[Secure boot] Que nous reserve l'avenir ?

[Stdrome1209]

Salut à toute et à tous, suite à la lecture de cet article (http://www.makeuseof.com/tag/will-linux ... -hardware/) qui ne fais que confirmer ce dont j'avais vaguement entendu parlé jusqu'à présent, je me pose certaines questions.

Si je résume (mon anglais n'est pas formidable), Microsoft à réussi à obtenir des constructeurs que le secure boot ne soit plus désactivable en échange de quoi ils pourront coller un jolie sticker au dos de leurs machines ; cela afin que seul les OS "signés" puissent être installés sur les PC de demain, sauf que demain c'est à la fin du moi avec la sortie de Windows 10.

Tout d’abord si j'ai bien compris Microsoft avais déjà tenté ce tour de force avec Windows 8 mais à été obligé de revenir en arrière et de permettre la désactivation du secure boot, qu'est-ce qui à changé depuis et qui à permis à Microsoft de faire passer cette mesure ?

Ensuite je doute que le sticker "Designed for Windows 10" au dos de la machine à pour seul but de faire jolie, pourquoi est-il si important pour les constructeurs ?

Par ailleurs je me demande pourquoi Microsoft s'acharne à ce point sur Linux au vue du nombre minoritaire de postes sur lequel il est installé par rapport à Windows ?

Enfin Arch Linux ne fais pas partie des OS "signés" je me demande donc ce que réserve l'avenir à notre distribution ?

[Loubrix]

Bonjour,

Je vais peut-être dire une bêtise, mais ce n'est pas le paquet "prebootloader" qui nous permet de booter sur un secure-boot activé ?

quand à l'acharnement de Microsoft sur Linux, j'ai une petite idée sur la question: serait-il possible que Microsoft voit Android comme un Linux et considère que la menace peut s'étendre du smartphone (et tablette) au PC ?

[Xorg]

Si Microsoft a peur que ses utilisateurs quittent Windows, c'est que ce dernier n'est peut-être pas si parfait que ça et qu'ils s'en rendent compte. Mais c'est vraiment dégueulasse d'imposer le Secure Boot aux autres. J'ai la chance d'avoir un UEFI qui n'a pas le Secure Boot et j'en suis bien content.
Le Secure Boot est là pour vérifier que l'OS ne présente pas de malwares ou de rootkits qui seraient lancés au démarrage, et aussi à bloquer les autres OS non-signés. C'est surtout un prétexte pour nous mettre des bâtons dans les roues, parce que ce n'est pas de notre faute si Windows présente des logiciels malveillants. Modifier les UEFI juste pour ça...

Alors que certaines entreprises (je ne citerai personne) ont fait un chèque à Microsoft pour obtenir une clé, la Linux Foundation a effectivement mis au point prebootloader, qui permet de booter n'importe quelle distro en cassant la vérification qu'effectue Secure Boot.

À voir si, à l'avenir, Microsoft va faire en sorte de détecter ce genre de logiciel pour essayer de le bloquer.

[waitnsea]

Bonsoir,
Je ne m'y connais pas trop en secure-boot, mon bios est de l'ancien type, "upgradé" pour l'UEFI mais sans blocage. Mais ma bécane ne sera pas éternelle, hélas !
Question : En imaginant qu'un logiciel de type "prebootloader" reste efficace, sera-t-il intégré aux images d'installation, acceptable juridiquement ou bidouille de hacker... ?

[Stdrome1209]

Oui c'est exactement le genre de question que je me pose, est-ce qu-il serras directement intégré sur les images d'installation de Linux afin de pouvoir booter sur une clé sans souci ? Comme c'est déjà le cas avec la prise en charge de l'EFI.

Alors que certaines entreprises (je ne citerai personne) ont fait un chèque à Microsoft pour obtenir une clé, la Linux Foundation a effectivement mis au point prebootloader, qui permet de booter n'importe quelle distro en cassant la vérification qu'effectue Secure Boot.

Tu parles de certaines grosses distributions qui sont "signées" ? Dans tout les cas c'est intolérable de devoir payer Microsoft pour cette signature, c'est juste du racket et surtout une atteinte à la liberté de l'utilisateur de bénéficier de sont ordinateur comme bon lui semble.

[Xorg]

La clé coûterait 99$, ce qui reste raisonnable, mais qui est là juste pour narguer certains. À ma connaissance, il n'y a que Red Hat qui a ouvert le portefeuille pour son propre intérêt. Canonical, elle, a choisit de générer elle-même sa propre clé, ce qui impose d'utiliser Efilinux (il ne peuvent pas utiliser GRUB 2 parce qu'il est sous licence GPL v3, or la clé ne doit pas être écrite en claire), et ce qui implique d'avoir un UEFI qui reconnaisse cette clé (car oui, ce n'est pas le cas des premiers UEFI avec Secure Boot visiblement ; peut-être qu'une mise à jour de l'UEFI corrige cela).

Bref, il n'y a que la fondation Linux qui s'est dit qu'elle allait mettre au point une solution plus universelle. C'est dommage de voir que les autres jouent en solo... La fondation Linux a obtenu une clé (payée ?) qui signe le pré-bootloader. Une fois chargé, ce dernier peut visiblement charger n'importe quel OS, qu'il soit signé ou non. C'est malin, c'est une façon de contourner le Secure Boot. Finalement, la clé devrait rester valide, donc il n'y a pas de raison que le pré-bootloader soit bloqué dit comme ça.

[-redhead-]

La clé coûterait 99$, ce qui reste raisonnable.

Certes le prix est raisonnable, mais le principe ne l'est pas. C'est la porte ouverte à tout ce qu'on peut imaginer, M$ fait accepter l'idée, petit à petit, de pouvoir bloquer tout ce qu'il considère comme malveillant.

Il me semble que SUSE, qui ont par ailleurs pas mal d'accord commerciaux avec M$, on aussi payé la clé.