Table des matières
Intro
I hope this is the first of a new column. I’d like to use this space to show articles that take a single subject and explain (briefly, and simply) the history, some behind-the-scenes information, and how the software we use interacts with the chosen subject. Send your articles to articles@fullcirclemagazine.org Here are some ideas to help get you creative: newsgroups, IRC, BitTorrent, email, the web, video codecs, PGP encryption, the kernel, graphics tablets…
J'espère que ce sera le premier article d'une nouvelle série. Je voudrais utiliser cet espace pour des articles qui ont un sujet unique et pour en expliquer l'histoire (brièvement et simplement), quelques informations en coulisses et la façon dont les logiciels que nous utilisons interagit avec le sujet choisi. Envoyez vos articles à articles@fullcirclemagazine.org
Voici quelques idées pour contribuer au développement de votre créativité : les newsgroups, les IRC, BitTorrent, les e-mails, le web, les codecs vidéo, le chiffrement PGP, le noyau, les tablettes graphiques …
BIOS
Before we delve into what UEFI (Unified Extensible Firmware Interface) is, let’s take a step back and review what we have at the moment. When your computer is powered up, your BIOS (Basic Input Output System) kicks in and does a quick check of your hardware to ensure everything that is required is plugged and in good working order. Should anything be out of place, you will hear beeps from the computer’s built-in speaker. These beeps, similar to morse code, tell you what is wrong. The BIOS does have a user interface to allow configuration. This is usually seen by pressing Del, F1, or something similar. Once your BIOS is happy that the system is OK, it will begin loading the operating system. Since the BIOS system has been around (in one form or another) since the mid-70s, it’s definitely time for it to be replaced. UEFI will be that replacement. Well, sort of.
Avant de nous plonger dans ce qu'est l'UEFI (Unified Extensible Firmware Interface), prenons un peu de recul et examinons ce que nous avons à l'heure actuelle.
Lorsque vous allumez votre ordinateur, votre BIOS (Basic Input Output System) entre en action et fait une vérification rapide de votre matériel pour s'assurer que tout ce qui est nécessaire est branché et en bon état de fonctionnement. Si quelque chose est erroné, vous entendrez des bips du haut-parleur de l'ordinateur. Ces bips, semblables au code morse, vous disent ce qui ne va pas. Le BIOS a une interface utilisateur qui en permet la configuration. On le voit habituellement en appuyant sur Suppr, F1, ou quelque chose de similaire.
Une fois que votre BIOS est heureux avec votre système, il va commencer à charger le système d'exploitation.
Puisque le système du BIOS existe (sous une forme ou une autre) depuis le milieu des années 70, il est certainement temps de le remplacer. L'UEFI sera ce remplaçant… eh bien, en quelque sorte.
UEFI
UEFI Many tout UEFI as a replacement, but really it works with the BIOS in booting the computer. The idea behind it is that UEFI is a mini-OS which will be mouse driven (with a GUI), and even have its own command-line prompt. Being a mini-OS in storage somewhere means that this new look BIOS will be multi-language, and potentially remove the need for the old morse code beeps. It all sounds great so far, so why the outrage? Secure Boot UEFI has a feature called ‘secure boot’ that will disable hardware, drivers and other loaders that do not have a digital signature. Think of a digital signature as being a certificate from the manufacturer to say that this is genuine hardware/software. Booting is a bit complicated, but simply put: when secure boot is enabled, it requires that hardware/software show some form of ID, and if the ID matches known legitimate ID’s in a database, then everything moves along swiftly. But this is where the potential arguments arise.
UEFI
Beaucoup vantent l'UEFI en remplacement, mais en réalité il travaille avec le BIOS au démarrage de l'ordinateur. L'idée derrière cela est que l'UEFI est un mini-OS qui sera commandé à la souris (avec une interface graphique) et aura même sa propre ligne de commande. Être un mini-OS stocké quelque part implique que ce BIOS nouveau look sera multi-langue et pourra éventuellement supprimer la nécessité des vieux bips en morse. Tout cela semble sympa jusqu'ici, alors pourquoi s'indigne-t-on ?
Secure Boot
L'UEFI a une fonctionnalité appelée « Secure Boot » qui désactivera le matériel, les pilotes et les autres chargeurs qui n'ont pas de signature numérique. Pensez à une signature numérique comme étant un certificat délivré par le fabricant pour dire que c'est un matériel ou un logiciel d'origine. Le processus de démarrage est un peu compliqué, mais, de façon simple : quand le « Secure Boot » est activé, il faut que le matériel/logiciel montre une sorte de carte d'identité, et si son ID correspond à un ID légitime et connu dans une base de données, alors tout ira rapidement. Mais c'est là, que se pointent des arguments potentiels.
