UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

tshirtman · Le 27/10/2011, à 21:10

Ben t'as pas lu le lien que j'ai donné en page précédente, ou les explications que j'ai donné en haut de page! C'est une bien meilleur solution que "pouvoir désactiver le secure boot".

c'est un peu fatiguant quand on parle dans le vent.

edit: super, haut de page! remplacer "page précédente" par "il y a deux pages" et "en haut de page" par "en haut de page précédente" >_>

Dernière modification par tshirtman (Le 27/10/2011, à 21:11)

Haleth · Le 27/10/2011, à 21:13

Hawi, tu parle du lien en anglais ? J'ai eu la flemme de le lire.
J'y vais, puisqu'il est interressant.

Edit :
Je me quote :

haleth a écrit :

Hawi, y'a aussi : "pouvoir ajouter des clés manuellements, facilement".

Je te quote :

tshirtman a écrit :

c'est un peu fatiguant quand on parle dans le vent.

Dernière modification par Haleth (Le 27/10/2011, à 21:20)

patrick L · Le 27/10/2011, à 21:41

Le but est quand même pas de démolir microsoft... je suis aussi sur Windows et d'ailleurs là je poste via un pc sous Windows 7 prémium sp1

je pense uniquement que si l'on bloque l'accès à d'autres systèmes, on aura l'essentiel des gens qui s'en moqueront car resteront sous Windows et qu'il restera toujours des cartes mères qui permettront de faire tourner Linux. Maintenant je considère que windows n'apporte pas grand chose de différent entre les versions. la vitesse est à peu près la même parce que lorsque on mets une carte plus rapide, windows mets des fonctions inutiles qui font que celles qui marche ne soient pas plus performantes. je pense aux barres de défilement avec des animations dedans. ça sert à rien ainsi que les fenêtres progressives.

et sauf erreur de ma part on ne peut pas invalider cette fonction sous Windows.

et je vois vraiment pas l'industrie des cartes mères se mettre à vouloir brider pour casser la concurrence à Windows. ou alors c'est du suicide commercial de toute l'industrie. les gens qui s’aperçoivent être bridés, et à la première panne on pense à quoi ? et bien à changer de systeme. et là c'est bridé !!!!

et y a des lois pour interdire la vente liée, et les sanctions peuvent etre tres dures. des ordis sans disque dur ni systeme d'exploitation ca se vends. tout ca en cas de crise c'est la porte ouverte pour ubuntu. et alors les acheteurs de ces matériels seraient obligés d'installer quand meme windows à cause du boot sécurisé. ca durerait pas bien longtemps cette affaire.

tshirtman · Le 27/10/2011, à 22:30

Non, le but n'est pas de détruire microsoft (se sera juste une conséquence involontaire )

Le but là, c'est de pouvoir continuer à proposer une alternative crédible, de bonne qualité, installable facilement par le quidam moyen.

NooP · Le 27/10/2011, à 23:32

tshirtman a écrit :

Pourquoi vous vous focalisez sur le problème, et non pas les solutions?

Parce que s'il n'y a pas de problème, il n'est pas besoin de chercher une solution, non ?

tshirtman · Le 28/10/2011, à 00:37

Sauf que le secure boot n'est pas sensé etre un problème, mais une solution à de nombreux problèmes de sécurité.

inkey · Le 28/10/2011, à 12:45

tshirtman a écrit :

Sauf que le secure boot n'est pas sensé etre un problème, mais une solution à de nombreux problèmes de sécurité.

Ouai enfin , entre choisir entre liberté et sécurité , mon choix est vite fait .
Que gnu/linux soit compatible ou pas , rien que pour pouvoir faire fonctionner ce que je veux tranquillement , j'accepterai difficilement une machine ne permettant pas le désactiver ce «Verrou» …

tshirtman · Le 28/10/2011, à 13:18

Et si les deux sont conciliables, c'est encore mieux!

NooP · Le 28/10/2011, à 13:26

tshirtman a écrit :

Sauf que le secure boot n'est pas sensé etre un problème, mais une solution à de nombreux problèmes de sécurité.

Mais quels problèmes de sécurité ?

Je n'en vois qu'un, et il s'appelle Windows. Parce qu'étrangement, c'est depuis Windows que s'installent les virus de boot !
Donc, plutôt que de sécuriser Windows pour de vrai, on va verrouiller le PC de tout le monde.

