Parfois, il suffit de pas grand chose pour que je commence à me poser des tas de questions. Dans ce cas précis, c’est un commentaire qui à provoqué l’échauffement de mon neurone.
Toute la question est de savoir si l’utilisation, consciente et raisonnée, de moyens conçus pour diminuer nos libertés numériques ne pourrait pas occasionnellement se justifier. Plus précisément, le problème soulevé est le suivant :
Une personne mal intentionnée, ayant accès physiquement à un ordinateur, peut normalement déjouer toutes les sécurités mises en places, y compris le chiffrement intégral des disques. Attaque appelée « Evil Maiden » (pour prendre l’exemple d’une femme de ménage qui aurait accès à un ordinateur laissé dans une chambre d’hôtel).
Globalement, j’avoue ne pas vraiment me sentir concerné par ce type d’attaque, tout simplement car, pour moi, il ne s’agit pas d’une « attaque » ou d’une « faille », mais de la simple illustration d’une évidence : Il n’est pas possible de sécuriser un ordinateur auquel il est possible d’avoir physiquement accès, point. C’est la raison pour laquelle les serveurs d’entreprises sont dans des salles machines protégées par des sas d’accès ou il faut des badges et des codes d’accès, avec des caméras à tous les angles et des vigiles qui patrouillent.
Pour un particulier, c’est exactement la même chose. Si vraiment vous avez une machine à sécuriser absolument à 100%, alors il ne faut pas la quitter, c’est aussi simple que ça. Elle doit être dans une mallette accrochée à votre poignet par une paire de menottes, et j’exagère à peine. (Il me semble que c’est ce qu’Assange faisait…). Bien sur, une clef USB contenant les clefs de chiffrement permettant de booter le PC représente déjà un bon compromis simplicité/sécurité, mais il restera forcément des failles si l’ordinateur n’est pas surveillé (retrait de la ram juste après l’extinction de la machine etc)
Ce que lildadou suggère dans son commentaire, c’est d’utiliser les puces TPM qui envahissent nos machines, pour sécuriser toute la procédure de boot. Que le lanceur (grub…) soit lui même vérifié par le BIOS, et lancé que si sa signature correspond à ce qui à été enregistré dans les tréfonds de la carte mère.
Et bien je suis contre.
Certes, il faudrait que je passe un peu plus de temps à réfléchir sur le sujet, mais je partage l’avis de Stallman sur les TPM. C’est une menace pour nos libertés numériques, et cela doit donc être traité de la sorte. Je ne cautionne même pas l’existante de ces puces dans nos machines, alors pourquoi les utiliser ? Si on m’offrait un iphone, vais-je l’utiliser sous le simple prétexte que, maintenant que je l’ai, autant trouver une façon intelligente de l’utiliser ? La réponse est NON.
Il y a des années, dans une autre vie, j’aurai même probablement sauté à pied joint dessus. Je l’aurai détruit, composant par composant, en y prenant un grand plaisir. (Ah, les bons souvenirs de destruction de PC lors des coding party, ou même, beaucoup plus récemment, la destruction d’une xbox lors d’une réunion d’amigasites ;). Peut être que j’ai grandi… Peut être qu’aujourd’hui, je me contenterai, de façon beaucoup plus pragmatique, de le revendre ou de l’offrir au premier venu. Mais je ne pense pas que je pourrai l’utiliser. faire cela, ce serait renier ce que je pense, ce que j’explique. Ce serait perdre le peu de crédibilité que j’ai peut être. Alors, non.
Beaucoup m’ont déjà traité d’intégriste. Pour moi, c’est un compliment. Être intègre est une qualité. C’est le fait de trahir ces idéaux qui pose problème, pas de respecter les principes que l’on s’est fixé.
PS : Pendant que certains travaillent durant des années à concevoir des moyens de brider les usages possibles d’un produit, d’autres ont heureusement la philosophie inverse. MERCI FREE !
