Cet article vous a \351t\351 envoy\351 par [EMAIL PROTECTED]
Le commentaire suivant a \351t\351 ajout\351 : "Palladium", autre point de vue, in "ZD Net" Actualités http://news.zdnet.fr/cgi-bin/fr/send_story.cgi?id=2125621 ------------------------------------------------------------ Avec Palladium et TCPA, l'informatique de confiance reste encore bien abstraite SAN FRANCISCO - Lors de la conférence USENIX sur la sécurité qui s'est tenue en août en Californie, les développeurs de Microsoft ont présenté Palladium, la prochaine initiative d'architecture "sécurisée" du numéro un mondial des loigiciels. Microsoft la présente comme une technologie qui renforcera la confidentialité des données personnelles, empêchera la copie privée d'oeuvres sous copyright, et augmentera le contrôle des entreprises sur leur parc informatique. Palladium devrait entrer en vigueur en 2005, dans le cadre d'une mise à jour majeure de Windows. Une vision idyllique qui n'est pas perçue comme telle par tous. Les critiques pleuvent sur cette future plateforme, ainsi que sur les initiatives que veulent prendre les membres de la TCPA (Trusted Computing Platform Alliance), devenu un lobby très influent dans le monde de la sécurité informatique. Créé en octobre 1999, ce consortium regroupe la fine fleur de l'industrie américaine, tant dans les logiciels que les machines (Microsoft, Intel, Compaq, Hewlett-Packard et IBM). Il ne manquerait plus que Sun et Oracle pour boucler la boucle. Mais aucune autre société ne semble avoir été acceptée en son sein depuis. Pour se donner un peu de crédit, TCPA a rassemblé un conseil scientifique de quatre universitaires (deux Américains, un Européen et un Australien). L'esprit de la TCPA et de Palladium de Microsoft est de modifier totalement le mode de traitement des données sur ordinateurs. Cela passe par des ajouts et modifications qui seront apportés aux ordinateurs au niveau du matériel. Une puce enrichie en sécurité, mais qui démange Dans les deux cas, l'idée est d'intégrer une nouvelle puce sur la carte mère des nouveaux ordinateurs en usine. Elle comportera de nouvelles fonctions de chiffrement et une mémoire qui permettra de stocker les clés de déchiffrement des données protégées. La TCPA décrit cette puce comme un "trusted platform module", successeur d'un système d'identifiant que Intel voulait mettre en place sur ses processeurs; le fondeur y a renoncé en 1999 suite au vent de protestations soulevé, et notamment en France, sur les questions de respect de la vie privée (lire notre enquête du 23/11/1999). Et de fait, le principe de machines dotées d'une technologie permettant de protéger les données, sécuriser les communications et vérifier les caractéristiques de leur système, ne fait clairement pas l'unanimité. Une application de ce type pensée pour un marché de masse se heurte d'emblée à un mur d'opposition, car le grand public a du mal à faire confiance à une technologie pour une "informatique digne de confiance" (trusted computing). Nombreux sont ceux qui pensent que des programmes comme Palladium risquent d'empêcher les utilisateurs d'accéder à certaines données. Son effet pervers pourrait être d'interdire l'accès à des données stockées sur une machine si son utilisateur utilise des logiciels sans licence. «L'idée que la sécurité protège d'utilisateurs tiers le contenu du poste de l'utilisateur est erronée» affirme Lucky Green, consultant spécialiste de la sécurité. Mais à qui appartient au final l'ordinateur? Pas étonnant de voir Richard Stallman, fondateur de la Free Software Foundation, à l'origine du projet GNU et de la licence GPL dont s'inspirent tous les systèmes Linux aujourd'hui, tirer à boulets rouges sur TCPA. Stallman parle même d'«informatique perfide». Dans une longue tribune publiée sur Sourceforge et traduite depuis en français (lire le texte complet), il débute ainsi: «De qui votre ordinateur devrait-il recevoir ses ordres? La plupart des personnes pensent que leurs ordinateurs devraient leur obéir, et ne pas obéir à quelqu'un d'autre. [Le plan TCPA] projette de faire en sorte que votre ordinateur obéisse [aux fabricants et éditeurs] au lieu de vous obéir. Les programmes propriétaires ont déjà inclus des dispositifs malveillants auparavant, mais ce plan rendrait cette pratique universelle.» Il estime enfin que le but de cette technologie est d'interdire aux utilisateurs, et non aux pirates ou hackers malveillants, d'accéder librement à leurs données. Le but avoué étant la gestion des droits numériques, ou DRM (digital rights management), c'est-à-dire le contrôle de contenus protégés par copyright. Ross Anderson est sur la même longueur d'ondes. Chercheur britannique respecté (laboratoire d'informatique, université de Cambridge), spécialiste en sécurité et en cryptographie, il rappelle que «depuis des années, Bill Gates rêve d'inventer un moyen d'obliger