Une fois de plus, on fait miroiter la sécurité pour rogner encore les libertés. Croire que c'est un problème de sécurité du PC est une erreur. Il serait bon de se rappeler que ce coups bas de Microsoft à déjà été tenté il y a quelques années. Le projet s'appelait 'Palladium'. Cela ne te rappelle rien ?

Bizarrement, je ne vois aucun avantage à ce verrou qu'on veut nous imposer, bien au contraire, j'y vois beaucoup d'inconvénients. Plus question de dépanner un PC avec un CD Linux, puisque le PC ne bootera plus sur un OS non signé. Plus question de recycler un vieux PC en firewall/routeur sous Linux, puisqu'on ne pourra pas y installer Linux. Plus question de changer de carte vidéo ou autre, puisque ce projet va bien plus loin que la simple signature du boot, en voulant aussi gérer la signature des matériels qu'on peut mettre dans un PC. Quelle aubaine pour un fabricant d'être assuré que le client ne pourra pas mettre une autre carte vidéo dans le PC qu'il à acheté. Et on verra, comme on le rencontre avec le matériel de marque/professionnel, des cartes vidéo estampillées HP à 500€ alors que la même sera à 45€ dans le commerce, mais qui malheureusement ne marchera pas dans cette machine.

Je vais te donner un exemple réel : J'avais un Dell Précision Workstation 470. Le ventilateur de processeur, qui est cablé ET avec un connecteur 'alakhon' spécifique Dell, est vendu 190€ quand le même, du même fabricant, mais avec une connectique standard, coute lui 12€ ! Voila ce qui nous pend au nez !

La sécurité mise en avant n'est qu'un prétexte pour nous enfermer dans les OS Microsoft, pour nous empêcher de faire ce que l'on souhaite de son matériel, nous empêcher de simplement se dépanner avec un OS libre, nous rendre dépendant d'un constructeur.

Ne pas le voir, ni le comprendre, est extrêmement grave. Tenter de minimiser l'impact de ce verrou matériel l'est encore plus !

Dernière modification par NooP (Le 28/10/2011, à 13:39)

SpiKe · Le 28/10/2011, à 15:11

NooP a écrit :

tshirtman a écrit :
Sauf que le secure boot n'est pas sensé etre un problème, mais une solution à de nombreux problèmes de sécurité.
Mais quels problèmes de sécurité ?
Je n'en vois qu'un, et il s'appelle Windows. Parce qu'étrangement, c'est depuis Windows que s'installent les virus de boot !
Donc, plutôt que de sécuriser Windows pour de vrai, on va verrouiller le PC de tout le monde.
Une fois de plus, on fait miroiter la sécurité pour rogner encore les libertés. Croire que c'est un problème de sécurité du PC est une erreur. Il serait bon de se rappeler que ce coups bas de Microsoft à déjà été tenté il y a quelques années. Le projet s'appelait 'Palladium'. Cela ne te rappelle rien ?
Bizarrement, je ne vois aucun avantage à ce verrou qu'on veut nous imposer, bien au contraire, j'y vois beaucoup d'inconvénients. Plus question de dépanner un PC avec un CD Linux, puisque le PC ne bootera plus sur un OS non signé. Plus question de recycler un vieux PC en firewall/routeur sous Linux, puisqu'on ne pourra pas y installer Linux. Plus question de changer de carte vidéo ou autre, puisque ce projet va bien plus loin que la simple signature du boot, en voulant aussi gérer la signature des matériels qu'on peut mettre dans un PC. Quelle aubaine pour un fabricant d'être assuré que le client ne pourra pas mettre une autre carte vidéo dans le PC qu'il à acheté. Et on verra, comme on le rencontre avec le matériel de marque/professionnel, des cartes vidéo estampillées HP à 500€ alors que la même sera à 45€ dans le commerce, mais qui malheureusement ne marchera pas dans cette machine.
Je vais te donner un exemple réel : J'avais un Dell Précision Workstation 470. Le ventilateur de processeur, qui est cablé ET avec un connecteur 'alakhon' spécifique Dell, est vendu 190€ quand le même, du même fabricant, mais avec une connectique standard, coute lui 12€ ! Voila ce qui nous pend au nez !
La sécurité mise en avant n'est qu'un prétexte pour nous enfermer dans les OS Microsoft, pour nous empêcher de faire ce que l'on souhaite de son matériel, nous empêcher de simplement se dépanner avec un OS libre, nous rendre dépendant d'un constructeur.
Ne pas le voir, ni le comprendre, est extrêmement grave. Tenter de minimiser l'impact de ce verrou matériel l'est encore plus !

