Mobile Motorola : une nouvelle étape dans l'ignominie ?

Posté par (page perso) . Modéré par Nÿco.
Tags :
22
16
juil.
2010
Mobile
Cette dépêche est tirée du journal de patrick_g.

Le web commence à bouillonner au sujet des téléphones Motorola Droid X (basés sur le noyau Linux) et qui sont supposés s'autodétruire si on tente de flasher le système. Tout est parti de cet article sur le site Mydroidworld.com. L'info a ensuite été reprise sur Mobilecrunch.com puis sur Slashdot et maintenant Harald Welte (spécialiste des smartphones s'il en est) en parle sur son blog.

De quoi est-ce qu'il s'agit ?
Une puce (eFUSE) est chargée de vérifier le processus de boot du téléphone. Si tout est correct, c'est à dire si rien n'a changé par rapport au code d'origine Motorola, alors le boot continue normalement. En revanche si la puce détecte que le code du firmware a été modifié (à la suite d'un flashage par exemple) alors elle envoie une commande qui empêchera de façon permanente le démarrage du téléphone. Il ne pourra plus jamais s'allumer. Comme disent nos amis anglo-saxons : votre téléphone devient une brique ! "If the eFuse failes to verify this information then the eFuse receives a command to "blow the fuse" or "trip the fuse". This results in the booting process becoming corrupted and resulting in a permanent bricking of the Phone."

Seul Motorola connait les spécifications de la puce eFUSE et peut éventuellement réactiver le téléphone. Donc pour l'utilisateur c'est mort, il peut jeter son téléphone à la poubelle ou le transformer en coûteux presse-papiers. On connaissait déjà les puces de contrôle qui empêchent simplement le boot mais c'est, à ma connaissance, la première fois qu'on découvre un mécanisme d'autodestruction placée sciemment au coeur du hardware par un constructeur pour interdire le flashage de ses téléphones.

Bien entendu ça fait encore plus mal au coeur de savoir que ces téléphones sont basées sur Linux c'est à dire sur du logiciel libre devant posséder les 4 libertés classiques définies dans la licence GPL. C'est encore plus rageant quand on lit la prose de Lori Fraleigh sur le blog officiel des téléphones Motorola : "L'utilisation de logiciels open source, comme le noyau Linux ou la plateforme Android, dans une machine, n'oblige pas le téléphone faisant tourner ce code à permettre le flashing. Nous respectons les licences, y compris la GPLv2, pour chacun des packages open source de nos téléphones";.

C'est évidemment un argument massue en faveur de la licence GPLv3 qui interdit explicitement cette "tivoisation". Et en attendant n'achetez pas un téléphone Motorola car, comme le dit un commentaire sur Slashdot, "vous pouvez légalement acheter un pistolet qui ne tire que dans la direction de la personne pressant la détente, mais ça ne veut pas dire que c'est une bonne idée".

NdM : Attention cette information émane d'une seule source donc prudence. Voir également ce commentaire de SOULfly_B sur le journal d'origine.
  • # Apple ?

    Posté par (page perso) . Évalué à  10 .

    C'est quand même bizarre que Motorola ait eu l'idée avant Apple...
    • [^] # Re: Apple ?

      Posté par . Évalué à  0 .

      Le problème de ce système c'est que le système ne pourras jamais être mis à jour.

      Ce serait ce tirer une balle dans le pied pour Apple de faire des téléphones qui ne peuvent pas être mis à jour...
      • [^] # Re: Apple ?

        Posté par (page perso) . Évalué à  6 .

        Pas sûr.

        Si Motorola connaît les spécifications de la puce eFUSE, je suppose qu'il sait quelle signature insérer dans un micrologiciel mis à jour pour qu'il soit accepté. Ça me paraîtrait bizarre que la puce vérifie ligne par ligne le code exécutable et n'en accepte qu'un seul pour toute la durée de vie de l'appareil.

        Le problème, c'est que sans la signature authentifiée de Motorola tout autre OS sera rejeté !

        Ça me rappelle un peu le récent revirement de Sony avec sa Playstation. Sauf que je n'ai pas entendu dire qu'ils utilisent une puce dédiée pour bloquer les OS tiers.
        • [^] # Re: Apple ?

          Posté par (page perso) . Évalué à  5 .

          Si le système de signature se vérifie il serait effectivement possible de mettre à jour le téléphone, mais il serait sans doute aussi possible de remplacer le SE pré-installé, il suffit de connaitre la clé et savoir répondre poliment à la puce eFuse quand elle le demande ('fin c'est facile à dire).

