[UEFI + boot secure] Linux condamné ?

[mimile]

Bonjour,

Ceux d'entre vous qui ont eu l'occasion d'intervenir dans divers sujets que j'ai postés savent que j'utilise un vieux PC de 2002 qui - Dieu merci - fonctionne vaillamment sans me poser de problème quel que soit l'OS utilisé.

Ses performances sont évidemment réduites en regard des PC actuels et me privent d'un tas de fonctionnalités (genre Gnome 3, 3D, etc...), ce qui est assez frustrant.

J'envisage donc de me faire monter (je ne m'en sens pas capable) un PC doté d'éléments performants et j'ai fait établir un devis intégrant une carte mère Asus avec un CPU core i5.

En naviguant sur le net, j'ai entendu parler du remplacement dans un futur plus ou moins proche du BIOS par le système UEFI qui serait équipé d'une fonctionnalité "boot secure" destinée à n'autoriser que l'exécution des produits Microsoft authentifiés par une "signature" et empêcher le chargement de noyaux qui n'en disposeraient pas (sauf à en acheter une pour 99 $), le but recherché étant évidemment de décourager le citoyen Lambda indocile de s'essayer à d'autres OS que Windows.

La question cruciale est de pouvoir - ou non - désactiver cette fonction "boot secure" car si ce n'est pas possible, l'installation d'une distro Linux sera impossible.

J'ai re-contacté la société auprès de laquelle j'avais fait établir le devis et le technicien de service m'a assuré que les cartes Asus étaient déjà équipées de ce UEFI mais qu'il n'y avait pas de fonctionnalité "boot secure" et qu'en conséquence, rien n'empêcherait l'installation de Linux.

Cela devrait être de nature à me rassurer si ce n'était que c'est moi qui lui ai parlé de ce "boot secure" dont manifestement lui n'avait jamais entendu parler.

Pouvez-vous me renseigner sur cette problématique et me dire ce qu'il en est actuellement ?

Accessoirement, quel est l'intérêt d'installer en UEFI plutôt qu'en BIOS ?

Merci d'avance.

[benjarobin]

Alors toutes les cartes mères récentes ayant l'UEFI que j'ai pu utiliser possèdent le "boot secure", mais il est désactivé par défaut.
Heureusement, ce serait contre productif pour les vendeurs de carte mère.

Par contre le risque qu'il existe c'est avec les PC montés vendus par les grandes marques avec Windows 8.
Pour l'instant le "boot secure" est désactivable (il est activé par défaut), mais il y a toujours un risque pour que cette option disparaisse.

Mais pour de la vente de matériel au détail je ne vois pas pourquoi cette option serait supprimée, dans tous les cas aujourd'hui cette option existe bien et elle est souvent désactivé par défaut.

Si tu veux de bon tarif et un bon choix, je te conseil LDLC qui peux te monter ton PC. Personnellement les boutiques informatiques te forcent souvent dans le choix des composants ou celui-ci est limité, certains ne sont pas du tout au gout du jour... (D’ailleurs tu le montre toi même, i n'est pas du tout au courant du "boot secure")
Après si tu aucune connaissance dans ce domaine, il est souvent préférable de se reposer sur ces boutiques qui te fourniront quelques choses de fonctionnel (Pas toujours de bon choix, mais bon c'est mieux que d'avoir acheter des pièces qui ne vont pas ensemble )

Quel est l’intérêt d'installer en UEFI au lieu du classique MBR ? Je dirait aucun pour l'instant, de plus c'est plus compliqué à installer avec l'UEFI. Tant que tu n'as pas de disque > 2 To, je te conseil le bon vieux MBR avec table de partition classique (Pas de GPT...)

[mimile]

Merci pour ta réponse exhaustive et rassurante.

Juste un petit point noir (pour moi) : tu me suggères de m'en remettre à LDLC qui est de bon conseil et qui peut monter le PC.

Sauf erreur, d'après son site, LDLC est une boutique en ligne et ne possède que deux boutiques à Paris et à Lyon.

C'est un peu loin pour moi (j'habite près de Liège en Belgique) et j'aurais besoin des conseils d'un vrai professionnel pour ce est qui est du choix du matériel à acheter (par téléphone, c'est pas le top ...).

Je vais donc me renseigner auprès d'amis de mon fils qui ont suivi des cours d'informatique (et travaillent dans ce domaine) et qui pourront sans doute me conseiller utilement sur un professionnel belge sérieux pas trop loin de chez moi.

Cordialement,

[methos1435]

Bonjour, toutes les cartes mères "nues" UEFI ne possèdent pas le SecureBoot. Et ce dernier est présent il sera désactivé par défaut. Concerant du matériel nu ils n'ont aucunement le droit de vendre des cartes mère bloquées sur un OS. Donc si tu montes ou fait monter un PC tu n'auras pas de soucis.

Le problèmes peut eventuellement se poser pour des machines complètes vendues avec Windows 8, genre celles vendues en grande surface(que perso je déconseille fortement). Là, le SecureBoot peut être actif par défaut mais la certification Windows 8 impose aux constructeurs de proposer l'option pour le désactiver.

