Sécurité : Effets pervers du modèle de sécurité BitFrost de OLPC
Posté par Sébastien Koechlin (). Modéré le 15 avril 2008.
L'ordinateur en lui même s'appelle le XO, et il implémente un modèle de sécurité appelé BitFrost qui impose un certain nombre de principes adaptés aux utilisateurs et aux infrastructures dans lesquelles le XO est censé être utilisé.
À l'occasion de la conférence UPSEC (USENIX Usability, Psychology and Security), trois personnes ont publié un document qui analyse de façon pertinente les effets pervers de certaines des mesures de sécurité de BitFrost. Le document ne propose pas de solution magique, mais invite à réfléchir sur les implications et sur les manques du modèle BitFrost afin de le compléter ou de le faire évoluer en prenant en compte les différents sujets évoqués.
![[fr]](../images/fr.png)
OLPC sur Wikipedia (381 hits)![[en]](../images/en.png)
Chilling Effects of the OLPC XO Security Model (PDF) (244 hits)-
Chilling Effects of the OLPC XO Security Model (HTML) (518 hits)
-
DLFP : Bitfrost : Un nouveau modèle de sécurité (733 hits)
> Lire la dépêche (44 commentaires, moyenne: 4,7).
Vous avez demandé le commentaire #923207.
Run by 
Cette page a été générée par Templeet en 0.1153s (dont 0.0097 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Éternel problème
Le compromis entre liberté et sécurité est un vieux débat et il est loin de se terminer. Plus exactement, il n'a aucune chance de finir !
[^]Re: Éternel problème
je rajouterai que tous cela est pas nouveau et avait deja ete evoque au moment de la conception du systeme.
[^]Re: Éternel problème
"Une société qui est prête à sacrifier un peu de sa liberté contre un peu de sa sécurité, ne mérite ni l’une ni l’autre, et perdra les deux." (Benjamin Franklin)
Il n'y a PAS de compromis à faire entre sécurité et liberté.
"La liberté ne peut être que toute la liberté ; un morceau de liberté n’est pas la liberté." -- Max Stirner
[^]Re: Éternel problème
Tu n'as pas la liberté de me tuer, ce qui augmente ma sécurité. Vivre en société implique de laisser de côté une partie de ses libertés pour un peu de sécurité, d'où compromis. Le plus dur est de trouver où s'arrête la liberté et où commence la sécurité.
"On obtient plus de chose en étant poli et armé qu'en étant juste poli" Al Capone
[^]Re: Éternel problème
Sauf que c'est de la rhétorique qui ne fait rien de plus que de jouer sur le sens des mots. Dans la citation de Benjamin Franklin, le sens qu'il donne à liberté n'a strictement rien à voir avec le fait d'entreprendre toutes les actions malfaisante qui pourraient nous passer par la tête.
[^]Re: Éternel problème
La malfaisance, c'est relatif.
[^]Re: Éternel problème
Alors, tu va nous donner la définition, par Franklin, de la liberté. En outre, tu dis:
le sens qu'il donne à liberté n'a strictement rien à voir avec le fait d'entreprendre toutes les actions malfaisante qui pourraient nous passer par la tête.
Si je n'ai pas la liberté de faire le mal, alors je ne suis pas entièrement libre. En outre, comme l'a rappelé loufoque "La malfaisance, c'est relatif.". J'ai aujourd'hui la liberté d'avoir des relations homosexuelles alors que jusqu'il y a quelques décennies, c'était "malfaisant"... Par contre, je n'ai plus la liberté de fumer dans des lieux publics, ce qui améliore la sécurité, la santé, des non-fumeurs mais restreint ma liberté.
Cette citation avait un sens à son époque, mais il ne faudrait pas faire l'erreur de la prendre tel quel en éludant son contexte.
"On obtient plus de chose en étant poli et armé qu'en étant juste poli" Al Capone
[^]Re: Éternel problème
Par contre, je n'ai plus la liberté de fumer dans des lieux publics, ce qui améliore la sécurité, la santé, des non-fumeurs mais restreint ma liberté.
En quoi ça améliore ma sécurité ?
On fait beaucoup trop de chose soit disant au nom de ma sécurité, y a qu'à voir tous ces dispositifs que l'on légitime avec des panneaux "pour votre sécurité ceci", "pour sécurité cela", etc.). Le problème c'est qu'avant l'installation de ces dispositifs j'étais déjà en sécurité.
Donc au nom de notre sécurité on nous enc--- bien profond!
[^]Re: Éternel problème
Pour la clope, à mon avis, c'est un poil différent :
Tu as perdu la liberté de fumer en public, et j'ai gagné la liberté de ne pas fumer malgré moi en public...
Yth.
[^]Re: Éternel problème
Pour la clope, à mon avis, c'est un poil différent :
Depuis que les gens ne fument plus dans les cafés, bars... mais à l'extérieur, je m'en prends plein les poumons quand je suis au bureau ou chez ma petite amie, parce que les gens fument dehors.
