Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

UEFI et TPM...Quand Microsoft veut empêcher les OS alternatifs

patrick L

au fait dans uefi comment marchent ces clefs.... c'est un peu comme ssh ? mais alors qui détient la clef privée ?

sur linux et l'absence d'attaques, je pense qu'en fait windows sert d'aspirateur à virus et que les attaquants preferent taper sur "quelque chose de gros" et connu plutot que sur linux.

faut dire aussi que Linux est installé sur des routeurs de fai, des entreprises et que de s'attaquer à ces équipements cause nettement plus de risques juridiques que d'attaquer des cibles Windows.

et aussi peut être que la gestion, des accès complique bien la tâche des virus.

sinon je viens de lire un article sur ce uefi, qui me parait pas mal du tout. ca a l'air de présenter comme un logo "windows certified" alors les gens pourront acheter le matériel et ainsi accepter que seul Windows soit dessus et en connaissance de cause.

et les blocages ils existent... windows mets des secteurs fixes à la fin des disques dur de facon à ce que l'on ne puisse que "dégager" une partition très réduite en fin de disque et donc bloquer la mise en double boot. le probleme existe donc actuellement et linux continue toujours à tourner.

NooP

Non, le fonctionnement (Pour simplifier) est plus proche de GPG. Le bios contient une clé qui permets de vérifier le logiciel qui aura été signé avec la bonne clé.

Le constructeur par exemple, inclura dans l'UEFI une clé pour les produits Microsoft. Microsoft signe son application avec sa clé privée, et l'UEFI vérifie que la signature est valide. Dans le cas contraire, il refuse d'exécuter le logiciel.

Tu vois donc qu'il y aura deux intervenants : Le constructeur qui devra inclure les clés des développeurs.

C'est justement là que le bat blesse : Si demain tu développes un super OS mille fois mieux que Linux et que Windows, les gens ne pourront de toutes façons pas l'utiliser car ta clé sera inconnue de tous les PC sortis avant que tu lances sur le marché ton OS. Tes possibilités de percer sur ce marché seront limitées pas les constructeurs de PC, qui comme on peut le voir tous les jours, sont tenus par la gorge par Microsoft (Il suffit de voir le parcours du combattant pour se faire rembourser, comme la loi t'y autorise, l'os qui t'a été fourgué en racketiciel avec ton pc de grande surface).

En clair, il ne faudra même pas espérer vendre ton produit.

tshirtman

Haleth a écrit><
Actuellement, pour mettre un truc sur le bootloader, il faut avoir tout les droits sur l'OS
Après, on ne pourra plus.
Mais quel est l'interet d'un virus ? J'sais pas moi, prendre tes infos ou faire un bot qui spam.
Dans les deux cas, le bootloader, on s'en tape : c'est l'OS qui est focus.
C'est pas avec un "super bootloader resist & secure" que le virus ne pourra pas se mettre dans l'OS.. et justement, pour pouvoir, si jamais c'était necessaire, aller dans le bootloader, il faut passer par l'OS...

En gros, ce n'est nullement une solution au seul vrai probleme : un OS secure.
Limite propagande comme demarche, m'enfin.

t'as pas compris, relis mon poste, si tous les binaires sont signés, il est impossible de lancer un virus, à moins que tu le signes toi même (mais dans ce cas, je ne peux plus rien pour toi).

patrick L

NooP a écritNon, le fonctionnement (Pour simplifier) est plus proche de GPG. Le bios contient une clé qui permets de vérifier le logiciel qui aura été signé avec la bonne clé.

Le constructeur par exemple, inclura dans l'UEFI une clé pour les produits Microsoft. Microsoft signe son application avec sa clé privée, et l'UEFI vérifie que la signature est valide. Dans le cas contraire, il refuse d'exécuter le logiciel.

si j'ai bien compris mon bootloader je le signe et chiffre via ma clef privée... je demande à uefi de mettre la clef publique dans sa liste pour vérifier la signature. et tu crains que uefi refuse de mettre d'autres clefs que celle de microsoft.

et que si un systeme sort, les pc auront pas la clef publique du nouveau systeme signé. Alors on pourra toujours trouver de charger la clef et de la mettre dans uefi.

sam7

je viens de trouver par hazard ceci :
http://lwn.net/Articles/454651/
ça me semble être une bonne nouvelle
concernant le problème qui nous concerne

qu'en pensez-vous ?

