jeudi 24 juillet
April | Agenda du libre | Framasoft | Léa-Linux | Lolix | JeSuisLibre | Eyrolles | LinuxMag | Veni, Vidi, Libri | InLibroVeritas | LinuxGraphic
Faire un don ! | | style | statistiques | contactez-nous | plan | lettre d'information
Accueil :: Dépêches :: Archives :: Proposer une dépêche :: Journaux :: Forums :: Entretiens :: Suivi :: RDF

Liens connexes

Dépêche modérée par

Dépêche éditée par

: Effets pervers du modèle de sécurité BitFrost de OLPC

Posté par Sébastien Koechlin (). Modéré le 15 avril 2008.
OLPC : One Laptop Per Child (un portable par enfant) est un projet lancé par des professeurs du MIT aux États-Unis qui a pour but de promouvoir un ordinateur portable à 100 dollars US pour permettre à chaque enfant dans le monde l'accès à la connaissance et aux formes modernes d'éducation. Déjà commandé à plus de 600 000 exemplaires, il est principalement destiné aux pays où les moyens financiers, l'infrastructure électrique et l'accès à Internet ne permettent pas d'utiliser du matériel classique.

L'ordinateur en lui même s'appelle le XO, et il implémente un modèle de sécurité appelé BitFrost qui impose un certain nombre de principes adaptés aux utilisateurs et aux infrastructures dans lesquelles le XO est censé être utilisé.

À l'occasion de la conférence UPSEC (USENIX Usability, Psychology and Security), trois personnes ont publié un document qui analyse de façon pertinente les effets pervers de certaines des mesures de sécurité de BitFrost. Le document ne propose pas de solution magique, mais invite à réfléchir sur les implications et sur les manques du modèle BitFrost afin de le compléter ou de le faire évoluer en prenant en compte les différents sujets évoqués.

> Lire la dépêche (44 commentaires, moyenne: 4,7).  

Ce qui suit est un rapide survol des points abordés par le document référencé:

1. Introduction
Afin d'éviter le vol, la dégradation, le piratage, l'accès aux données personnelles des XO, un certain nombre de mesures ont été implémentées directement au niveau matériel et logiciel au cœur de l'ordinateur. Appelé BitFrost, ce modèle de sécurité part d'un bon sentiment mais a des conséquences qui risquent d'aller à l'inverse des buts fixés.

2. Procédure d'attribution
Afin de limiter l'utilisation du XO aux personnes légitimes, une procédure d'activation doit être jouée avant de pouvoir l'utiliser. Le processus d'activation permet d'associer chaque ordinateur à une personne, permet la création d'une identité numérique pour signer les échanges et l'identification du propriétaire légitime en cas de vol.

Le premier démarrage de la machine doit se faire à portée d'un serveur d'activation/sauvegarde (Ordinateur classique équipé du WiFi et d'Internet et qui a reçu les certificats correspondants aux XO reçus). A cette occasion, la WebCam du XO prend une photo de l'enfant propriétaire et lui demande de saisir son nom. Ces informations forment une clef d'attribution appelée Identité Numérique (Digital Identity) qui est conservée sur le XO, sur le serveur d'activation et envoyé également sur le serveur de sauvegarde national.

Le serveur local sert ensuite de serveur de sauvegarde en utilisant une identification réciproque. Les XO forment un réseau maillé dans lequel les machines servent de relais les unes aux autres pour partager et propager l'accès à Internet.

L'identité numérique est utilisée pour identifier l'utilisateur dans toutes ses communications (email, requêtes HTTP) afin d'éviter les messages anonymes et l'usurpation d'identité.

Tous les jours, le XO se connecte au serveur d'activation national pour vérifier la légitimité de l'utilisateur ; permettant de désactiver un ordinateur volé. Si le serveur n'a pas pu être contacté pendant plus de 21 jours, la machine se désactive également.

