Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#201 Le 18/11/2011, à 08:45

roger64

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

Le SecureBoot (ou l'UEFI) aurait résisté à un rootkit selon l'auteur du rootkit (si j'ai bien compris) smile
http://www.theregister.co.uk/2011/11/18 … 8_bootkit/

N'hésitez à corriger si je me trompe, ça passe quelques mètres au-dessus de moi....

Dernière modification par roger64 (Le 18/11/2011, à 08:46)

Hors ligne

#202 Le 18/11/2011, à 11:00

shindz

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

roger64 a écrit :

Le SecureBoot (ou l'UEFI) aurait résisté à un rootkit selon l'auteur du rootkit (si j'ai bien compris) smile
http://www.theregister.co.uk/2011/11/18 … 8_bootkit/

N'hésitez à corriger si je me trompe, ça passe quelques mètres au-dessus de moi....

cet article, quand je le lis,  je vois plutot un truc du genre "Oui, il faut imposer un secure boot"  ce qui  enferme plus l'utilisateur et est une menace pour linux .


P IV,  2.80GHz, 1.5 Go de RAM, Nvidia 6200 512Mo, 160Go HDD
Ubuntu 12.04, AKA  Pangolin  comme OS Principal
Quantal  sur partition de test
Membre attitré de la brigade des S.

Hors ligne

#203 Le 18/11/2011, à 12:21

roger64

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

Oui, sans doute il a l'air de donner un argument pour le "SecureBoot".

Hors ligne

#204 Le 18/11/2011, à 13:53

tshirtman

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

Ah, donc cette attaque est plus une démonstration de l'efficacité (et du besoin) du secure boot, et non une preuve de sa faiblesse.

@shindz; le secure boot en lui même n'est pas une menace pour linux, le code nécessaire pour le gérer est en train d'être écrit et sera prêt d'ici là, une solution élégante pour pouvoir signer sois même son noyeau et installer les clés nécessaire dans sa machine simplement a été trouvé, red hat et cannonical ont publié un pdf très complet pour expliquer les tenants et aboutissants au consortium uefi, on attends leur réponse, si elle est positive (et la solution est tout à fait acceptable sur le plan de la sécurité), ce sera une avancé pour nous, si elle est négative, on sera cantonné aux constructeurs qui permettent la désactivation, que microsoft autorise, mais n'impose pas. Plusieurs constructeurs ont déjà annoncé que ce serait désactivable pour eux (d'autres ont annoncé le contraire, par contre).

Hors ligne

#205 Le 18/11/2011, à 19:16

shindz

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

oui, je sais tres bien  a quoi il sert et donc ces avantages et j'avais lu ce pdf le jour de sa publication.
je disais simplement le buzz que ca va creer ne sera pas bon pour linux, à cause de l'idée niée de microsoft, pas le secure boot en lui meme. bon en meme temps j'aurai pu developper mon post ...desolé


P IV,  2.80GHz, 1.5 Go de RAM, Nvidia 6200 512Mo, 160Go HDD
Ubuntu 12.04, AKA  Pangolin  comme OS Principal
Quantal  sur partition de test
Membre attitré de la brigade des S.

Hors ligne

#206 Le 21/11/2011, à 16:04

TiBi

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

tshirtman a écrit :

arf, y'a eu un crash y'a quelque temps, j'ai pas relancé le service. je m'en occupe.
edit: done

Merci !


« There is free software. And there is free software by Apple. And Oracle. And Canonical. And Google. »

« Free software won't spy on you, unless you use Ubuntu. »

Hors ligne

#207 Le 05/12/2011, à 21:20

patrick L

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

une question ?

ca serait quoi qui serait signé ?  tout le systeme Linux ? en admettant que vous puissiez avoir vos propres clefs  pour l'installer,  faudrait vérifier la clef de ce qui est installé sur le disque pour détecter un virus ce qui prendrait du temps à tout lire... ou alors uniquement le noyau. ou uniquement le chargement sur le disque. mais là ça serait dommage de se priver de la possibilité de vérifier la présence d'une modification du systeme tout entier. *


et microsoft compte faire comment pour tester l'absence de virus au boot...

Hors ligne

#208 Le 05/12/2011, à 21:36

tshirtman

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

patrick L a écrit :

une question ?

ca serait quoi qui serait signé ?  tout le systeme Linux ?

