IDF 2012 : des plans pour Linux et le support de l'UEFI Secure Boot

Intel démontre qu'il est possible de bénéficier de l'UEFI Secure Boot avec Linux.

Les prochaines générations de cartes mères et même quelques unes actuellement vendues dans les boutiques informatiques proposent le support de l'UEFI Secure Boot. Cette fonctionnalité propose de verrouiller le démarrage d'un système qui a été altéré, par exemple lors d'une attaque virale, par une signature numérique de l'ensemble des composants de la machine.

Cependant, lors de l'annonce de Microsoft demandant à ses partenaires d'activer la fonctionnalité pour obtenir la précieuse certification, la communauté Linux s'est exprimée sur le sujet demandant tout simplement de revoir cette position. L'IDF 2012 est l'occasion pour Intel de montrer qu'il est possible d'avoir un système Linux certifié pour qu'il fonctionne avec UEFI Secure Boot.

IDF 2012 : UEFI Secure Boot pour Linux (1)IDF 2012 : UEFI Secure Boot pour Linux (2)IDF 2012 : UEFI Secure Boot pour Linux (3)IDF 2012 : UEFI Secure Boot pour Linux (4)

La première solution évoquée par la communauté est la possibilité de désactiver cette fonctionnalité, tout simplement. Mais Intel précise que cela n'est pas souhaitable pour les entreprises qui utilisent Linux comme système d'exploitation mais qui désirent plus de sécurité, et notamment celle offerte par le Secure Boot. Pour y parvenir, les distributions et le noyau Linux doivent prendre en considération deux problématiques : la gestion du code signé et non signé, et les pilotes de démarrage à migrer vers l'UEFI.

Intel a pris l'exemple de deux distributions qui parviennent maintenant à prendre en charge le Secure Boot, Ubuntu 12.10 et Fedora 18. L'implémentation du premier signe son bootloader qui va alors charger le noyau Linux sans vérification de ce dernier. C'est assez trivial, mais la chaine de sécurisation du point de vue de l'UEFI n'est pas cassée. Fedora 18, qui sera disponible au mois de novembre de cette année, prend totalement en charge l'UEFI Secure Boot, que ce soit au niveau de la signature du bootloader, des pilotes et du noyau Linux. Les développeurs sous Fedora 18 auront par contre une mauvaise surprise, quelques fonctions de debug disparaissent et la sécurité du système ne pourra pas être désactivée sous peine de ne plus pouvoir démarrer. De plus, Fedora 18 fait l'impasse sur de vieux pilotes de cartes graphiques qui ne peuvent pas passer sur cette nouvelle implémentation.

IDF 2012 : UEFI Secure Boot pour Linux (7)  IDF 2012 : UEFI Secure Boot pour Linux (15)
Consulter la présentation complète (18 diapos)

Notons que SUSE Linux a aussi dans ses cartons quelques idées pour prendre en charge l'UEFI Secure Boot. Cette distribution aurait également dans l'idée de rendre le passage plus simple vers cette plateforme et aider les développeurs et la communauté à travailler avec le Secure Boot tout en ayant un bootloader et un kernel entièrement personnalisé. Si c'est bien le cas, les entreprises qui souhaitent avoir plus de sécurité pour leurs postes de travail mais qui utilisent Linux comme plateforme principale pourront exploiter l'UEFI Secure Boot.

COMMENTAIRES
Lire le commentaire

Les commentaires sur ce document sont clos.

Publié le Par Denis Leclercq
Catégorie : Logiciels
Tags : ,
1 commentaire
EN SAVOIR PLUS
GALERIE D'IMAGES
POUR NOUS SUIVRE...
newsletter

ACTUALITÉS
Macworld
PCWorld