🙂
Il y a plus d’un an, j’ai lancé le débat sur le forum Ubuntu-fr <http://forum.ubuntu-fr.org/viewtopi… Un masochiste y aurait trouvé son compte ^^’
Je crois que j’étais encore au collége quand j’ai entendu parler du projet Palladium qui avait scandalisé beaucoup de monde. Et jusque aujourd’hui, j’ai pu assister aux soubresauts paranoïaque de la communauté ; le dernier en date concernant Windows 8.
Quel est la situation actuelle? Observe t’on un verrouillage du matériel comme prédit?
La réponse est oui mais la situation est moins pire qu’il n’y parait.
Dans le monde PCs, le tatouage a disparu aussi rapidement qu’il a vécu et la logique de verrouillage se dans le logiciel (du BIOS ou du bootloader).
Ailleurs ; il y a des tentatives de verrouillage du bootloader chez les systèmes Android (je pense à la tablette Asus transformer) mais les fabricants propose maintenant des outils de contournement (HTC, Asus).
Ce que je que veux montrer, c’est que le verrouillage matériel n’est pas une tentative de le verrouiller définitivement mais est plus une manifestation de la volonté du fabricant d’avoir un contrôle pour exercer des politiques sur le grand public. Les moyens actuels sont suffisants pour répondre à ces besoins sans verrouiller le matériel.
Alors quid du TPM? Il est répandu depuis pas mal d’année maintenant, beaucoup de machine en dispose. Y a t’il utilisation du TPM pour verrouiller le matériel? Pas à ma connaissance.
Le TPM est une technologie NEUTRE. Elle peut avoir de mauvais comme de bon usages, comme le P2P, et au contraire du HDCP, par exemple. On ne doit pas combattre une technologie neutre au prétexte qu’elle est dangereuse. Et même si de mauvaise usages apparaissaient, ce serait ces usages qu’il faudrait combattre.
On ne combat pas la production de couteaux mais les meurtres, c’est du bon sens.
« On ne doit pas combattre une technologie neutre au prétexte qu’elle est dangereuse »
Une technologie est elle forcément neutre ?
Car « combattre une technologie parce qu’elle est dangereuse » n’est pas un prétexte qui si mauvais que ça ! (cf le nucléaire). Autre exemple, est il vraiment normal de laisser des chercheurs en médecine travailler sur des virus sans se poser la moindre question ? Oui, un virus, bien utilisé, peut être extrêmement utile et sauver de nombreuses vies. Mais ces recherches, et ce qu’elle entrainent représente réellement un très grand danger. Et je trouve tout à fait normal de se poser des questions. Pour reprendre ton analogie avec les couteux, il est évident que cet outil à tellement d’usages bénéfiques qu’il ne viendrait à personne l’idée des les interdire. Mais quand est il des armes à feu ? Une arme à feu peut être utilisée pour chasser mais son but principale est bien de tuer. Tuer un autre être vivant, c’est à peu près l’unique fonction d’une arme à feu. (ok, il y a le tir sportif mais sérieusement…)
Cette technologie, les « armes à feu » donc, est une technologie « dangereuse », dont le but unique est de détruire. Objectivement, je ne suis pas certain que l’on puisse encore parler de technologie « neutre » dans ce genre de cas.
Mais oui, revenons au sujet 🙂 Pour le moment, je ne vois pas de « bons usages » des TPM. Comme le sous entend le titre de mon billet, je crois qu’utiliser ce genre de chose ne pourrai, au mieux, que procurer un faux sentiment de sécurité, car il y aura toujours moyens de contourner le système. Regarde la ps3… Cela à pris des années, c’est vrai. Mais ce sont quand même bien quelques « gus dans leur garage » qui sont parvenus à contourner les (très nombreuses) couches de chiffrement et toute la protections materielle de la console à finit par tomber.
Si ces puces servent, dans 99,99% des cas, à contrôler l’usage que le « grand publique » fait d’un produit (ce que tu reconnais toi même), et qu’il procure un faux sentiment de sécurité au 0,01% restant de la population, excuse moi mais j’ai vraiment du mal à saisir l’utilité de la chose.
>>> Une technologie est elle forcément neutre ?
