Windows 8 et UEFI. Le contexte dangereux de Windows 11 et TPM

Windows 8 et UEFI

Cette série d'articles a deux objectifs. Le premier est démontrer que Windows 11 est une excellente opportunité d'étendre le marché Linux. La seconde, pour prévenir que si Linux ne profite pas de cette opportunité, nous pouvons revenir 30 ans en arrière aux jours sombres de la vassalité informatique.

Dans le article précédent J'ai donné mon point de vue selon lequel Microsoft, apprenant des erreurs d'IBM, essaie de réaffirmer sa suprématie sur les utilisateurs, leur demandant quel matériel acheter et, sur les fabricants de matériel, déterminant lesquels peuvent ou ne peuvent pas exécuter Windows.

Maintenant, je veux vous rappeler l'antécédent. D'une demande de Microsoft que Linux ne connaissait pas ou ne pouvait pas faire face.

Windows 8 et UEFI. Le module Discord

En octobre 2012, Microsoft a annoncé la sortie de Windows 8. Il a également déclaré que les ordinateurs qui avaient l'intention de l'apporter pré-installé devraient utiliser UEFI au lieu du BIOS.

Qu'est-ce que l'UEFI ?

UEFI est l'acronyme en anglais de Unified Extensible Firmware Interface ou Unified Extensible Firmware Interface. Sa fonction est de démarrer tout le matériel connecté à l'ordinateur et de lancer le système d'exploitation. En fait, nous pouvons le considérer comme un système d'exploitation réduit responsable du démarrage de la carte mère de l'ordinateur et des composants matériels associés. En d'autres termes, cette interface est chargée de charger un bootloader spécifique dans la mémoire principale. Ce sera celui qui initiera les actions de démarrage de routine. Une fois terminé, nous verrons l'écran de connexion qui nous permettra d'utiliser le système d'exploitation.

Comme c'est maintenant le cas avec le TPM, pas n'importe quel ordinateur n'était compatible avec UEFI. Il est nécessaire d'avoir un firmware spécial sur la carte mère. Ce micrologiciel utilise l'interface UEFI en tant que couche ou couche opérationnelle qui sert d'intermédiaire entre le micrologiciel lui-même et le système d'exploitation. Le firmware réside sur une puce mémoire où il est conservé. même en cas de panne de courant.

  • Interface repensée et plus facile à comprendre.
  • Chargement plus rapide du système.
  • Prise en charge du système de fichiers GPT.
  • Profitez pleinement des possibilités des processeurs 64 bits.
  • Programmation facile (en utilisant le langage C).
  • Démarrage et mise à jour à distance.
  • Les pilotes peuvent être libérés avant le système d'exploitation.

Jusqu'ici tout va bien. Mais, le serpent derrière la pomme avait deux noms : Secure Boot

Qu'est-ce que le démarrage sécurisé ?

Secure Boot est une fonctionnalité introduite pour la première fois avec Windows 8 et incluse dans Windows 10. Microsoft a initialement demandé aux fabricants de préinstaller leur système d'exploitation pour que les utilisateurs aient la possibilité de le désactiver, même avec Windows.

Cela aurait aidé à empêcher les logiciels malveillants de s'exécuter lors du démarrage d'un ordinateur. En pratique, cela rendait difficile le démarrage des distributions Linux en mode Live.

Lorsque le PC démarre, Secure Boot vérifie la signature de chaque logiciel de démarrage, y compris les pilotes de micrologiciel UEFI, les applications EFI et le système d'exploitation. Si les signatures sont valides, le PC démarre et le micrologiciel cède le contrôle au système d'exploitation.

Le fabricant doit stocker les bases de données de signatures vérifiées dans une mémoire RAM non volatile.il firmware. Cela inclut la base de données de signatures (db), la base de données de signatures révoquées (dbx) et la base de données de clés d'inscription (KEK).

La base de données de signatures (db) et la base de données de signatures révoquées (dbx) répertorient les signataires ou les hachages d'images des applications UEFI, les chargeurs de système d'exploitation (tels que le chargeur de système d'exploitation de Microsoft ou le gestionnaire de fichiers de démarrage) et les pilotes UEFI qui peuvent être chargés sur le dispositif. La liste révoquée contient des éléments qui ne sont plus fiables et ne peuvent pas être chargés.

La base de données de clés d'inscription (KEK) est une base de données de clés de signature distincte qui peut être utilisée pour mettre à jour la base de données de signatures et la base de données de signatures révoquées. Microsoft exige qu'une clé spécifique soit incluse dans la base de données KEK afin qu'à l'avenir Microsoft peut ajouter de nouveaux systèmes d'exploitation à la base de données de signatures ou ajouter de mauvaises images connues à la base de données de signatures révoquée.

Relisez le dernier paragraphe. Et vous comprendrez ce que j'entends par risque de vassalité technologique.

Dans le prochain article, nous verrons comment les distributions Linux ont résolu le problème.


3 commentaires, laissez le vôtre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   Vicfabgar dit

    Pour les fanboys tout ça leur échappe, mais il faut éveiller les consciences. Je me souviens encore avec nostalgie lorsque j'ai chargé le DOS sur l'IBM, sur des disques 5-1 / 4... J'ai vu tout le processus d'évolution de cette société à ce jour et je l'ai subi dans ma chair ; après l'infumable vient l'exécrable. Je suis sorti de la voiture il y a quelques mois parce que je ne peux pas en sortir. perdre mon temps, gaspiller mon argent et mes efforts sur cette plateforme, qui a rassemblé le pire de Google et le pire d'Apple. En fin de compte, la cupidité brisera le sac.

    Salutations.

  2.   curefox dit

    Bravo pour ces deux articles, ce que vous dites est totalement vrai, Microsoft est toujours ce qu'il est et nous qui sommes déjà réveillés de la matrice devons non seulement être attentifs à ces mouvements, mais aussi en quelque sorte être les porte-parole de cette information et faire connaître les dangers que ces mouvements apporteront à l'avenir de la part de ces entreprises, c'est la grande opportunité pour GNU/Linux de gagner du terrain dans les entreprises et dans les foyers.

    1.    Diego allemand Gonzalez dit

      Merci.