Le Linux Foundation Secure Boot System résout un problème fondamental pour beaucoup de distributions Linux. Il va permettre à un système d'exploitation basé sur Linux de fonctionner sur de nouveaux matériels contrôlés par le firmware UEFI, une technologie aussi connue sous la dénomination de « secure boot» ou « démarrage sécurisé ». C'est James Bottomley, membre du conseil consultatif technique de la Fondation qui a dirigé l'élaboration de ce boot loader.
Le firmware UEFI a été mis au point par l'industrie pour protéger les ordinateurs contre les logiciels malveillants. Il doit remplacer le Bios utilisé de longue date. Le nouveau micrologiciel, inscrit dans la mémoire de l'ordinateur, exige une clé approuvée avant le démarrage du système d'exploitation ou de tout autre périphérique, carte graphique comprise. L'UEFI crée une sorte de chaîne de confiance du matériel jusqu'à la couche logicielle et empêche toute tentative d'installer des logiciels illicites et nuisibles sur les ordinateurs.
Une clef indispensable pour démarrer l'OSÂ
Microsoft exige que l'UEFI soit actif sur toutes les machines tournant sous Windows 8. Et même si les OEM ont la possibilité d'offrir un moyen de désactiver l'UEFI pour permettre à d'autres OS de fonctionner sur leurs machines, la communauté Linux craint que les équipementiers ne livrent pas l'interrupteur qui permettra de détourner la protection UEFI, ce qui empêcherait d'autres OS de tourner sur ces machines, sans clé. Ainsi, une distribution Linux générique ne tournera pas sur un ordinateur sous Windows 8 sans clé.
Les dernières versions des principales distributions Linux incluent désormais un boot loader ou un shim quelconque pour travailler avec l'UEFI. C'est le cas notamment d'Ubuntu 12.10 et de Fedora 18. Cependant, l'UEFI reste un obstacle pour ceux qui souhaitent créer leur propre distribution Linux. Le chargeur de démarrage que vient de livrer la Fondation Linux fournit un code de hachage, certifié par Microsoft, et supporte l'infrastructure pour démarrer un noyau Linux générique.
Vers la fusion du shim et du boot loader ?Â
Ce n'est pas la seule approche envisagée par le camp Linux pour travailler avec l'UEFI. Matthew Garrett, un développeur spécialisé dans la sécurité, a conçu son propre shim l'année dernière. La différence entre un shim et un boot loader, c'est qu'il ne nécessite pas de clef signée par un tiers, mais l'approche est plus difficile à gérer. Matthew Garrett et James Bottomley de la Fondation Linux réfléchissent à un moyen de fusionner les deux.
La mise en oeuvre de l'UEFI a été un défi, même pour le Windows de Microsoft. James Garrett a signalé que certains ordinateurs portables de Samsung tournant sous Windows 8 pourraient s'arrêter définitivement de fonctionner à cause d'un bogue dans la façon dont le firmware de Samsung stocke les logs de crash du système dans l'espace de stockage UEFI.