tag:linuxfr.org,2005:/tags/trusted_computing/publicLinuxFr.org : les contenus étiquetés avec « trusted_computing »2017-09-02T23:46:25+02:00/favicon.pngtag:linuxfr.org,2005:Diary/374622017-08-29T19:12:44+02:002017-08-29T19:46:43+02:00Désactiver l'Intel ME: merci la NSALicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>Bonjour nal,</p>
<p>Un (très) court journal pour te dire que des chercheurs de chez Positive Technologies ont découvert qu'il y avait moyen de désactiver le Management Engine d'Intel (qui pour rappel, tourne dans un processeur à part et à accès à tout le système). Et cela viendrait d'un prérequis du <em>High Assurance Platform (HAP)</em> qui est un programme de la NSA pour de l'informatique de confiance. Attention, la procédure n'est, pour le moment, pas à la portée du premier venu.</p>
<p><a href="http://blog.ptsecurity.com/2017/08/disabling-intel-me.html">http://blog.ptsecurity.com/2017/08/disabling-intel-me.html</a></p><div><a href="https://linuxfr.org/users/claudex/journaux/desactiver-l-intel-me-merci-la-nsa.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/112559/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/claudex/journaux/desactiver-l-intel-me-merci-la-nsa#comments">ouvrir dans le navigateur</a>
</p>
claudexhttps://linuxfr.org/nodes/112559/comments.atomtag:linuxfr.org,2005:News/289862012-01-04T19:51:18+01:002012-01-04T19:51:18+01:00« Guerre et paix » : Tolstoï au 21e siècle, par Cory Doctorow au 28C3Licence CC By‑SA http://creativecommons.org/licenses/by-sa/3.0/deed.fr<div><p>Je vous avais <a href="https://linuxfr.org/news/28%C3%A8me-chaos-communication-congress-derri%C3%A8re-les-lignes-ennemies">récemment parlé du programme du CCC, 28C3</a> de son doux surnom en 2011. Ça avait l'air super. C'était avant d'y aller. À posteriori, c'était génial.</p>
<p>Étant donné que ce ne serait pas très très sympa de vous avoir mis l'eau à la bouche avec le programme pour vous laisser en plan par la suite en ne donnant plus de nouvelles sur le sujet, voilà un gentil début. Avec... Cory Doctorow. Euh oui, précision : les autres trucs sur lesquels j'ai envie d'écrire sont d'une façon ou d'une autre très liés alors que celui-ci est, on va dire, un peu en dehors. C'est relatif, comme beaucoup de considérations, mais peu importe au final, je dirais :) Enfin, c'est beaucoup plus court à écrire, pour le dire franchement.</p></div><ul><li>lien nᵒ 1 : <a title="http://www.youtube.com/watch?feature=player_embedded&v=HUEvRyemKSg" hreflang="en" href="https://linuxfr.org/redirect/74592">La vidéo de la présentation lors du CCC</a></li><li>lien nᵒ 2 : <a title="http://joinup.ec.europa.eu/news/eu-cern-launches-open-hardware-initiative" hreflang="en" href="https://linuxfr.org/redirect/74593">EU: CERN launches Open Hardware initiative</a></li><li>lien nᵒ 3 : <a title="http://www.ohwr.org/" hreflang="en" href="https://linuxfr.org/redirect/74594">Open Hardware Repository</a></li><li>lien nᵒ 4 : <a title="http://lists.openhardware.org/cgi-bin/mailman/listinfo/legal" hreflang="en" href="https://linuxfr.org/redirect/74595">Liste de diffusion "Open Hardware - Legal" (pour ce qui relève de licences, etc.)</a></li><li>lien nᵒ 5 : <a title="http://openhardware.org/journal/" hreflang="en" href="https://linuxfr.org/redirect/74596">Open Hardware Journal </a></li><li>lien nᵒ 6 : <a title="https://linuxfr.org/news/28%C3%A8me-chaos-communication-congress-derri%C3%A8re-les-lignes-ennemies" hreflang="fr" href="https://linuxfr.org/redirect/74598">Dépêche annonçant la tenue du 28C3</a></li></ul><div><p>Donc, le titre de l'intervention de Cory Doctorow était <em>"The Coming War on General Purpose Computation"</em>. Et je vous avais prévenu dans ma précédente bafouille que c'est du genre tordu et ardu. Au final, pas tant que ça.</p>
