Loading AI tools
interface standard d'ordinateur De Wikipédia, l'encyclopédie libre
Le standard UEFI (de l’anglais Unified Extensible Firmware Interface, signifiant en français : « Interface micrologicielle extensible unifiée ») définit une interface entre le micrologiciel (firmware) et le système d'exploitation (OS) d'un ordinateur. Cette interface succède sur certaines cartes mères au BIOS.
L'UEFI fait suite à l'EFI (Extensible Firmware Interface), conçue par Intel pour les processeurs Itanium[1],[2].
AMD, American Megatrends, Apple, ARM, Dell, HP, Intel, IBM, Insyde Software, Microsoft et Phoenix Technologies sont les promoteurs de l’UEFI Forum qui définissent les normes de cette technologie[3].
L’UEFI Forum travaille depuis 2005 sur les spécifications de l'UEFI et a publié les premières spécifications officielles de l'UEFI 2.0 au début de 2006. UEFI n'est donc pas une norme, mais un standard technique fruit du consensus d'un groupe d'industriels.
L'UEFI offre de nombreux avantages sur le BIOS : fonctionnalités réseau en standard, interface graphique de bonne résolution, gestion intégrée d'installations multiples de systèmes d’exploitation et affranchissement de la limite des disques à 2,2 To.
Le BIOS, écrit en assembleur, limitait les modifications et/ou remplacements, gage de sûreté de fonctionnement et de sécurité.
L'UEFI est écrit en C, ce qui rend sa maintenance plus souple et reste acceptable en raison des coûts décroissants de la mémoire. Développé pour assurer l'indépendance entre système d'exploitation et plate-forme matérielle sur laquelle il fonctionne, l'UEFI est disponible sur les plates-formes Itanium (IA-64), x86 (32 et 64 bits) et ARM.
Une des fonctions d'UEFI est l'amorçage d'un système d'exploitation, auparavant assurée par le BIOS.
Les spécifications de l'UEFI définissent un gestionnaire d'amorçage dont le rôle est de mettre en mémoire les pilotes et le chargeur du système d'exploitation nécessaire au démarrage. Ce chargeur est une classe d'application UEFI stockée sous forme de fichiers sur un système de fichiers accessible par micrologiciel. Les systèmes de fichiers pris en charge incluent FAT32, FAT16 et FAT12 (mais pas exFAT ni NTFS). Les tables de partition prises en charge comprennent les formats MBR et GPT. Contrairement au BIOS, l'UEFI n'exige pas que le secteur d'amorce se trouve à un endroit particulier.
De nombreuses cartes mères reposent encore sur un firmware hybride reposant sur le paquetage CSM (Compatiblity Support Module) rendant exploitables les anciennes interruptions du BIOS pour certains services.
La terminologie officielle de l'UEFI catégorise six états distincts dans des processus de démarrage du système d'exploitation :
Outre le partitionnement classique par MBR (limité à 2,2 To), UEFI gère, pour les disques, un nouveau système de partitionnement nommé GPT (globally unique identifier partition table). Le GPT permet 128 partitions principales sur un support de capacité allant jusqu'à 9,4 Zo (zettaoctet, milliard de téraoctets). UEFI permet ainsi le démarrage sur des disques de 2,2 To et plus.
Grâce à la gestion bas niveau des disques, le clonage de disques est possible sans passer par le système d’exploitation, ce qui facilite considérablement les copies de disques hébergeant plusieurs systèmes d'exploitation.
UEFI fournit un environnement Shell proche de ce que l'on trouve dans un Shell Unix. Il peut être utilisé pour lancer d'autres applications UEFI, ce qui inclut des UEFI Boot loaders. Il est possible d'obtenir une grande variété d'informations sur le système et le firmware, modifier des variables ou éditer des fichiers texte, de même qu'écrire ou lancer des fichiers scripts portant l'extension .nsh
.
Les méthodes pour lancer le Shell UEFI dépendent du constructeur et du modèle de carte mère. Le plus souvent, il y a une option dans le firmware pour le lancer directement. Pour les versions compilées pour x86-64, il y a besoin d'un fichier <EFI_SYSTEM_PARTITION>/SHELLX64.EFI
. Il faut utiliser la commande bcfg
pour modifier le Shell associé.