Là on parle du bootloader, et uniquement du bootloader, après, une fois que celui ci est signé, on peut prolonger la chaine de confiance, et signer le noyeau, ses modules, et tout ce qui tourne en mode privilégié, et peut continuer avec tout ce qui est installé par les systèmes de packages, ou tout ce qui appartiens à un user systeme, voir tout ce qui appartiens à un utilisateur normal aussi, suivant le degré de paranoia qu'on veux dans sa distro.

en admettant que vous puissiez avoir vos propres clefs  pour l'installer,  faudrait vérifier la clef de ce qui est installé sur le disque pour détecter un virus ce qui prendrait du temps à tout lire... ou alors uniquement le noyau.

Non, là on parle de vérifier la signature de quelque chose à l'instant ou on l'éxecute, pas avant, pas après, ça ajoute un peu de charge au système, bien sur, mais c'est vraiment pas un problème en terme de performances, tous les iphones non jailbreakés marchent comme ça hein.

ou uniquement le chargement sur le disque. mais là ça serait dommage de se priver de la possibilité de vérifier la présence d'une modification du systeme tout entier. *


et microsoft compte faire comment pour tester l'absence de virus au boot...

Il suffit de tester que ce qu'on execute est conforme a ce que le distributeur en qui on a confiance (que ce soit microsoft, canonical, apple, red-had, ou soit même) a livré, et donc, la signature, ni plus, ni moins.

Hors ligne

#209 Le 09/01/2012, à 01:49

globetrotteur

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

tshirtman a écrit :

... on sera cantonné aux constructeurs qui permettent la désactivation, QUE MICROSOFT AUTORISE, mais n'impose pas.  ...

Il est bien là, le vrai problème, comme toujours...
C'est Microsoft qui impose SA loi aux constructeurs.
En Dieu tout puissant, il s'arroge le droit de "vie ou de mort" sur le monde informatique.
Ouf, Microsoft autorise aux constructeur la possibilité de désactiver un verrou que lui seul a imposé.
J'ai l'impression qu'on me fait l'aumône de m'autoriser, à mes risques et périls, à installer quelque chose qui n'est pas Microsoft. Ouf, Microsoft, dans sa grande bienveillance me fait une fleur ... (Comment, tu n'utilise pas Windows ?... allez, va, ce n'est pas bien grave, je te pardonne, et te donne la permission de déverrouiller ton matériel...)

Si Windows 8 prône un "secure Boot" qui nécessite une puce et un contrôle directement sur le matériel, c'est son problème; de là à l'imposer, c'est autre chose. De quel droit peut-il ainsi imposer SES vue et faire pression sur les constructeurs. Microsoft décide, les autres n'ont qu'à s'adapter.
Steve BALLMER reprend le flambeau de Bill GATES

Le "Secure BOOT", recommandé par Microsoft et installé par défaut, je le comprend, car c'est plus prudent pour les utilisateur lambda qui ne savent même pas ce que c'est (la majorité des utilisateurs).
Mais le système DOIT, dans tous les cas, pouvoir être désactivé.
Que les autres systèmes d'exploitation (gnu hurd, Linux, BSD, ...) trouvent l'idée intéressante et développent à leur tour un moyen d'utiliser l'idée, temps mieux, c'est un plus, mais l'utilisateur DOIT RESTER MAÎTRE DE SA MACHINE et POUVOIR CHOISIR.

Il est malheureux de devoir toujours être "border line" et donc sur la défensive avec ces menaces d'abus de position dominante...


Linux Mint 17.3 "Rosa" MATE (64-bit)
Alim : Corsair AX 750 - CM : Asus Sabertooth 990FX - Proc : AMD Phenom II - CG : MSI N550GTX-Ti Cyclone II

Hors ligne

#210 Le 09/01/2012, à 13:05

tshirtman

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

globetrotteur a écrit :
tshirtman a écrit :

... on sera cantonné aux constructeurs qui permettent la désactivation, QUE MICROSOFT AUTORISE, mais n'impose pas.  ...

