UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

kamui57 · Le 23/09/2011, à 16:56

réponse de Garret à la réponse de MS
http://mjg59.dreamwidth.org/5850.html
extrait ci-dessous, source

We became aware of this issue in early August. Since then, we at Red Hat have been discussing the problem with other Linux vendors, hardware vendors and BIOS vendors. We've been making sure that we understood the ramifications of the policy in order to avoid saying anything that wasn't backed up by facts. These are the facts:

Windows 8 certification requires that hardware ship with UEFI secure boot enabled.
Windows 8 certification does not require that the user be able to disable UEFI secure boot, and we've already been informed by hardware vendors that some hardware will not have this option.
Windows 8 certification does not require that the system ship with any keys other than Microsoft's.
A system that ships with UEFI secure boot enabled and only includes Microsoft's signing keys will only securely boot Microsoft operating systems.

Dernière modification par kamui57 (Le 23/09/2011, à 16:57)

tshirtman · Le 23/09/2011, à 17:19

Oui je viens de lire ça et c'est pas rassurant du tout…

sorrodje · Le 23/09/2011, à 18:32

kamui57 a écrit :

réponse de Garret à la réponse de MS
http://mjg59.dreamwidth.org/5850.html
e

Intéressant .. Ainsi que certains commentaires .. Quid de la légalité de ce genre de dispositifs vis à vis des lois Anti-trust américaines par exemple .

En même temps j'en suis à me demander si ça ne nuirait pas aussi aux copies illégales de windows . .copie illégales qui ne font au final que Contribuer au monopole de Windows .. Du coup : fin des copies illégales ==> plus d'intéret pour des OS gratuits alternatifs ?

Du coup je pense que même microsoft n'a pas vraiment intérêt à ce que le secureboot ne soit pas désactivable.

C'est une idée comme ça hein .

tshirtman · Le 23/09/2011, à 19:08

Hum, il est possible que ça limite les copies illégale en effet, les versions modifiées comme il y en a eu des tas pour XP par exemples, ce serait plus possible (enfin, ça dépends, si c'est juste le bootloader qui est signé…), mais bon, pour les copies exactes, je ne pense pas que ça change quelque chose…

tshirtman · Le 23/09/2011, à 21:05

pour ceux qui se posent des questions -techniques- sur le support du boot signé en UEFI par linux, matthew garrett donne quelques explications.

http://mjg59.dreamwidth.org/6054.html

Ce serait grosso modo une semaine de boulot… donc de ce coté là, pas de problème majeur, mais il reste les problèmes légaux (la gpl ne s'accommode pas bien d'un tel processus), et politiques (réussir a avoir une clé publiquement utilisable pour les distributeurs de linux, ou avoir assez de matos ou c'est désactivable pour que ce ne soit pas un vrai soucis), qui sont autrement plus complexes à gérer.

Tomzz · Le 24/09/2011, à 04:34

Bonsoir,
Tiens, un truc pas mal auquel je n'avais pas pensé:

C'est cool, donc en gros, si on se choppe un virus, non seulement on ne peut plus démarrer l'ordi, mais en plus, du coup on ne peut même plus tenter de le réparer, et encore moi aller sauver nos documents... C'est c'est une avancé !!!

source: un commentaire ici

Le pire c'est que je suis presque sur que si ça se fait ça va être la croix et la bannière pour savoir si une carte mère propose ou non la désactivation de cette option de mer..

steph138 · Le 24/09/2011, à 09:04

Je pense que nous pouvons agir d'une manière simple. Je m'explique :

Il est clair que tous les PC de supermarché, généralement présentés en évidence avec des offres promotionnelles, serons affectés par ce système que je considère comme vraiment puant et je pèse mes mots.

Mais nous avons tous des amis, familles, connaissances qui ont vu nos micros tourner avec linux, mais qui ne veulent pas s'y mettre, réponse type d'une madame MIchu "bah, pourquoi, ca marche bien comme ca".

