Unified Extensible Firmware Interface

1
Unified Extensible Firmware Interface
Pour les articles homonymes, voir EFI.
Fonctionnement synthtique de l'EFI (Extensible Firmware Interface).
La norme Unified Extensible Firmware
Interface (UEFI, Interface
micrologicielle extensible unifie ) dfinit
un logiciel intermdiaire entre le
micrologiciel (firmware) et le systme
d'exploitation (OS) d'un ordinateur. Cette
interface succde sur certaines cartes-mres
au BIOS. Elle fait suite EFI (Extensible
Firmware Interface), conue par Intel pour
les processeurs Itanium.
L'UEFI offre plusieurs avantages par rapport
au BIOS, comme des fonctionnalits rseau
intgres en standard, une interface
graphique haute rsolution, une gestion
intgre des installations multiples de
systmes d'exploitation et l'affranchissement
de la limite des disques 2,2To.
Le BIOS tait crit en assembleur. L'UEFI est crit en C, ce qui en rend la maintenance plus aise et est compatible
avec les cots relativement bas de la mmoire. Dvelopp pour assurer l'indpendance entre systme d'exploitation et
plate-forme matrielle sur laquelle il fonctionne, l'UEFI est disponible sur les plateformes Itanium (IA-64), x86 (32
bits et 64 bits) et ARM.
AMD, American Megatrends, Apple, Dell, HP, Intel, IBM, Insyde, Microsoft et Phoenix Technologies constituent
aujourd'hui au sein de l'UEFI Forum des acteurs majeurs autour de cette technologie
[1]
. Ces firmes travaillent
actuellement sur les spcifications de l'UEFI et ont publi les spcifications officielles de l'UEFI 2.0 (Unified EFI
Specifications spcifications de l'Unified EFI) au dbut de 2006.
Gnralits
Une des fonctions principales d'UEFI est l'amorage d'un systme d'exploitation, rle rserv jusque l au BIOS.
Les spcifications de l'UEFI dfinissent un "boot manager" dont le rle est de charger l'OS loader et les drivers
ncessaires au dmarrage. Les OS Loader sont une classe d'application UEFI stocks sous forme de fichiers sur un
systme de fichiers accessible par firmware. Les systmes de fichiers pris en charge incluent FAT32, FAT16 et
FAT12. Les tables de partition prises en charges comprennent les formats MBR et GPT. Contrairement au BIOS,
l'UEFI ne repose pas sur un secteur d'amorce.
Unified Extensible Firmware Interface
2
Systmes d'exploitation
Les systmes bass sur Linux sont capables de grer l'EFI au dmarrage depuis 2000 en utilisant le chargeur
d'amorage Elilo. Il peut tre utilis par les plates-formes IA-64, IA-32 et offre une prise en charge pour le x86-64
depuis juillet 2007. GRUB supporte l'EFI depuis 2006
[2]
.
Linux prend en charge l'EFI depuis sa version 2.4.20
[3]
, et peut s'amorcer directement en tant qu'excutable EFI
depuis la version 3.3
[4]
.
HP-UX utilise l'EFI sur ses systmes IA-64 depuis 2002.
Apple a, quant lui, adopt l'EFI sur ses ordinateurs Apple base de processeurs Intel. Mac OS X v10.4 Tiger
pour Intel, Mac OS X v10.5 Leopard, Mac OS X v10.6 Snow Leopard et Mac OS X v10.7 Lion prennent
entirement en charge lEFI. La version de l'EFI implmente sur les ordinateurs Apple diffre nanmoins
quelque peu du standard EFI, ce qui fait que la plupart des ordinateurs Apple ne permettent pas de dmarrer sous
Windows en mode EFI (Sous Boot Camp, seul un dmarrage qui mule l'ancien BIOS des PCs est actuellement
possible, ce qui empche Windows d'accder au disque dur de l'ordinateur Apple en mode SATA, et rduit donc
les performances disques lorsque l'ordinateur est dmarr sous Windows). Cependant depuis la sortie du
MacBook Air mi-2013, Windows 8 est pleinement support en dmarrage EFI
[5]
.
Microsoft Windows :
Les versions Itanium de Windows 2000 supportaient l'EFI 1.1 en 2002.