Il est bien là, le vrai problème, comme toujours...
C'est Microsoft qui impose SA loi aux constructeurs.
En Dieu tout puissant, il s'arroge le droit de "vie ou de mort" sur le monde informatique.
Ouf, Microsoft autorise aux constructeur la possibilité de désactiver un verrou que lui seul a imposé.
J'ai l'impression qu'on me fait l'aumône de m'autoriser, à mes risques et périls, à installer quelque chose qui n'est pas Microsoft. Ouf, Microsoft, dans sa grande bienveillance me fait une fleur ... (Comment, tu n'utilise pas Windows ?... allez, va, ce n'est pas bien grave, je te pardonne, et te donne la permission de déverrouiller ton matériel...)

Si Windows 8 prône un "secure Boot" qui nécessite une puce et un contrôle directement sur le matériel, c'est son problème; de là à l'imposer, c'est autre chose. De quel droit peut-il ainsi imposer SES vue et faire pression sur les constructeurs. Microsoft décide, les autres n'ont qu'à s'adapter.
Steve BALLMER reprend le flambeau de Bill GATES

Le "Secure BOOT", recommandé par Microsoft et installé par défaut, je le comprend, car c'est plus prudent pour les utilisateur lambda qui ne savent même pas ce que c'est (la majorité des utilisateurs).
Mais le système DOIT, dans tous les cas, pouvoir être désactivé.
Que les autres systèmes d'exploitation (gnu hurd, Linux, BSD, ...) trouvent l'idée intéressante et développent à leur tour un moyen d'utiliser l'idée, temps mieux, c'est un plus, mais l'utilisateur DOIT RESTER MAÎTRE DE SA MACHINE et POUVOIR CHOISIR.

Il est malheureux de devoir toujours être "border line" et donc sur la défensive avec ces menaces d'abus de position dominante...

T'as pas compris, cette fonctionnalité est obligatoire pour avoir une petite étiquette "designed for windows 8", c'est tout, c'est les constructeurs qui veulent cette étiquette hein. Les raisons de cette imposition sont valables. Ce qui serait scandaleux, se serait en effet que microsoft demande que ce soit impossible a désactiver...

Pour constituer une protection pour l'utilisateur, ça doit être installé par défaut, c'est tout à fait normal.

En fait ce que tu reproche à microsoft, c'est de ne pas rendre la désactivation obligatoirement possible, et donc de ne pas imposer une chose aux constructeurs? n'est-ce pas un peu contradictoire?

Dernière modification par tshirtman (Le 09/01/2012, à 13:05)

Hors ligne

#211 Le 09/01/2012, à 14:31

globetrotteur

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

tshirtman a écrit :

T'as pas compris, cette fonctionnalité est obligatoire pour avoir une petite étiquette "designed for windows 8", c'est tout, c'est les constructeurs qui veulent cette étiquette hein. Les raisons de cette imposition sont valables. Ce qui serait scandaleux, se serait en effet que microsoft demande que ce soit impossible a désactiver...
Pour constituer une protection pour l'utilisateur, ça doit être installé par défaut, c'est tout à fait normal.

J'ai au contraire bien compris et suis parfaitement d'accord avec ce que tu dis (souligné dans mon post)

tshirtman a écrit :

En fait ce que tu reproche à microsoft, c'est de ne pas rendre la désactivation obligatoirement possible, et donc de ne pas imposer une chose aux constructeurs? n'est-ce pas un peu contradictoire?

+1 , vu sous cet angle wink
Mais je crois que tu n'as pas compris le sens de ma réaction hmm :

- Microsoft trouve une astuce sécuritaire à prioris intéressante => très bien
- Cette innovation nécessite l'activation d'un processus au niveau matériel => Toujours rien à dire
- Le matériel adapté aura l'étiquette "designed for windows 8" => ça me paraît logique (edit : quoique ... )
- Vu la position de MS sur le marché, les fabricants vont adapter leur matériel pour avoir le "label" => ce serait du suicide commercial de ne pas le faire (edit : cet état de fait peut être interprété comme abus de position dominante puisque c'est Microsoft qui dicte ses conditions (y compris l'autorisation de la désactivation) aux fabricants qui suivent, vu les PDM de MS)
- Que le système soit d'office activé par défaut => Comme tu le dis, c'est tout à fait normal, pour des raisons de sécurité évidente (edit : surtout sous windows).
- Que des développeurs d'O.S. alternatifs cherchent eux-aussi à utiliser le système :
    - soit l'idée est bonne alors autant en faire profiter tout le monde => j'applaudis des deux mains
    - soit c'est pour contrer le problème en cas de non possibilité de désactivation du processus => merci aux développeurs qui travaillent pour que vivent (edit : survivent ?) les OS alternatifs

Et c'est que je réagis; contre ce "MICROSOFT AUTORISE"
Pour moi, Microsoft n'a RIEN, ni à IMPOSER, ni à INTERDIRE, ni à AUTORISER !!!