3. Limites du système
Voici les principaux points reprochés à ce modèle :
  1. Les données (Documents utilisateurs et identité numérique) sont par principe sauvegardés sur le serveur national ; l'enfant n'a pas le choix de l'entité à qui il veut les confier. Toute compromission de ces serveurs entraîne la compromission de l'ensemble des XO du pays. C'est la même entité qui gère l'identité et les sauvegardes des données utilisateurs.
    L'usurpation des clefs du serveur de sauvegarde donne également accès à toutes les informations des XO qui en dépendent.
  2. La compromission des serveurs entraîne la compromission des identités numériques, permettant l'usurpation de toutes les identités récupérées.
  3. La signature systématique fait qu'aucun mécanisme de communication confidentiel n'est possible. Les pays du tiers monde dans lesquels cette solution est prévue pour être déployée sont sujets de façon chronique à la corruption et à l'ingérence ; on peut imaginer qu'un gouvernement peu scrupuleux des libertés individuelles n'hésitera pas à filtrer et punir les personnes tenant des propos critiquant le gouvernement ; exprimant des propos politiques ou religieux non conformes. Ce genre de loi existe dans plusieurs pays.
  4. Cette signature, toujours, interdit l'utilisation des OLPC comme système de vote à bulletin secret.
  5. En cas de catastrophe naturelle ou de tout autre évènement entraînant la perte de la connexion internet pour une longue durée, la limitation à 21 jours va entraîner la désactivation de tous les XO, alors qu'ils pourraient justement permettre d'aider les gens.
  6. Les instances contrôlant les serveurs nationaux peuvent désactiver comme ils le souhaitent n'importe quel XO pour n'importe quelle raison ; opposition politique, représailles, etc. Ce moyen de pression peut être utilisé sans aucun rapport avec l'éducation ou l'utilisation prévue du XO et donne plus de pouvoir au gouvernement. Le document insiste sur le fait que les victimes de telles mesures touchent des enfants à un âge où l'on apprend à exprimer ses opinions et où l'on est très sensible à la critique, ce genre de mesure peut avoir des impacts importants sur le développement social des enfants.
4. Conclusion
Le document ne propose pas de solution magique, mais invite à réfléchir sur ces implications et sur les manques du modèle BitFrost afin de le compléter ou de le faire évoluer en prenant en compte les différents sujets évoqués.

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Éternel problème

Posté par Pierre Jarillon (page perso, ) le 15/04/2008 à 20:30. (lien). Évalué à 10.

Le compromis entre liberté et sécurité est un vieux débat et il est loin de se terminer. Plus exactement, il n'a aucune chance de finir !

Le remède pire que le mal

Posté par Arkem (page perso, ) le 15/04/2008 à 21:10. (lien). Évalué à 2.

Puisque tous ces problèmes sont dus au seul besoin de lutter contre le vol, l'idéal serait d'inonder le pays d'XO pour qu'il n'y ait plus d'intérêt à les voler... Je ne parle pas sérieusement, bien sûr.

Ou de trouver un moyen pour que le propriétaire du XO puisse le localiser plus facilement, avec un gadget qui sache reconnaître la liaison Wi-Fi du XO, par exemple. Bon, je dis ça mais je n'ai pas les compétences techniques pour savoir si c'est réalisable à un coût raisonnable...

--
Il vaut mieux mobiliser son intelligence sur des conneries que sa connerie sur des choses intelligentes (proverbe shadock)

Effets pervers ?

Posté par IsNotGood () le 15/04/2008 à 22:48. (lien). Évalué à 6.

Je trouve ça "amusant".
On a donc une dépêche en première page sur les "effets pervers" de BitFrost...

Analyse limite puisque ça critique mais ça n'apporte jamais de solution...

Petit chose amusante :
2.2 A Peculiar Definition of “Open”

Although Bitfrost advocates open design, we note that the only available draft of the specification states that it is not the final version, and that a full technical specification is “being prepared” [11]. There is no indication that the specification has been submitted to any recognized standards body for approval, or even when a final draft will be made available.

On ne pourrait pas en dire de même pour php ou python ou hal ?
Si MS fournissait les sources de MS-Office, on en aurait rien à foutre de OOXML et sa certification ISO.


> L'usurpation des clefs du serveur de sauvegarde donne également accès à toutes les informations des XO qui en dépendent.

Je ne vois pas en quoi c'est spécifique à XO.
Si les serveurs passport de MS sont crackés, c'est aussi un sacré bordel. Idem pour OpenID.

Notons que BitFrost est pour le cas de OLPC qui appartiennent au gouvernement.
L'enfant n'est pas le propriétaire. C'est juste un constat.
Lorsqu'on est propriétaire du OLPC, on ne passe pas par BitFrost.
BitFrost est un service. Si les gouvernements ne veulent pas l'utiliser, ben ils ne l'utilise pas. Proposer ce service est-il "pervers" ? Vaste débat. Mais les gouvernements n'ont pas besoin de ça s'ils veulent assurer un contrôle sur les citoyens. Que je sache, les opposants au régime, les journalistes, etc ne sont pas obligé d'utiliser BitFrost.


