UEFI Secure Boot et les tablettes/téléphones Windows 8 - conclusion ?

Posté par  . Édité par Florent Zara, Benoît Sibaud et claudex. Modéré par patrick_g.
Étiquettes :
44
19
jan.
2012
Matériel

On se doutait à peu près tous que cette histoire allait se terminer comme ça, mais on en a maintenant une confirmation officielle. Secure Boot, la fonctionnalité du « nouveau BIOS » UEFI permettant d'empêcher le boot d'un OS non signé, va effectivement être utilisé pour restreindre l'exécution d'OS ne venant pas de la firme de Redmond sur leurs tablettes ARM.

NdM : merci à Pierre Bourdon pour son journal.

C'est le SFLC qui nous a fait part de cette nouvelle le 12 janvier dernier, en se basant sur les « Certification Requirements » fournis par Microsoft pour que les produits puissent être certifiées « Windows 8 compatible ». Dans leur article, ils précisent notamment :

  • Que le « Custom Mode » permettant d'ajouter des signatures personnelles devra être désactivé et ne devra pas pouvoir être réactivé ;
  • Que le « Secure Boot » devra être forcé et non désactivable. Oui oui.
  • Qu'étant donné que Microsoft n'a pas assez de parts de marché sur le marché mobile ça ne peut pas être vu comme un abus de position dominante (aka antitrust).

Et encore une fois une fonctionnalité abusable a été abusée. Bon, bah faudra hacker du bootloader :-)

Aller plus loin

  • # trop gros...

    Posté par  (site web personnel) . Évalué à -3.

    pour qu'on ne le voie pas arriver 3km à la ronde...

    "You want me to disable a security feature so I can boot into this Linux thing?" //http://www.omgubuntu.co.uk

    • [^] # Re: trop gros...

      Posté par  . Évalué à 4.

      plus c'est gros plus ça passe

      • [^] # Re: trop gros...

        Posté par  . Évalué à 1.

        En même temps, c'est (malheureusement) souvent le cas pour tout ce qui n'est pas du PC, ceci incluant les smartphones, tablettes et dérivés. Par exemple, le Asus EEEpad ne fait pas exception (bien qu'il ressemble de loin à quelque chose qui puisse faire netbook) : http://ritchiesroom.com/2012/01/03/asus-transformer-prime-bootloader-locked/

        • [^] # Re: trop gros...

          Posté par  . Évalué à 1.

          Sauf que sous la pression de quelques utilisateurs, Asus fournira les outils pour déverrouiller le bootloader ...
          Tant qu'on est sur un marché de niche ultra concurrentiels, quelques geeks peuvent encore forcer la main à un constructeur ...quand on distribuera du W8 comme du XP, ce sera une autre paire de manche !

          • [^] # Re: trop gros...

            Posté par  . Évalué à 10.

            quand on distribuera du W8 comme du XP, ce sera une autre paire de manche

            Tu voulais sûrement dire : "Quand on le distribuera dans les mêmes volumes". Parce que sinon j'ai plutôt l'impression que le W8 on va le "distribuer" comme XP, à gros coûts d'entubage commercial...

            • [^] # Re: trop gros...

              Posté par  . Évalué à 3.

              Tu voulais sûrement dire :

              dans tous les sens du termes ... De toute façon no est perdant ...

              Le truc qui m'agace reste quand je montre que sous linux une tablette ARM est dèjà utilisable comme un ordinateur : open office, gimp, firefox, etc, mon N900 à l'appui. Mais làon m’explique que cela ne sert à rien ... Par contre dès que M$ aura porté sa suite sur W$8/ARM, tout d'un coup cela va devenir indispensable ! Et probablement que l'on nous racontera que l'on peut enfin utiliser une suite sur une tablette grace à M$ !

          • [^] # Re: trop gros...

            Posté par  . Évalué à 0. Dernière modification le 17 février 2012 à 02:29.

            Tu rêves pour Asus.