Windows Server 2003 pour IA64, Windows XP 64-bit et Windows 2000 Advanced Server Limited Edition,
bass sur l'Intel Itanium supportent l'EFI.
Microsoft Windows Vista contient un systme de gestion de l'UEFI depuis la version SP1. Microsoft Windows
Server 2008, bas sur le noyau de Windows Vista SP1, gre galement les plates-formes UEFI.
Fonctionnalits
Gestion des disques
Outre le partitionnement classique par MBR (limit 2,2To), UEFI gre pour les disques, un nouveau systme de
partitionnement nomm GPT (globally unique identifier partition table). Le GPT permet 128 partitions principales
sur un support de capacit allant jusqu' 9,4 Zo (zettaoctet, milliard de traoctets). UEFI permet ainsi le dmarrage
sur des disques de 2,2To et plus.
Grce la gestion bas niveau des disques, le clonage de disques peut se faire sans passer par l'OS, ce qui facilite les
copies de disques hbergeant plusieurs systmes d'exploitation.
Lancement scuris (secure boot)
Depuis la version 2.3.1, l'UEFI intgre une fonctionnalit n'autorisant le dmarrage qu'aux systmes d'exploitation
reconnus. Cette fonctionnalit vise interdire le dmarrage d'un systme d'exploitation corrompu notamment par un
virus ou un rootkit.
En mode lancement scuris (secure boot), l'UEFI utilise un mcanisme de vrification par signatures
numriques. Le micrologiciel interdit tout chargement de driver ou de noyau dont la signature ne correspondrait pas
celle grave en ROM.
Unified Extensible Firmware Interface
3
Secure boot et logiciel libre
Dans le monde du logiciel libre, l'EFF
[6]
et Linus Torvalds
[7]
ont dnonc comme anormale cette fonctionnalit
entravant l'installation et l'utilisation de tout systme d'exploitation concurrent de Windows, Torvalds critiquant les
compromis accepts par Red Hat et Canonical pour pouvoir installer Linux sur les machines o le secure boot est
activ.
Mi-2012, toutes les distributions n'avaient pas adopt la signature du systme d'exploitation
[8]
. Certaines ne pouvant
l'adopter en raison de leur statut.
Il existe depuis dbut 2013 deux bootloaders signs par Microsoft, et donc reconnus par les PC certifis Windows 8 :
Shim
[9]
et Linux Foundation Secure Boot System
[10]
.
Distribution Position relative au Secure Boot
Redhat
Linux
Utilisation confirme, cl fournie par Microsoft pour 99$ USD
Ubuntu Utilisation confirme, cl fournie par Microsoft pour 99$ USD
OpenSuse
Position non arrte en juin 2012
[11]
OpenBSD
Faute de collaboration avec Microsoft
[]
, cette fonction n'est pas supporte.
Debian
Debian, qui ne constitue pas une entit commerciale mais une communaut, ne peut acheter une signature quelconque une entit
commerciale telle que Microsoft
[12]
. En outre, les statuts de la distribution sont trs restrictifs : lemploi de marques commerciales y
est interdit. Enfin, l'emploi d'une clef secrte empcherait la modification du code par une autre entit que Debian et contreviendrait
la quatrime libert fondamentale du logiciel libre (la libert de modification).
Windows
Windows 8, de Microsoft supporte de faon optionnelle
[13]
le secure boot grce une signature numrique transmise
aux constructeurs de cartes mres.
Selon le programme de certification Windows 8, les appareils non ARM doivent obligatoirement proposer deux
modes secure boot, "Standard" et "Custom" dans lequel l'utilisateur peut non seulement ajouter ou supprimer des
signatures supplmentaires mais galement dsactiver le secure boot (prsence physique de l'utilisateur requise).
Au contraire, sur les appareils ARM, Microsoft interdit la dsactivation du secure boot aux constructeurs
[]
. Richard
Stallman considre que cette pratique devrait tre illgale.
Cas d'Ubuntu
Le forum Ubuntu prsente deux faons de dmarrer cette distribution
[14]
:
1. 1. sans se soucier de l'UEFI ;
2. 2. ou en le faisant reconnatre par l'UEFI.