Mais ce sont ces mêmes Michu qui viennent nous appeler lorsque leur PC plante où lorsqu'il pensent avoir un virus. Pour eux, nous sommes de véritables techniciens de l'informatiques.
Ce sont ces mêmes Michu qui viendrons nous demander : "t'as vu, au supermarche, il vendent ca : W8, avec office pour pas cher "

A nous de trouver les arguments pour guider ces consommateurs, qui sont le plus souvent nos proches, vers un revendeur qui propose du matériel assemblé par lui même. Ainsi, nous faisons travailler un vrai pro de la micro, pas une enseigne qui n'a déjà pas besoin de nos sous, et une licence win$ ne sera pas acquise par nos proches.

Quels arguments ?
"tu ne veut pas ubuntu comme chez moi, tu garde ton PC, économise 400 € et tu ne crains plus les virus"
ou
"Je te le déconseille : regarde le nombre de fois que tu m'a appelé pour ton PC de supermarché, je pense qu'il te faut quelque chose de plus fiable et simple"
ou
" l'offre office est gratuite 3 mois, après il faut payer c'est marqué en petit, t'est sur de ton choix"
etc

Lorsque un proche vient me voir pour son XP, vista, et même des 7 qui sont plombés par les virus et qu'un live cd permet de récupérer facilement, c'est moi, avec mon artisan linux, qui suis en position de force par rapport a Microsoft qui vend sa grande consommation, et plante son utilisateur.
Ne baissons pas les bras : si Microsoft lance un truc de ce genre, c'est bel et bien pour assurer sa position, mais s'il en prend la peine, c'est bel et bien qu'il a senti quelque chose contre lui.

grandtoubab · Le 24/09/2011, à 09:31

démenti

Microsoft a rapidement réagi au début de polémique suscité par le billet de Matthew Garrett. Toujours sur le blog Building Windows 8, Steven Sinofsky et Tony Mangefeste, de l’équipe « écosytème », ont apporté des éclaircissemnts sur la façon dont le prochain système d'exploitation gérerait la fonction de boot sécurisé de l’UEFI.

« Le boot sécurisé est un protocole de l'UEFI et non une fonction de Windows 8 », précisent-ils d’emblée, avant d'ajouter que « Windows 8 utilise Secure Boot pour s’assurer que l’environnement avant le chargement de l’OS est sécurisé ». Autrement dit : pour les besoins de son fonctionnement, pas pour empêcher un autre système de démarrer.

Pour qu'un PC soit certifié « Windows 8 », Mangefeste explique que Secure Boot doit être activé par défaut et que le firmware ne doit pas autoriser un contrôle automatisé de cette fonction. Cela afin d’empêcher un programme malveillant de modifier le paramètre.

Mais l’éditeur affirme surtout que c’est aux fabricants de PC d'adapter comme ils le souhaitaient leur firmware. Microsoft « ne contrôle pas les réglages sur le firmware d’un PC sur d’autres OS que Windows ». Pour prouver sa bonne foi, Mangefeste montre un écran de réglage de la tablette Samsung que la firme a fournie aux développeurs présents à la conférence Build, et qui permet effectivement de désactiver le boot sécurisé.
http://www.01net.com/editorial/541700/p … windows-8/

Dernière modification par grandtoubab (Le 24/09/2011, à 09:33)

Tomzz · Le 24/09/2011, à 09:51

Mais l’éditeur affirme surtout que c’est aux fabricants de PC d'adapter comme ils le souhaitaient leur firmware. Microsoft « ne contrôle pas les réglages sur le firmware d’un PC sur d’autres OS que Windows ».

Comme c'est facile...

On n'oblige pas, mais si l'option n'est pas désactivable on vous fait 1% de ristourne sur chaque licence OEM.
Exemple fiction pour le moment mais sans doute pas impossible.

redo_fr · Le 24/09/2011, à 09:55

Démenti de quoi?
Il ne conteste en rien ce que dit Matthew Garrett

Personne n'a jamais dit que "Windows 8" empêchait le boot alternatif.

