Depuis longtemps, les nouveaux PC et ordinateurs portables sont équipés d'un «uefi» au lieu du BIOS à l'ancienne. Cependant, l'argument «sécurité» est mal utilisé pour rendre difficile le démarrage à partir d'un CD ou d'une clé USB (avec GParted, récupération de malware ou distribution Linux, par exemple). Dans cet article, vous pouvez lire pourquoi c'est le cas et comment vous pouvez toujours démarrer comme vous le souhaitez.
Qu'est-ce que l'UEFI?
Avant de commencer, cela ne fait pas de mal de passer par certains termes. Uefi signifie `` interface de micrologiciel extensible unifiée '' et est, pour ainsi dire, le système d'exploitation d'un ordinateur. Le bios classique (système d'entrée / sortie de base) est un firmware, mais l'uefi se situe entre le firmware et le système d'exploitation. L'Uefi et le bios peuvent coexister sur le même ordinateur.
Dans le passé, il y avait aussi efi (interface de firmware extensible). Il a été développé par Intel, mais depuis 2005, Intel participe au Forum UEFI: un consortium d'entreprises de l'industrie informatique qui développe encore l'UEFI. Uefi est «unifié» car il est entièrement basé sur un logiciel: auparavant, le bios était compilé séparément pour chaque puce, uefi est beaucoup plus générique.
Dans cet article, nous plongeons dans le monde de l'uefi. Chaque PC ou ordinateur portable est aujourd'hui livré avec un UEFI. C'est un changement qui semble avoir changé très soudainement pour certains utilisateurs. Il y a beaucoup de points positifs à propos de l'UEFI: les paramètres de base du PC sont plus faciles à utiliser, il y a plus de fonctionnalités et le PC démarre plus rapidement.
Malheureusement, il y a aussi des inconvénients: par exemple, il est devenu plus difficile et compliqué pour les utilisateurs de démarrer à partir d'autres supports, par exemple à partir d'une clé USB. De nombreux fabricants de PC ont embarqué leur uefi de telle manière que ce n'est pas seulement possible. De plus, la situation est devenue plus compliquée en raison de la rétrocompatibilité, ce qui signifie que vous pouvez toujours partir du bios dans un environnement uefi.
Dans cet article, nous examinons comment le démarrage depuis uefi fonctionne exactement avec des clés USB, comment et pourquoi il est embarqué. Et nous appliquerons également ces connaissances de manière pratique pour démarrer avec des médias alternatifs.
01 Bateau Uefi
Au moment où le PC démarre, le gestionnaire de démarrage uefi se met en marche. Cela examine la configuration de démarrage et charge les paramètres du micrologiciel dans la mémoire. Ensuite, le noyau du système d'exploitation par défaut sera démarré. Les paramètres du firmware, qui sont stockés dans le nvram, contiennent le chemin du fichier efi à démarrer. Incidemment, Nvram signifie mémoire non volatile à accès aléatoire, qui est présente sur la carte mère. Non volatile signifie que les données sont conservées en mémoire, même lorsque l'alimentation est coupée.
Les fichiers de démarrage sont situés sur une partition efi, également appelée ESP (partition système efi). Une telle partition est une simple partition fat32 et possède un dossier pour chaque système d'exploitation sur le PC. Chaque dossier contient un fichier efi créé par le système d'exploitation installé. Un tel fichier efi est créé dans un langage de programmation uefi très similaire au langage C et ce fichier démarre le système d'exploitation réel.
L'avantage de l'uefi est qu'il peut détecter automatiquement de nouvelles cibles de démarrage uefi. De cette façon, vous pouvez facilement démarrer à partir d'autres supports. Pour activer cette fonctionnalité, uefi utilise des chemins standard pour définir le chargeur de démarrage. Par exemple, un tel chemin et un tel nom de fichier seraient /efi/boot/boot_x64.efi pour un système 64 bits et pour l'architecture ARM, le fichier s'appellerait bootaa64.efi .
Surtout au début de l'introduction de l'UEFI, des problèmes de démarrage se sont parfois posés. Chaque chargeur de démarrage avait ses propres problèmes ou bizarreries. Par exemple, Windows 7 a créé un nouveau fat32-ESP, même s'il y en avait un existant avec fat16. Après cela, l'installation a échoué. De nombreuses distributions Linux utilisées pour créer un fat16-ESP. De plus, Ubuntu 11.04 et 11.10 avait un bug sérieux où l'ESP était parfois accidentellement effacé.
Un autre terme est important lors du démarrage: CSM, qui signifie module de support de compatibilité et il prend en charge le démarrage hérité en fournissant un support pour le bios. Vous ne pouvez activer CSM que si l'option Secure Boot est désactivée, mais plus d'informations à ce sujet dans la section 3.
02 Gpt
Gpt, ou la 'table de partition guid', remplace l'ancien mbr (master boot record), la façon dont les disques étaient partitionnés. Le gpt fait partie de l'uefi. Depuis Windows Vista, Windows ne peut démarrer qu'à partir de disques gpt dans uefi. L'en-tête de partition d'un disque gpt contient des informations sur les blocs qui peuvent être utilisés sur le disque. Cet en-tête contient également le «guid» du disque: l'identifiant unique général, un numéro d'identification unique. Un disque gpt peut être basique ou dynamique, tout comme le mbr. Gpt prend en charge jusqu'à 128 partitions et sauvegardera automatiquement la table de partition gpt.
Le problème avec l'enregistrement de démarrage principal était qu'il était obsolète: les disques de plus de 2 To ne pouvaient pas être démarrés, par exemple. Gpt prend en charge les lecteurs jusqu'à 9,4 ZB. Cela fait des zétaoctets, soit 9,4 x 10 ^ 21. Incidemment, le gpt dans le tout premier bloc contient toujours un mbr pour des raisons de compatibilité. C'est dans le bloc 0. Dans le bloc 1 se trouve l'en-tête gpt et dans le reste les partitions sont présentes.
03 Démarrage sécurisé
Secure Boot fait partie de l'UEFI et est destiné à empêcher les logiciels malveillants d'attaquer le micrologiciel. Un tel malware est très méchant, car il peut survivre à une réinstallation du système d'exploitation car il s'installe dans le firmware. Le principe de Secure Boot est très simple: seuls les binaires (fichiers avec code uniquement) signés par une partie de confiance sont lancés. Les logiciels malveillants ne peuvent en théorie pas être signés, ce qui bloque les logiciels malveillants. Les entreprises peuvent faire signer leur binaire uefi par Microsoft. La plupart des UEFis contiennent les clés publiques de Microsoft. Lorsqu'une entreprise fait signer son binaire, cela se fait avec la clé privée de Microsoft, afin que le micrologiciel reconnaisse et démarre ce binaire.
Ubuntu a déjà vu la tempête et ses binaires ont donc été signés par Microsoft. C'est pourquoi vous pouvez utiliser Ubuntu sur les systèmes uefi depuis 2012. Si vous souhaitez utiliser une distribution Linux qui n'est pas signée, vous pouvez soit désactiver le démarrage sécurisé dans l'uefi, soit installer vos propres clés dans votre uefi. En fin de compte, une architecture de clé publique-privée est utilisée pour le démarrage sécurisé, vous pouvez donc installer la clé publique du binaire, après quoi il peut être démarré comme d'habitude.
