Page d'accueil » comment » Fonctionnement du démarrage sécurisé sous Windows 8 et 10 et conséquences pour Linux

    Fonctionnement du démarrage sécurisé sous Windows 8 et 10 et conséquences pour Linux

    Les PC modernes sont livrés avec une fonctionnalité appelée «Secure Boot» activée. Il s’agit d’une fonctionnalité de plate-forme dans UEFI, qui remplace le BIOS PC traditionnel. Si un fabricant d’ordinateurs informatiques veut apposer l’autocollant du logo «Windows 10» ou «Windows 8» sur son ordinateur, Microsoft exige qu’ils activent le démarrage sécurisé et respectent certaines instructions..

    Malheureusement, cela vous empêche également d'installer certaines distributions Linux, ce qui peut s'avérer fastidieux..

    Comment le démarrage sécurisé sécurise le processus de démarrage de votre PC

    Secure Boot n'est pas uniquement conçu pour rendre plus difficile l'exécution de Linux. L’activation de Secure Boot offre de réels avantages en termes de sécurité et même les utilisateurs de Linux peuvent en bénéficier..

    Un BIOS traditionnel lancera n'importe quel logiciel. Lorsque vous démarrez votre PC, celui-ci vérifie les périphériques matériels en fonction de l'ordre de démarrage que vous avez configuré et tente de démarrer à partir de ceux-ci. Les PC typiques trouveront et amorceront normalement le chargeur d’amorçage Windows, qui démarrera ensuite l’ensemble du système d’exploitation Windows. Si vous utilisez Linux, le BIOS trouvera et démarrera le chargeur de démarrage GRUB, utilisé par la plupart des distributions Linux..

    Cependant, il est possible qu'un logiciel malveillant, tel qu'un rootkit, remplace votre chargeur de démarrage. Le rootkit peut charger votre système d'exploitation normal sans indiquer que quelque chose ne va pas, rester complètement invisible et indétectable sur votre système. Le BIOS ne connaît pas la différence entre un logiciel malveillant et un chargeur de démarrage approuvé. Il démarre simplement ce qu'il trouve..

    Secure Boot est conçu pour arrêter cela. Les ordinateurs Windows 8 et 10 sont livrés avec le certificat de Microsoft stocké dans UEFI. UEFI vérifiera le chargeur de démarrage avant de le lancer et s'assurera qu'il est signé par Microsoft. Si un rootkit ou un autre programme malveillant remplace votre chargeur de démarrage ou le modifie, UEFI ne l'autorisera pas à démarrer. Cela empêche les logiciels malveillants de détourner votre processus de démarrage et de se cacher de votre système d'exploitation.

    Comment Microsoft permet aux distributions Linux de démarrer avec Secure Boot

    En théorie, cette fonctionnalité est uniquement conçue pour se protéger contre les logiciels malveillants. Microsoft propose donc un moyen d'aider les distributions Linux à démarrer de toute façon. C'est pourquoi certaines distributions Linux modernes telles que Ubuntu et Fedora ne fonctionneront "que" sur les PC modernes, même avec Secure Boot activé. Les distributions Linux peuvent payer des frais uniques de 99 $ pour accéder au portail Microsoft Sysdev, où ils peuvent demander la signature de leurs chargeurs de démarrage.

    Les distributions Linux ont généralement un "shim" signé. Le shim est un petit chargeur de démarrage qui démarre simplement le chargeur de démarrage GRUB principal des distributions Linux. Le shim signé par Microsoft vérifie qu'il démarre un chargeur de démarrage signé par la distribution Linux, puis la distribution Linux démarre normalement.

    Ubuntu, Fedora, Red Hat Enterprise Linux et openSUSE prennent actuellement en charge le démarrage sécurisé et fonctionneront sans aucun ajustement sur du matériel moderne. Il y en a peut-être d'autres, mais ce sont ceux dont nous sommes conscients. Certaines distributions Linux sont philosophiquement opposées à la demande de signature de Microsoft..

    Comment désactiver ou contrôler le démarrage sécurisé

    Si c'était tout ce que Secure Boot avait fait, vous ne pourriez pas exécuter de système d'exploitation non approuvé par Microsoft sur votre PC. Mais vous pouvez probablement contrôler Secure Boot à partir du micrologiciel UEFI de votre PC, qui ressemble au BIOS des ordinateurs plus anciens..

