases de données de démarrage sécurisé. Il peut y avoir plusieurs KEK. Il y a alors un troisième niveau: la base de données autorisée (db) et la base de données interdite (dbx). Ceux-ci contiennent des informations sur les autorités de certification, des clés cryptographiques supplémentaires et des images de périphérique UEFI à autoriser ou à bloquer, respectivement. Pour qu’un chargeur de démarrage soit autorisé à s’exécuter, il doit être signé de manière cryptographique avec une clé qui se trouve dans la base de données et dans la base de données.
Image de Création de Windows 8: protection de l’environnement pré-OS avec UEFI
Comment cela fonctionne sur un système certifié Windows 8 du monde réel
L’OEM génère son propre PK et Microsoft fournit une KEK que l’OEM doit précharger dans la base de données KEK. Microsoft signe ensuite le chargeur de démarrage Windows 8 et utilise leur KEK pour mettre cette signature dans la base de données autorisée. Lorsque l’UEFI démarre l’ordinateur, il vérifie le PK, vérifie la KEK de Microsoft, puis vérifie le chargeur de démarrage. Si tout semble bon, le système d’exploitation peut démarrer.
Image de Création de Windows 8: protection de l’environnement pré-OS avec UEFI
D’où viennent les systèmes d’exploitation tiers, comme Linux?
Tout d’abord, toute distribution Linux peut choisir de générer un KEK et demander aux OEM de l’inclure dans la base de données KEK par défaut. Ils auraient alors autant de contrôle sur le processus de démarrage que Microsoft. Les problèmes avec cela, comme expliqué par Matthew Garrett de Fedora, est-ce que a) il serait difficile d’amener tous les fabricants de PC à inclure la clé de Fedora, et b) ce serait injuste pour les autres distributions Linux, car leur clé ne serait pas incluse, car les petites distributions n’ont pas autant d’OEM partenariats.
Ce que Fedora a choisi de faire (et d’autres distributions emboîtent le pas), c’est d’utiliser les services de signature de Microsoft. Ce scénario nécessite de payer 99 $ à Verisign (l’autorité de certification utilisée par Microsoft) et permet aux développeurs de signer leur chargeur de démarrage à l’aide du KEK de Microsoft. Étant donné que le KEK de Microsoft sera déjà présent dans la plupart des ordinateurs, cela leur permet de signer leur chargeur de démarrage pour utiliser Secure Boot, sans avoir besoin de leur propre KEK. Il finit par être plus compatible avec plus d’ordinateurs et coûte globalement moins cher que de mettre en place leur propre système de signature et de distribution de clés. Il y a plus de détails sur la façon dont cela fonctionnera (en utilisant GRUB, des modules Kernel signés et d’autres informations techniques) dans le billet de blog susmentionné, que je recommande de lire si vous êtes intéressé par ce genre de chose.
Supposons que vous ne vouliez pas vous soucier des tracas liés à l’inscription au système de Microsoft, ou que vous ne vouliez pas payer 99 $, ou que vous ayez simplement une rancune contre les grandes entreprises qui commencent par un M. Il existe une autre option pour toujours utiliser Secure Boot et exécutez un système d’exploitation autre que Windows. Certification matérielle de Microsoft que les OEM laissent les utilisateurs entrer leur système en mode «personnalisé» UEFI, où ils peuvent modifier manuellement les bases de données Secure Boot et le PK. Le système peut être mis en mode de configuration UEFI, où l’utilisateur peut même spécifier son propre PK et signer lui-même les chargeurs de démarrage.
En outre, les propres exigences de certification de Microsoft obligent les OEM à inclure une méthode pour désactiver le démarrage sécurisé sur les systèmes non ARM. Vous pouvez désactiver Secure Boot! Les seuls systèmes sur lesquels vous ne pouvez pas désactiver le démarrage sécurisé sont les systèmes ARM exécutant Windows RT, qui fonctionnent de manière plus similaire à l’iPad, où vous ne pouvez pas charger les systèmes d’exploitation personnalisés. Bien que je souhaite qu’il soit possible de changer le système d’exploitation sur les appareils ARM, il est juste de dire que Microsoft suit la norme de l’industrie en ce qui concerne les tablettes ici.
Le démarrage sécurisé n’est donc pas intrinsèquement mauvais?
Donc, comme vous pouvez le voir, espérons-le, Secure Boot n’est pas un mal et n’est pas limité à une utilisation avec Windows. La raison pour laquelle la FSF et d’autres sont si contrariés à ce sujet est qu’elle ajoute des étapes supplémentaires à l’utilisation d’un système d’exploitation tiers. Les distributions Linux n’aiment peut-être pas payer pour utiliser la clé de Microsoft, mais c’est le moyen le plus simple et le plus rentable de faire fonctionner Secure Boot pour Linux. Heureusement, il est facile de désactiver Secure Boot et d’ajouter différentes clés, évitant ainsi d’avoir à traiter avec Microsoft.
Compte tenu de la quantité de logiciels malveillants de plus en plus avancés, Secure Boot semble être une idée raisonnable. Ce n’est pas censé être un complot diabolique pour conquérir le monde, et c’est beaucoup moins effrayant que certains experts du logiciel libre vous le feront croire.
Lecture supplémentaire:
TL; DR: Le démarrage sécurisé empêche les logiciels malveillants d’infecter votre système à un niveau bas et indétectable pendant le démarrage. N’importe qui peut créer les clés nécessaires pour le faire fonctionner, mais il est difficile de convaincre les fabricants d’ordinateurs de distribuer la clé à tout le monde, vous pouvez donc choisir de payer Verisign pour utiliser la clé de Microsoft pour signer vos chargeurs de démarrage et les faire fonctionner. Vous pouvez également désactiver le démarrage sécurisé sur un ordinateur non ARM.
Dernière réflexion, en ce qui concerne la campagne de la FSF contre le démarrage sécurisé: Certaines de leurs préoccupations (c’est-à-dire qu’elle oblige à installer des systèmes d’exploitation libres) sont valables. Dire que les restrictions «empêcheront quiconque de démarrer autre chose que Windows» est manifestement faux, pour les raisons illustrées ci-dessus. Faire campagne contre UEFI / Secure Boot en tant que technologie est à courte vue, mal informé et peu susceptible d’être efficace de toute façon. Il est plus important de s’assurer que les fabricants respectent réellement les exigences de Microsoft pour permettre aux utilisateurs de désactiver le démarrage sécurisé ou de modifier les clés s’ils le souhaitent.
Avez-vous quelque chose à ajouter à l’explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d’autres utilisateurs de Stack Exchange férus de technologie? Consultez le fil de discussion complet ici.