Slystone

@ patrick L : est-ce que tu vérifies ce que tu avances ?

patrick L a écrit faut dire aussi que Linux est installé sur des routeurs de fai, des entreprises et que de s'attaquer à ces équipements cause nettement plus de risques juridiques que d'attaquer des cibles Windows.

Ça par exemple je me demande d'où tu le sors.

patrick L a écrit et y a des lois pour interdire la vente liée, et les sanctions peuvent etre tres dures.

Ça aussi ça me fait tiquer. Tu sais que dans le cadre d'une procédure racketiciel on n'évoque même pas la vente liée ? Les plaintes ne se font que sur la base du CLUF qui permet normalement le remboursement de l'OS, et non les sanctions ne sont pas lourdes, ce sont toujours des sommes dérisoires pour des particuliers qui ont le courage et l'énergie d'aller jusqu'au bout.

patrick L a écrit le probleme existe donc actuellement et linux continue toujours à tourner.

Oh oui, mettons encore un peu plus de batons dans les roues du libre pour voir quand il va se casser la gueule ! Ben voyons ! :rolleyes:
Non ! Si ils font un bridage volontaire, c'est inacceptable, point barre ! :mad:

tshirtman

NooP a écrit
tshirtman a écritNon, windows est la principale cible de ce genre d'attaques (qui sont assez récentes), mais linux pourrait tout à fait en être la cible, ça ne fait pas de mal de boucher une faille potentielle!
Mais qu'attendent donc les développeurs de Virus pour s'attaquer à Linux ? Ce n'est pas un problème de parts de marché, puisque Linux est beaucoup plus utilisé que Windows. Parce qu'il ne faut pas oublier que pour chaque PC windows qui surfe sur internet, il y a *AU MOINS* une machine linux ! Eh oui, la InternetBox que tu as chez toi fonctionne sous Linux. La plupart des routeurs aussi, et les serveurs que tu consultes aussi. Où alors, le problème ne viendrait pas de la, mais simplement qu'il est beaucoup plus dur de faire un virus pour une machins *nix que pour une machine Windows ! Quand au attaques 'assez récentes', laisse moi te rafraichir la mémoire : Dans les débuts de l'informatique personnelle (Années 80/90), infecter le bootloader des disques/disquettes était le truc le plus répandu ! Eh oui, Atari, Amiga et PC se faisaient véroler de cette façon. De là à dire que c'est une nouveauté ...

Tu ne m'apprends pas grand chose, juste la partie sur atari et amiga, je n'ai pas eu ces machines. Pour les unix/linux oui, ils sont mieux foutu que windows en général, mais sur les serveurs, il faut voir que ce n'est pas du tout la meme chose qu'attaquer un desktop, les serveurs effectuent des taches précises, et sont configurés par des gens compétents, qui essayent d'y toucher le moins souvent possible, les desktop sont majoritairement utilisés par des non informaticiens, à qui les messages d'erreurs font peur, qui cliquent sur "ok" sur la plupart des messages qu'ils lisent, pour s'en débarrasser au plus vite, et utilise leurs machines pour toutes sortes d'anneries, y compris aller sur des sites qui passent leur temps à essayer de leur fourguer des saloperies (sites de pr0n ou de warez), j'espère que tu saisie la différence fondamentale d'usage! Et les desktop linux se font parfois attaquer, vu qu'on commence à avoir des users pas très compétents, et pas du tout informaticiens, qui viennent juste par ce que ça marche mieux, et qu'on est pas attaqué par les fabriquants de virus. (si tu veux des références d'incidents de sécurité sur le desktop linux, je peux t'en trouver plusieurs sur ces quelques dernières années, souvent issue de l'incompétence ou la confiance aveugles d'utilisateurs de linux).

Je ne vois pas du tout quelle sécurité cela peut apporter, sinon que t'empêcher de faire ce que tu veux de TON matériel. Et faire croire que ce serait la sécurité 'ultime', laisse moi rire !

Si tu ne vois pas quelle sécurité ça apporte, d'avoir des logiciels signés numériquements par des tiers de confiance, alors dit tout de suite aux développpeurs debian/ubuntu d'arréter de signer les dépots! ça sert tellement à rien!