  • # Seulement tablettes et téléphones?

    Posté par  . Évalué à 6.

    Les ordinateurs portables et de bureau à base de puces ARM sont-ils exclus de ces restrictions?

    • [^] # Re: Seulement tablettes et téléphones?

      Posté par  . Évalué à 4.

      En lisant les docs en lien, il n'y a pas l'air d'y avoir d'exclusion spécifiques en fonction du type de machine. Le fait que ça utilise une puce ARM suffit pour tomber dans le cas avec le secure boot obligatoire.

  • # Turing-incomplétude

    Posté par  (site web personnel) . Évalué à -2.

    ces machines ne sont donc pas des systèmes Turing-complet ?

    ce commentaire est sous licence cc by 4 et précédentes

    • [^] # Re: Turing-incomplétude

      Posté par  . Évalué à 2.

      Quel rapport avec quoi que ce soit ? On peut évidemment écrire une machine de Turing (limitée par la RAM) sous Windows 8.

      • [^] # Re: Turing-incomplétude

        Posté par  (site web personnel) . Évalué à 2.

        oui c'était plus une boutade qu'une réflexion sérieuse.

        Si la tablette w8 est une machine de Turing, on est sensé pourvoir y représenter toutes les fonctions calculables, Linux, par exemple, est une des ces fonctions. Dans la réalité, si le Linux n'est pas démarré à la place de w8, on peut l'exécuter tout de même dans la tablette, par exemple dans un navigateur de w8 avec jslinux, ou peut-être qu'on pourra y faire tourner un coLinux.

        Bref, oui c'est une machine Turing-complet, on peut représenter toutes les fonctions calculables, mais certaines fonctions calculables sont rendues volontairement difficiles à représenter. On va dire qu'elle est Turing-complète, mais de très mauvaise facture, voire defective by design.

        ce commentaire est sous licence cc by 4 et précédentes

    • [^] # Re: Turing-incomplétude

      Posté par  . Évalué à 4.

      En quoi ne le seraient-elles pas ?

      Elles le sont avec le système signé qui va tourner dessus !

      Ha flûte c'est vrai, du coup on ne pourra plus savoir si elles sont neutralement Turing-complet.

  • # Oh quelle surprise...

    Posté par  . Évalué à 10.

    et apres on veut nous faire croire que Microsoft ils sont devenus gentil... Microsoft a toujours la meme attitude et visiblement on ne pourra jamais leur faire confiance (dans le bon sens du terme).

    • [^] # Re: Oh quelle surprise...

      Posté par  . Évalué à 10.

      je me rappelle la remarque qui nous expliquait que MS avait changé, sous prétexte qu'il subventionne quelques salons linux ...

      M$ ne change pas et c'est surement pas S. Balmer qui va impulser un changement dans un autre sens !

    • [^] # Rien ne m'étonne

      Posté par  . Évalué à -1. Dernière modification le 19 janvier 2012 à 20:51.

      Il faut retourner au fondement, Microsoft est une société commercial

      Donc le but est de maximiser le profit qu'ils pourront porter à leur actif patrimonial et dont les actionnaires pourront se partager les bénéfices.

      Le controle de l'ordinateur, permet de controler les conditions la plate forme qui est la principal source de leur revenue. Il est vital qu'il le controle (c'est la meme idée avec IE et MSN lorsqu'ils sont né) . C'est la dynamique meme du captalisme actionnarial (aucun sens péjoratif ici )

      Donc partant de là, l'on peut déduire tout un tas de conséquence par extention du modèle...

      (tout comme l'on pouvait déduire tout un tas de conséquence par extention du modèle du logiciel libre -wikipedia, open hardware, creative commons ... )

      • [^] # Re: Rien ne m'étonne

        Posté par  . Évalué à 10.

        Il faut retourner au fondement, Microsoft est une société commercial
        Donc le but est de maximiser le profit

        C'est lumineux !
        Ah non, c'est juste gonflant de lire la même phrase bateau à chaque fois que l'on parle d'une société.