Ce qui est dit c'est que

1*/ Windows 8 exige la puce TPM (activée au boot et gérée par l'UEFI) pour démarrer (sans sans, ça il refuse de booter)
2*/ Que la puce TPM refuse de booter un système "non autorisé" (clef de chiffrement)
3*/ Que pour booter autre chose (au hasard Linux), il faut désactiver la puce TPM (réglage de l'UEFI)
4*/ Que la plupart des constructeurs ne proposeront pas la désactivation de la puce (entre autre pour morceler le marché = plus de profits, ça te dis, toi, de payer 50€ de plus pour un PC avec TPM "désactivable", certains constructeurs le font déjà avec les fonctions de virtualisation des processeurs...)

Donc oui, effectivement, Windows 8 n'empêche pas le boot... Sauf que Microsoft pousse les constructeurs à l'empêcher...
C'est encore plus mesquin: Pousser quelqu'un d'autre à faire une mauvaise action à ta place et dire après: "Bah non, je l'ai pas obligé, hein..."

Dernière modification par redo_fr (Le 24/09/2011, à 10:00)

Titouan · Le 24/09/2011, à 09:56

A chaque mouture, Windows nous promet toujours que c'est toujours plus puissant, plus ergonomique, plus machin bidule chouette, bref plus MERDIQUE.
Toujours plus simple selon le marketing, mais toujours plus compliqué dans la pratique.
Mme Michu va être contente... de rien y comprendre..

steph138 · Le 24/09/2011, à 10:47

redo_fr a écrit :

Donc oui, effectivement, Windows 8 n'empêche pas le boot... Sauf que Microsoft pousse les constructeurs à l'empêcher...
C'est encore plus mesquin: Pousser quelqu'un d'autre à faire une mauvaise action à ta place et dire après: "Bah non, je l'ai pas obligé, hein..."

c'est aussi mon opinion

tshirtman · Le 24/09/2011, à 10:49

@grantoubab: en effet tu n'a pas lu la réponse qu'on a cité au dessus, certes microsot a "réagit" mais ils ne contredisent _en rien_ ce qu'a dit matthew garrett, et celui ci a rapidement répondu pour le relever, en expliquant en quoi c'était inquiétant.

Titouan · Le 24/09/2011, à 10:59

steph138 a écrit :

redo_fr a écrit :
Donc oui, effectivement, Windows 8 n'empêche pas le boot... Sauf que Microsoft pousse les constructeurs à l'empêcher...
C'est encore plus mesquin: Pousser quelqu'un d'autre à faire une mauvaise action à ta place et dire après: "Bah non, je l'ai pas obligé, hein..."
c'est aussi mon opinion

+1

Zakhar · Le 24/09/2011, à 18:10

Et donc si la fonction UEFI + TPM + Secure et tout le toutim est activé sur un PC :

Il ne peut plus booter sur un CD/DVD
Il ne peut plus booter sur une clé USB
Il va falloir qu'ils pensent aussi à désactiver PXE Boot (possibilité de load d'un OS via Ethernet)

Et ainsi, si on veut "réparer" parce que l'amorçage est cassé.... ben t'es pas dans la m***... mouise là !..

Si une de ces 3 options reste ouverte, la soit-disant "sécurité" reste contournable.

redo_fr · Le 24/09/2011, à 18:11

Peu importe le support, c'est le binaire qui doit être signé par la clef de chiffrement pour pouvoir être lancé par l'UEFI

D'où un second problème: Impossible de recompiler un nouveau noyau sans les clefs (secrètes)

Dernière modification par redo_fr (Le 24/09/2011, à 18:13)

Tomzz · Le 24/09/2011, à 18:39

Tiens, je pense a un truc.
Microsoft, qui a toujours une longueur d'avance sur tout le monde, va proposer un truc révolutionnaire.
En effet, il sera possible de booter un Windows 8 depuis une clef USB.
Oui, oui, vous avez bien lu, grâce à M$ il sera possible de démarrer un OS complet installé sur une clef USB.

Magnifique non?
C'est frafa qui va être stupéfait

Mais comme cela représente une innovante nouvelle nouveauté révolutionnaire de haute technologie de la mort qui tue ça va être réservé aux entreprises.