          Amha c'est plus simple (et sans doute plus sûr) de faire un hash du noyau et de le comparer à un autre hash pré-enregistré dans la puce eFuse.

          Si j'en crois wikipédia (pas de version française):
          http://en.wikipedia.org/wiki/EFUSE

          Ce type de puce ne peut pas être reprogrammé (on s'en serait doutés), il est très probable qu'une seule clée fasse tourner l'ensemble des téléphones Motorola, donc t'en casse un, tu les casses tous !

          Je suis sûr qu'il y en a qui arriveront à casser ça. Et c'est bien dommage, Motorola mérite le boycott.
          • [^] # Re: Apple ?

            Posté par . Évalué à  6 .

            Si c'est asymétrique, le "casser" de manière à ce que tout le monde puisse générer sa propre signature sans modif hard revient grossièrement à quelque chose d'aussi difficile que de casser du RSA, donc je doute qu'une telle attaque frontale soit si facile si c'est le cas. Après il existe peut-être des failles subtiles dans l'implémentation du bouzin, mais si c'est possible à péter ça le restera probablement par des voies complexes et difficiles dans tous les cas.
          • [^] # Re: Apple ?

            Posté par . Évalué à  0 .

            Cela dépend, tu peux avoir différente clé et si une clé est corrompue, le constructeur peut la révoquer. Si par malheur tu mets ton Firmware à jour avec un firmware officiel, c'est mort.
        • [^] # Re: Apple ?

          Posté par . Évalué à  0 .

          Ben non, le but c'est d'authentifier l'origine du binaire.
          Tu signes avec un clé RSA le binaire (ou plus rapide un CRC calculé sur le binaire).

          L'embarqué va alors authentifier le binaire (ou son CRC).

          Si tu n'as pas la clé publique tu ne peux pas signer le binaire et donc il ne sera pas authentifié. La boot ROM refusera de lancer le binaire.
          Si le système est bien fait, le boot ROM autorise un moyen de reflasher une appli même si l'appli actuellement flashée est refusée.

          Si c'est mal fait, hormis dessouder la flash ou avoir un moyen de faire exécuter du soft en RAM via un JTAG sans passer par l’authentification de la boot rom, le matos est bon pour la poubelle.
    • [^] # Re: Apple ?

      Posté par . Évalué à  -2 .

      Je ne pense pas que ce soit recherché par Apple.
      Je crois que Apple a deux types de clients. Le « normal », qu'il va supporter par son service après-vente et le Geek qui va Jailbreaké leur matériel et se débrouiller tout seul.

      Sinon, je pense que la sécurisation serait plus complexe.
      Un exemple, un iphone, une fois jailbreaké, on a accès a tout, il n'y a qu'un verrou à faire sauter.
      Sur mon Nokia N97, y'a plein de problèmes avec les signatures des paquets etc.
      Au final, c'est sûr que de base, on est un peu plus libre avec le Nokia mais l'iPhone permet de l'être vraiment.
      Et je pense qu'ils en ont conscience et ne cherche pas forcément à trop l'empêcher.
      (Après, je me trompe peut-être et c'est juste des incompétents de se faire souvent déplomber aussi vite, mais j'en doute).
      • [^] # Re: Apple ?

        Posté par . Évalué à  8 .

        "Au final, c'est sûr que de base, on est un peu plus libre avec le Nokia mais l'iPhone permet de l'être vraiment."

        Elle est belle celle-la, l'iPhone qui "permet d'être vraiment libre" !

        Moi qui avais justement envie de m'affranchir, je vais considérer son achat.
  • # Mise à jour

    Posté par . Évalué à  4 .

    Donc ils ne veulent pas pouvoir mettre à jour les téléphones ?

    Ça deviendrais rigolo si des crackers trouvent une faille exploitable...

    Je suis dans ma tour d'ivoire (rien à foutre des autres, dites moi un truc pour moi), si je ne pose pas explicitement une question pour les 99%, les kévin, les Mm Michu alors c'est que je ne parle pas d'eux.

    • [^] # Re: Mise à jour

      Posté par . Évalué à  10 .

      Ca va surtout être très drôle si les utilisateurs installent des applis ou jeux côdés avec le sgeg qui plantent définitivement le téléphone. Ca vaudrait même le coup d'écrire une appli vérolée juste pour faire exploser leur budget SAV et leur montrer à quel point c'était une bonne idée.
  • # doutes

    Posté par . Évalué à  1 .

    je trouve le titre et l'article un peu trop accusateur vu qu'il y a un gros doute quand à savoir si motorola à vraiment implementé ca...