Ça doit être et rester le choix du fabricant d'inclure ou non une possibilité de désactiver ce "secure Boot"
Pourquoi faut-il une autorisation de Microsoft ??
(Edit : Il me semble que ce ne sont ni Microsoft, ni le fabricant qui devrait décider, mais l'utilisateur !
          L'option devrait donc être obligatoire de fait et non par "autorisation")

OK, je fais du "délit de sale gueule" envers Microsoft, mais c'est de sa faute :
Je pense aux contrats de licence par processeurs installés, aux ventes liées qui en découlent, aux pc tatoués, au refus d'affichage des coûts réels Hard et Soft, ... Bref aux conditions imposées par Microsoft aux fabricants.
Voilà pourquoi ce "autorise" me fait bondir !!! Et me fait peur ...

J'espère que ma réaction est infondée et qu'il s'agit de maladresse de journalistes, mais avec MS, il y a rarement de fumée sans feu (lire l'affaire Microsoft, le hold-up planétaire http://www.ilv-bibliotheca.net/librairi … taire.html , ... ) ... et son manque de transparence engendre la suspicion ...

wink

Dernière modification par globetrotteur (Le 14/01/2012, à 14:47)


Linux Mint 17.3 "Rosa" MATE (64-bit)
Alim : Corsair AX 750 - CM : Asus Sabertooth 990FX - Proc : AMD Phenom II - CG : MSI N550GTX-Ti Cyclone II

Hors ligne

#212 Le 09/01/2012, à 18:33

tshirtman

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

Microsoft n'autorise et n'interdit que dans un cadre très strict, et tout à fait compréhensible, il veut que son OS soit vendu avec des machines adapté à son usage, histoire qu'on ne lui jette pas la pierre quand on le fait tourner sur une machine qui n'en a pas les trippes. Donc il pose des conditions, c'est normal, à la délivrance de son certificat, pour 8, il a ajouté une condition, que la machine soit sécurisé avec secure boot, histoire de pouvoir résister un peu mieux aux virus, c'est à mon sens, tout à fait légitime, et l'ensemble de tout ça n'est problématique que pour une seul raison, le fait que le support des OS microsoft soit indispensable à la survie d'un constructeur, du fait de ses 90% de PDM… un problème totalement décorellé (y compris des maneuvres douteuses qu'il a pus utiliser pour arriver à cet état de fait)…

Hors ligne

#213 Le 09/01/2012, à 22:10

sam7

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

connaissez-vous http://www.libraboot.org/ ?


sam7 @ sweetux.org = "Faire connaître & promouvoir la culture libre"
& @ gafam.fr = "Faire connaître & promouvoir les alternatives aux GAFAMs"

Hors ligne

#214 Le 09/01/2012, à 23:04

globetrotteur

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

@ tshirtman

Je répète encore une fois que je n'ai rien contre le projet du secure Boot, ni sur le fait de l'adaptation du matériel, ni sur le label "OK pour Win 8", ni sur la légitimité de ce label.
Que Microsoft recommande et plébiscite du matériel qui permet de faire fonctionner son OS à 100 % est tout à fait légitime. Que les fabricants suivent les recommandations de Microsoft, vu ses PDM, est tout à fait logique.
Tu vois que jusque là, on est sur la même longueur d'onde !
Là ou ça coince, c'est sur l'option de désactivation !
Pourquoi faut-il l'aval de Microsoft pour inclure cette option ???
En quoi cette OPTION DE DÉSACTIVATION rend-t-elle le matériel incompatible avec W8

Pour moi, rien que ce mot "autorise" est en soi le constat du poids de la position dominante.
Je joue sur les mots et vois le mal partout ? peut-être, mais venant de MS, je ne crois pas à une maladresse de langage => je dis DANGER ET VIGILANCE.

Si tu n'y vois aucune corrélation avec le passé de MS, ce n'est pas mon cas ...