C'est très bien de décrire BitFrost. Il est très important que les gens soient conscient des aspects sécurités/confidentialités afin d'en faire un bon emploi. Mais parler d'effets pervers c'est franchement pousser le bouchon un peu loins.
À quand une dépêche sur les effets pervers de Gmail ?
Une autre sur les effets pervers de dlfp ?
Ben oui, si dlfp est cracké, on sait qui a soumis les commentaires. On a l'adresse mail et après on peut remonter à l'utilisateur. Du moins le gouvernement le peu (BitFrost est pour les gouvernement).

Lecture de la liste olpc et BitFrost publication à USENIX UPSEC

Posté par Clarisse McClellan (page perso, ) le 16/04/2008 à 08:52. (lien). Évalué à 2.

Il serait bien d'ajouter dans l'article une référence aux commentaires sur la publication UPSEC'08 (organisée dans le cadre USENIX) de la liste OLPC.

Une bonne référence est la suivante :

http://lists.laptop.org/pipermail/devel/2008-April/012611.ht(...)

Ce commentaire balance bien la publication qui théorise beaucoup alors que l'implémentation ne fonctionne pas complètement comme décrite. Bien entendu, la publication pointe quelques points valides aussi sur la sécurité. Donc cela aide un peu les développeurs OLPC, c'est toujours ça...

Ma vision plus personnelle de la question :

Je crois que c'est un problème courant des publications "académiques" où l'on demande aux chercheurs de faire du nombre et de se détacher de la réalité pratique (pour de sombres raisons de différence entre le cadre "académique" et le cadre de "l'ingénierie").

Il me semble que c'est un peu à cause de cela que les auteurs n'ont pas fait une correction ou une lecture attentive de l'implémentation existante. Les auteurs se sont concentrés sur le "threat model" en utilisant les spécifications "papiers" en oubliant un peu la réalité de l'implémentation logicielle.

--
"Being with people is nice. But I don't think it's social to get a bunch of people together and then not let them talk..."

Mouais

Posté par Éric (Jabber id, page perso, ) le 16/04/2008 à 12:25. (lien). Évalué à 6.

Le pouvoir de l'état sur ces portables et les dérives de surveillances possibles sont en effet importantes, Mais :

-
"Les pays du tiers monde dans lesquels cette solution est prévue pour être déployée sont sujets de façon chronique à la corruption et à l'ingérence"

Cette phrase est franchement nauséabonde. Les pays occidentaux ou riches sont loin d'avoir montré être exemplaire de ce côté. Sans céder à la théorie du complot, pour donner un exemple simple l'Italie était dans un état pitoyable face à la corruption il y a peu et ce n'est pas encore totalement fini. Au niveau de la surveillance des communication, nos pays sont même à la pointe, bien plus que n'importe quel pays du tiers monde. Carnivore, Echelon, ou simplement le contrôle chinois n'ont probablement aucun équivalent performant dans les pays pauvres.

Je doute de plus que ce soit vraiment la corruption qui puisse être le problème. Le problème serait plus les dérives et excès de l'état lui-même.

-
La désactivation 21 jours après une catastrophe naturelle qui empêcherait de se servir des portables pour aider les gens, c'est fleur bleue. Certes on pourra toujours trouver un cas d'utilisation mais 21 jours après la catastrophe, j'ai des doutes sur le fait que des petits portables scolaires soient un média de secours.
D'autant que s'ils sont désactivés c'est très probablement que le réseau n'est plus là (soit on parle de milieux peu informatisés et le wifi est justement donné par le serveur local qui permet de maintenir l'activation, soit on parle de milieux informatisés et alors il y aura aussi d'autres postes que ces OLPC).
Il ne faut pas oublier qu'on parle de petits portables pour enfants avec un but scolaire.



Bref, les risques de dérives sont énormes, et c'est bien de le souligner, mais ne cédons ni dans une présomptueuse dépréciation des pays pauvres, ni dans des arguments qui font pleurer les familles mais peu réalistes.

[+] Arrétez de faire les crédulent

Posté par jpmgir () le 19/04/2008 à 13:56. (lien). Évalué à -2.

il serai temps d'ouvrir vos yeux,
est de considérer comme acquis le fait que:
-1 la totalité des personne disposant d'un pouvoir doivent être suspecté a priori d'être corrompus et non l'inverse
-2 que les pseudo protection des individus face au risque de liste informatique (informatique est liberté) ne freine en rien ceux qui en font une utilisation mal malveillante

je croie donc qu'il n'y a pas d'effet pervers mais que les professeurs du MIT on reçu un cahier des charges dans ce but,
qui donc répond a la question comment contrôler>manipuler la population des pays pauvre

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.143s (dont 0.0128 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.