+1

Les PC de demain risquent tout simplement de se retrouver aussi fermés et verrouillés que les téléphones et la majorité des tablettes d'aujourd'hui. C'est à en gerber.

tshirtman · Le 28/10/2011, à 15:38

Non, windows est la principale cible de ce genre d'attaques (qui sont assez récentes), mais linux pourrait tout à fait en être la cible, ça ne fait pas de mal de boucher une faille potentielle!

Il y a des solutions, donc autant ne pas s'en priver. De plus s'il faut dire aux gens qu'il faut désactiver la sécurité sur leur ordinateur pour installer linux, on va pas gagner leur confiance facilement!

Haleth · Le 28/10/2011, à 15:42

Ecrire sur la plage du bootloader | écrire dans les fichiers de conf du bootloader = etre root
Dans ces conditions, je ne voit pas l'utilité de la chose, puisque tout est deja permis..

tshirtman · Le 28/10/2011, à 16:25

Ben imagine qu'après avoir signé le bootloader, on signe le noyeau, et tous les binairs installés, et que ta clé privé demande un mot de passe (donc un virus ne peux pas se signer sans demander ton mot de passe, même s'il est root), on pourrait établir une chaine de sécurité résistante à tout virus, puisqu'en cas de reboot, on serait certain que tout ce qui est lancé à été signé avec ta clé privé, par toi même. C'est vers là que se dirige windows, et ils ont raison, si on fait la même chose avec Linux, notre OS sera juste impossible à comprometre. Ce serait dommage que Windows y arrive avant nous, non?

Dernière modification par tshirtman (Le 28/10/2011, à 16:27)

Haleth · Le 28/10/2011, à 16:45

><
Actuellement, pour mettre un truc sur le bootloader, il faut avoir tout les droits sur l'OS
Après, on ne pourra plus.
Mais quel est l'interet d'un virus ? J'sais pas moi, prendre tes infos ou faire un bot qui spam.
Dans les deux cas, le bootloader, on s'en tape : c'est l'OS qui est focus.
C'est pas avec un "super bootloader resist & secure" que le virus ne pourra pas se mettre dans l'OS.. et justement, pour pouvoir, si jamais c'était necessaire, aller dans le bootloader, il faut passer par l'OS...

En gros, ce n'est nullement une solution au seul vrai probleme : un OS secure.
Limite propagande comme demarche, m'enfin.

NooP · Le 28/10/2011, à 17:48

tshirtman a écrit :

Non, windows est la principale cible de ce genre d'attaques (qui sont assez récentes), mais linux pourrait tout à fait en être la cible, ça ne fait pas de mal de boucher une faille potentielle!

Mais qu'attendent donc les développeurs de Virus pour s'attaquer à Linux ? Ce n'est pas un problème de parts de marché, puisque Linux est beaucoup plus utilisé que Windows. Parce qu'il ne faut pas oublier que pour chaque PC windows qui surfe sur internet, il y a *AU MOINS* une machine linux ! Eh oui, la InternetBox que tu as chez toi fonctionne sous Linux. La plupart des routeurs aussi, et les serveurs que tu consultes aussi. Où alors, le problème ne viendrait pas de la, mais simplement qu'il est beaucoup plus dur de faire un virus pour une machins *nix que pour une machine Windows ! Quand au attaques 'assez récentes', laisse moi te rafraichir la mémoire : Dans les débuts de l'informatique personnelle (Années 80/90), infecter le bootloader des disques/disquettes était le truc le plus répandu ! Eh oui, Atari, Amiga et PC se faisaient véroler de cette façon. De là à dire que c'est une nouveauté ...

tshirtman a écrit :

Il y a des solutions, donc autant ne pas s'en priver. De plus s'il faut dire aux gens qu'il faut désactiver la sécurité sur leur ordinateur pour installer linux, on va pas gagner leur confiance facilement!

De plus, s'il faut dire au gens que parce que la sécurité sur leur ordinateur n'est pas désactivable, il ne pourront pas installer Linux, on va pas gagner des utilisateurs facilement !

Je ne vois pas du tout quelle sécurité cela peut apporter, sinon que t'empêcher de faire ce que tu veux de TON matériel. Et faire croire que ce serait la sécurité 'ultime', laisse moi rire !