La sécurité ultime n'existe pas, et surement pas quand on se trimbale un OS dont certaines failles 'Highly critical' sont non patchées depuis plus d'un an (http://secunia.com/advisories/product/27467/?task=advisories --> Voir SA41984 et SA41986) et dont les autres sont patchées une fois par mois.

La chaine n'est pas plus solide que son maillon le plus faible, c'est pas une raison pour ne pas bosser sur tous, sous linux, les failles sont corrigées bien plus vite que ça, donc le secure boot permet d'améliorer un aspect plus critique pour nous de la sécurité, les rootkits et autres joyeusetés (avec une chaine de confiance comme je l'ai décrite plus haut).

Il ne faut pas être dupe ! Microsoft et les constructeurs de PC n'en ont rien à faire de TA sécurité ! La seule chose qui les intéresse est TON pognon ! Et pour eux, trouver un moyen de t'empêcher de te fournir chez la concurrence est le must le plus ultime. Alors, ils prétextent TA sécurité pour faire passer la pilule !

Les soucis de sécurité sont un problème pour eux, réellement, et peuvent leur faire perdre du marché, ils en sont conscient, et le marché, c'est du pognon.

Mais demain il sera trop tard.

«Celui qui échange la liberté contre la sécurité ne mérite ni l’une ni l’autre et perdra les deux»

Thomas Jefferson

je suis d'accord, mais j'en ai marre qu'on la sorte a tout bouts de champs, celle là :rolleyes: là on peut avoir liberté ET sécurité.

sam7 a écritje viens de trouver par hazard ceci :
http://lwn.net/Articles/454651/
ça me semble être une bonne nouvelle
concernant le problème qui nous concerne

qu'en pensez-vous ?

c'est la part du boulot technique que la communauté libre à a faire, et c'est en train d'etre fait, je m'inquiète pas, c'est la partie "trouver un accord avec les membres du commité UEFI" qui est plus compliqué, pour des raisons que j'ai expliqué avant, en français, et que matthew garrett a mieux expliqué, en anglais. Il n'y a pas de masses de solutions si on veux que nos OS libres puissent avoir les avantages du libre (que tout le monde puisse recompiler et installer son bootloader, et faire sa distribution), et j'en connais qu'une seule, que red hat va pousser. L'installation au boot à partir d'un média de boot (clé usb ou CD), qui serait la seule façon d'ajouter des clées publiques de certifications au magasin de certificat de l'UEFI. Ça ne résoud pas le soucis des boots réseaux, mais peut etre qu'ils trouveront une solution aussi pour ça.

tshirtman

http://ozlabs.org/docs/uefi-secure-boot-impact-on-linux.pdf

un peu plus officiel que les explications de Matthew Garrett sur son blog, mais grosso modo la meme chose, désolé pour les anglophobes, je vais juste traduire ce bout:

For support purposes, the mechanism provided for key management must be consistent across
platforms, and provide a simple method of booting custom software, including from removable
media. A suggested implementation may be to scan removable media for signing keys and prompt
the user for their installation, or using the specification-defined setup mode to allow key
reconfiguration

Pour des raisons de support, le mécanisme proposé pour la gestion des clés doit etre consistent d'une plateforme à l'autre, et offrir une méthode simple pour démarrer des firmwares spécifiques, en particulier depuis des médias amovibles. Une implémentation possible peut etre de scanner les médias amovibles à la recherche de clés de signatures et proposer à l'utilisateur leur installation, ou utiliser la configuration définit par la spécification pour permettre la reconfiguration de clés.

---

Pour moi c'est une solution suffisante, acceptable, relativement simple, et qui ne diminue en rien l'intéret du secure boot.

NooP

tshirtman a écritSi tu veux des références d'incidents de sécurité sur le desktop linux, je peux t'en trouver plusieurs sur ces quelques dernières années, souvent issue de l'incompétence ou la confiance aveugles d'utilisateurs de linux.

Je t'en prie, ne te prives pas de me fournir des références sur des VIRUS qui infecteraient LINUX. Et tant que tu y es, ne te prives pas non plus de me faire passer des références sur des VIRUS qui infecteraient le BOOTLOADER d'une machine sous LINUX.

