Unified Extensible Firmware Interface

Un article de Wikipédia, l'encyclopédie libre.
(Redirigé depuis UEFI)
Aller à : Navigation, rechercher
Page d'aide sur l'homonymie Pour les articles homonymes, voir EFI.
Fonctionnement synthétique de l'EFI (Extensible Firmware Interface)

La norme Unified Extensible Firmware Interface (UEFI, « interface micrologicielle extensible unifiée ») définit un logiciel intermédiaire entre le micrologiciel (firmware) et le système d'exploitation (OS) d'un ordinateur. Cette interface succède sur certaines cartes-mères au BIOS. Elle fait suite à EFI (Extensible Firmware Interface), conçue par Intel pour les processeurs Itanium.

L'UEFI offre plusieurs avantages par rapport au BIOS, comme des fonctionnalités réseau intégrées en standard, une interface graphique haute résolution, une gestion intégrée des installations multiples de systèmes d'exploitation et l'affranchissement de la limite des disques à 2,2 To.

Le BIOS était écrit en assembleur. L'UEFI est écrit en C, ce qui en rend la maintenance plus aisée et est compatible avec les coûts relativement bas de la mémoire. Développé pour assurer l'indépendance entre système d'exploitation et plate-forme matérielle sur laquelle il fonctionne, l'UEFI est disponible sur les plateformes Itanium (IA-64), x86 (32bits et 64bits) et ARM.

AMD, American Megatrends, Apple, Dell, HP, Intel, IBM, Insyde, Microsoft et Phoenix Technologies constituent aujourd'hui au sein de l'UEFI Forum des acteurs majeurs autour de cette technologie. Ces firmes travaillent actuellement sur les spécifications de l'UEFI et ont publié les spécifications officielles de l'UEFI 2.0 (Unified EFI Specifications – spécifications de l'Unified EFI) au début de 2006.

Sommaire

Grandes lignes [modifier]

Une des fonctions principales d'UEFI est l'amorçage d'un système d'exploitation, rôle réservé jusque là au BIOS.

Les spécifications de l'UEFI définissent un "boot manager" dont le rôle est de charger l'OS loader et les drivers nécessaires au démarrage. Les OS Loader sont une classe d'application UEFI stockés sous forme de fichiers sur un système de fichiers accessible par firmware. Les systèmes de fichiers pris en charge incluent FAT32, FAT16 et FAT12. Les tables de partition prises en charges comprennent les formats MBR et GPT. Contrairement au BIOS, l'UEFI ne repose pas sur un secteur de boot.

Systèmes d'exploitation [modifier]

  • Les systèmes basés sur Linux sont capables de gérer l'EFI au boot depuis 2000 en utilisant le chargeur d'amorçage Elilo. Il peut être utilisé par les plates-formes IA-64, IA-32 et offre une prise en charge pour le x86-64 depuis juillet 2007.
  • Linux prend en charge l'EFI depuis sa version 3.3.
  • HP-UX utilise l'EFI sur ses systèmes IA-64 depuis 2002.
  • Apple a, quant à lui, adopté l'EFI sur ses ordinateurs Apple à base de processeurs Intel. Mac OS X v10.4 Tiger pour Intel, Mac OS X v10.5 Leopard, Mac OS X v10.6 Snow Leopard et Mac OS X v10.7 Lion prennent entièrement en charge l’EFI. La version de l'EFI implémentée sur les ordinateurs Apple diffère néanmoins quelque peu du standard EFI, ce qui fait que les ordinateurs Apple ne permettent pas de démarrer sous Windows en mode EFI (Sous Boot Camp, seul un démarrage qui émule l'ancien BIOS des PCs est actuellement possible, ce qui empêche à Windows d'accéder au disque dur de l'ordinateur Apple en mode SATA, et réduit donc les performances disques lorsque l'ordinateur est démarré sous Windows).
  • Microsoft Windows :
    • Les versions Itanium de Windows 2000 supportaient l'EFI 1.1 en 2002.
    • Windows Server 2003 pour IA64, Windows XP 64-bit et Windows 2000 Advanced Server Limited Edition, basés sur l'Intel Itanium supportent l'EFI.
    • Microsoft Windows Vista contient un système de gestion de l'UEFI depuis la version SP1. Microsoft Windows Server 2008, basé sur le noyau de Windows Vista SP1, gère également les plates-formes UEFI.

Fonctionnalités [modifier]

Gestion des disques [modifier]

Outre le partitionnement classique par MBR (limité à 2,2 To), UEFI gère pour les disques, un nouveau système de partitionnement nommé GPT (globally unique identifier partition table). Le GPT permet 128 partitions principales sur un support de capacité allant jusqu'à 9,4 Zo (milliard de téraoctets). UEFI permet ainsi le démarrage sur des disques de 2,2 To et plus.