Il faudrait simplement interdire de fumer dans la rue, comme dans les grandes villes du Japon.
Je suis bien content qu'il soit interdit de fumer dans tous les lieux publiques, y compris le bars, et les tabacs, parce que maintenant je peux enfin y aller.
----------------
La sécurité centralisée sur un seul système est problématique, surtout si cela contrôle l'accès à l'outil.
Le vol de matériel existe, on peut le limiter en prenant des précautions, mais... on ne pourra jamais vraiment l'empêcher, sauf à vivre en ermite...
Je ne savais pas, jusqu'à présent, qu'il fallait activer avec une clef virtuel, l'OLPC pour s'en servir. C'est comme Winmerde et MacOSchiant, toujours à poser des questions indiscrètes et plus tard à balancer de la publicité ou inciter à consommer leurs produits.
Au moins, avec Linux, on a pas tout ça, heureusement. C'est un gain de liberté et de sécurité, l'utilisateur peut se concentrer sur ce qu'il fait et sur les questions pertinentes.
A bientôt
[^]Re: Éternel problème
>il fallait activer avec une clef virtuel, l'OLPC pour s'en servir.
C'est une option que le client peut choisir de prendre ou pas je crois.
L'avantage étant une réduction du risque de vol, pas un empechement comme tu le dis mais un obstacle important, ce qui peut être considéré comme un avantage suffisant pour utiliser ce mode la.
>Au moins, avec Linux, on a pas tout ça, heureusement. C'est un gain de liberté et de sécurité
[Gros soupir] Tu devrais mieux te renseigner: l'OLPC utilise Linux justement..
Ne pas avoir ce système sur les distributions Linux 'normale' est un gain en liberté d'accord, mais pas un gain de sécurité ou alors ta définition est bizarre..
[^]Re: Éternel problème
Lorsque je disais que Linux n'avait pas ce problème, je ne parlais plus de l'OLPC.
Ce n'était pas clair, effectivement.
[^]Re: Éternel problème
"La liberté des uns commence là ou s'arrête celles des autres"
Je n'ai pas la liberté de te tuer car j'empièterai sur ta liberté de vivre.
[^]Re: Éternel problème
«La liberté des uns débute là où elle confirme celle des autres.»
Je ne me prends pas la liberté de te tuer car cela infirmerais ta liberté à vivre.
Le wiki de l'association culture libre : collection d'œuvres sous licence art libre.
[^]Re: Éternel problème
voir aussi le principe de non agression en:Non-aggression_principle
:-D !!!NOUVEAU!!!
[^]Re: Éternel problème
«Tu n'as pas la liberté de me tuer, ce qui augmente ma sécurité.»
Faut voir ce que tu appels liberté. La dernière fois que j'ai ouvert un journal papier, les lois n'empêchaient pas les gens de tuer.
Aucune loi ne te protégera jamais fasse à quelque qui veut vraiment te tuer. Par contre fondé une société où chacun à plus à gagner à être respectueux de son prochain qu'à l'agresser, ça c'est un gage de sécurité (pas absolue évidement).
Le wiki de l'association culture libre : collection d'œuvres sous licence art libre.
[^]Re: Éternel problème
On est pas vendredri mais j'ai pas pu résister :
Avec la GPL tu n'as pas la liberté de passer le code en proprio, ce qui augmente la sécurité du projet (évidemment pas en terme de sécurité informatique, mais de vie du projet).
--> []
[^]Re: Éternel problème
Je crois bien que l'auteur de cette citation n'est pas connu de façon exacte bien qu'elle soit souvent attribuée à Franklin.
Il me semble qu'il y avait eu un article sur /. la dessus...
[^]Re: Éternel problème
Je crois bien que l'auteur de cette citation n'est pas connu de façon exacte bien qu'elle soit souvent attribuée à Franklin
Ca ressemble furieusement au discours de Toqueville dans « de la démocratie en Amérique ». Je n'ai pas l'ouvrage sous la main ...
À si le voilà : http://gallica.bnf.fr
Argh ... c'est incompatible avec ma débian.
Oups si ça marche : tome III, chapitre XIV. La citation n'y est pas (où en lisant en diagonale des 3 premiers tome en 20 mn elle m'a échappée) mais l'idée ainsi qu'un certains nombre d'autres fort intéressantes et d'actualité permanente le son bien. Peut-être que la citation est présente ailleurs un peu plus loin vu la similitude des idées ...
En tout cas le fait de retrouver la même idée dans de nombreux textes et ouvrages contemporains montre encore une fois que dans le domaine des idées c'est la circulation et l'échange qui sont le moteur des avancements et non le génie individuel comme essaye de le faire croire certains groupes de pressions à des parlementaires peut-être trop incultes pour leur faire avaler des brevets qui n'intéressent guère que quelques multinationales au détriment de la recherche publique et des peuples.