La premire solution peut en principe fonctionner, du fait qu'elle court-circuite l'UEFI, avec une autre distribution
Linux, par exemple installe sur un SSD connect par USB3, eSATA ou USB2. Cette disposition permettant un
accs non autoris (ventuellement malveillant) demandera soit un accs physique surveill ou mis sous cl, soit un
chiffrement des informations du disque avec par exemple TrueCrypt, assorti de sauvegardes rigoureuses.
Unified Extensible Firmware Interface
4
Critiques
Complexit
Ds juillet 2006, Linus Torvalds avait mis de premires critiques sur l'UEFI, car celui-ci complique l'tape
d'amorage de la machine en se substituant au BIOS
[15]
.
Compatibilit des Systmes d'exploitation alternatifs
Tous les systmes d'exploitation ne supportent pas le secure boot.
Ainsi, si l'utilisateur ne dsactive pas le secure boot dans l'UEFI , celui-ci peut empcher l'utilisation de certains
systmes d'exploitation libres ou alternatifs.
Dans le monde du logiciel libre, de nombreuses voix slvent pour dnoncer le fait que la signature manerait
principalement, ou mme exclusivement, de Microsoft, et non d'autres diteurs de logiciels
[rf.souhaite]
.
John Sullivan
John Sullivan (FSF Executive Director
[16]
) ne croit pas que la raison principale du "secure boot", qu'il appelle plutt
boot exclusif, soit la scurit
[17]
mais bien de rendre plus difficile l'installation de systmes d'exploitation
concurrents (non signs ou n'ayant pas une signature accepte par le constructeur du matriel)
[18],[19]
.
Microsoft a dclar que les utilisateurs comme les fabricants peuvent dsactiver cette fonctionnalit sur les
ordinateurs sous UEFI qui le permettraient
[20]
.
La Free Software Foundation, va plus loin en demandant que par norme, contrat ou loi les fabricants soient mis en
demeure de permettre l'utilisateur de dcider de ses modalits de secure boot dans leurs ordinateurs (autre clef
publique ou dsactivation pure et simple)
[21]
. La fondation a donc lanc une campagne sur cette problmatique le 13
octobre 2011.
Ward Vandewege
Pour les utilisateurs ordinaires, d'aprs Vandewege (FSF Chief Technology Officer), coreboot est aussi une
protection contre les technologies dites de Gestion des droits numriques, telles que la fonction d'isolation de l'EFI
d'Intel, qui contrle l'accs au matriel. Selon Vandewege, l'introduction de telles fonctions reprsente une menace
pour la vie prive et les droits des consommateurs, car quiconque contrle le BIOS contrle l'ordinateur. Si vous
contrlez le BIOS, vous pouvez rejeter tout programme qui se charge aprs le BIOS
[22]
.
Linus Torvalds
Linus Torvalds, lui, a dclar initialement que le simple achat d'une cl 99$ pour couvrir toute une distribution ne
lui semblait pas tre une "norme affaire".
