« Secure Boot » : Qui contrôlera votre prochain ordinateur ?

Par

Matthias Kirschner le 2012-06-01

L’objectif de la FSFE est de s’assurer que les propriétaires d’appareils informatiques en gardent toujours le contrôle absolu. Ce principe fondamental est remis en cause ces derniers temps.

À cause d'une fonctionnalité appelée « Secure Boot » (démarrage sécurisé), qui sera déployée sur les ordinateurs dès 2012, les fabricants de matériel informatique et de composants logiciels font tout leur possible pour acquérir le contrôle permanent des appareils informatiques qu'ils produisent. Par ce moyen, ces appareils seront « sécurisés » du point de vue des fabricants, mais pas nécessairement de celui qui possède l'appareil : le propriétaire peut être traité comme un adversaire. En empêchant les usages de l'appareil que le fabricant ne prévoit pas, ils peuvent contrôler et limiter ce pour quoi les appareils informatiques (par exemple : les PC, les ordinateurs portables, les netbooks) peuvent servir, malgré leur potentiel multi-usage. Dans le cas d'un appareil accédant à Internet, les fabricants peuvent même altérer les restrictions d'usage à n'importe quel moment sans même en informer le propriétaire de l'appareil. Il en résulte que les fabricants peuvent selon leur bon vouloir bafouer les droits dont bénéficient habituellement les propriétaires de ces appareils.

« Secure Boot »: gardien du système d'exploitation

Lorsqu'on le met sous tension, un appareil informatique exécute un processus de démarrage. Dans le cas d'un ordinateur, ce processus consiste à exécuter un firmware. Le firmware démarre à son tour un programme appelé le chargeur d’amorçage (boot loader), qui lance ensuite le système d'exploitation à proprement parler, dans lequel les applications peuvent être exécutées. En 2012, la transition à l'échelle de l'industrie informatique du firmware des PC, des portables, des serveurs et des autres ordinateurs pour remplacer le BIOS conventionnel par l’UEFI sera pratiquement terminée. Comparé au BIOS conventionnel, l’UEFI a de nombreux atouts, comme un temps de démarrage plus court, des pilotes indépendants du système d'exploitation et la promesse d'une sécurité renforcée.

Le côté sécurité est géré par une fonction appelée « Secure Boot ». Depuis l’UEFI 2.3.1 (publié le 8 avril 2011), « Secure Boot » s'assure que seul s’exécute du code conforme aux signatures numériques pré-enregistrées. Cela sert à éviter que du code malveillant ne s’exécute lors du démarrage de l'ordinateur, en vérifiant, grâce à la cryptographie, la signature de chacun des composants logiciels (les différentes étapes du micrologiciel UEFI, le chargeur d’amorçage, le noyau du système d'exploitation, etc.) avant leur lancement. Par conséquent, les signatures numériques doivent avoir été préalablement enregistrées dans la base de données des signatures de l'UEFI pour chaque équipement informatique équipé de « Secure Boot », avant que le composant logiciel signé ne puisse démarrer sur cette machine.

La FSFE s'attend à ce que la très grande majorité des fabricants d'ordinateurs implémente le « Secure Boot », puisque Microsoft a annoncé que les constructeurs devront implémenter l’UEFI « Secure Boot » s'ils souhaitent obtenir une certification Windows 8 pour leurs appareils, par exemple pour y mettre le logo « Compatible Windows 8 ».

L’ordinateur : une machine multi-usage.

En faisant évoluer l'ordinateur vers une machine multi-usage au cours des dernières décennies, notre société a créé un puissant outil pour réaliser une multitude de tâches avec une seule machine. Aujourd'hui, les fabricants de matériel informatique ont découvert qu'ils pourraient avoir un intérêt économique à brider arbitrairement le potentiel de ces machines. Avec le « Secure Boot » les propriétaires de matériels informatiques ne seront plus en mesure de choisir l'utilisation de leurs machines en toute indépendance, car ils ne pourront pas décider quel logiciel utiliser.