La plupart des commandes sont insensibles à la casse, mais pas toujours les chemins et noms de fichiers, suivant le type de système de fichiers utilisé. Utiliser la commande help -b
permet d'avoir un affichage de l'aide page par page. L'option -b
se retrouve sur la plupart des commandes pour avoir un affichage page par page. Le caractère >
peut être utilisé pour rediriger le flux de sortie de la commande dans un fichier texte. Par exemple, la commande help > aide.txt
écrit l'aide dans le fichier aide.txt
.
Le code source du Shell UEFI peut être téléchargé sur la page du projet TianoCore.
Depuis la version 2.3.1, l'UEFI intègre une fonctionnalité n'autorisant le démarrage qu'aux systèmes d'exploitation reconnus. Cette fonctionnalité vise à interdire le démarrage d'un système d'exploitation corrompu, notamment par un virus ou un rootkit. Lors de sa sortie, cette fonctionnalité posait problèmes avec certaines distributions de Linux qui n'étaient pas compatibles.
En mode « lancement sécurisé » (secure boot), l'UEFI utilise un mécanisme de vérification par signatures numériques. Le micrologiciel interdit tout chargement de driver ou de noyau dont la signature ne correspondrait pas à celle gravée en ROM.
Dans le monde du logiciel libre, l'EFF[8] et Linus Torvalds[9] ont dénoncé comme anormale cette fonctionnalité « entravant l'installation et l'utilisation de tout système d'exploitation concurrent de Windows », Torvalds critiquant les compromis acceptés par Red Hat et Canonical pour pouvoir installer Linux sur les machines où le boot sécurisé est activé (achat d'une clé de sécurité).
Il existe, depuis début 2013, deux bootloaders signés par Microsoft, donc reconnus par les PC certifiés Windows 8 : Shim[10] et Linux Foundation Secure Boot System[11].
Aujourd'hui, toutes les versions modernes de Linux supportent Secure Boot.
Microsoft Windows, depuis la version 8, supporte de façon optionnelle[18] le secure boot grâce à une signature numérique transmise aux constructeurs de cartes mères. Depuis Windows 11, Secure Boot est obligatoire.
Au contraire, sur les appareils ARM, Microsoft interdit la désactivation du Secure Boot aux constructeurs[19].
Le forum Ubuntu présente deux façons de démarrer cette distribution[20] :
La première solution peut, en principe, fonctionner du fait qu'elle court-circuite l'UEFI avec une autre distribution Linux, installée sur un SSD connecté par USB3, eSATA ou USB2 par exemple. Cette disposition permettant un accès non autorisé (éventuellement malveillant) demandera soit un accès physique surveillé ou mis sous clé, soit un chiffrement des informations du disque avec, par exemple, TrueCrypt ou équivalent, assorti de sauvegardes rigoureuses.
Tous les systèmes d'exploitation ne supportent pas le Secure Boot.
Si l'utilisateur ne désactive pas le Secure Boot dans l'UEFI, celui-ci peut empêcher l'utilisation de certains systèmes d'exploitation libres ou alternatifs.
Dans le monde du logiciel libre, plusieurs voix s’élevaient pour dénoncer le fait que la signature émanerait principalement, ou même exclusivement, de Microsoft et non d'autres éditeurs de logiciels, mais ce n'est désormais plus un problème.
John Sullivan (FSF Executive Director[21]) ne croyait pas que la raison principale du « Secure Boot », qu'il appelle plutôt boot exclusif, soit la sécurité[22], mais bien de rendre plus difficile l'installation de systèmes d'exploitation concurrents (non signés ou n'ayant pas une signature acceptée par le constructeur du matériel)[23],[24]et a créé une polémique.
Microsoft et Intel ont déclaré que les utilisateurs comme les fabricants peuvent désactiver cette fonctionnalité sur les ordinateurs sous UEFI qui le permettraient[25].
Linus Torvalds, lui, a déclaré initialement que le simple achat d'un certificat numérique à 99 $ pour couvrir toute une distribution ne lui semblait pas être une « énorme affaire »[26].
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.