La sécurité ultime n'existe pas, et surement pas quand on se trimbale un OS dont certaines failles 'Highly critical' sont non patchées depuis plus d'un an (http://secunia.com/advisories/product/27467/?task=advisories --> Voir SA41984 et SA41986) et dont les autres sont patchées une fois par mois.

Il ne faut pas être dupe ! Microsoft et les constructeurs de PC n'en ont rien à faire de TA sécurité ! La seule chose qui les intéresse est TON pognon ! Et pour eux, trouver un moyen de t'empêcher de te fournir chez la concurrence est le must le plus ultime. Alors, ils prétextent TA sécurité pour faire passer la pilule !

Mais demain il sera trop tard.

«Celui qui échange la liberté contre la sécurité ne mérite ni l’une ni l’autre et perdra les deux»
Thomas Jefferson

Dernière modification par NooP (Le 28/10/2011, à 17:56)

patrick L · Le 28/10/2011, à 17:50

au fait dans uefi comment marchent ces clefs.... c'est un peu comme ssh ? mais alors qui détient la clef privée ?

sur linux et l'absence d'attaques, je pense qu'en fait windows sert d'aspirateur à virus et que les attaquants preferent taper sur "quelque chose de gros" et connu plutot que sur linux.

faut dire aussi que Linux est installé sur des routeurs de fai, des entreprises et que de s'attaquer à ces équipements cause nettement plus de risques juridiques que d'attaquer des cibles Windows.

et aussi peut être que la gestion, des accès complique bien la tâche des virus.

sinon je viens de lire un article sur ce uefi, qui me parait pas mal du tout. ca a l'air de présenter comme un logo "windows certified" alors les gens pourront acheter le matériel et ainsi accepter que seul Windows soit dessus et en connaissance de cause.

et les blocages ils existent... windows mets des secteurs fixes à la fin des disques dur de facon à ce que l'on ne puisse que "dégager" une partition très réduite en fin de disque et donc bloquer la mise en double boot. le probleme existe donc actuellement et linux continue toujours à tourner.

Dernière modification par patrick L (Le 28/10/2011, à 18:11)

NooP · Le 28/10/2011, à 18:08

Non, le fonctionnement (Pour simplifier) est plus proche de GPG. Le bios contient une clé qui permets de vérifier le logiciel qui aura été signé avec la bonne clé.

Le constructeur par exemple, inclura dans l'UEFI une clé pour les produits Microsoft. Microsoft signe son application avec sa clé privée, et l'UEFI vérifie que la signature est valide. Dans le cas contraire, il refuse d'exécuter le logiciel.

Tu vois donc qu'il y aura deux intervenants : Le constructeur qui devra inclure les clés des développeurs.

C'est justement là que le bat blesse : Si demain tu développes un super OS mille fois mieux que Linux et que Windows, les gens ne pourront de toutes façons pas l'utiliser car ta clé sera inconnue de tous les PC sortis avant que tu lances sur le marché ton OS. Tes possibilités de percer sur ce marché seront limitées pas les constructeurs de PC, qui comme on peut le voir tous les jours, sont tenus par la gorge par Microsoft (Il suffit de voir le parcours du combattant pour se faire rembourser, comme la loi t'y autorise, l'os qui t'a été fourgué en racketiciel avec ton pc de grande surface).

En clair, il ne faudra même pas espérer vendre ton produit.

tshirtman · Le 28/10/2011, à 18:10

Haleth a écrit :

><
Actuellement, pour mettre un truc sur le bootloader, il faut avoir tout les droits sur l'OS
Après, on ne pourra plus.
Mais quel est l'interet d'un virus ? J'sais pas moi, prendre tes infos ou faire un bot qui spam.
Dans les deux cas, le bootloader, on s'en tape : c'est l'OS qui est focus.
C'est pas avec un "super bootloader resist & secure" que le virus ne pourra pas se mettre dans l'OS.. et justement, pour pouvoir, si jamais c'était necessaire, aller dans le bootloader, il faut passer par l'OS...
En gros, ce n'est nullement une solution au seul vrai probleme : un OS secure.
Limite propagande comme demarche, m'enfin.

t'as pas compris, relis mon poste, si tous les binaires sont signés, il est impossible de lancer un virus, à moins que tu le signes toi même (mais dans ce cas, je ne peux plus rien pour toi).

patrick L · Le 28/10/2011, à 18:38

NooP a écrit :