Attention ! Les points importants sont ceux que j'ai mis en MAJUSCULES.

tshirtman a écritSi tu ne vois pas quelle sécurité ça apporte, d'avoir des logiciels signés numériquements par des tiers de confiance, alors dit tout de suite aux développpeurs debian/ubuntu d'arréter de signer les dépots! ça sert tellement à rien!

Ne déforme pas tout ! Je ne parle pas d'applications signées afin d'être certain que ce que tu installes provient bien de celui qui prétends l'avoir développé/compilé/intégré. Je te parle d'applications signées qui ne fonctionneront pas sur ta machine si celle ci n'en connait pas le signataire. Saisis tu la différence entre un avertissement 'Attention, ce logiciel ne semble pas provenir d'une source sure' et 'Ce logiciel ne peut pas être exécuté sur votre ordinateur' ?

tshirtman a écritLa chaine n'est pas plus solide que son maillon le plus faible, c'est pas une raison pour ne pas bosser sur tous, sous linux, les failles sont corrigées bien plus vite que ça, donc le secure boot permet d'améliorer un aspect plus critique pour nous de la sécurité, les rootkits et autres joyeusetés (avec une chaine de confiance comme je l'ai décrite plus haut).

Un proverbe (Chinois ?) dit : La seule personne qui puisse vous trahir est celle en qui vous avez confiance.
Quand en plus on ajoute "chaine de" à "confiance" dans la même phrase, je sais pas pourquoi, mais je vois instinctivement un plus grand nombre d'intermédiaires en position de "trahir" ...

tshirtman a écritLes soucis de sécurité sont un problème pour eux, réellement, et peuvent leur faire perdre du marché, ils en sont conscient, et le marché, c'est du pognon.

Qui ça eux ? Pourquoi mon PC devrait être 'homologué' par Microsoft alors que le matériel qui est dedans n'a rien à voir avec Microsoft ?
Connais tu des gens qui râlent après HP/ACER/SONY/DELL/... parce qu'ils ont attrapé un Virus sous Windows ?

Eh non ! Le seul qui risque sa réputation c'est seulement Microsoft ! Lui qui fournis cet aspirateur à véroles qu'on nomme Windows !
Et dans ce cas il lui reste deux solutions :

1) Il fait en sorte que son OS ne soit plus un bouillon de culture à virus.
2) Il s'arrange pour qu'un PC ne puisse pas fonctionner sans SON ET SEULEMENT SON système.

Et devine ! Microsoft à choisi la deuxième solution ! Et du coups, cela le dispense de régler le point 1, puisque de toutes façons, les gens n'auront d'autre choix qu'acheter son système.

tshirtman a écrit
NooP a écrit«Celui qui échange la liberté contre la sécurité ne mérite ni l’une ni l’autre et perdra les deux»

Thomas Jefferson
je suis d'accord, mais j'en ai marre qu'on la sorte a tout bouts de champs, celle là :rolleyes: là on peut avoir liberté ET sécurité.

Malheureusement, non ! Tu ne peux avoir la sécurité ET la liberté. Tu pourras tourner cela dans tous les sens, tu ne pourras jamais trouver les deux. Tu ne peux avoir la liberté de grimper dans les arbres en étant parfaitement libre de tes mouvement tout en ayant la sécurité de ne pas en tomber. Tu ne peux avoir la liberté de faire du base-jump tout en ayant la sécurité de ne pas de crasher. Tu ne peux avoir la liberté d'avoir des relations sexuelles sans le risque de contracter une maladie vénérienne. Tu ne peux avoir la liberté d'utiliser ton PC comme bon te semble tout en ayant la sécurité de ne créer aucune faille.

Et la où c'est encore pire, c'est justement quand tu fréquentes un peu dans le domaine de la sécurité ! On t'apprend que le plus dangereux est JUSTEMENT de se croire en sécurité !

Il ne suffit pas de poser un firewall pour être en sécurité ! Et le faire sans le configurer correctement, sans analyser ce qui s'y passe, et sans le maintenir te mets encore plus en dangers, simplement parce que tu CROIS que tu ne crains rien !

Alors, imposer le sécure boot dans UEFI en disant 'Vous serez en sécurité' est une vaste fumisterie. Ta maison ne sera pas plus saine, malgré que tu ais sécurisé les fondations, tant que ton toit est une passoire.