        • [^] # Re: Rien ne m'étonne

          Posté par  . Évalué à 1. Dernière modification le 20 janvier 2012 à 11:04.

          Je suis ouvert à tous éléments d'explication qui permet d'éclairer le comportement de Microsoft .

          • [^] # Re: Rien ne m'étonne

            Posté par  . Évalué à 4.

            des personnes qui ne veulent qu'avoir des clients captifs et pour lequels le mot "moral" n'a aucun sens ?

            • [^] # Re: Rien ne m'étonne

              Posté par  . Évalué à 1. Dernière modification le 20 janvier 2012 à 13:23.

              c'est simplement par leur objectif, on ne peut pas leur reprocher ce pourquoi elle n'a pas été faite... D'ailleur , Cela irait simplement à l'encontre de leur spécialité légal et statutaire.

              Par contre on peut "apprécier" les tactiques qu'elles utilisent pour arriver à leur finalité (comme quoi la bassesse n' a pas de mesure ) .

      • [^] # Re: Rien ne m'étonne

        Posté par  . Évalué à 2.

        Je ne comprends pas vraiment l'intérêt de bloquer l'installation d'OS alternatifs sur plateforme ARM, étant donné que ça ne concerne que trois geek à lunettes dans leur garage. En fait, les plateformes ARM n'étant pas plug & play, même installer un Android 2.2 sur une machine Android 1.6 est déjà très difficile (pilotes à porter manuellement au nouveau noyau).

        Quant aux vendeurs comme HTC qui vendent certaines machines avec Windows Phone 7 ou Android, le dual boot leur sera interdit (s'ils veulent le logo), mais ils peuvent toujours vendre deux modèles... Voire, un modèle Windows 8 certifié et un modèle dual boot sans logo.

        Peut-être Microsoft craint-il que ça faciliterait le contournement des DRM.

        • [^] # Re: Rien ne m'étonne

          Posté par  . Évalué à 3.

          Le principe aussi c'est qu'une machine arm "toto" n'a pas du tout la même puce qu'une machine arm "titi".

          arm ne donne que des blocs de propriété intellectuelle, et ensuite les != entreprises fondent par exemple un processeur avec un bloc ethernet, une carte son; alors qu'un autre mettra 2 bloc ethernet et un bloc sata en rabe.
          Ca permet d'avoir un système intégré qui répond à une problématique précise, avec une très faible consommation, et à peu près compatible (même instructions asm, ...) mais forcément les périphs intégré peuvent être différents.

        • [^] # Re: Rien ne m'étonne

          Posté par  (site web personnel) . Évalué à 5.

          Je ne comprends pas vraiment l'intérêt de bloquer l'installation d'OS alternatifs sur plateforme ARM, étant donné que ça ne concerne que trois geek à lunettes dans leur garage

          C'est peut-être parce que que justement dans ce domaine, il n'y aura pas grand monde pour râler, et que ça permet d'industrialiser le process sans grand obstacle. Après, une fois que les industriels seront habitués et trouveront normal de travailler ainsi, ça coûtera pas grand chose (et peut-être semblera moins cher) d'étendre la méthode de travail pour le reste du marché.

          ce commentaire est sous licence cc by 4 et précédentes

        • [^] # Re: Rien ne m'étonne

          Posté par  . Évalué à 2.

          pour étouffer la contestation dans l'oeuf, et son corrollaire : l'alternative

  • # Defective by design

    Posté par  (site web personnel) . Évalué à 10.

    C'est pas comme si c'était la première fois qu'on essayait de nous vendre du matériel verrouillé jusqu'à l'os (oh le jeu de mot trop mauvais).

    Moi c'est comme d'habitude avec ce matériel-là : il peut pourrir dans le magasin, je ne lui accorderai même pas un regard.