Non. Je donnais d’ailleurs le HDCP pour exemple.
>>> Cette technologie, les « armes à feu » donc, est une technologie « dangereuse », dont le but unique est de détruire. Objectivement, je ne suis pas certain que l’on puisse encore parler de technologie « neutre » dans ce genre de cas.
Et bien si. Les armes à feu sont neutres. C’est parce que tu mélanges les usages à l’objet et comme tu portes un jugement sur l’usage tu le déporte aussi sur l’objet. Effectivement, les armes à feux sont des « objets aboutis » (comme la faux, objets aboutis sont tellement spécialisés qu’ils ont, en pratique, une seule fonction) dédier à la fonction de tuer. Mais les armes à feu reste neutres puisqu’elle ne fait aucune distinction entre ce qui la tient et ce qui est en face.
Le HDCP n’est pas neutre. Il réalise une distinction entre utilisateurs et fabricant. Eux possèdent les clefs qui permet l’exploitation de ton matériel, toi non et c’est sur ce fait que HDCP fonctionne. Elle n’est donc pas neutre. Le TPM ne fonctionne pas sur ce principe. Une catégorie de personnes ne peut pas réaliser plus de chose qu’une autre.
>>> Pour le moment, je ne vois pas de « bons usages » des TPM.
C’est exactement ce pourquoi je trouve le TPM excellent. Les fonctions du TPM sont tellement génériques et simple qu’il n’y a pas d’usage préconçus. Le TPM a des caractéristiques, c’est aux développeurs de les exploiter. L’usage le plus courant c’est la vérification de la chaine de démarrage (EVM/BitLocker). Puisqu’il faut trouver un autre bons usage je te propose d’exploiter TPM dans le cadre des trousseaux logiciel (ce qui retient tes mot de passe dans Firefox par exemple). Le TPM va te garantir que le firefox qui demande la clef de déchiffrement n’a pas été altéré ou sur d’autre critère plus pointus.
>>> Comme le sous entend le titre de mon billet, je crois qu’utiliser ce genre de chose ne pourrai, au mieux, que procurer un faux sentiment de sécurité, car il y aura toujours moyens de contourner le système.
La sécurité… quel sujet de reflexion passionnant. La sécurité n’est jamais absolue et de toute façon il n’existe pas de solution de sécurité absolue ; on a compris ça depuis l’apparition des sciences sur les systèmes complexes.
La sécurité est un processus composite, chaque processus est significativement faillible mais l’ensemble est significativement robuste.
Je fais souvent l’analogie des tranches de gruyère. Il y a plein de trous dans une tranche de gruyère et on ne sait pas faire de tranche de gruyère sans trous. Par contre, plus je place de tranches de gruyère les unes sur les autres et moins il y a de trous.
Le TPM est une tranche de gruyère avec pleins de trous. Le TPM ne résiste pas au coldboot-attack, le TPM est hackable physiquement.
>>> Si ces puces servent, dans 99,99% des cas, à contrôler l’usage que le « grand publique » fait d’un produit (ce que tu reconnais toi même), et qu’il procure un faux sentiment de sécurité au 0,01% restant de la population, excuse moi mais j’ai vraiment du mal à saisir l’utilité de la chose.
C’est pas grave. Personne ne peut te reprocher de ne pas trouver l’utilité de quelque chose. Moi même je n’y arrive pas efficacement. Mais on a exemple d’utilisation que je trouve intéressant à exploiter (sécurisation du boot). Les autres usages viendront plus tard, parce que comme j’ai essayé de le dire : le TPM, en plus d’être neutre, propose des fonctionnalités qui sont génériques.
Tes explications concernant la neutralité des TPM sont, je l’avoue, plutôt convaincantes. (En tout cas jusqu’à ce que des constructeurs utilise le TPM en conservant des clefs que nous n’aurions pas, ce qui j’en suis sur arrivera un jour ou l’autre)
Par contre, j’ai beaucoup plus du mal à adhérer à ta vision de la sécurité. Tu explique que c’est en multipliant les « couches » que l’on augmente la sécurité globale d’une solution. Or, cela fait des dizaines d’années que tous les spécialistes expliquent exactement le contraire :
La sécurité d’un système correspond à la sécurité de son maillon le plus faible. (Je suis sur de pouvoir te trouver cette phrase dans de très nombreux supports de cours très sérieux sur la sujet).