Quant au reste, ce ne sont que des souhaits. Crois tu que les constructeurs renonceront aux subventions de Microsoft/Symantec/Roxio/etc... juste pour intégrer la possibilité de justement se passer d'eux ? Grossière erreur que de croire ça !
Linux est, aujourd'hui et suivant les sites que l'on consulte, entre 1% et 5% sur le poste de travail. Crois tu qu'ils en aient quelque chose à faire de 1% ? Crois tu qu'ils perdraient les $$$$$ que leur verse Microsoft ainsi que les vendeurs de Crapwares que l'on trouve dans les PC pour ces 1% ?

Allez, un dernier petit exemple. Bon je sais, comparer l'automobile à l'informatique est toujours une mauvaise idée (Jacky Point Inside ?). Mais je ne peux de toutes façons avoir la liberté de m'exprimer sans avoir le risque de me vautrer lamentablement !!!

Citroen, Peugeot, Renault et Total on remarqué que de plus en plus de gens conduisant des véhicules de leurs marques, et alimentés en carburant Total, avaient des accidents.
Afin de remédier à cela, il vont mettre au point un système qui fera que l'auto ne démarrera pas si on fait le plein avec du carburant qui ne proviens pas de ... Total !!!

Tu remarqueras que j'ai trois constructeurs de matériel, et un (seul) fournisseur de produit permettant d'exploiter ce matériel.

Désolé, mais je ne vois pas du tout où l'on gagne en sécurité !
Par contre, je vois parfaitement bien ce que tous ceux qui roulaient avec du carburant Esso ont à y perdre !!!
Je vois tout autant ce que ceux qui souhaiteraient plus tard changer de crèmerie ont à y perdre !!!

Voila !

Ah pour finir :

Ce qui me dérange le plus dans toute cette discussion : Comment peut on être sur le forum d'un OS prônant la liberté, et vanter les 'qualités', si tant es qu'il en existe réellement, d'un truc destiné à réduire les libertés ?

inkey

Le truc que je vois moi avec ce système , c'est que surtout on ne connaît pas grand chose sur comment sera gérer les clés , et cela ça fait peur 🙁
ah tien un truc bête : si linux arrive pas a se conformer facilement , quid de BSD , Haiku , plan 9 , système fait par un gars dans son garage passera ?

Donc en fait , a mon avis , faut essayer d'obtenir le plus possible le fait que ça soit désactivable .
Et si possible pousser les fabricant a utiliser coreboot (mais là je rêve un peu) …

tshirtman

Ce que je ne comprends pas, c'est qu'on puisse prendre une décision technique sans lire un petit peu les différentes approches proposées, et leurs implications!

Moi non plus je n'accepterais pas de ne pas pouvoir manager les clés présentes dans mon ordinateur, ou au pire (mais je préfèrerai vraiment la première solution), de ne pas pouvoir désactiver le secure boot, c'est l'évidence et il n'y a pas besoin d'en débattre! J'explique juste que le secure boot, si le possesseur de la machine, et non pas l'OEM, est en charge de la gestion de clés, est vraiment une bonne chose. T'as lus le PDF que j'ai donné? écris par un architecte chez cannonical, un senior dev chez red hat, et un dev kernel, pas exactement des branques en informatique, ou des anti-libristes, à priori.

sam7

Je viens de découvrir ceci :

Nicolas Barcet a écrit If you are working for an OEM or ODM, please read this...

White Paper: Secure Boot impact on Linux « Canonical Blog
http://bit.ly/v4Y22A
Traduction "google" d'extraits du lien ci-dessus :

"Canonical , en collaboration avec Red Hat , publie aujourd'hui une livre blanc soulignant les implications de ces exigences pour les utilisateurs et les fabricants. Le document fournit également des recommandations sur la façon de mettre en oeuvre "démarrage sécurisé", afin de s'assurer que les utilisateurs restent sous le contrôle de leur PC."

"Le Forum UEFI, dont Canonical est membre, est de définir l'interface entre votre prochaine génération du système du firmware et de tout système d'exploitation qui tourne sur elle. Les nouvelles spécifications rendront les systèmes Ubuntu boot plus rapide, avoir une vie meilleure batterie et sont plus faciles à configurer."