PMA
[^]Re: Éternel problème
Sorti de son contexte, ça pourrait même faire un slogan pour la NRA...
[^]Re: Éternel problème
Bruce Schneier a dit The debate isn't security versus privacy. It's liberty versus control.
Je ne traduirais pas, certains feront ça mieux que moi.
Mais en effet, le problème vient du controle. Le projet OLPC avait intérêt à donner du controle aux gouvernements, les gouvernements étant leur clients... Le client est roi, il n'ont fait que répondre à ses exigences.
Sinon la vrai question, est est ce qu'on aurait pas pu combiner les deux? À savoir des protections anti vol, anti usurpation, tout en protégeant la confidentialité?
[^]Re: Éternel problème
Protection anti-vol, ça me fait bien marrer quand même. C'est pas ces soit disant protection qui empêcheront une personne mal intentionné d'arracher la machine des mains d'un enfant.
Et pour l'usurpation d'identité, je vois pas qui aurait besoin d'usurper l'identité d'un gamin d'un pays en voie de développement, tout ça c'est juste une putain d'excuse bidon pour ficher des populations entières.
Je vais vomir.
Le wiki de l'association culture libre : collection d'œuvres sous licence art libre.
[^]Re: Éternel problème
tout ça c'est juste une putain d'excuse bidon pour ficher des populations entières
T'es tellement cynique que ça en devient complètement ridicule. Faut arrêter avec les théorie de complot parfois.
T'es à la fois complètement utopique, tu veux fonder une société idéale, et c'est complètement contradictoire avec ce que tu présuppose de la nature humaine.
D'ailleurs ce que tu en présuppose me donne à moi aussi envie de vomir.
[^]Re: Éternel problème
Et bien souhaitons que j'ai complètement tort et qu'aucune dérive que permettrais ce système n'arrivera.
Tu as peut être une idée de pourquoi quelqu'un voudrais usurper l'identité d'un gamin d'un pays en voie de développement, moi je manque un peu d'imagination de ce coté là.
Jusqu'à présent j'ai jamais entendu parler d'un système de protection numérique incassable (que ce soit en hard ou en soft), alors j'ai quelque doute sur l'impossibilité de contourner la fantastique protection protections anti vol et anti usurpation.
«T'es à la fois complètement utopique, tu veux fonder une société idéale, et c'est complètement contradictoire avec ce que tu présuppose de la nature humaine.»
J'aimerais bien savoir ce que tu t'imagines que je présuppose sur la nature humaine.
Le wiki de l'association culture libre : collection d'œuvres sous licence art libre.
[^]Re: Éternel problème
Je répondais juste à ce que j'ai cité, qui sous-entend que tout le projet OLPC a pour but entre autre de ficher la population.
Idée particulièrement tordue, surtout quand tu ajoutes derrière "bon, ok je sais pas trop à quoi tout ça pourrait servir au final, le détournement du projet tout ça, mais bon, je manque d'imagination, la malhonnêteté humaine la dépasse"
Certe, l'humanité peut faire le mal, mais de là à supposer n'importe quoi a partir de pas grand chose ... Disons que ça en dit long sur ta manière de penser.
Note que j'ai pas dit qu'il n'y avait pas de failles ni de trucs à améliorer dans le système, mais bon, de là a supposer l'intentionnalité des concepteur d'une exploitation "malhonnête" du projet, il y a un pas énorme
[^]Re: Éternel problème
Bon je me suis mal exprimé. Je ne veux pas dire que les concepteurs du OLPC ont des mauvaises intentions derrière la tête.
Qu'ils veulent que chaque enfant puisse avoir un accès à la connaissance, j'en doute pas, et c'est cool.
Maintenant rien ne les obligeait non plus à proposer le système bitfrost qui s'il à été conçu dans l'intention de "protéger" les utilisateurs de ces machines, peut extrêmement facilement être utilisé de manière malveillante, et -c'est là mon avis- n'offre pas une protection qui en vaut la peine.
Bon faut dire que l'intention de ceux qui font OLPC et aussi un peu intéressé quelque part, mine de rien ça fait un paqué de fric sur un marché jusqu'alors inexploité.
Voila, après l'enfer est pavé de bonnes intentions tout ça tout ça...
Le wiki de l'association culture libre : collection d'œuvres sous licence art libre.
[^]Re: Éternel problème
>C'est pas ces soit disant protection qui empêcheront une personne mal intentionné d'arracher la machine des mains d'un enfant.
A part armer les enfants ou ne pas les autoriser a emporter les OLPC chez eux (et encore la sécurité dans les écoles..), *rien* ne le peut!
Cependant, cela diminue quand même le risque que des personnes mal intentionnées volent des OLPC pour le profit, puisque l'OLPC devient rapidement unitilisable..
Donc quand tu auras finir de critiquer juste pour critiquer, tu seras peut-être plus crédible.