Enfin, concernant les 99$ pour la clef 'alternative' (qui au passage ne sert quasiment à rien aujourd'hui du fait que le Secure Boot peut être désactivé...) ce sont ceux qui gèrent les distributions Linux (ou OS de façon générale) qui payeront cette clef une fois pour toute. C'est pas le client qui paye pour chaque machine.

Pour les magasins en ligne, je conseille également materiel.net. Excellent magasin, très sérieux et ils proposent l'assemblage de la tour. Suivant où tu habites tu peux avoir un point de retrait (a leur nom, pas les commerces relais) ou un showroom. Je suis persuadé que les personnes y travaillant se feront un plaisir de te renseigner pour les pièces. De plus leur site présente des configurations type, ça peut aider pour se faire une idée.

[Tristelune]

En voyant ce sujet j'ai justement lu aujourd'hui un article à ce sujet. Ca va dans la
même direction que les réponses ici, pas trop de soucis à se faire. Si tu veux y jeter
un coup d'oeil:

http://www.dedoimedo.com/computers/uefi-drama.html

[tuxce]

En naviguant sur le net, j'ai entendu parler du remplacement dans un futur plus ou moins proche du BIOS par le système UEFI qui serait équipé d'une fonctionnalité "boot secure" destinée à n'autoriser que l'exécution des produits Microsoft authentifiés par une "signature" et empêcher le chargement de noyaux qui n'en disposeraient pas

Tu peux enlever "Microsoft" de la phrase, elle sera plus juste.

le but recherché étant évidemment de décourager le citoyen Lambda indocile de s'essayer à d'autres OS que Windows.

Le but est d'empêcher un programme (souvent malveillant) de se placer entre l'uefi et un os signé.

Maintenant, la conséquence est qu'un os non signé mais légitime ne pourra pas démarrer, mais parmi les recommandations données aux constructeurs, il y a le fait de permettre la désactivation sur des machines x86. (après, il y aura les bons élèves et les mauvais comme pour tout, sony qui n'activait pas le VT-x pour l'émulation etc.)

Sinon, il existe déjà des possibilités de démarrer ce qu'on veut avec le secure boot activé:
http://mjg59.dreamwidth.org/20303.html

Accessoirement, quel est l'intérêt d'installer en UEFI plutôt qu'en BIOS ?

BIOS a beaucoup de limitations plus ou moins contournée et à la sauce de chaque constructeur. Entre autre, il ne peut pas avoir de réseau, est limité dans la gestion de périphérique (gestion d'alim par exemple), ne peut pas booter un os sur des disques de + de 3To etc.

UEFI à côté, c'est un OS. Mais c'est comme tout, si t'as pas besoin de ce qu'il apporte, il n'a aucun intérêt, mais rien que les disques de 3To, à mon avis, ça arrivera vite.

[Xorg]

Pour ma part, pour répondre au premier message, j'ai bien vu sur une carte-mère Asus récente que le Boot Secure était désactivable dans l'utilitaire de l'UEFI. En fait, je crois que c'est juste sur les tablettes qu'on ne pourra pas le désactiver.

Puis la Linux Foundation s'est un peu bougée, je te laisse lire l'article ici : http://www.phoronix.com/scan.php?page=n ... px=MTI5NzQ
Il y a bien Ubuntu et Fedora qui ont payé Microsoft pour cette histoire de Boot Secure, si ce n'est pas malheureux ça...

Sinon pour la question UEFI VS BIOS, tu peux encore installer un OS sur une carte-mère disposant d'un UEFI comme tu le ferrais avec un BIOS, c'est pareil. Mais l'UEFI propose des avantages comme l'ont dit les autres, il est quand même simple à gérer pour les développeurs vu qu'il est écrit en C contrairement au BIOS écrit en assembleur.
Pour ma part j'ai un UEFI Asus (carte-mère P8P67, sans Secure Boot), j'ai voulu tenter l'aventure EFI avec ArchBoot, ça se fait bien. Je viens même de me lancer dans l'EFISTUB (booter sans bootloader), et ça c'est un plus pour moi par rapport au BIOS, mais ce n'est qu'un détail. Certains UEFI sont plus conviviales que les bons vieux BIOS, mais en général ce n'est pas si important que ça, on ne passe pas sa vie à configurer un UEFI/BIOS.

Un truc que j'aime bien avec l'UEFI, c'est qu'efibootmgr, un paquet disponible dans Arch, permet de modifier certaines choses dans l'UEFI (ordre de boot, ajouter/supprimer des entrées...), bien qu'il faut savoir un minimum ce qu'on fait quand même.

Pour moi il s'agit d'une bonne idée de monter toi-même ta machine, tu ne seras pas embêté par tout ce qui est OEM et qui "t'oblige" à avoir Windows sur ton ordinateur (parce que j'ai entendu dire qu'avec certains OEM, virer Windows et créer une nouvelle table de partitions annule la garantie, à vérifier).
Je pense vraiment que tu n'as pas à te faire de soucis pour ça.