Non, le fonctionnement (Pour simplifier) est plus proche de GPG. Le bios contient une clé qui permets de vérifier le logiciel qui aura été signé avec la bonne clé.
Le constructeur par exemple, inclura dans l'UEFI une clé pour les produits Microsoft. Microsoft signe son application avec sa clé privée, et l'UEFI vérifie que la signature est valide. Dans le cas contraire, il refuse d'exécuter le logiciel.

si j'ai bien compris mon bootloader je le signe et chiffre via ma clef privée... je demande à uefi de mettre la clef publique dans sa liste pour vérifier la signature. et tu crains que uefi refuse de mettre d'autres clefs que celle de microsoft.

et que si un systeme sort, les pc auront pas la clef publique du nouveau systeme signé. Alors on pourra toujours trouver de charger la clef et de la mettre dans uefi.

sam7 · Le 28/10/2011, à 18:47

je viens de trouver par hazard ceci :
http://lwn.net/Articles/454651/
ça me semble être une bonne nouvelle
concernant le problème qui nous concerne

qu'en pensez-vous ?

Slystone · Le 28/10/2011, à 18:59

@ patrick L : est-ce que tu vérifies ce que tu avances ?

patrick L a écrit :

faut dire aussi que Linux est installé sur des routeurs de fai, des entreprises et que de s'attaquer à ces équipements cause nettement plus de risques juridiques que d'attaquer des cibles Windows.

Ça par exemple je me demande d'où tu le sors.

patrick L a écrit :

et y a des lois pour interdire la vente liée, et les sanctions peuvent etre tres dures.

Ça aussi ça me fait tiquer. Tu sais que dans le cadre d'une procédure racketiciel on n'évoque même pas la vente liée ? Les plaintes ne se font que sur la base du CLUF qui permet normalement le remboursement de l'OS, et non les sanctions ne sont pas lourdes, ce sont toujours des sommes dérisoires pour des particuliers qui ont le courage et l'énergie d'aller jusqu'au bout.

patrick L a écrit :

le probleme existe donc actuellement et linux continue toujours à tourner.

Oh oui, mettons encore un peu plus de batons dans les roues du libre pour voir quand il va se casser la gueule ! Ben voyons !
Non ! Si ils font un bridage volontaire, c'est inacceptable, point barre !

Dernière modification par Slystone (Le 28/10/2011, à 18:59)

tshirtman · Le 28/10/2011, à 20:05

NooP a écrit :

tshirtman a écrit :
Non, windows est la principale cible de ce genre d'attaques (qui sont assez récentes), mais linux pourrait tout à fait en être la cible, ça ne fait pas de mal de boucher une faille potentielle!
Mais qu'attendent donc les développeurs de Virus pour s'attaquer à Linux ? Ce n'est pas un problème de parts de marché, puisque Linux est beaucoup plus utilisé que Windows. Parce qu'il ne faut pas oublier que pour chaque PC windows qui surfe sur internet, il y a *AU MOINS* une machine linux ! Eh oui, la InternetBox que tu as chez toi fonctionne sous Linux. La plupart des routeurs aussi, et les serveurs que tu consultes aussi. Où alors, le problème ne viendrait pas de la, mais simplement qu'il est beaucoup plus dur de faire un virus pour une machins *nix que pour une machine Windows ! Quand au attaques 'assez récentes', laisse moi te rafraichir la mémoire : Dans les débuts de l'informatique personnelle (Années 80/90), infecter le bootloader des disques/disquettes était le truc le plus répandu ! Eh oui, Atari, Amiga et PC se faisaient véroler de cette façon. De là à dire que c'est une nouveauté ...

Tu ne m'apprends pas grand chose, juste la partie sur atari et amiga, je n'ai pas eu ces machines. Pour les unix/linux oui, ils sont mieux foutu que windows en général, mais sur les serveurs, il faut voir que ce n'est pas du tout la meme chose qu'attaquer un desktop, les serveurs effectuent des taches précises, et sont configurés par des gens compétents, qui essayent d'y toucher le moins souvent possible, les desktop sont majoritairement utilisés par des non informaticiens, à qui les messages d'erreurs font peur, qui cliquent sur "ok" sur la plupart des messages qu'ils lisent, pour s'en débarrasser au plus vite, et utilise leurs machines pour toutes sortes d'anneries, y compris aller sur des sites qui passent leur temps à essayer de leur fourguer des saloperies (sites de pr0n ou de warez), j'espère que tu saisie la différence fondamentale d'usage! Et les desktop linux se font parfois attaquer, vu qu'on commence à avoir des users pas très compétents, et pas du tout informaticiens, qui viennent juste par ce que ça marche mieux, et qu'on est pas attaqué par les fabriquants de virus. (si tu veux des références d'incidents de sécurité sur le desktop linux, je peux t'en trouver plusieurs sur ces quelques dernières années, souvent issue de l'incompétence ou la confiance aveugles d'utilisateurs de linux).