    Sinon, est ce que cette technique serait vraiment beaucoup plus dure à etre cassée que les autres.
    J'y connais pas grand chose, mais je suppose que quand quelqu'un aura trouvé ce que la puce recherche, il sera possible de sortir des firmware alternatifs...
    • [^] # Re: doutes

      Posté par (page perso) . Évalué à  4 .

      1) "Des puces sont ajoutés a tous les téléphones sur la chaîne de production, mais on était pas au courant ! "... un peu gros quand même...

      2) Pas certain.. Si ça fait un checksum du système, ben il n'y aura que le fer à souder pour t'aider... Sur un pc ça passe, mais sur un téléphone y a de quoi pleurer....

      Fuse : j'en Use et Abuse !

      • [^] # Re: doutes

        Posté par . Évalué à  2 .

        sauf qu'un checksum du systeme interdirait toute mise a jour officielle, ce qui me parait pas possible.
        • [^] # Re: doutes

          Posté par (page perso) . Évalué à  5 .

          La crypto/sécurité, c'est pas vraiment mon fort, donc si un expert peut me répondre.

          Si ils signent (encryptent ?) le firmware avec leur clé privée et qu'ils mettent leur clé publique dans la puce, ça leur permet de faire des mises à jour mais d'accepter uniquement celles signées par eux. C'est un bon le concept du "Trusted Computing", non ?
          Est-ce quand même crackable au niveau logiciel ?
          • [^] # Re: doutes

            Posté par (page perso) . Évalué à  3 .

            Je vois 2 manières de cracker ce système :
            1) on découvre la clé privée et on peut ainsi créer des rom à volonté (mais sûrement très dur)
            2) On patch le Bootloader qui désactive cette puce et donc bonjours les rom non signées.

            Mais vue que sur la PS3 qui a aussi ce système ils n'ont réussi aucune de ces 2 méthodes, ce ne doit pas être simple.

            S'il y a un problème, il y a une solution; s'il n'y a pas de solution, c'est qu'il n'y a pas de problème.

            • [^] # Re: doutes

              Posté par . Évalué à  0 .

              Encore faut-il pouvoir patcher le bootloader.
              Si c'est une boot rom soudée en usine qui se charge de charger depuis la flash le binaire signé, ça devient particulièrement compliqué.
          • [^] # Re: doutes

            Posté par (page perso) . Évalué à  3 .

            Si ils signent (encryptent ?)

            Oui signer, encrypter ce n'est pas français ;-)

            le firmware avec leur clé privée et qu'ils mettent leur clé publique dans la puce, ça leur permet de faire des mises à jour mais d'accepter uniquement celles signées par eux. C'est un bon le concept du "Trusted Computing", non ?

            Oui, c'est utilisé par exemple dans les terminaux de paiement électronique (terminaux pour payer par CB). Là c'est critique : imaginez qu'on puisse charger sans contrôle un logiciel qui débite 10 fois la somme affiché quand on tape son PIN. Dans les TPE impossible de charger un logiciel qui n'est pas signé et les clés sont souvent bien protégées. En plus il existe souvent un mécanisme de révocation en cas de compromission de clé.

            Est-ce quand même crackable au niveau logiciel ?

            Pour le savoir, il faudra étudier le système de prêt.
        • [^] # Re: doutes

          Posté par . Évalué à  3 .

          Si, avec IPoT ils pourront transmettre les checksum des futures versions de firmwares.

          Mais ca c'est Apple qui va innover en l'inventant (pour répondre au post plus haut)
  • # Prison

    Posté par . Évalué à  1 .

    Libre à ceux qui veulent acheter des prisons portatives. Y en a bien qui achètent du Apple en se contentant de ça...
    A quand des téléphones portables qui feront que téléphone et sms ? Ah pardon, ça eu existé, il y a 10 ans...
    • [^] # Re: Prison

      Posté par . Évalué à  5 .

      Mon téléphone portable fait uniquement téléphone et SMS, et ça me satisfait
      pleinement.

      Il ne faut pas croire qu'innovation rime avec gadgets débiles et création du
      besoin.
      • [^] # Re: Prison

        Posté par . Évalué à  8 .

        Mon téléphone portable fait uniquement téléphone et SMS, et ça me satisfait
        pleinement.


        Je ne te crois pas. Je parie qu'il fait beaucoup plus.

        Au minimum : il te donne l'heure, garde les numéros de téléphone de tes amis, te sers de calculatrice.
        Sans prendre trop de risques : il te fait agenda (mémo qui sonne), te réveille le matin.