Rfrences
[1] Site de l'UEFI (http:/ / www.uefi. org/ about/ )
[2] http:/ / cvs. savannah.gnu. org/ viewvc/ grub2/ ChangeLog?revision=1. 236& root=grub& view=markup
[3] https:/ / www. kernel. org/ pub/ linux/ kernel/ v2. 4/ ChangeLog-2. 4. 20
[4] https:/ / git.kernel. org/ cgit/ linux/ kernel/ git/ torvalds/ linux. git/ plain/ Documentation/ x86/ efi-stub. txt?id=HEAD
[5] http:/ / www. journaldulapin.com/ 2013/ 06/ 27/ macbook-air-2013-totalement-compatible-windows-8/
[6] http:/ / www. zdnet. fr/ actualites/ secure-boot-et-linux-les-critiques-montent-et-la-fsf-petitionne-39786795. htm
[7] http:/ / www. zdnet. fr/ actualites/ secure-boot-et-linux-ce-n-est-pas-un-concours-de-pipes-enrage-linus-torvalds-39787681. htm
[8] Choix des distributions concernant Secure Boot (http:/ / www. pcinpact. com/ news/ 71960-ubuntu-canonical-secure-boot-cle. htm?vc=1),
pcinpact.com, 27 juin 2012
[9] Secure Boot bootloader for distributions available now (http:/ / mjg59. dreamwidth. org/ 20303. html)
[10] Linux Foundation Secure Boot System (http:/ / blog.hansenpartnership. com/ linux-foundation-secure-boot-system-released/ )
[11] http:/ / www.itworld. com/ it-managementstrategy/ 282286/ opensuse-still-searching-uefi-secure-boot-solution Opensuse et secure boot
Unified Extensible Firmware Interface
5
[12] [12] FOSDEM 2013-Miscellaneous track-UEFI SecureBoot-Questions et rponses
[13] http:/ / www.generation-nt. com/ windows-8-linux-secure-boot-uefi-actualite-1260501. html
[14] http:/ / doc.ubuntu-fr.org/ efi
[15] http:/ / kerneltrap.org/ node/ 6884 Linus On The Extensible Firmware Interface, 24 juillet 2006
[16] http:/ / www.fsf. org/ about/ staff-and-board
[17] John Sullivan, Software Foundation recommandations for free operating system distributions considering Secure Boot (http:/ / www. fsf.
org/ campaigns/ secure-boot-vs-restricted-boot/ whitepaper-web|Free) : "Without a doubt, this is an obstacle we don't need right now, and it is
highly questionable that the security gains realized from Secure Boot outweigh the difficulties it will cause in practice for users trying to
actually provide for their own security by escaping Microsoft Windows."
[18] UEFI secure booting (http:/ / mjg59. dreamwidth.org/ 5552. html), Site web de Matthew Garrett, dveloppeur Red Hat, 20 septembre
2011.
[19] UEFI secure booting (part 2) (http:/ / mjg59. dreamwidth. org/ 5850. html), Site web de Matthew Garrett, dveloppeur Red Hat, 23
septembre 2011.
[20] Protecting the pre-OS environment with UEFI (http:/ / blogs. msdn. com/ b/ b8/ archive/ 2011/ 09/ 22/
protecting-the-pre-os-environment-with-uefi. aspx), blogs.msdn.com, 22 septembre 2011.
[21] UEFI "Secure Boot" and Microsoft Windows 8: The danger for free software (http:/ / www. fsf. org/ campaigns/ secure-boot/ ), fsf.org,
13 octobre 2011.
[22] https:/ / www.linux. com/ archive/ articles/ 58781 LinuxBIOS ready to go mainstream, 7 dcembre 2006
Portail de linformatique
Sources et contributeurs de larticle
6
Sources et contributeurs de larticle
Unified Extensible Firmware Interface Source: http://fr.wikipedia.org/w/index.php?oldid=105091561 Contributeurs: Abigor, Akiry, Antistress, AntonyB, Arka Voltchek, Bap, Bertol, Bub's,
Bugmenot1992, CalcXEF, Cedeville, Charele, Dsant, Factory, Fylip22, Genium, Gorrk, Gribeco, GuiTsi, ILux, Inisheer, Isaac Sanolnacov, JackPotte, Jago, Jarfe, Jlancey, JmCor, Jno972, Jygh,
Kegeruneku, Lyondif02, MeGAmeS1, Mederic.claassen, Mirgolth, Muy, Nicecinicela, Nico45, Nmrk.n, Nono64, Nyco, Philippe.petrinko, Rinaku, Romanc19s, Shawn, Silex6, SniperMask,
Steno, Stphane33, Tweetycpc, Van Rijn, Vincent.vaquin, Visite fortuitement prolonge, Wagaf-d, Zawer, 101 modifications anonymes
Source des images, licences et contributeurs
Image:Disambig colour.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Disambig_colour.svg Licence: Public Domain Contributeurs: Bub's
Image:Efi-simple-fr.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Efi-simple-fr.svg Licence: Public Domain Contributeurs: Msikma
Fichier:Crystal mycomputer.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Crystal_mycomputer.png Licence: inconnu Contributeurs: Dake, Rocket000
Licence
Creative Commons Attribution-Share Alike 3.0
//creativecommons.org/licenses/by-sa/3.0/