la mort annoncée du BIOS

[claudounet]

http://www.lemonde.fr/technologies/arti ... 51865.html

heureusement, grace à nous, il vivra longtemps!

[frodon69]

Concrètement, ça a l'air d'être une bonne chose, non ?

[fneck]

BIOS ou UEFI, j'ai du mal à comprendre où est la différence?

De tout temps lorsqu'on démarre un ordinateur il y a un bout de programme qui prend la main pour effectuer certaines tâches dont la détection du matériel puis le lancement de l'OS. En lisant cet article je ne vois rien de plus qu'une évolution du BIOS ce qui semble normal. Celui-ci occupait 256 octets sur un Apple 1, puis 2 Ko sur un ordi de type CP/M, puis souvent 8 Ko au début des années 80 et ainsi de suite...

Si demain il fera 1Go, il n'y aura rien de surprenant... mais il fera toujours ce que faisait un BIOS

[Squonk]

Ce qui est bien si le BIOS est remplacé par quelque chose de plus gros et qu'on peut le flasher, c'est que je pourrais remplacer ce machin par CoreBoot (ex LinuxBIOS) pour booter directement Linux en un temps record

[OlivierP]

Le risque est de voir les DRM se développer à un bas niveau.

[Squonk]

C'est malheureusement vrai

Et probablement les brevets aussi

[Dynaroo]

Site officiel de Coreboot:
https://www.coreboot.org/

[DataPro]

Toujours est-il que le BIOS est toujours présent et que cette nouvelle annoncée dès 2010 ne s'est pas (encore?) révélée exacte.

Coreboot est plutôt une alternative libre mais reste un BIOS, non ?

[sporniket]

"moniteur", "TOS/KickStart", "bios", "uefi"... plein de mots pour, au final, désigner la séquence d'instructions servie au processeur principal à son démarrage. Et ceci ne va pas changer de sitôt...

[Fool-DupleX]

Sauf qu'un BIOS UEFI fonctionne d'une manière extrêmement différente. Il contient un système de fichiers dans la flash avec des modules et on peut ajouter et enlever des modules, y compris par connexion distante sur internet. Le BIOS classique rétrocompatible est composé d'un ensemble de tels modules, qu'on peut tout simplement supprimer pour n'avoir plus qu'un boot vers l'OS (dans ce cas de figure, MS-DOS ne fonctionne plus). Ces modules sont sensés être signés par les fabricants, mais il y a des failles. Récemment, Intel s'est fait piquer toutes ses clés privées et les révoquer est extrêmemt compliqué. Un paquet de malware utilisent déjà cela pour persister, c'est-à-dire rester présent sur la machine même si on met un disque dur tout neuf avec une install fraiche de l'os.

Je vous invite à regarder cet outil, il est très pratique pour manager un BIOS UEFI:

https://github.com/LongSoft/UEFITool

Pour d'autres infos croustillantes :

https://www.wired.com/story/gigabyte-mo ... e-backdoor
https://securityonline.info/intel-oem-p ... t-security
https://hothardware.com/news/uefi-firmw ... -kaspersky

Y'en a des tonnes maintenant de ces malwares qui restent dans le "BIOS".

Pour la face positive de l'affaire, on peut par exemple gérer quels périphériques sont reconnus de base. J'aime bien par exemple rajouter le module de boot sur NVMe sur des machines un peu anciennes qui ont déjà un UEFI, mais ne savent pas détecter un tel disque SSD sur leur bus PCIe.

https://www.tachytelic.net/2021/12/dell ... -nvme-ssd/

PS. J'ai checké le code source et le binaire, le module est safe.

Un mot sur CoreBoot : génial mais pas complet. Ca permet d'avoir un contrôle absolu sur la machine sur laquelle on l'installe, mais il ne gère pas tous les chipsets.

[kirion]

A ce que je comprends de cet outil :

https://github.com/LongSoft/UEFITool

il permet d'analyser un firmware sous forme de fichier binaire mais il ne permet pas d'extraire l'UEFI de son propre PC.

Certains fabriquants propose le backup du firmware comme Intel :



mais y a t'il un outil qui fonctionne pour tous les UEFI pour extraire son UEFI vers un fichier binaire ?

[Fool-DupleX]

Je ne sais pas. Chaque chipset gère la puce de BIOS et le TPM à sa manière. Généralement, c'est le fabricant de la carte-mère qui fournit l'outil qui va bien, à savoir celui qui permet aussi de mettre à jour le BIOS.

[kirion]

Les firmwares que j'ai testés sont mis à jour par un fichier .exe qui fait tout de lui même (on a pas accès aux paramètres de gestion du flash).
Ca semble limiter la propagation des malwares : un malware devrait contenir toutes les procédures de flash pour tous les modèles de cartes mères.

[Fool-DupleX]

pour tous les modèles de cartes mères.

Pas tant que ça. Seulement pour tous les modèles de chipsets. Ca fait beaucoup moins. Ajoute à cela qu'il y a dans le UEFI bios lui-même des fonctionnalités pour sa propre mise à jour sous la forme de drivers avec des API standard. Ceci dit elles ne sont pas accessibles directement, il faut trouver une vuln pour sauter dedans. La recherche de ce type de vuln est un domaine très à la mode.

Tiens, en voila une tombée récemment sur mon téléscripteur : https://arstechnica.com/security/2023/0 ... -firmware/

[Zebulon]

Tout cela est très réjouissant en ce lundi matin. Mon PC perso fonctionne sur une carte mère avec un BIOS classique mais ne supportera pas Windows 11 car pas de TPM.

Donc si je comprends bien quand je vais acheter une nouvelle carte mère/CPU d'un côté le TPM doit apporter plus de sécurité et de l'autre le bios UEFI va introduire des failles béantes qui ne sont même pas couvertes par l'antivirus ?