Merci à sam7 pour le rappel :

"[  Les positions de Canonical, Red Hat et de la Linux Foundation sur le Secure Boot
..... En résumé ils déplorent le fait que le choix ne sera pas laissé à l’utilisateur final d’activer ou non cette fonctionnalité. C’est pour cela que plutôt que de dénoncer le système dans son intégralité, la Linux Foundation et Red Hat/Canonical, proposent aux constructeurs de donner la possibilité à l’utilisateur final, d’établir lui même sur son propre système, une liste des systèmes d’exploitation qui seront autorisés à démarrer sur sa machine. Ils demandent également que l’activation du boot sécurisé soit laissé à l’appréciation de l’utilisateur.
Pour cela ils s’appuient sur le fait que les spécifications de l’UEFI ne déterminent pas qui doit être en charge de l’implémentation des clés ( OEMs, utilisateurs finaux …. ). Seul Microsoft décide derechef que cette tâche doit incomber exclusivement aux constructeurs. ...   ]"

=> maintenant MS autorise le choix de l'activation => il accepte de faire une fleur => c'est bien lui qui tient les rennes => ... ?

D'ici la sortie de Win8, je crois que beaucoup d'encre (virtuelle) coulera encore et la polémique sera bien alimentée.

Wait and see, comme dirait l'autre et espérons que la suite du "Livre blanc" http://blog.canonical.com/2011/10/28/wh … -on-linux/  rendra cette discussion sans intérêt ...

Vive la liberté d'expression ... et les joutes verbales amicales   winkhmmtonguelol

Dernière modification par globetrotteur (Le 09/01/2012, à 23:16)


Linux Mint 17.3 "Rosa" MATE (64-bit)
Alim : Corsair AX 750 - CM : Asus Sabertooth 990FX - Proc : AMD Phenom II - CG : MSI N550GTX-Ti Cyclone II

Hors ligne

#215 Le 09/01/2012, à 23:20

tshirtman

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

sam7 a écrit :

connaissez-vous http://www.libraboot.org/ ?

Oui, et ça ne change rien, si les gens ont besoin de flasher leur bios (une opération qui peut tuer la machine en cas de pépin, et loin d'être accessible a un débutant) pour installer linux, on est pas prêt de gagner des parts de marché, et on va perdre une bonne partie des utilisateurs actuels (qui ne sont pas tous capables ou assez confiant pour le faire).

globetrotteur a écrit :

@ tshirtman

Je répète encore une fois que je n'ai rien contre le projet du secure Boot, ni sur le fait de l'adaptation du matériel, ni sur le label "OK pour Win 8", ni sur la légitimité de ce label.
Que Microsoft recommande et plébiscite du matériel qui permet de faire fonctionner son OS à 100 % est tout à fait légitime. Que les fabricants suivent les recommandations de Microsoft, vu ses PDM, est tout à fait logique.
Tu vois que jusque là, on est sur la même longueur d'onde !
Là ou ça coince, c'est sur l'option de désactivation !
Pourquoi faut-il l'aval de Microsoft pour inclure cette option ???

Tu pinailles et c'est contre productif, ils demandent de mettre le bios dans un mode particulier, s'ils ne précisaient pas que c'est autorisé de mettre une option de désactivation, peu de constructeurs prendraient le risque, je trouve ça plutôt sympa de leur part (même si dans leur optique c'est plus pour les gens voulant utiliser XP/vista/7 sur de nouvelles machines, et c'est vrai que ça fait bien plus de monde que les linuxiens…).

En quoi cette OPTION DE DÉSACTIVATION rend-t-elle le matériel incompatible avec W8

En rien, ils le précisent même! Et c'est sympa de leur part, par ce que vu que c'est une mesure de sécurité, ils auraient très bien pu demander que ce soit inchangeable, pour éviter que les gens le désactive par erreur et se prennent des virus.

Pour moi, rien que ce mot "autorise" est en soi le constat du poids de la position dominante.
Je joue sur les mots et vois le mal partout ? peut-être, mais venant de MS, je ne crois pas à une maladresse de langage => je dis DANGER ET VIGILANCE.

Ben moi je pense (mais je commence à me répéter là) que ce serait pire s'ils ne l'avaient pas fait.

Si tu n'y vois aucune corrélation avec le passé de MS, ce n'est pas mon cas ...