Donc, et cas de crash sur un PC qui ne sait booter qu'avec un Windows signé il faudra faire appel à une gentille entreprise possédant la clef USB révolutionnaire pour récupérer ses données

Bon, dans les fait on doit pouvoir coller le hd dans un autre PC mais l'argument commercial de spécialiste windows grand sorcier de la clef magique est là

Dernière modification par Tomzz (Le 24/09/2011, à 18:40)

tshirtman · Le 24/09/2011, à 23:02

oui, peut importe le support, c'est la signature qui compte…

bientot on aura une démo scène sur pc, comme sur les consoles, avec du reverse engineering, des recherches de failles pour pouvoir faire tourner de l'homebrew… on va faire un bon en arrière de 20 ans…

sam7 · Le 25/09/2011, à 11:02

quand on lit ceci http://www.dailynux.fr/2011/09/21/micro … ternatifs/
il y a de quoi être horrifié par ce qui se prépare ... il faut réagir !
que font les associations de défense des consommateurs (comme par exemple http://non.aux.racketiciels.info/ ) ?
n'y a t'il pas des lois empêchant ce type de monopole de la part de MicroSoft !
c'est REVOLTANT qu'ils prennent le soit-disant prétexte de la sécurité pour faire passer leur ******* !

Zoulou.4556 · Le 25/09/2011, à 11:32

steph138 a écrit :

Je pense que nous pouvons agir d'une manière simple. Je m'explique :

Mais nous avons tous des amis, familles, connaissances qui ont vu nos micros tourner avec linux, mais qui ne veulent pas s'y mettre, réponse type d'une madame MIchu "bah, pourquoi, ca marche bien comme ca".
Mais ce sont ces mêmes Michu qui viennent nous appeler lorsque leur PC plante où lorsqu'il pensent avoir un virus. Pour eux, nous sommes de véritables techniciens de l'informatiques.

ça me rappel quelque chose ...., justement avec les arguments de microsoft Mme truc ce fera un plaisir d'acheter win8, personnellement je ne vois pas se qui garanti dans l'avenir une sécuriter total de l'os sachant que tout évolue rapidement ainsi que les malwares ou autres virus, se qui me rappel un article a se sujet de Disque dur vendu avec des malwares pré-installer par le constructeur, en résumé l'acheteur se fera flouser et sera le dindon de la farce!

jilucorg · Le 25/09/2011, à 11:44

redo_fr a écrit :

2*/ Que la puce TPM refuse de booter un système "non autorisé" (clef de chiffrement)
3*/ Que pour booter autre chose (au hasard Linux), il faut désactiver la puce TPM (réglage de l'UEFI)

C'est sans doute plus subtil :

Article de Numerama : http://www.numerama.com/magazine/19927- … osoft.html

Numerama a écrit :