    Malheureusement, on sera toujours une minorité à dénoncer (et boycotter) ces prisons numériques et ça ne suffira donc pas à les atteindre là où ça leur fait vraiment mal (au portefeuille).
    Avant, fallait pousser les moutons à coup de pied vers l'abattoir. Depuis cette invention géniale qu'est le marketing, même plus besoin de berger (ça fait un emploi en moins donc du bénéfice en plus) : le mouton court de lui-même poser sa tête sur le billot.

  • # MS-ARM seukaize

    Posté par  . Évalué à 0.

    Hé bien comme ça, ceux qui achèteront des tablettes MS-ARM ne nous emm..... plus. (et hop, je m'auto-godwine)

  • # Mais sur PC...

    Posté par  . Évalué à 8.

    C'est assez étonnant de voir que les nouvelles règles de certification Microsoft font une différence énorme entre x86 et ARM.

    1) Sur ARM, le "Secure Boot" ne doit pas pouvoir être désactivé, même par action explicite de l'utilisateur. L'utilisateur ne peut pas non plus ajouter de nouvelles clés.

    2) Sur les plateformes non ARM (x86-32 et 64), le "Secure Boot" doit pouvoir être désactivé par action explicite et manuelle de l'utilisateur. L'utilisateur doit aussi avoir la possibilité d'ajouter de nouvelles clés manuellement (via le Custom Mode).

    Donc, les utilisateurs PC peuvent se rassurer. Je suppose que Microsoft craint que sans ça, il lui soit impossible d'upgrader à Windows 9 sur les PC Windows 8, même si en théorie, le système de signature le permettrait.

    Référence: Page 116 du Windows 8 Hardware Certification Requirements: http://download.microsoft.com/download/A/D/F/ADF5BEDE-C0FB-4CC0-A3E1-B38093F50BA1/windows8-hardware-cert-requirements-system.pdf

    • [^] # Re: Mais sur PC...

      Posté par  . Évalué à 5.

      Je crois qu'ils ont plutôt peur de se faire attaquer pour abus de position dominante.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Pas vraiment étonnant

    Posté par  . Évalué à 2.

    On peut soupçonner une volonté de M$ de participer financièrement aux tablettes pour mettre le pied dans un marché ou ça pdm est négligable. (Exemple dernièrement avec nokia )

  • # ça me rappelle quelque chose...

    Posté par  (site web personnel) . Évalué à 5.

    Palladium, l'ancêtre de vista !
    A l'époque ils avaient fait machine arrière parce qu'il fallait intégrer cette fonctionnalité dans tous les BIOS et que c'était compliqué !
    maintenant qu'il y a UEFI et son architecture modulaire, Microsoft rééssaye, et à plus de chance de succès :(
    Un article intéressant de la part de l'ingénieur de Red Hat qui s'est penché sur le problème (en anglais) http://mjg59.dreamwidth.org/9844.html

    L'informatique de confiance, mais confiance à qui ? Pour ceux qui ne l'on pas déjà visionné : Le film soutenu par l'APRIL

  • # Je sors .....

    Posté par  . Évalué à 2.

    Juste sur la forme...

    Posté par Pierre Bourdon (jabber id) le 19/01/12 à 15:35. Modéré par patrick_g.

    NdM : merci à Pierre Bourdon pour son journal.

    J'en conclus que Pierre Bourdon peut se remercier lui-même :)

    Allez hop ========>>>> []

    • [^] # Re: Je sors .....

      Posté par  (site web personnel) . Évalué à 3.

      Pour info, NdM veut dire « note du/des modérateur(s) ». Donc c'est lui/eux qui remercie(nt). Couvre toi bien avant de sortir, fait pas chaud.

  • # M$ nous rend service

    Posté par  . Évalué à 0.

    Le fait que les tablettes sous ouinouin huit soient bien bloquées nous évitera la tentation d'en acheter pour y mettre un vrai OS et par là de payer la taxe M$, comme sur les PC de bureau et les portables.
    Merci donc.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.