Secure Boot, la mise en œuvre UEFI de Microsoft, inquiète les utilisateurs de Linux depuis son annonce en janvier 2012. Nous l'avions déjà examiné à plusieurs reprises, mais comme la poussière se dissipe, nous avons décidé de revisiter.

Mais avant de prendre les devants, revenons au début et découvrons exactement ce qu'est Secure Boot..

Avant 2012, tous les ordinateurs étaient amorcés à l'aide du BIOS. C’était une relique des années 80 que de nombreux fabricants n’ont pas mise en œuvre, ce qui a conduit à un système de type kludgey qui était maintenu par l’équivalent numérique de la bande gaffa. Cela a fonctionné, mais uniquement à cause du travail ardu des développeurs qui auraient pu passer beaucoup de temps à proposer des éléments beaucoup plus intéressants que les interfaces de démarrage s'ils ne voulaient pas essayer de faire en sorte que les éléments fous fonctionnent plus facilement..

Ainsi, lorsque Microsoft a commencé à discuter avec les fabricants de la possibilité de remplacer l'ancien système, tout le monde était ravi de la disparition imminente du BIOS..

L'UEFI est, à bien des égards, un système bien supérieur. Cela donne aux programmes de démarrage plus d’espace de travail et peut mieux prendre en charge du matériel plus moderne. Si tout avait été laissé là, la plupart des gens auraient été heureux.

Cependant, ce n'était pas le cas. Ils ont bricolé. Ils devaient aller plus loin et ajouter Secure Boot. Il s’agit d’une extension de UEFI qui limite l’initialisation aux seuls systèmes signés de manière cryptographique à l’aide d’une clé sécurisée. Et la piqûre dans la queue: Microsoft contrôle la clé principale. Rusé.

Bien sûr, comme nous le savons, ce petit ajout ne rend pas complètement impossible le démarrage de Linux sur des systèmes Secure Boot, cela rend simplement la tâche un peu délicate..

Risque de sécurité

Bien entendu, il serait facile de prétendre que Microsoft n’est en réalité qu’une tentative cynique de resserrer davantage son emprise sur l’industrie informatique - et de nombreuses personnes partagent cet avis..

Cependant, il est basé sur un risque de sécurité réel que l’on trouve dans Windows: les virus du secteur de démarrage. Il s'agit d'une classe de logiciels malveillants qui infecte le Master Boot Record (MBR) situé au début d'un disque. Lorsque l'utilisateur démarre, le BIOS exécute le code dans le MBR. Si tout va bien, dans un système fonctionnant correctement, le système d'exploitation démarre. Cependant, un virus du secteur de démarrage peut pirater ce processus et exécuter une action malveillante avant de démarrer le système d'exploitation..

Sous le système Secure Boot, le système ne démarrera que le code signé. Par conséquent, ces virus ne pourront généralement pas démarrer. Ça sonne bien, non? Eh bien, il y a quelques problèmes non négligeables avec elle.

Premièrement, elle repose sur une seule clé et, historiquement, les clés individuelles n'ont pas pu rester secrètes longtemps (rappelez-vous quand les clés PlayStation et Blu-ray étaient secrètes?). Deuxièmement, et peut-être plus important encore, les virus du secteur d’amorçage étaient monnaie courante à l’époque de MS-DOS. Le monde a beaucoup évolué depuis et les auteurs de logiciels malveillants ne font pas exception..

Secure Boot est un énorme bouleversement pour résoudre un problème qui se résolvait de lui-même. Franchement, il existe des problèmes de sécurité beaucoup plus pressants pour Windows qui ne sont absolument pas affectés par celle-ci..

Microsoft parle

Désactiver UEFI peut être une tâche fastidieuse, mais cela vaut la peine de s’ennuyer à long terme.

Donc, il est peu probable que cela affecte le monde des logiciels malveillants sous Windows. Il n’est pas non plus particulièrement efficace pour verrouiller les autres systèmes d’exploitation hors des PC. Dans les directives de certification du matériel Windows 8, Microsoft indique:

"17. Obligatoire. Sur les systèmes non-ARM, la plate-forme DOIT permettre à un utilisateur physiquement présent de choisir entre deux modes de démarrage sécurisé dans la configuration du micrologiciel:" Personnalisé "et" Standard ". Le mode Personnalisé offre davantage de flexibilité, comme spécifié dans Un utilisateur physiquement présent doit pouvoir utiliser l’option de configuration du microprogramme en mode personnalisé pour modifier le contenu des bases de données de signatures Secure Boot et du PC, ce qui peut être implémenté simplement en offrant la possibilité de supprimer tout le contenu de Secure Boot. bases de données (PK, KEK, db, dbx), qui met le système en mode de configuration.