L'entité qui finit par contrôler quel logiciel peut s'exécuter sur l'appareil en détermine ainsi les fonctions spécifiques. En fin de compte, elle peut contrôler n'importe quelle donnée traitée et stockée sur l'appareil. Ainsi, le propriétaire d'un appareil informatique peut ne plus avoir le contrôle exclusif de ses propres données.

À quels appareils cela s'applique-t-il ?

À l'heure actuelle beaucoup de gens fondent leur analyse de la situation de l'UEFI sur les « exigences de certification matériel pour Windows 8 », publiées par Microsoft en décembre 2011. Il est entendu que Microsoft n'a pas rendu public et n'a pas d'obligation à rendre public une quelconque version de la certification matériel, étant donné que c'est la base de contrats individuels entre Microsoft et chaque constructeur informatique cherchant à obtenir la certification Microsoft Windows 8 pour leur matériel. Ainsi, les « exigences de certification matériel pour Windows 8 » peuvent changer à tout moment, sans annonce publique et les détails spécifiques de chaque certification peuvent différer d'un fabriquant de matériel à l'autre : Microsoft pourra faire ce qu'il veut, généralement sans la moindre transparence. Ainsi, personne ne considère la version publiée des « exigences de certification matériel pour Windows 8 » comme figée, mais tout le monde réalise que les détails de conception du « Secure Boot » sont une « cible mouvante ».

Donc, la problématique du « Secure Boot » ne se limite pas nécessairement aux « Connected Systems Stand-By » (qui correspondent à une grande partie du futur marché des notebooks, netbooks et PC) et aux ordinateurs basés sur des microprocesseurs ARM (principalement les tablettes et téléphones mobiles), mais peut être étendu par Microsoft à tout autre type d'appareil informatique, et ce à tout moment. De même, les fabricants de matériel ne produisant pas d'appareils compatibles Windows 8 pourraient déployer le « Secure Boot » de l’UEFI ou d'autres processus de démarrage conditionnés par des signatures numériques. TiVo a fait cela pendant une décennie, et diverses consoles de jeux de Sony à Microsoft utilisent des processus de démarrage restreints par cryptographie. D'autres fabricants de matériel peuvent exiger des spécifications similaires aux « exigences de certification matériel pour Windows 8 » afin de restreindre artificiellement les capacités d'appareils informatiques.

Des restrictions étendues aux applications ?

Alors que la spécification du « Secure Boot » de l’UEFI (de même que les spécifications définies par le groupe « informatique de confiance » pour le « Trusted Boot ») s'applique du processus primaire de démarrage jusqu'au noyau du système d'exploitation, l'infrastructure qui étend la vérification des signatures à tous les logiciels s'exécutant sur un ordinateur est mûre et fonctionne sur de multiples systèmes d'exploitation. Mais hormis Windows 8, elle n'est utilisée aujourd'hui que pour les pilotes de périphériques pour Windows.

L'ordinateur multi-usage menacé

Si toutes ces mesures étaient sous le contrôle du propriétaire de l'appareil, elles agiraient pour leur bien, en améliorant la sécurité du processus de démarrage qui est largement vulnérable à l'heure actuelle. Ce serait le cas si les systèmes de sécurité sous-jacents spécifiés par le forum UEFI et le groupe « informatique de confiance » (TCG : Trusted Computing Group) garantissaient techniquement que le propriétaire ait le contrôle absolu et permanent sur la gestion et la configuration des systèmes de sécurité sous-jacents, ce qui inclut la création, le stockage, l'utilisation et la suppression des clés cryptographiques, des certificats et des signatures numériques. Mais dès qu'une autre entité que le propriétaire de l'appareil est en mesure d'utiliser ces systèmes de sécurité sous-jacents, alors elle est en mesure d'empêcher toute utilisation de l'appareil informatique qui n'ait été ni voulue ni prévue par elle.

