Open Source : Depuis quelques semaines, une fonctionnalité intégrée aux nouvelles générations de BIOS fait râler : le "secure boot" permet certes de sécuriser le démarrage... Mais aussi d'empêcher l'installation d'OS alternatif.
On a beau changer d'année, certaines choses semblent immuables : les efforts faits par Microsoft pour compliquer l'installation d'une distribution GNU / Linux sur un ordinateur livré avec Windows 8, par exemple, ont le don d'agacer le blogueur de ZDNet.com Steven J. Vaughan-Nichols.
Pour lui, c'est un calvaire : comme il le raconte sur son blog "Linux and Open Source", c'est "au nom de la sécurité" que l'éditeur de Redmond met des bâtons dans les roues des utilisateurs qui souhaiteraient installer un autre système d'exploitation.
Le coupable : "Secure Boot"
Ces restrictions couvrent évidemment les distributions GNU / Linux, mais aussi les versions plus anciennes de Windows. Sans compter la quasi-impossibilité d'installer quoi que ce soit d'autre sur les appareils tournant sur Windows RT.
Le coupable : un BIOS de nouvelle génération, UEFI (Unified Extensible Firmware Interface), qui intègre la fonctionnalité "secure boot". Censée lutter contre les malwares capables de se lancer avant le système d'exploitation (rootkits), il est plutôt utile pour éviter le détournement de l'ordinateur par des programmes malicieux.
Même la Free Software Foundation (FSF), qui ne porte pas Microsoft dans son coeur, en a admis l'utilité, explique Steven J. Vaughan-Nichols. Dans l'explication fournie par la FSF, il est pourtant bien noté que dans les faits, cette fonctionnalité de démarrage sécurisé permet aussi de bloquer tout système qui ne serait pas autorisé.
Pas de souci a priori, tant que l'utilisateur a la possibilité d'autoriser les systèmes auxquels il accorde sa confiance. Y compris ceux qui ont été modifiés par lui ou des gens de confiance, et recompilés ensuite. Mais comme l'explique la FSF, Microsoft et ses partenaires ne voient pas les choses comme ça...
Impossible de démarrer autre chose que Windows 8 dans les implémentations faites par l'éditeur et les fabricants. De quoi appeler la technologie "restricted boot" (démarrage restrictif) plutôt que "secure boot (démarrage sécurisé), estime la fondation de promotion du logiciel libre. "Une restriction désastreuse pour l'utilisateur et pas du tout une fonctionnalité de sécurité."
La FSF demande donc aux fabricants implémentant "secure boot" sur l'UEFI de le faire "d'une façon que les systèmes libres puissent être installés. Pour respecter la liberté de l'utilisateur et vraiment protéger sa sécurité, les fabricants doivent soit permettre au propriétaire de l'appareil de désactiver la restriction au démarrage, soit une façon sure d'installer le système de son choix."
Vérifications empiriques
En se basant sur ces craintes de la FSF, Steven J. Vaughan-Nichols a tenté de s'attaquer au problème de façon empirique. Comment installer Linux ? Le plus simple, pour lui : désactiver le "secure boot".
Problème n°1 : vous voilà exposé à d'éventuels rootkits, "qui sont une menace réelle," estime le blogueur. Problème n°2 : la plupart des fabricants n'ont pas prévu de procédure simple de désactivation de la fonctionnalité.
Aucune procédure universelle, et il faudra la plupart du temps passer par les paramètres du l'UEFI pour tenter de s'y retrouver. A l'utilisateur de chercher dans un menu qui pourrait s'appeler "Secure Boot Parameters" ou "Boot Mode" une option pour désactiver la fonctionnalité de démarrage sécurisé.
Et si vous souhaitez le mode secure boot actif et une distribution GNU / Linux, il vous faudra de la patience conclut notre blogueur... Canonical, Red Hat et la Fondation Linux y travaillent. Mais comme le rappelle l'expert Linux Matthew Garrett, c'est loin d'être gagné.
La Fondation Linux n'a pas encore obtenu de copie de son bootloader signée par Microsoft, Debian ne prend pas encore la fonctionnalité en charge, Ubuntu et Suse peuvent utiliser des contournements, mais le flou règne encore, pour elles comme pour les autres distributions.
Tablettes... Oubliez Linux
Et pour les appareils fonctionnant sur puce ARM... "Vous devriez cracker Secure Boot vous-mêmes," explique Steve J. Vaughan-Nichols au sujet des appareils sous Windows RT. Les tablettes "Surface sont un système verrouillé, et devraient le rester."
Quant aux tablettes Surface sous Windows 8 Pro, attendues pour janvier sur une architecture Intel, elles devraient se rapprocher des PC quant aux problématiques de Secure Boot. Même si rien n'indique que Microsoft ne cherchera pas à restreindre encore plus la fonctionnalité, prévient le blogueur.
"Abandonnez l'idée de faire tourner Linux sur une tablette Surface," du moins pour l'instant, donc. Quelqu'un finira par réussir à contourner la protection, mais Microsoft patchera probablement ses tablettes à mesure que des failles sont exploitées.
Quant aux PC, il faudra soit désactiver l'option - et se passer de sa protection - soit acheter un PC directement sous Linux, ou au moins sans Windows 8. Ce qui là aussi n'est pas aisé.