Authentification
Finger Pointing Before blaming Microsoft, which everyone seems to do, remember that secure boot is part of UEFI, it just happens that Windows 8 will use it. The problem is that Microsoft has demanded that all hardware marked as being for Windows 8 should have secure boot enabled by default. This means that Linux would not be able to boot, or dual-boot, since it doesn’t have a valid form of ID. Hardware vendors who aren’t aligned with Microsoft will have the ability to tweak UEFI and secure boot as they see fit, but, as I’m sure you can imagine, they’ll be few and far between. Microsoft has specified that on X86 (Intel or AMD) machines with the Windows 8 logo, you will be able to disable secure boot (i.e.: enter custom mode) which will allow Linux to boot. The problem is that most users really won’t want to make their shiny new Windows 8 machine potentially vulnerable. And for good reason. Credentials So wait, what if Linux was to get a valid ID. Well, that might conflict with the GPL (GNU Public License) that Linux conforms to. The valid ID would need to be kept a closely guarded secret which would cause problems when releasing source code, as doing so would reveal that distro’s unique digital signature. Initially the same was thought of GRUB 2 (the Ubuntu boot loader), but this has now been resolved and Ubuntu 12.10+ will continue using GRUB 2. Another way is: if you can’t beat them, join them. Fedora has forged an alliance with Microsoft and paid the $99 (€77) to obtain a secure boot key.
Dénonciation
Avant de blâmer Microsoft, comme tout le monde semble le faire, rappelez-vous que le démarrage sécurisé fait partie de l'UEFI ; il se trouve tout simplement que Windows 8 va utiliser ce dernier. Le problème est que Microsoft exige que tous les matériels marqués comme étant pour Windows 8 devraient avoir le démarrage sécurisé activé par défaut. Cela signifie que Linux ne serait pas en mesure de démarrer, même en double amorçage, car il n'aurait pas de certificat valide. Les vendeurs de matériel qui ne sont pas liés à Microsoft auront la possibilité de modifier l'UEFI et le démarrage sécurisé comme ils l'entendent, mais, comme que vous pouvez certainement l'imaginer, ils seront rares.
Microsoft a précisé que sur les machines X86 (Intel ou AMD) avec le logo Windows 8, vous serez en mesure de désactiver le démarrage sécurisé (c'est-à-dire passer en mode personnalisé), ce qui permettra à Linux de démarrer. Le problème est que la plupart des utilisateurs ne voudront pas rendre leur machine Windows 8 flambant neuve potentiellement vulnérable. Et ils ont raison.
Certificats
Attendez : et si Linux obtenait un ID valide. Eh bien, cela pourrait être incompatible avec la Licence GPL (GNU Public License), à laquelle Linux se conforme. Le certificat valide devra rester un secret bien gardé qui poserait des problèmes lors de la publication du code source, car cela révélerait l'unique signature numérique de cette distrib. Au début, on pensait la même chose pour GRUB 2 (le chargeur de démarrage Ubuntu), mais cela a été résolu et Ubuntu 12.10 et plus continueront d'utiliser GRUB 2.
Une autre voie est la suivante : à défaut de pouvoir les battre, rejoignez-les. Fedora a forgé une alliance avec Microsoft et payé les $99 (77€) pour obtenir une clé de démarrage sécurisée.
End
Summation In summing up: • UEFI is not Microsoft • Windows 8 logo machines must have secure boot enabled • Users can, if they wish, disable secure boot • Disabling secure boot leaves Windows 8 vulnerable • Secure boot keys must be kept secure • UEFI does not replace the BIOS, but works with it Oh, and I should mention that there is one other company enforcing secure boot on machines pre-loaded with their OS. Canonical. Oh, the irony…
Résumé
En résumé : • UEFI n'est pas Microsoft. • Les machines ayant le logo Windows 8 doivent avoir le démarrage sécurisé activé. • Les utilisateurs peuvent, s'ils le désirent, désactiver le démarrage sécurisé. • Désactiver le démarrage sécurisé rend Windows 8 vulnérable. • Les clés de démarrage sécurisé doivent être conservées en toute sécurité. • UEFI ne pas remplace pas le BIOS, mais il travaille avec.
Oh, et je dois dire qu'il y a une autre entreprise qui oblige le démarrage sécurisé sur les machines pré-chargées de leur système d'exploitation. Canonical. Oh, l'ironie…