Merci à sam7 pour le rappel :

"[  Les positions de Canonical, Red Hat et de la Linux Foundation sur le Secure Boot
..... En résumé ils déplorent le fait que le choix ne sera pas laissé à l’utilisateur final d’activer ou non cette fonctionnalité. C’est pour cela que plutôt que de dénoncer le système dans son intégralité, la Linux Foundation et Red Hat/Canonical, proposent aux constructeurs de donner la possibilité à l’utilisateur final, d’établir lui même sur son propre système, une liste des systèmes d’exploitation qui seront autorisés à démarrer sur sa machine. Ils demandent également que l’activation du boot sécurisé soit laissé à l’appréciation de l’utilisateur.
Pour cela ils s’appuient sur le fait que les spécifications de l’UEFI ne déterminent pas qui doit être en charge de l’implémentation des clés ( OEMs, utilisateurs finaux …. ). Seul Microsoft décide derechef que cette tâche doit incomber exclusivement aux constructeurs. ...   ]"

Je pense aussi que c'est l'utilisateur final qui doit pouvoir gérer la liste, mais il parait inévitable que ce soit le constructeur qui charge les valeurs par défaut, et donne ou non un système pour les changer, c'est lui qui construit la machine… Si microsoft demandait a être l'autorité de certification unique, là oui, il y aurait de quoi gueuler…

Hors ligne

#216 Le 10/01/2012, à 00:15

globetrotteur

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

@ tshirtman  wink

J'ai eu à faire à des manipulateurs tant au travail que dans ma vie privée et sais de quoi ils sont capables.
Je considère MS comme tel, ainsi que Gates et sa fondation d'ailleurs.
Alors oui, je pinaille et joue sur les mots (c'est fou ce que le sens d'interprétation d'un mot peut changer les choses, parfois du tout au tout (cfr ,entre autre, et pour rester dans le contexte, "l'affaire Microsoft" qui en est rempli et qui, finalement, à laissé les mains libres à Bill) => les corrélations que je fais (même si c'est contre productif, je te l'accorde, mais "chat échaudé craint l'eau froide" hmm ).

Ce qui est rassurant, c'est de voir les réactions des gens du libre, qui cherchent à tirer avantage de la chose et avancent des proposition intéressantes et constructives. C'est vrai que des solution géniales dans des situations complexes, ça les connaît, on peut leur faire confiance ... cool   Espérons qu'ils seront suivis par les constructeurs ...

Ma "geulante", même si un peu exagérée (quoique il faut voir les 1ères réactions du libre quand même qui allaient un peu dans le même sens) montre qu'il faut rester, si pas méfiant, en tout cas vigilant.
Faut pas non plus crier au loup à tout bout de champs, mais, ce n'est pas parce que tu utilises un excellent antivirus sous Windows que tu ne fais pas gaffe quand tu surfs sur le web.

A + dans la suite de cette saga ... wink lol

Dernière modification par globetrotteur (Le 10/01/2012, à 00:23)


Linux Mint 17.3 "Rosa" MATE (64-bit)
Alim : Corsair AX 750 - CM : Asus Sabertooth 990FX - Proc : AMD Phenom II - CG : MSI N550GTX-Ti Cyclone II

Hors ligne

#217 Le 13/01/2012, à 10:04

kamui57

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

http://www.softwarefreedom.org/blog/201 … -down-ARM/

The Certification Requirements define (on page 116) a "custom" secure boot mode, in which a physically present user can add signatures for alternative operating systems to the system's signature database, allowing the system to boot those operating systems. But for ARM devices, Custom Mode is prohibited: "On an ARM system, it is forbidden to enable Custom Mode. Only Standard Mode may be enable." [sic] Nor will users have the choice to simply disable secure boot, as they will on non-ARM systems: "Disabling Secure [Boot] MUST NOT be possible on ARM systems." [sic] Between these two requirements, any ARM device that ships with Windows 8 will never run another operating system, unless it is signed with a preloaded key or a security exploit is found that enables users to circumvent secure boot.