        Tu vois, il peut remplacer avantageusement ta montre (quand je pense qu'il y en a encore qui ont des montres...), ton réveil matin, et même ta secrétaire !
    • [^] # Re: Prison

      Posté par . Évalué à  2 .

      • [^] # Re: Prison

        Posté par . Évalué à  2 .

        J'ai déjà vu des pubs pour ces tout petits téléphone pas cher du tout, ça marche vraiment bien ? Niveau qualité de reception, c'est semblable aux autres téléphones ?
        • [^] # Re: Prison

          Posté par . Évalué à  0 .

          c'est vraiment bien, le seule defaut c'est la tenue sur batterie qui me fait retomber 5 ans en arriere. genre 2,5 jours en utilisation normale. donc bof pour moi.

          du coup je le garde juste pour depanner si je perd mon telephone ou si je vais dans des lieux ou je risque de le perdre aux profit d'un autre.
          • [^] # Re: Prison

            Posté par . Évalué à  5 .

            T'as une deuxième carte SIM ?
            • [^] # Re: Prison

              Posté par (page perso) . Évalué à  1 .

              Il ne peut pas retirer la carte SIM d'un GSM pour la mettre dans l'autre?

              « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

              • [^] # Re: Prison

                Posté par . Évalué à  1 .

                Difficilement, s'il perd son téléphone comme il le dit.
        • [^] # Re: Prison

          Posté par . Évalué à  2 .

          Chez moi ça marche bien.

          Et puis, j'suis sûr qu'il y aurait moyen de les flasher pour y mettre du soft libre.
  • # GPLv2

    Posté par . Évalué à  4 .

    Voir aussi l'article de Bradley Kuhn: http://lwn.net/Articles/396222/
    Il explique notamment que contrairement à ce que pensent les gens, la GPLv2 demande déjà la mise à disposition des outils d'installation, seul les clés cryptos ne sont pas exigées.
    Donc motorola pourrait bien être en violation de la GPLv2.
    • [^] # Re: GPLv2

      Posté par (page perso) . Évalué à  2 .

      Même s'ils fournissent les outils permettant de flasher n'importe quoi, ça n'empêche pas le téléphone de se bricker si ce qu'on lui flashe ne lui plaît pas.
      Me trompé-je ?
  • # Xbox 360

    Posté par (page perso) . Évalué à  5 .

    Ça ressemble un peu au système de la xbox 360, elle utilise des efuse lors de chaque Maj pour empêcher l'utilisateur de downagrader le firmware d'une façon ou d'une autre, et les consoles devkit dans la nature, qui se sont connectées au xbox live dev, ont eu toutes leurs efuse grillée, et se sont retrouvées HS.

    Les efuse, c'est la nouvelle façon de baiser le consommateur en lui interdisant de faire ce qu'il veut du matériel qu'il a acheté.
  • # Motorola répond à Engadget

    Posté par (page perso) . Évalué à  5 .

    et en résumé, ça bloque le boot en mode recovery, donc on peut remettre un firmware avec une signature valide ensuite:
    http://www.engadget.com/2010/07/16/motorola-responds-to-droi(...)
    • [^] # Re: Motorola répond à Engadget

      Posté par . Évalué à  6 .

      ça signifie que tu ne peux installer que des firmware "officiels" signés par Motorola, bref ce n'est guère mieux mais surtout ça ne règle pas le problème de la tivoization !
      • [^] # Re: Motorola répond à Engadget

        Posté par (page perso) . Évalué à  3 .

        Et surtout le commentaire de Motorola n'explique pas le rôle de la puce eFUSE. L'article indique bien qu'elle modifie le hardware:
        "a technology known as eFuse -- developed by IBM several years ago -- which allows circuits to be physically altered at the silicon level on demand."

        Donc à quoi sert cette puce ?
        Voir aussi ce commentaire qui s'interroge lui aussi sur le rôle de la puce : http://lwn.net/Articles/396370/
        • [^] # Re: Motorola répond à Engadget

          Posté par . Évalué à  3 .

          Ca sert empecher de remettre un vieux firmware dans le cas ou tu aurais update vers une version plus recente.

          Exemple:
          - Motorola fait une mise a jour du firmware avec une correction de faille (qui permettrai par exemple de mettre a jour avec un firmware alternatif ou de prendre la main sur le telephone)

          - Lors de l'installation, une ou plusieurs eFuse sont grillees.

          - Si on essaye de remettre une ancienne version du firmware avec la faille, le boot refusera puisque les eFuse sont irremediablement grillees.

