Le boot de Windows 8 ne bloquera pas Linux, selon Microsoft
Pourra-t-on installer Linux sur les PC livrés avec Windows 8 ?
Le gestionnaire de boot UEFI, qui remplacera le Bios sur les PC Windows 8, pourrait bloquer l'installation de systèmes alternatifs sur le PC. La communauté du logiciel libre est en émoi, mais un spécialiste de Linux appelle à ne pas s'inquiéter trop tôt.
Tout a commencé par un énième article du blog Building Windows 8, sur lequel Microsoft égrène chaque jour des informations sur son prochain système d'exploitation. L’éditeur y détaille les modifications apportées au démarrage, et notamment la disparition du bon vieux Bios, présent sur les PC depuis 30 ans.
Le cahier des charges de Windows 8 obligera en effet les partenaires de Microsoft à utiliser le gestionnaire de boot UEFI dans leurs nouveaux PC. Cette technologie encore en devenir (qui remplacera à terme l’EFI utilisé par Apple sur ses Mac) est plus souple que le Bios mais aussi plus sûre. Microsoft insiste sur ce point : sa fonction de boot sécurisé, Secure Boot, devrait limiter les dégâts de certains logiciels malveillants particulièrement retors, comme les bootkits et les rootkits.
Impossible d’installer Linux sans une clé spécifique : Une belle idée, mais dont les implications déplaisent foncièrement à Matthew Garrett, développeur Linux chez Red Hat. Dans un billet remarqué, il explique en détail pourquoi le Secure Boot de l'UEFI pourrait être dangereux pour les systèmes alternatifs : « L’UEFI permet d’installer une ou plusieurs clés de signature sur le firmware d’une machine. Quand il fonctionne, Secure Boot empêche le chargement des exécutables et des pilotes à moins qu’ils n’aient été signés par une de ces clés. »
Autrement dit, l'installation d'un système ou d'un élément matériel dans la machine devra être autorisée par une clé spécifique dans le firmware. Le développeur indique donc que les futurs ordinateurs équipés de Windows 8 et « livrés seulement avec les clés du fabricant du PC et de Microsoft ne seront pas en mesure de “booter” une copie générique de Linux ». Ni d’ailleurs une autre version de Windows !
La responsabilité des fabricants : Selon Garrett, rien n’indique cependant que Microsoft interdira aux fabricants de fournir un firmware capable de désactiver Secure Boot et donc de faire tourner du code non signé sur le PC. En revanche, certains fabricants pourraient être tentés de négliger cette option :
« L’expérience montre que de nombreux vendeurs de firmwares et d’OEM préfèrent ne fournir que le minimum de fonctions requises pour leur marché. Il est presque indubitable que certaines machines seront vendues avec l’option permettant de désactiver [Secure Boot]. De la même façon, il est presque certain que ce sera impossible sur d’autres. » Et Garrett de conclure : « Ce n’est probablement pas la peine de paniquer tout de suite. Mais mieux vaut s'en préoccuper. »
Un danger pour les Linuxiens, et un casse-tête en perspective pour les consommateurs qui voudraient exploiter toutes les possibilités de leur PC ? Ils devront peut-être désormais vérifier s’il est possible d’installer d’autres systèmes d’exploitation que celui qui est fourni avec…
Réponse Microsoft :
Microsoft a rapidement réagi au début de polémique suscité par le billet de Matthew Garrett. Toujours sur le blog Building Windows 8, Steven Sinofsky et Tony Mangefeste, de l’équipe « écosytème », ont apporté des éclaircissements sur la façon dont le prochain système d'exploitation gérerait la fonction de boot sécurisé de l’UEFI.
« Le boot sécurisé est un protocole de l'UEFI et non une fonction de Windows 8 », précisent-ils d’emblée, avant d'ajouter que « Windows 8 utilise Secure Boot pour s’assurer que l’environnement avant le chargement de l’OS est sécurisé ». Autrement dit : pour les besoins de son fonctionnement, pas pour empêcher un autre système de démarrer.
Pour qu'un PC soit certifié « Windows 8 », Mangefeste explique que Secure Boot doit être activé par défaut et que le firmware ne doit pas autoriser un contrôle automatisé de cette fonction. Cela afin d’empêcher un programme malveillant de modifier le paramètre.
Mais l’éditeur affirme surtout que c’est aux fabricants de PC d'adapter comme ils le souhaitaient leur firmware. Microsoft « ne contrôle pas les réglages sur le firmware d’un PC sur d’autres OS que Windows ». Pour prouver sa bonne foi, Mangefeste montre un écran de réglage de la tablette Samsung que la firme a fournie aux développeurs présents à la conférence Build, et qui permet effectivement de désactiver le boot sécurisé. (Source 01 net)