While UEFI secure boot is ostensibly about protecting user security, these non-standard restrictions have nothing to do with security. For non-ARM systems, Microsoft requires that Custom Mode be enabled—a perverse demand if Custom Mode is a security threat. But the ARM market is different for Microsoft in three important respects:

Si j'ai bien compris, les appareils ARM ne pourront booter que sur WinDRM ou autre système dont la clé est présente dès le départ (ou qui cracke le boot),  et les appareils non ARM auront un mode "personnalisé" qui permettra à un utilisateur présent physiquement d'ajouter des signatures de systèmes d'exploitation alternatifs. sad

edit : dans le pdf

17. MANDATORY: No in-line mechanism is provided whereby a user can bypass Secure Boot
failures and boot anyway Signature verification override during boot when Secure Boot is
enabled is not allowed. A physically present user override is not permitted for UEFI images
that fail signature verification during boot. If a user wants to boot an image that does not
pass signature verification, they must explicitly disable Secure Boot on the target system.

Un utilisateur peut désactiver le secure boot pour démarrer sur une image qui ne passe pas la vérif de signature.

On an ARM system, it is forbidden to enable Custom Mode. Only Standard Mode may be enable.
21. MANDATORY: Enable/Disable Secure Boot. On non-ARM systems, it is required to implement
the ability to disable Secure Boot via firmware setup. A physically present user must be
allowed to disable Secure Boot via firmware setup without possession of PKpriv.
Programmatic disabling of Secure Boot either during Boot Services or after exiting EFI Boot
Services MUST NOT be possible. Disabling Secure MUST NOT be possible on ARM systems.

La désactivation du secure boot et le mode custom du secure boot doit être présents sur les appareils non ARM.
Ni la désactivation  du secure boot ni le mode custom ne doivent être possibles sur les appareils ARM.

Dernière modification par kamui57 (Le 13/01/2012, à 10:24)


Quand le dernier arbre aura été abattu, et le dernier animal exterminé, les hommes se rendront compte que l'argent ne se mange pas (proverbe indien)
Toshiba Satellite L655 4 Go RAM, Archlinux Gnome-shell,LXDE / W7
Toshiba Satellite M30 512 Mo RAM, Archlinux Gnome 3 restreint / Crunchbang LXDE
https://help.ubuntu.com/community/Pastebinit pour poster du texte sur internet en console

Hors ligne

#218 Le 13/01/2012, à 10:43

tshirtman

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

Hum, ça craint pour l'arm, en effet, mais pour l'instant, microsoft est beaucoup moins placé sur ce marché… à surveiller quand même hmm

Hors ligne

#219 Le 13/01/2012, à 16:42

globetrotteur

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

... / ... 

The new policy betrays the cynicism of Microsoft's initial response to concerns over Windows 8's secure boot requirement. When kernel hacker Matthew Garrett expressed his concern that PCs shipped with Windows 8 might prevent the installation of GNU/Linux and other free operating systems, Microsoft's Tony Mangefeste replied, "Microsoft’s philosophy is to provide customers with the best experience first, and allow them to make decisions themselves." It is clear now that opportunism, not philosophy, is guiding Microsoft's secure boot policy.

Traduction  Google un peu "refrancisée" :
"[ La nouvelle politique trahit le cynisme de la réponse initiale de Microsoft pour Windows 8 sur les inquiétudes sur l'exigence de démarrage sécurisé. Lorsque le développeur de noyau Matthew Garrett a exprimé son inquiétude sur le fait que les PC livrés avec Windows 8 pourraient empêcher l'installation de GNU / Linux et autres systèmes d'exploitation libres, Tony Mangefeste de Microsoft a répondu : «la philosophie de Microsoft est de fournir aux clients la meilleure expérience d'abord, et de leur permettre de prendre des décisions eux-mêmes". Il est clair maintenant que c'est l'opportunisme, et non pas la philosophie qui oriente la politique du démarrage sécurisé de Microsoft. ]"

Before this week, this policy might have concerned only Windows Phone customers. But just yesterday, Qualcomm announced plans to produce Windows 8 tablets and ultrabook-style laptops built around its ARM-based Snapdragon processors. Unless Microsoft changes its policy, these may be the first PCs ever produced that can never run anything but Windows, no matter how Qualcomm feels about limiting its customers' choices. SFLC predicted in our comments to the Copyright Office that misuse of UEFI secure boot would bring such restrictions, already common on smartphones, to PCs. Between Microsoft's new ARM secure boot policy and Qualcomm's announcement, this worst-case scenario is beginning to look inevitable.