Grâce à la gestion bas niveau des disques, le clonage de disques peut se faire sans passer par l'OS, ce qui facilite les copies de disques hébergeant plusieurs systèmes d'exploitation.

Lancement sécurisé (secure boot) [modifier]

Depuis la version 2.3.1, l'UEFI intègre une fonctionnalité n'autorisant le démarrage qu'aux systèmes d'exploitation reconnus. Cette fonctionnalité vise à interdire le démarrage d'un système d'exploitation corrompu notamment par un virus ou un rootkits.

En mode « lancement sécurisé » (secure boot), l'UEFI utilise un mécanisme de vérification par signatures numériques. Le micrologiciel interdit tout chargement de driver ou de noyau dont la signature ne correspondrait pas à celle gravée en ROM.

Secure boot et logiciel libre [modifier]

Dans le monde du logiciel libre, l'EFF[1] et Linus Torvalds[2] ont dénoncé comme anormale cette fonctionnalité entravant l'installation et l'utilisation de tout système d'exploitation concurrent de Windows, Torvalds critiquant les compromis acceptés par Red Hat et Canonical pour pouvoir installer Linux sur les machines UEFI malgré ce verrouillage.

Mi-2012, toutes les distributions n'avaient pas adopté la signature du système d'exploitation[3]. Certaines ne peuvent d'ailleurs pas l'adopter en raison de leur statut.

Il existe depuis début 2013 deux bootloaders signés par Microsoft, et donc reconnus par les PC certifiés Windows 8 : Shim[4] et Linux Foundation Secure Boot System[5].

Distribution Position relative au Secure Boot
Redhat Linux Utilisation confirmée, clé fournie par Microsoft pour 99 $ USD[6]
Ubuntu Utilisation confirmée, clé fournie par Microsoft pour 99 $ USD[6]
OpenSuse Position non arrêtée en juin 2012[7]
OpenBSD Faute de collaboration avec Microsoft[6], cette fonction n'est pas supportée.
Debian Debian, qui ne constitue pas une entité commerciale mais une communauté, ne peut acheter une signature quelconque à une entité commerciale telle que Microsoft[8]. En outre, les statuts de la distribution sont très restrictifs : l’emploi de marques commerciales y est interdit. Enfin, l'emploi d'une clef secrète empêcherait la modification du code par une autre entité que Debian et contreviendrait à la quatrième liberté fondamentale du logiciel libre (la liberté de modification). De ce fait, Ubuntu n'est plus une "vraie" Debian.
"petites distributions" Les petites distribution n'auront probablement pas les moyens matériels de faire signer leurs noyaux par Microsoft.

Windows [modifier]

Windows 8, de Microsoft supporte de façon optionnelle[9] le secure boot grâce à une signature numérique transmise aux constructeurs de cartes mères.

Selon le programme de certification Windows 8[10], les appareils non ARM doivent obligatoirement proposer deux modes secure boot, "Standard" et "Custom" dans lequel l'utilisateur peut non seulement ajouter ou supprimer des signatures supplémentaires mais également désactiver le secure boot (présence physique de l'utilisateur requise).

Au contraire, sur les appareils ARM, Microsoft interdit la désactivation du secure boot aux constructeurs[10]. Richard Stallman, considère que cette pratique devrait être illégale[11].

Cas d'Ubuntu [modifier]

Le forum Ubuntu présente deux façons de démarrer cette distribution[12] :

  1. sans se soucier de l'UEFI, ou
  2. en le faisant reconnaître par l'UEFI.

La première solution peut en principe fonctionner, du fait qu'elle court-circuite l'UEFI, avec une autre distribution Linux, par exemple installée sur un SSD connecté par USB3, eSATA ou USB2. Cette disposition permettant un accès non autorisé (éventuellement malveillant) demandera soit un accès physique surveillé ou mis sous clé, soit un chiffrage des informations du disque avec par exemple TrueCrypt, assorti de sauvegardes rigoureuses.

Critiques [modifier]

Complexité [modifier]

Dès juillet 2006, Linus Torvalds avait émis de premières critiques sur l'UEFI, car celui-ci complique l'étape d'amorçage de la machine en se substituant au BIOS[13].

Entrave aux Systèmes d'exploitation alternatifs [modifier]

En obligeant le système d'exploitation à disposer d'une signature reconnue par le matériel, l'UEFI peut empêcher l'utilisation de systèmes d'exploitation libre ou alternatifs:

Dans le monde du logiciel libre, de nombreuses voix s’élèvent pour dénoncer le fait que la signature émanerait principalement, ou même exclusivement, de Microsoft, et non d'autres éditeurs de logiciels[réf. souhaitée].

