Microsoft Pluton : la puce de sécurité ne laisse pas Linux sur les Lenovo Z13 et Z16

Comme l’a découvert le programmeur Matthew Garrett, qui a reçu plusieurs prix FSF pour les logiciels libres de la Free Software Foundation (FSF) pour son travail sur Secure Boot, UEFI et Linux, le processeur de sécurité Microsoft Pluton bloque l’installation de Linux sur le Lenovo ThinkPad Z13 et Z16.

Pluton et Secure Boot verrouillent Linux

Comme le site Web Phoronix, spécialisé dans Linux et l’open source, l’a signalé pour la première fois, Matthew Garrett, architecte de la sécurité de l’information pour le noyau du système d’exploitation Linux gratuit, a réussi à mettre la main sur un Lenovo ThinkPad Z13. Il a constaté que Linux ne peut pas être démarré ou installé à partir d’un support de stockage connecté via USB.

Pluton avec architecture chip-to-cloud (Image : Microsoft)

Dans la configuration standard, c’est-à-dire l’état de livraison du notebook, le processeur de sécurité qui peut être intégré dans les CPU d’AMD, d’Intel et de Qualcomm empêche Linux de démarrer et n’autorise que Windows à démarrer. Le ThinkPad Z13 testé par le développeur utilise un AMD Ryzen 7 Pro 6860Z avec un processeur Pluton intégré.

Aucun avantage sécuritaire du blocus

Suite à ses observations, Matthew Garrett alias « mjg59 » se plaint que le verrouillage des systèmes d’exploitation gratuits ne génère aucun avantage en matière de sécurité.

Cela signifie qu’étant donné la configuration par défaut du micrologiciel, rien d’autre que Windows ne démarrera. Cela signifie également que vous ne pourrez pas démarrer à partir de périphériques externes tiers connectés via Thunderbolt.

Il n’y a aucun avantage de sécurité à cela. Si vous voulez de la sécurité ici, vous faites attention aux valeurs mesurées dans le TPM, et grâce à la propre spécification de Microsoft pour les mesures effectuées dans PCR 7, passer du démarrage de Windows au démarrage de quelque chose signé avec la clé de signature tierce changera le mesures et invalider tous les secrets scellés.

C’est trivial de le détecter. Se méfier de l’autorité de certification tierce par défaut n’améliore pas la sécurité, cela rend simplement plus difficile pour les utilisateurs de démarrer des systèmes d’exploitation alternatifs.

Matthew Garrett, architecte de la sécurité de l’information

Dans son journal, le programmeur détaille ses découvertes et aimerait y publier plus d’informations à l’avenir.

Pour la première fois Windows uniquement chez Lenovo

Les premières investigations de l’expert Linux ont révélé qu’en raison du démarrage sécurisé, Microsoft Pluton est configuré en usine de telle sorte que le processeur de sécurité n’accepte que le chargeur de démarrage Windows et le pilote Windows et refuse d’exécuter autre chose que Windows.

Le noyau Linux et les distributions basées sur celui-ci utilisent la soi-disant Microsoft 3rd Party UEFI Certificates Authority (CA) pour Secure Boot ; ceux-ci sont donc rejetés par Pluton. Matthew Garrett écrit à ce sujet dans son blog :

J’ai finalement réussi à mettre la main sur un Thinkpad Z13 pour examiner une implémentation fonctionnelle du coprocesseur de sécurité Pluton de Microsoft. Essayer de démarrer Linux à partir d’une clé USB a échoué sans raison apparente, mais après un examen plus approfondi, la cause est devenue claire – le micrologiciel par défaut ne fait pas confiance aux chargeurs de démarrage ou aux pilotes signés avec la clé Microsoft 3rd Party UEFI CA.

Matthew Garrett, architecte de la sécurité de l’information

Avec les ThinkPad Z13 et Z16, Lenovo propose pour la première fois des ordinateurs portables Windows uniquement dans l’état de livraison et confirme dans un document officiel (PDF) que les certificats UEFI tiers de Microsoft ne seront plus acceptés départ usine à l’avenir et ne seront libéré après une intervention dans le BIOS doivent. Enfin, il est alors possible de démarrer Linux – une mesure qui provoque également peu de compréhension parmi les découvreurs.

À partir de 2022 pour les PC à cœur sécurisé, Microsoft exige que le certificat tiers soit désactivé par défaut. Cela signifie que pour chacune de ces plates-formes Lenovo livrées avec Windows préinstallé, une étape supplémentaire est nécessaire pour permettre à Linux de démarrer avec le démarrage sécurisé activé.

Lenovo

Cela a également surpris Matthew Garrett, car en janvier, Lenovo a annoncé que Pluton devrait être désactivé en usine et ne devrait être activé qu’à la demande de l’utilisateur, comme le rapportait le site Web de Neowin à l’époque.

Pluton sera désactivé par défaut sur les plates-formes Lenovo ThinkPad 2022. Plus précisément, les Z13, Z16, T14, T16, T14, P16 et X13 utilisant des processeurs AMD série 6000. Les clients auront la possibilité d’activer eux-mêmes Pluton.

Lenovo

On ne sait pas encore pourquoi Pluton est soudainement activé en usine et pourquoi le processeur de sécurité bloque l’installation de Linux. L’industrie de la sécurité était déjà assez critique lorsque la puce de sécurité pour PC, utilisée dans la Xbox depuis 2013, a été présentée, comme le rapporte également ComputerBase.

Articles similaires

Bouton retour en haut de la page