Je ne vois pas du tout quelle sécurité cela peut apporter, sinon que t'empêcher de faire ce que tu veux de TON matériel. Et faire croire que ce serait la sécurité 'ultime', laisse moi rire !

Si tu ne vois pas quelle sécurité ça apporte, d'avoir des logiciels signés numériquements par des tiers de confiance, alors dit tout de suite aux développpeurs debian/ubuntu d'arréter de signer les dépots! ça sert tellement à rien!

La sécurité ultime n'existe pas, et surement pas quand on se trimbale un OS dont certaines failles 'Highly critical' sont non patchées depuis plus d'un an (http://secunia.com/advisories/product/27467/?task=advisories --> Voir SA41984 et SA41986) et dont les autres sont patchées une fois par mois.

La chaine n'est pas plus solide que son maillon le plus faible, c'est pas une raison pour ne pas bosser sur tous, sous linux, les failles sont corrigées bien plus vite que ça, donc le secure boot permet d'améliorer un aspect plus critique pour nous de la sécurité, les rootkits et autres joyeusetés (avec une chaine de confiance comme je l'ai décrite plus haut).

Il ne faut pas être dupe ! Microsoft et les constructeurs de PC n'en ont rien à faire de TA sécurité ! La seule chose qui les intéresse est TON pognon ! Et pour eux, trouver un moyen de t'empêcher de te fournir chez la concurrence est le must le plus ultime. Alors, ils prétextent TA sécurité pour faire passer la pilule !

Les soucis de sécurité sont un problème pour eux, réellement, et peuvent leur faire perdre du marché, ils en sont conscient, et le marché, c'est du pognon.

Mais demain il sera trop tard.
«Celui qui échange la liberté contre la sécurité ne mérite ni l’une ni l’autre et perdra les deux»
Thomas Jefferson

je suis d'accord, mais j'en ai marre qu'on la sorte a tout bouts de champs, celle là là on peut avoir liberté ET sécurité.

sam7 a écrit :

je viens de trouver par hazard ceci :
http://lwn.net/Articles/454651/
ça me semble être une bonne nouvelle
concernant le problème qui nous concerne
qu'en pensez-vous ?

c'est la part du boulot technique que la communauté libre à a faire, et c'est en train d'etre fait, je m'inquiète pas, c'est la partie "trouver un accord avec les membres du commité UEFI" qui est plus compliqué, pour des raisons que j'ai expliqué avant, en français, et que matthew garrett a mieux expliqué, en anglais. Il n'y a pas de masses de solutions si on veux que nos OS libres puissent avoir les avantages du libre (que tout le monde puisse recompiler et installer son bootloader, et faire sa distribution), et j'en connais qu'une seule, que red hat va pousser. L'installation au boot à partir d'un média de boot (clé usb ou CD), qui serait la seule façon d'ajouter des clées publiques de certifications au magasin de certificat de l'UEFI. Ça ne résoud pas le soucis des boots réseaux, mais peut etre qu'ils trouveront une solution aussi pour ça.

tshirtman · Le 29/10/2011, à 00:38

http://ozlabs.org/docs/uefi-secure-boot … -linux.pdf

un peu plus officiel que les explications de Matthew Garrett sur son blog, mais grosso modo la meme chose, désolé pour les anglophobes, je vais juste traduire ce bout:

For support purposes, the mechanism provided for key management must be consistent across
platforms, and provide a simple method of booting custom software, including from removable
media. A suggested implementation may be to scan removable media for signing keys and prompt
the user for their installation, or using the specification-defined setup mode to allow key
reconfiguration

Pour des raisons de support, le mécanisme proposé pour la gestion des clés doit etre consistent d'une plateforme à l'autre, et offrir une méthode simple pour démarrer des firmwares spécifiques, en particulier depuis des médias amovibles. Une implémentation possible peut etre de scanner les médias amovibles à la recherche de clés de signatures et proposer à l'utilisateur leur installation, ou utiliser la configuration définit par la spécification pour permettre la reconfiguration de clés.

---

Pour moi c'est une solution suffisante, acceptable, relativement simple, et qui ne diminue en rien l'intéret du secure boot.