C’est une chose que j’ai tellement entendue, et que j’ai toujours trouvée tellement logique, que je ne me suis jamais vraiment posé de questions la dessus. Mais pour le moment, c’est ce principe qui me semble beaucoup mieux correspondre à la réalité que le tiens…
+ qu’il y a de couches , + qu’il y aura de failles possibles.
@lildadou
J’y ai encore réfléchit, et en fait j’en reviens à ma première vision des choses. Les DRM et tout ce qui permettent de les implémenter ne peuvent pas être considérés comme neutre. Tu donne l’exemple des tablettes dont les constructeurs fournissent (ou plutôt fourniront…) des outils pour déverrouiller la séquence de boot. Mais ce déverrouillage n’a rien d’anodin. En faisant cela, le constructeur indique que tu perd la garantie sur le produit. De plus, cela s’accompagne d’une perte de fonctionnalité (VOD..).
Bref, il s’agit bien de controler l’usage qui est fait du produit, et leur annonce d’outil n’a pour but que de calmer provisoirement l’arrivé de commentaires très négatif sur le net a propos de ces produits.
Vraiment, les verrouillage numériques sont MAUVAIS pour l’humanité, tu peux tourner ça dans tous les sens, mais ça restera le cas. Stallman à raison, et sur toute la ligne :
http://www.framablog.org/index.php/…
Si tu cherches « La sécurité d’un système correspond à la sécurité de son maillon le plus faible. » alors tu risques de me trouver en tant qu’utilisateur de cette ref. ^^’
Mon analogie avec les couches concernent surtout les préoccupations à laquelle répondent chaque couche (The Humble Programmer, Dijkstra, 1972 / Parnas, 1972 est pas HS non plus) c’est le pillier fondateur du génie logiciel. Mon analogie n’est donc pas sur le même plan que ta citation et n’est pas non plus son antithèse.
Ce que je voulais dire c’est que chaque couche a une préoccupation. C’est parce qu’une couche n’a qu’une préoccupation qu’elle a pleins de trous (« Le TPM ne résiste pas au coldboot-attack, le TPM est hackable physiquement. » >> parce qu’il n’est pas concerné par ces attaques!).
Et c’est parce qu’on a des couches qui se préoccupe que de très peu de chose qu’elles le font bien ; que ce sont des maillons solides.
Les premières versions du TPM fonctionnaient sur un principe non-neutre (clef cachés toussa). Le consortium c’est fait proprement défoncé, le projet va prendre des décennies de retard à cause de la mauvaise presse, etc -> le TPM Group a compris ses conneries (en sortant le TPM1.2, neutre lui). Pour éviter un retour en arrière, je ne pense pas qu’il faille continuer à lutter contre le TPM ; il est déjà entrain de s’installer discrètement dans chaque machine vendue. Pour lutter contre les mauvais usages du TPM et un retour en arrière sur sa neutralité, il faut au contraire s’en servir pleinement et en faire une appropriation par le publique. De cette façon les usages auront été choisi et seront verrouillé par la masse des usages.
http://www.pcinpact.com/news/68335-…
Re. Alors on laisse les usages malsains s’installer par la porte de derrière ou en décide d’en tirer quelque chose de bon?
Ni l’un ni l’autre ! On exprime notre désaccord total, notre haine profonde pour tout ce qui porte directement atteinte à nos libertés fondamentales. Bref, comme pour ce que j’ai écrit avec l’iphone, on achète une de ces saloperies (si on en a les moyens ce qui ne va pas être mon cas la tout de suite…) et on se filme en train de l’exploser à coup de masse, avant de jeter les restes au feu. Le tout en sous titrant bien la vidéo pour que tout le monde comprenne pourquoi ce genre de chose ne peut être rangé qu’à un seul endroit : La benne à ordure.