Ainsi, avec l'implémentation du « Secure Boot », il sera beaucoup plus difficile de trouver de vrais ordinateurs multi-usages dont le propriétaire aura le contrôle absolu. Au contraire, les appareils contrôlés par une entreprise par le biais de mesures de restrictions comme « Secure Boot » sont généralement ce que nous appelons « appliances » en anglais ou des machines à usage spécifique et limités comme les consoles multi-médias, les téléphones, les liseuses électroniques. Ainsi, au moins certaines des machines sous Windows 8 seront plus proches d'un « appareil Windows » que d'un ordinateur personnel. Bien qu'il puisse exister un marché pour de tels produits, la FSFE demande vivement que de tels appareils informatiques soient indiqués comme tels : des appareils dont l'usage est restreint par ce que l'entreprise prévoit. Il en va de la bonne information due au consommateur.

Détourner ces restrictions. Hors de question ?

Les connaisseurs pourraient penser que cela ressemble à des mesures qu'ils connaissent déjà, et que la plupart de celles-ci ont été contournées. Ça a été le cas avec plusieurs modèles de consoles de jeu comme la PlayStation ou la Xbox, ainsi qu'avec des mobiles plus récents. Mais cette fois-ci, la difficulté est plus grande :

Le « Secure Boot » d'UEFI concerne en priorité les PC traditionnels.
Il est soutenu par une grande partie de l'industrie informatique, regardez par exemple qui sont les membres du forum UEFI.
Sa conception et ses spécifications sont le résultat d'un effort collectif d'ingénieurs informatiques de nombreuses entreprises. Il est le fruit de dix ans d'expérience sur les processus de démarrage avec signatures et va ainsi éviter de nombreux pièges classiques, comme l'absence de processus clair et cryptographiquement sûr de mise-à-jour du firmware (UEFI).
Il utilise des systèmes de sécurité matériel, comme spécifié par le TCG (spécifications de type TPM ou MTM): alors que la spécification de l'UEFI n'indique pas d'implémentation spécifique du « stockage protégé » pour les clés, les certificats et les signatures, cependant les récentes spécification du TCG (2011) correspondent parfaitement.
Des défauts de sécurité sont attendus dans les implémentations de « Secure Boot » (comme dans tout logiciel) mais étant donné qu'il y aura une compétition commerciale entre les vendeurs UEFI, il sera dans leur intérêt de résoudre ces défauts de sécurité. Alors que jusqu'ici les industriels qui implémentaient ce genre de processus d'amorçage restreints par cryptographie, le faisaient uniquement pour leur propre appareil : TiVo Inc. pour leurs appareils TIVO, Microsoft pour ses Xbox, ou encore Sony pour ses Playstations.

De plus, bien que de multiples systèmes similaires restrictifs aient été cassés dans le passé, cela ne prouve qu'une chose : que leurs implémentations étaient imparfaites et ouvertes aux logiciels malveillants, et donc qu'ils ne fournissait pas le niveau de « sécurité » attendu. Bien que cela doive probablement se produire pour certaines implémentations de « Secure Boot », casser ces dispositifs ne peut pas être une solution aux problèmes de libertés ou de manque de contrôle du propriétaire sur sa machine.

Les demandes de la FSFE

Pour conserver une croissance soutenue dans le développement et l'utilisation de logiciel, il est crucial que des ordinateurs non restreints soient largement accessibles au grand public.

La FSFE demande qu'avant l'achat d'un appareil, l'acheteur soit brièvement informé des mesures techniques mises en place sur celui-ci, ainsi que des restrictions d'usage spécifiques et leurs conséquences pour le propriétaire.

De plus, la FSFE recommande fortement de n'acheter que des machines donnant à leur propriétaire le contrôle absolu et permanent sur tous les systèmes de sécurité sous-jacents (par exemple : les restrictions par signatures), afin de conserver la possibilité d'installer arbitrairement tout logiciel et de conserver un contrôle absolu de ses propres données.