NooP · Le 29/10/2011, à 01:21

tshirtman a écrit :

Si tu veux des références d'incidents de sécurité sur le desktop linux, je peux t'en trouver plusieurs sur ces quelques dernières années, souvent issue de l'incompétence ou la confiance aveugles d'utilisateurs de linux.

Je t'en prie, ne te prives pas de me fournir des références sur des VIRUS qui infecteraient LINUX. Et tant que tu y es, ne te prives pas non plus de me faire passer des références sur des VIRUS qui infecteraient le BOOTLOADER d'une machine sous LINUX.

Attention ! Les points importants sont ceux que j'ai mis en MAJUSCULES.

tshirtman a écrit :

Si tu ne vois pas quelle sécurité ça apporte, d'avoir des logiciels signés numériquements par des tiers de confiance, alors dit tout de suite aux développpeurs debian/ubuntu d'arréter de signer les dépots! ça sert tellement à rien!

Ne déforme pas tout ! Je ne parle pas d'applications signées afin d'être certain que ce que tu installes provient bien de celui qui prétends l'avoir développé/compilé/intégré. Je te parle d'applications signées qui ne fonctionneront pas sur ta machine si celle ci n'en connait pas le signataire. Saisis tu la différence entre un avertissement 'Attention, ce logiciel ne semble pas provenir d'une source sure' et 'Ce logiciel ne peut pas être exécuté sur votre ordinateur' ?

tshirtman a écrit :

La chaine n'est pas plus solide que son maillon le plus faible, c'est pas une raison pour ne pas bosser sur tous, sous linux, les failles sont corrigées bien plus vite que ça, donc le secure boot permet d'améliorer un aspect plus critique pour nous de la sécurité, les rootkits et autres joyeusetés (avec une chaine de confiance comme je l'ai décrite plus haut).

Un proverbe (Chinois ?) dit : La seule personne qui puisse vous trahir est celle en qui vous avez confiance.
Quand en plus on ajoute "chaine de" à "confiance" dans la même phrase, je sais pas pourquoi, mais je vois instinctivement un plus grand nombre d'intermédiaires en position de "trahir" ...

tshirtman a écrit :

Les soucis de sécurité sont un problème pour eux, réellement, et peuvent leur faire perdre du marché, ils en sont conscient, et le marché, c'est du pognon.

Qui ça eux ? Pourquoi mon PC devrait être 'homologué' par Microsoft alors que le matériel qui est dedans n'a rien à voir avec Microsoft ?
Connais tu des gens qui râlent après HP/ACER/SONY/DELL/... parce qu'ils ont attrapé un Virus sous Windows ?

Eh non ! Le seul qui risque sa réputation c'est seulement Microsoft ! Lui qui fournis cet aspirateur à véroles qu'on nomme Windows !
Et dans ce cas il lui reste deux solutions :

1) Il fait en sorte que son OS ne soit plus un bouillon de culture à virus.
2) Il s'arrange pour qu'un PC ne puisse pas fonctionner sans SON ET SEULEMENT SON système.

Et devine ! Microsoft à choisi la deuxième solution ! Et du coups, cela le dispense de régler le point 1, puisque de toutes façons, les gens n'auront d'autre choix qu'acheter son système.

tshirtman a écrit :

NooP a écrit :
«Celui qui échange la liberté contre la sécurité ne mérite ni l’une ni l’autre et perdra les deux»
Thomas Jefferson
je suis d'accord, mais j'en ai marre qu'on la sorte a tout bouts de champs, celle là là on peut avoir liberté ET sécurité.

Malheureusement, non ! Tu ne peux avoir la sécurité ET la liberté. Tu pourras tourner cela dans tous les sens, tu ne pourras jamais trouver les deux. Tu ne peux avoir la liberté de grimper dans les arbres en étant parfaitement libre de tes mouvement tout en ayant la sécurité de ne pas en tomber. Tu ne peux avoir la liberté de faire du base-jump tout en ayant la sécurité de ne pas de crasher. Tu ne peux avoir la liberté d'avoir des relations sexuelles sans le risque de contracter une maladie vénérienne. Tu ne peux avoir la liberté d'utiliser ton PC comme bon te semble tout en ayant la sécurité de ne créer aucune faille.

Et la où c'est encore pire, c'est justement quand tu fréquentes un peu dans le domaine de la sécurité ! On t'apprend que le plus dangereux est JUSTEMENT de se croire en sécurité !