    Il existe deux façons de contrôler le démarrage sécurisé. La méthode la plus simple consiste à accéder au microprogramme UEFI et à le désactiver complètement. Le micrologiciel UEFI ne vérifie pas si vous utilisez un chargeur de démarrage signé, et tout redémarre. Vous pouvez démarrer n'importe quelle distribution Linux ou même installer Windows 7, qui ne prend pas en charge le démarrage sécurisé. Windows 8 et 10 fonctionneront correctement, vous perdrez tout simplement les avantages de sécurité du fait que Secure Boot protège votre processus de démarrage.

    Vous pouvez également personnaliser davantage le démarrage sécurisé. Vous pouvez contrôler les certificats de signature proposés par Secure Boot. Vous êtes libre d'installer de nouveaux certificats et de supprimer des certificats existants. Une organisation qui utilisait Linux sur ses PC, par exemple, pourrait choisir de supprimer les certificats de Microsoft et d’installer son propre certificat à la place. Ces PC ne lanceraient alors que des chargeurs de démarrage approuvés et signés par cette organisation spécifique..

    Cela pourrait aussi être fait par une personne. Vous pouvez également signer votre propre chargeur de démarrage Linux et vous assurer que votre PC ne peut démarrer que les chargeurs de démarrage que vous avez personnellement compilés et signés. C'est le genre de contrôle et de puissance qu'offre Secure Boot.

    Ce que Microsoft exige des fabricants de PC

    Microsoft n’exige pas seulement que les fabricants de PC activent Secure Boot s’ils veulent le même autocollant de certification «Windows 10» ou «Windows 8» sur leur PC. Microsoft demande aux fabricants de PC de le mettre en œuvre de manière spécifique.

    Pour les ordinateurs Windows 8, les fabricants devaient vous donner le moyen de désactiver le démarrage sécurisé. Microsoft a demandé aux fabricants de PC de mettre un commutateur de désactivation Secure Boot entre les mains des utilisateurs.

    Pour les PC Windows 10, cela n’est plus obligatoire. Les fabricants de PC peuvent choisir d'activer le démarrage sécurisé et de ne pas donner aux utilisateurs le moyen de le désactiver. Cependant, nous ne connaissons en réalité aucun fabricant de PC qui le fasse..

    De même, alors que les fabricants de PC doivent inclure la clé principale «Microsoft Windows Production PCA» de Microsoft pour que Windows puisse démarrer, ils n'ont pas à inclure la clé «Microsoft Corporation UEFI CA». Cette deuxième clé est seulement recommandée. C'est la deuxième clé facultative utilisée par Microsoft pour signer les chargeurs de démarrage Linux. La documentation d'Ubuntu explique ceci.

    En d'autres termes, tous les ordinateurs ne démarreront pas nécessairement des distributions Linux signées avec Secure Boot activé. Encore une fois, dans la pratique, nous n’avons vu aucun PC le faire. Peut-être qu'aucun fabricant de PC ne veut créer la seule gamme d'ordinateurs portables sur laquelle vous ne pouvez pas installer Linux.

    Pour le moment, au moins, les PC Windows classiques devraient vous permettre de désactiver le démarrage sécurisé si vous le souhaitez, et ils devraient démarrer les distributions Linux signées par Microsoft, même si vous ne désactivez pas le démarrage sécurisé..

    Le démarrage sécurisé n'a pas pu être désactivé sous Windows RT, mais Windows RT est mort

    Tout ce qui précède s’applique aux systèmes d’exploitation standard Windows 8 et 10 sur le matériel Intel x86 standard. C'est différent pour ARM.

    Sous Windows RT, la version de Windows 8 pour matériel ARM, livrée avec les logiciels Surface RT et Surface 2 de Microsoft, entre autres périphériques, vous ne pouvez pas désactiver le démarrage sécurisé. Aujourd'hui, le démarrage sécurisé ne peut toujours pas être désactivé sur le matériel Windows 10 Mobile, autrement dit sur les téléphones fonctionnant sous Windows 10..

    En effet, Microsoft souhaitait que vous considériez les systèmes Windows RT basés sur ARM comme des «périphériques» et non des PC. Comme Microsoft l’a dit à Mozilla, Windows RT «n’est plus Windows».

    Cependant, Windows RT est maintenant mort. Il n’existe pas de version du système d’exploitation de bureau Windows 10 pour le matériel ARM, vous ne devez donc plus vous en préoccuper. Mais, si Microsoft ramène du matériel Windows RT 10, vous ne pourrez probablement pas désactiver le démarrage sécurisé sur celui-ci..

    Crédit d'image: Base Ambassadeur, John Bristowe