Pour recevoir le label "compatible avec Windows 8", les fabricants devront répondre aux exigences de Microsoft en matière de sécurité. Ils seront donc poussés à intégrer le démarrage sécurisé afin de recevoir l'autocollant qui reste, aux yeux du grand public, un gage d'assurance certain. Pour des raisons commerciales, les constructeurs seront naturellement incités à suivre les recommandations de Microsoft.
"La nouvelle procédure de démarrage demande que les 'clés de signature' soient installées dans le firmware de l'ordinateur. Le démarrage sécurisé empêche les exécutables d'être lancés s'ils ne sont pas signés par l'une des clés" a expliqué Matthew Garrett. Or si Microsoft n'aura aucune difficulté à franchir ces étapes avec sa signature, ce n'est pas le cas des autres O.S.
Microsoft aura les clés. Mais les autres ?
Microsoft, qui demeure l'O.S. le plus utilisé dans le monde, sera forcément pris en compte par défaut. Mais les autres ? Plusieurs cas de figure peuvent se poser. Pour les distributions Linux de premier plan, on peut imaginer que les clés de déchiffrement seront obtenues, du fait de la visibilité de certains éditeurs. Ensuite, encore faut-il que celles-ci soient prises en compte par les constructeurs, puisque ce sont eux qui, au final, intégreront ces clés dans le matériel.
À supposer que les fabricants ne soient pas adeptes du minimum syndical, on peut penser que des distributions importantes auront tissé des accords de manière à intégrer leurs clés. Dans le cas des distributions Linux de moindre importance, la situation se corse. Il n'est déjà pas certain qu'elles puissent obtenir les clés, pour des raisons techniques, légales ou financières, et même si c'est le cas il n'est pas sûr que les fabricants souhaitent se fouler pour des distributions mineures.
Rappelons au passage que l'UEFI est né au sein d'un consortium réunissant des entreprises telles que AMD, Apple, Delle, Hewlett Packard, IBM, Intel, Lenovo ou encore Microsoft. C'est au sein de ce groupe d'industriels que le principe du démarrage sécurisé a vu le jour. Et Microsoft, dans un billet de blog, est sorti de son silence pour rappeler que c'est aux fabricants de prendre leurs responsabilités.
La balle est dans le camp des constructeurs
Dans un message publié jeudi, Microsoft explique qu'une option destinée à désactiver le démarrage sécurisé au sein de l'UEFI est toujours possible. Il suffit de se rendre dans le paramétrage et de changer le paramètre. Or, encore faut-il que celui-ci existe. Rien n'indique en effet que cette option soit en effet prévue dans chaque matériel certifié Windows 8.
Microsoft n'exige pas que le démarrage sécurisé soit systématiquement présent. Autrement dit, c'est aux constructeurs de prendre les mesures nécessaires afin de laisser le choix aux utilisateurs. "Nous travaillons avec notre écosystème OEM pour fournir cette flexibilité aux consommateurs" explique l'entreprise. Et d'ajouter que Microsoft ne contrôle par les réglages sur le firmware d'un PC sur d'autres O.S. que Windows.

tshirtman · Le 25/09/2011, à 14:40

Rien n'indique en effet que cette option soit en effet prévue dans chaque matériel certifié Windows 8.

Pire matthew garrett indique que des constructeurs ont déjà confirmés que pour eux, ce ne serait pas le cas…

sam7 · Le 25/09/2011, à 15:49

super !
comment fera-t'on dans les années à venir lorsque tous les constructueurs de matériels se seront rangés du coté de Bill Gates !?
serat-il encore possible d'assembler (soi-même ... ou pas) un ordinateur pour y installer une (ou plusieurs) distribution GNU/Linux !?
(malgré ce qui est écrit ici : http://www.numerama.com/magazine/19927- … osoft.html )

Dernière modification par sam7 (Le 25/09/2011, à 15:50)

tshirtman · Le 25/09/2011, à 18:23

Le besoin en matos libre va se faire de plus en plus pressant… mais il me semble qu'on est bien loin derrière en terme de perfs…

Tomzz · Le 25/09/2011, à 18:31

Bonjour,
Question candide...
Ce pourrait'il que ce UEFI apporte une certaine standardisation et de fait rende plus facile le développement UEFI alternatifs libres.
Du moins plus facile et fonctionnel que les BIOS libres.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 23/09/2011, à 16:56

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#27 Le 23/09/2011, à 17:19

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#28 Le 23/09/2011, à 18:32

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#29 Le 23/09/2011, à 19:08

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#30 Le 23/09/2011, à 21:05

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#31 Le 24/09/2011, à 04:34

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#32 Le 24/09/2011, à 09:04

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#33 Le 24/09/2011, à 09:31

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#34 Le 24/09/2011, à 09:51

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#35 Le 24/09/2011, à 09:55

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#36 Le 24/09/2011, à 09:56

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#37 Le 24/09/2011, à 10:47

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#38 Le 24/09/2011, à 10:49

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#39 Le 24/09/2011, à 10:59

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#40 Le 24/09/2011, à 18:10

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#41 Le 24/09/2011, à 18:11

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#42 Le 24/09/2011, à 18:39

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#43 Le 24/09/2011, à 23:02

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#44 Le 25/09/2011, à 11:02

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#45 Le 25/09/2011, à 11:32

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#46 Le 25/09/2011, à 11:44

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#47 Le 25/09/2011, à 14:40

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#48 Le 25/09/2011, à 15:49

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#49 Le 25/09/2011, à 18:23

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#50 Le 25/09/2011, à 18:31

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

Pied de page des forums