Il ne suffit pas de poser un firewall pour être en sécurité ! Et le faire sans le configurer correctement, sans analyser ce qui s'y passe, et sans le maintenir te mets encore plus en dangers, simplement parce que tu CROIS que tu ne crains rien !

Alors, imposer le sécure boot dans UEFI en disant 'Vous serez en sécurité' est une vaste fumisterie. Ta maison ne sera pas plus saine, malgré que tu ais sécurisé les fondations, tant que ton toit est une passoire.

Quant au reste, ce ne sont que des souhaits. Crois tu que les constructeurs renonceront aux subventions de Microsoft/Symantec/Roxio/etc... juste pour intégrer la possibilité de justement se passer d'eux ? Grossière erreur que de croire ça !
Linux est, aujourd'hui et suivant les sites que l'on consulte, entre 1% et 5% sur le poste de travail. Crois tu qu'ils en aient quelque chose à faire de 1% ? Crois tu qu'ils perdraient les $$$$$ que leur verse Microsoft ainsi que les vendeurs de Crapwares que l'on trouve dans les PC pour ces 1% ?

Allez, un dernier petit exemple. Bon je sais, comparer l'automobile à l'informatique est toujours une mauvaise idée (Jacky Point Inside ?). Mais je ne peux de toutes façons avoir la liberté de m'exprimer sans avoir le risque de me vautrer lamentablement !!!

Citroen, Peugeot, Renault et Total on remarqué que de plus en plus de gens conduisant des véhicules de leurs marques, et alimentés en carburant Total, avaient des accidents.
Afin de remédier à cela, il vont mettre au point un système qui fera que l'auto ne démarrera pas si on fait le plein avec du carburant qui ne proviens pas de ... Total !!!

Tu remarqueras que j'ai trois constructeurs de matériel, et un (seul) fournisseur de produit permettant d'exploiter ce matériel.

Désolé, mais je ne vois pas du tout où l'on gagne en sécurité !
Par contre, je vois parfaitement bien ce que tous ceux qui roulaient avec du carburant Esso ont à y perdre !!!
Je vois tout autant ce que ceux qui souhaiteraient plus tard changer de crèmerie ont à y perdre !!!

Voila !

Ah pour finir :

Ce qui me dérange le plus dans toute cette discussion : Comment peut on être sur le forum d'un OS prônant la liberté, et vanter les 'qualités', si tant es qu'il en existe réellement, d'un truc destiné à réduire les libertés ?

Dernière modification par NooP (Le 29/10/2011, à 02:27)

inkey · Le 29/10/2011, à 11:05

Le truc que je vois moi avec ce système , c'est que surtout on ne connaît pas grand chose sur comment sera gérer les clés , et cela ça fait peur
ah tien un truc bête : si linux arrive pas a se conformer facilement , quid de BSD , Haiku , plan 9 , système fait par un gars dans son garage passera ?

Donc en fait , a mon avis , faut essayer d'obtenir le plus possible le fait que ça soit désactivable .
Et si possible pousser les fabricant a utiliser coreboot (mais là je rêve un peu) …

Dernière modification par inkey (Le 29/10/2011, à 11:10)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#126 Le 27/10/2011, à 21:10

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#127 Le 27/10/2011, à 21:13

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#128 Le 27/10/2011, à 21:41

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#129 Le 27/10/2011, à 22:30

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#130 Le 27/10/2011, à 23:32

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#131 Le 28/10/2011, à 00:37

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#132 Le 28/10/2011, à 12:45

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#133 Le 28/10/2011, à 13:18

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#134 Le 28/10/2011, à 13:26

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#135 Le 28/10/2011, à 15:11

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#136 Le 28/10/2011, à 15:38

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#137 Le 28/10/2011, à 15:42

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#138 Le 28/10/2011, à 16:25

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#139 Le 28/10/2011, à 16:45

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#140 Le 28/10/2011, à 17:48

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#141 Le 28/10/2011, à 17:50

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#142 Le 28/10/2011, à 18:08

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#143 Le 28/10/2011, à 18:10

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#144 Le 28/10/2011, à 18:38

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#145 Le 28/10/2011, à 18:47

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#146 Le 28/10/2011, à 18:59

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#147 Le 28/10/2011, à 20:05

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#148 Le 29/10/2011, à 00:38

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#149 Le 29/10/2011, à 01:21

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

#150 Le 29/10/2011, à 11:05

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

Pied de page des forums