          Comme ca ils bloquent les petits malins qui voudraient downgrader vers des versions plus anciennes. C'est exactement le meme systeme que la XBox360. Certes ca pue, mais ca ne vaut pas tout le FUD fait autour de ca.
    • [^] # Re: Motorola répond à Engadget

      Posté par (page perso) . Évalué à  5 .

      Citation : et en résumé, ça bloque le boot en mode recovery, donc on peut remettre un firmware avec une signature valide ensuite

      Ce qui ne m'étonne pas. Sinon j'imaginais déjà la grosse class-action qui pendait au nez de Motorola si ils s'arrogeaient le droit de "briquer" à distance un terminal qui a été vendu, et qui n'est donc plus leur propriété. Parce que c'est bien beau de mettre des clauses interdisant de flasher l'appareil ou je-ne-sais-quoi dans ce genre, ça ne veut pas dire qu'elles seront légales et applicables dans tous les pays.

      Et là je ne parle pas que des geek qui vont délibérément flasher l'appareil. ça pourrait tout aussi bien être le stagiaire chez Motorola (ben oui, c'est l'été, donc forcément, il est tout seul) qui se plante en publiant le dernier firmware, genre en le signant avec la mauvaise clé privée, et patatras, tout les téléphones qui grillent en série, avec les conséquences que vous devinez.

      Sinon, pour donner mon avis sur la question, peu importe que des bidouilleurs trouvent un jour une faille pour contourner cette connerie. La bonne réponse, ce n'est certainement pas de trouver un plan à la Michael Scofield à chaque fois qu'un con-structeur fabrique une nouvelle prison. Non, il faut réellement arrêter d'acheter ces appareils, pour frapper là où ça fait mal, c'est-à-dire au portefeuille de ces sociétés. Évidemment, c'est un doux rêve, vu que la plupart des clients ignorent ou n'ont RAF que leur téléphone soit verrouillé de partout (le succès de l'iPhone en est la preuve), mais ça reste pour moi la meilleure solution à long terme.

      Et concernant la GPLv3, alors qu'au début j'étais plutôt du côté des "contre", la multiplication des prisons à base de code libre est en train de me faire complètement changer d'avis. Marre de les voir piller du code pour l'utiliser dans des produits à la philosophie totalement opposée à celle du libre. Si il faut la GPLv3 pour que ça change, alors pourquoi pas...
  • # Reflasher un modem ?

    Posté par . Évalué à  2 .

    Je partage l'indignation de chacun face à l'impossibilité de flasher son téléphone pour en modifier la partie applicative.

    En revanche, je n'ai vu nulle part de distinction entre partie modem et partie applicative. C'était sans doute implicite.

    Ca ne me choque pas qu'il soit impossible de reflasher le coeur en charge de la partie modem. A mon avis, ça serait vain, tant le code modem est imbitable (y compris pour ses propres développeurs...) et la doc inexistante (y compris...). Je ne vois pas comment qqn de l'extérieur pourrait espérer l'améliorer. Par contre, ça permettrait de modifier des valeurs d'émission et aboutir à des résultats dangereux (problèmes sanitaires) ou des nuisances (perturbations du réseau). Donc à moins qu'on ne fasse comme pour les voitures (passage au mines après modif, du moins en France), ça ne me semble pas souhaitable.

    Il s'agit vraisemblablement de téléphone double-coeurs (par exemple DSP pour le modem et ARM pour l'applicatif), et sans doute qu'on ne parle ici que de modifier le code exécuté sur l'ARM. Mais d'une version à l'autre, le partage des tâches peut varier (il y a qqs années, l'un des enjeux était de déporter le plus de traitement possible sur le DSP pour libérer l'ARM pour toutes les choses indispensables (agenda, jeux, clips de rap, etc).

    Bref, je me demande comment les OS alternatifs se sortent de ce pétrin. J'ai jamais regardé du côté d'Androïd mais je pense qu'il ne s'agit que de l'applicatif.

    Déjà si les OS installés étaient plus permissifs niveau config, on aurait pas forcément besoin de les remplacer pour faire les choses qui nous semblent utiles...
  • # Brique

    Posté par . Évalué à  2 .

    http://community.developer.motorola.com/t5/MOTODEV-Blog/Stat(...)

    d'après le forum motorola. Les tech motorola du site disent simplement que le tel se met en mode recovery si l'on essaye de le flasher avec un OS non approuvé.
    Le tel peut etre remis à jours par l'utilisateur lui même.

    Ceci étant, je reste quand même indigné et je n'achèterai pas de motorla.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.