John Sullivan [modifier]

John Sullivan (FSF Executive Director [14]) ne croit pas que la raison principale du "secure boot", qu'il appelle plutôt boot exclusif, soit la sécurité[15] mais bien de rendre plus difficile l'installation de systèmes d'exploitation concurrents (non signés ou n'ayant pas une signature acceptée par le constructeur du matériel)[16],[17].

Microsoft a déclaré que les utilisateurs comme les fabricants peuvent désactiver cette fonctionnalité sur les ordinateurs sous UEFI qui le permettraient[18]. Pour la Free Software Foundation, ce discours n'a pas de conséquence, puisque le logo Microsoft Windows 8 reste accordé aux UEFI ne proposant pas cette fonctionnalité. Il demande que par norme, contrat ou loi les fabricants soient mis en demeure de permettre à l'utilisateur de décider de ses modalités de secure boot dans leurs ordinateurs (autre clef publique ou désactivation pure et simple)[19]. La fondation a donc lancé une campagne sur cette problématique le 13 octobre 2011[19].

Ward Vandewege [modifier]

Pour les utilisateurs ordinaires, d'après Vandewege (FSF Chief Technology Officer [20]), coreboot est aussi une protection contre les technologies dites de Gestion des droits numériques, telles que la fonction d'isolation de l'EFI d'Intel, qui contrôle l'accès au matériel. Selon Vandewege, l'introduction de telles fonctions représente une menace pour la vie privée et les droits des consommateurs, car quiconque contrôle le BIOS contrôle l'ordinateur. Si vous contrôlez le BIOS, vous pouvez rejeter tout programme qui se charge après le BIOS[21].

Linus Torvalds [modifier]

Linus Torvalds, lui, a déclaré initialement que le simple achat d'une clé à 99$ pour couvrir toute une distribution ne lui semblait pas être une "énorme affaire"[6], mais s'est ravisé vigoureusement en 2013[2].

Références [modifier]

  1. http://www.zdnet.fr/actualites/secure-boot-et-linux-les-critiques-montent-et-la-fsf-petitionne-39786795.htm
  2. a et b http://www.zdnet.fr/actualites/secure-boot-et-linux-ce-n-est-pas-un-concours-de-pipes-enrage-linus-torvalds-39787681.htm
  3. (fr)Choix des distributions concernant Secure Boot, pcinpact.com, 27 juin 2012
  4. Secure Boot bootloader for distributions available now
  5. Linux Foundation Secure Boot System
  6. a, b, c et d (fr) « OpenBSD accuse Red Hat et Canonical de traîtrise », lemondeinformatique.fr, 27 juillet 2012
  7. (en)http://www.itworld.com/it-managementstrategy/282286/opensuse-still-searching-uefi-secure-boot-solution Opensuse et secure boot
  8. FOSDEM 2013-Miscellaneous track-UEFI SecureBoot-Questions et réponses
  9. http://www.generation-nt.com/windows-8-linux-secure-boot-uefi-actualite-1260501.html
  10. a et b (en) « Microsoft confirms UEFI fears, locks down ARM devices », softwarefreedom.org, 12 janvier 2012
  11. (en) Roy Schestowitz, « Speaks About UEFI », sur bytesmedia.co.uk, 17 juillet 2012. Mis en ligne le 25 juillet 2012, consulté le 25 juillet 2012.
  12. http://doc.ubuntu-fr.org/efi
  13. http://kerneltrap.org/node/6884 Linus On The Extensible Firmware Interface, 24 juillet 2006
  14. http://www.fsf.org/about/staff-and-board
  15. (en)John Sullivan, Software Foundation recommendations for free operating system distributions considering Secure Boot : "Without a doubt, this is an obstacle we don't need right now, and it is highly questionable that the security gains realized from Secure Boot outweigh the difficulties it will cause in practice for users trying to actually provide for their own security by escaping Microsoft Windows."
  16. (en) « UEFI secure booting », Site web de Matthew Garrett, développeur Red Hat, 20 septembre 2011.
  17. (en) « UEFI secure booting (part 2) », Site web de Matthew Garrett, développeur Red Hat, 23 septembre 2011.
  18. (en) « Protecting the pre-OS environment with UEFI », blogs.msdn.com, 22 septembre 2011.
  19. a et b (en) « UEFI "Secure Boot" and Microsoft Windows 8: The danger for free software  », fsf.org, 13 octobre 2011.
  20. http://www.fsf.org/about/staff-and-board
  21. https://www.linux.com/archive/articles/58781 LinuxBIOS ready to go mainstream, 7 décembre 2006

Voir aussi [modifier]

Solution alternative [modifier]

Références externes [modifier]

Ce document provient de « http://fr.wikipedia.org/w/index.php?title=Unified_Extensible_Firmware_Interface&oldid=93378910 ».