"Boot sécurisé doit être disponible pour tous les utilisateurs
Canonical avec succès des partenariats avec les fabricants d'ordinateurs d'expédier des millions d'Ubuntu pré-installé des systèmes de chaque année. Bien que cette répartition sera de continuer à prospérer, nous sommes inquiets pour les utilisateurs désireux d'installer la distribution Linux sur un PC vendu avec Boot sécurisé "ON"."

Canonical (entre autres) est impliqué dans ce processus ... affaire à suivre donc 🙂

tshirtman

c'est fou, j'ai vraiment l'impression d'etre invisible desfois :/

helly

Anéfé >_< !

sam7

Red Hat et Canonical s'unissent pour contrer le Secure Boot.
PDF (en) : http://ozlabs.org/docs/uefi-secure-boot-impact-on-linux.pdf

Canonical and Red Hat Join Forces to Stop Secure Boot - Softpedia
http://news.softpedia.com/news/Canonical-and-Red-Hat-Join-Forces-to-Stop-Secure-Boot-230834.shtml

tshirtman

>_>

tshirtman

il y a 24 heures tshirtman a écrithttp://ozlabs.org/docs/uefi-secure-boot-impact-on-linux.pdf

un peu plus officiel que les explications de Matthew Garrett sur son blog, mais grosso modo la meme chose, désolé pour les anglophobes, je vais juste traduire ce bout:
For support purposes, the mechanism provided for key management must be consistent across
platforms, and provide a simple method of booting custom software, including from removable
media. A suggested implementation may be to scan removable media for signing keys and prompt
the user for their installation, or using the specification-defined setup mode to allow key
reconfiguration
Pour des raisons de support, le mécanisme proposé pour la gestion des clés doit etre consistent d'une plateforme à l'autre, et offrir une méthode simple pour démarrer des firmwares spécifiques, en particulier depuis des médias amovibles. Une implémentation possible peut etre de scanner les médias amovibles à la recherche de clés de signatures et proposer à l'utilisateur leur installation, ou utiliser la configuration définit par la spécification pour permettre la reconfiguration de clés.

---

Pour moi c'est une solution suffisante, acceptable, relativement simple, et qui ne diminue en rien l'intéret du secure boot.

edit, et l'article de softpedia est faux, il ne s'agit pas de combattre le secure boot, mais de s'arranger pour qu'il soit une bonne chose pour nous.

Haleth

tshirtman, si j'ai bien compris, il ne s'agit pas de signer tout les prgm, mais seulement un unique prgm : le bootloader (et / ou un bout d'OS, j'sais pas trop)
Dans ces conditions, une fois qu'un OS valide est lancé, tu peux faire tourner n'importe qu'elle saloperie dessus, impunement.
Remarque, il faut deja faire ca pour contaminer le bootloader, ce qui reviens à ma remarque précendent : UEFI = serpent qui se mord la queue.

tshirtman

Non, on peut actuellement signer tout le reste, pas le bootloader, hors, celui ci est la base de tout le reste, et ne pas pouvoir le signer crée une impossibilité de sécuriser toute la suite, vu que toute étape non signé peut compromettre les suivantes, en remplaçant un binaire par un autre. Sécuriser le bootloader est donc une étape importante, indispensable à la sécurisation du reste.

Sinon windows signe déjà actuellement les binairs, et demande confirmation de lancement quand ça vient d'internet ou quand la signature n'est pas connue (ou absente), ça n’empêche pas de dire "oui" si on sait ce qu'on fait.

Après, UEFI ne résoudra pas les soucis de windows une fois lancé, mais ça limitera les dégats d'une augmentation de privilèges. Remarque, chez nous aussi les augmentations de privilèges du à des failles de sécurités arrivent, et permettent souvent d'executer du code arbitraire, et donc de modifier le système. Valider le bootloader, et par effet cascade, tout le reste, permettrait d'avoir simplement à redémarrer un système pour le récupérer "clean".

Haleth

Ouais, ok, j'ai compris.
Sous la majorité des distrib nux, tu as des gestionnaires de paquets.
Sous win, quand tu veux un truc, tu prend l'premier lien sur google, et tu test voir si ca fonctionne ou pas.

« Page précédente Page suivante »