les Chinois de payer pour ses logiciels: Palladium pourrait être la réponse à cette prière.» Anderson a publié et met à jour régulièrement une foire aux questions pointilleuse sur TCPA (une FAQ également traduite en Français). «Notre technologie est adaptée aux évolutions du marché» Microsoft réfute l'idée que Palladium est conçu pour contrôler le contenu des ordinateurs de ses clients. L'éditeur estime au contraire que sa technologie répond aux besoins du marché, puisque les réseaux privés virtuels, ou VPN (virtual private networks), de plus en plus répandus, ont besoin d'être sécurisés et de permettre aux administrateurs d'identifier les ordinateurs sur leur réseau. Autre exemple, des entreprises qui souhaitent éviter que des emails compromettants pour elles soient présentés devant un tribunal, pourraient obliger leurs salariés à utiliser des technologies de sécurisation. Ces dernières pourraient alors jeter les clés numériques des emails datant de plus d'un mois, ne permettant ainsi plus de les déchiffrer. Des possibilités alléchantes qui pourraient bien séduire nombre d'entreprises. «Une plateforme de confiance a sa configuration pour carte de visite; un fournisseur peut décider de traiter ou non avec l'ordinateur en question», a expliqué dans une récente interview Marcus Varady, responsable marketing "Safer computing initiative" chez Intel et président du comité directeur de la TCPA. «Le fournisseur peut ensuite abaisser son mur de protection dans cet environnement pour collaborer avec cette machine en toute confiance». Ainsi, un site web qui vend de la musique peut savoir si l'ordinateur d'un client dispose de protections anticopie, avant de lui permettre de télécharger de la musique sur internet. Une idée qui fait bondir les opposants, qui crient au retour en arrière puisque les utilisateurs se voient imposer des limites sur leur usage privé de l'information. Moins de liberté d'un côté, plus de pouvoir de l'autre William Arbaugh, professeur en informatique à l'Université du Maryland, estime que la TPCA pourrait apporter certes plus de sécurité, mais que les modifications matérielles et logicielles pourraient faire beaucoup de mal si les entreprises s'en servent de façon abusive. «Le TCPA sous sa forme actuelle est inacceptable», conclut-il. Sans compter, rajoutent les détracteurs, que la technologie ne prémunit pas totalement du piratage. Palladium, par exemple, ne pourrait éviter une attaque matérielle qui entraînerait une fuite de données. La sécurité de la technologie n'a plus aucun effet sur les données se trouvant en dehors de l'infrastructure Palladium, explique d'ailleurs Peter Biddle, responsable produit chez Microsoft. Les détracteurs critiquent également tout processus ou technologie contrôlé par une seule entreprise, cette dernière pouvant avoir d'autres idées en tête - surtout s'il s'agit de Microsoft. Eben Moglen, l'un des avocats de la Free Software Foundation et professeur de droit à l'université de Columbia, redoute que de telles initiatives propriétaires nuisent au développement de technologies open-source comme GNU/Linux, qui commence à s'ériger face à Windows. Lucky Green redoute également que des technologies comme Palladium donnent trop de pouvoir aux éditeurs de systèmes d'exploitation au détriment des développeurs d'applications. «Dans la mesure où les systèmes d'exploitation qui limitent les données peuvent établir quelles applications peuvent tourner, le paysage des logiciels va se muer en applications de premier choix qui permettront aux utilisateurs d'accéder au contenu, et à d'autres applications de second ordre qui n'y donnent pas accès», affirme-t-il. «Dans ce scénario, les éditeurs de logiciels sont sous la coupe des constructeurs». Il suspecte Microsoft d'utiliser Palladium pour contraindre le public d'utiliser les logiciels avec une licence. Pour lui, les initiatives de trusted computing quelles qu'elles soient ambitionnent de «sécuriser les applications et données au détriment de l'utilisateur final, mais au profit de tierces parties». Cette vision d'une conspiration fait rire les partisans. «Rien ne montre que Microsoft et Intel cherchent à berner le monde entier. Si c'est ce qui se produit au final, je suis persuadé que le Congrès américain les arrêtera», estime Farber de l'Université de Pennsylvanie. Reste que la complexité du sujet fait l'unanimité, et que Microsoft lui-même n'en connaît pas les aboutissants. «Nous pouvons parler de ce que nous avons voulu faire», affirme Mario Juarez, responsable produit sur Palladium, ajoutant que «bien des questions restent encore sans réponse». Copyright (c) 2001 ZDNet France. Tous droits r\351serv\351s. ZDNet France et le logo de ZDNet France sont des marques d\351pos\351es par ZDNet. http://news.zdnet.fr Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 **** Pas de message au format HTML, SVP ****