Traduction Google un peu "refrancisée" :
"[Avant cette semaine (Date de l'article de Aaron Williamson : January 12, 2012), cette politique aurait pu n'avoir concerné que les clients Windows Phone. Mais hier, Qualcomm a annoncé des plans pour produire des tablettes Windows 8 et des ordinateurs portables style ultrabook construits autour de sa base d'ARM Snapdragon processeurs. A moins que Microsoft ne change sa politique, ils peuvent être les premiers PC jamais produits ne pouvant faire tourner quoi que ce soit d'autre que Windows, peu importe les sentiments de Qualcomm sur le fait de limiter les choix de ses clients. SFLC a prédit dans nos commentaires à l'Office du droit d'auteur que l'abus du démarrage sécurisé d'UEFI apporterait de telles restrictions, déjà courantes sur les smartphones, aux PC. Entre la politique de Microsoft sur le démarrage sécurisé de ARM et les annonces de Qualcomm, ce scénario du pire est en train de (à l'air de ?) devenir inévitable.]"

neutral hmm sad mad   !!!!!

Mais je pinaille là ... wink

Dernière modification par globetrotteur (Le 13/01/2012, à 20:23)


Linux Mint 17.3 "Rosa" MATE (64-bit)
Alim : Corsair AX 750 - CM : Asus Sabertooth 990FX - Proc : AMD Phenom II - CG : MSI N550GTX-Ti Cyclone II

Hors ligne

#220 Le 13/01/2012, à 19:34

tshirtman

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

"Lorsque le noyau pirate Matthew Garrett" ouais, reste du boulot sur la traduction xD

" développeur noyau" serait plus approprié wink

mais ouais, c'est inquiétant, j'attends de voir ce que matthew garrett va dire la dessus…

Hors ligne

#221 Le 13/01/2012, à 20:08

globetrotteur

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

+1  lol wink           corrigé   tongue

Dernière modification par globetrotteur (Le 13/01/2012, à 20:23)


Linux Mint 17.3 "Rosa" MATE (64-bit)
Alim : Corsair AX 750 - CM : Asus Sabertooth 990FX - Proc : AMD Phenom II - CG : MSI N550GTX-Ti Cyclone II

Hors ligne

#222 Le 14/01/2012, à 02:14

roger64

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

Un autre lien à ce sujet (ARM, UEFI,Windows8)

Hors ligne

#223 Le 14/01/2012, à 10:58

kamui57

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

WorknMan a écrit :

Well, most Android phones and tablets come with locked bootloaders, so I'm not sure why owning a Microsoft tablet (which is essentially what running Windows 8 will be running on an ARM CPU) would be much different in this regard.

Sur les appareils ARM aujourd'hui (tablettes etc) ce verrouillage à un seul OS est-il courant ?

http://www.osnews.com/thread?503201

réponse selon 01net
http://www.01net.com/editorial/553238/w … ettes-arm/

On rappelle enfin que Microsoft est loin d’être le seul à verrouiller ses tablettes. Apple interdit évidemment l’installation d’un autre système d'exploitation qu'iOS sur les iPad ou les iPhone, tout comme RIM sur sa PlayBook… et la plupart des fabricants de matériels Android.

Donc on peut pas jeter la pierre à Microsoft spécifiquement.

Dernière modification par kamui57 (Le 17/01/2012, à 20:13)


Quand le dernier arbre aura été abattu, et le dernier animal exterminé, les hommes se rendront compte que l'argent ne se mange pas (proverbe indien)
Toshiba Satellite L655 4 Go RAM, Archlinux Gnome-shell,LXDE / W7
Toshiba Satellite M30 512 Mo RAM, Archlinux Gnome 3 restreint / Crunchbang LXDE
https://help.ubuntu.com/community/Pastebinit pour poster du texte sur internet en console

Hors ligne

#224 Le 17/01/2012, à 21:13

Tomzz

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

Tiens une news sur le sujet:
Pour les PC (X86) M$ tolère avec mansuétude l'existence d'OS alternatifs, mais qu'en est'il pour les bases ARM.

Hors ligne

#225 Le 17/01/2012, à 21:21

tshirtman

Re : UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

roll j'aime les gens qui lisent le sujet avant d'écrire ^^

Hors ligne