<p>Doctorow a commencé en disant qu'il ne s'agit pas d'une présentation sur le droit d'auteur. Il a tout de même fait un parallèle avec l'histoire de la législation encadrant ces lois. Autrement dit, ça a causé du début, au temps des dinosaures où les disquettes étaient maîtresses du monde. On pouvait les acheter n'importe où pour pas cher puisqu'elles étaient « <em>vendues dans les supermarchés tout comme les bonbons et les magazines</em> ». Du coup, tout le monde pouvait en avoir, en prêter à des amis et ainsi diffuser les contenus s'y trouvant sans soucis particuliers.</p>
<p>L'idée générale de la présentation était de parler des dangers qui guettent nos chers ordis. C'est court comme idée, en fait, mais c'est parce que j'ai du mal à résumer en une seule phrase de moins de 10 lignes. Ainsi, ça parle de <em>"general purpose computers"</em> ou ordinateurs génériques, chose qui s'est en réalité révélée être une bonne partie des machines qui nous entourent ou sur lesquelles se posent nos doigts de fée tous les jours pour produire un commentaire sur LinuxFr.org.</p>
<p>Et c'est là que DRM v0.96 fait son apparition : autrement dit, c'est le début du bridage du partage des connaissances. Comment ? Par l'introduction de petits défauts matériels sur les supports (les disquettes donc) ou encore, par l'exigence de pouvoir justifier de la possession d'un manuel d'utilisation du logiciel pour être capable de l'utiliser. Étant donné que ces manuels étaient souvent de la taille du livre cité en titre, à savoir <em>Guerre et paix</em> (1 kilo et demi en version couverture souple), cette exigence s'est rapidement révélée assez exotique et économiquement peu rentable.</p>
<p>Tout simplement, l'utilité du logiciel pour ses acheteurs légitimes s'est trouvée réduite, mais -- qui plus est -- cela ne punissait aucunement les non acheteurs utilisateurs. De plus, ces mesures de bridage n'empêchaient pas du tout les bidouilleurs de patcher les logiciels et contourner les limitations imposées. Et quand on pense qu'à l'époque déterminer ce qui m*rdoyait dans l'exécution d'un programme et le contourner/réparer relevait des connaissances de base de tout informaticien, il devient vite facile de comprendre l'aisance avec laquelle ces mesures de bridage ont pu être rendues caduques.</p>
<p>Doctorow soulignait également l'importance des débuts d'internet avec Usenet et consorts, permettant aux gens de tout simplement discuter et échanger sur ces problématiques et leurs solutions.</p>
<p>Ce qui a donné DRM v1 lorsque, vers 1996, <em>les gens dans les milieux autorisés</em>, pour reprendre Coluche, ont réalisé qu'un gros truc était en train de se produire. C'est ainsi qu'est née l'<em>économie de l'information</em>, quoi que ça veuille bien dire. Selon ces gens, cette économie se définissait en tant que vente et achat d'informations. Et puisque la technologie de l'information rend les choses efficaces, ça allait dépoter. Donc, ça s'imaginait plein de scénarios où on pourrait vendre le droit de regarder un film pour 1 euro et louer le bouton <em>pause</em> pour quelques centimes par seconde, par exemple. Enfin :</p>
<blockquote>
<p>[...] the fantasies of those days were a little like a boring science fiction adaptation of the Old Testament book of Numbers, a kind of tedious enumeration of every permutation of things people do with information and the ways we could charge them for it.</p>
<p><em>Les fantasmagories de ces jours passés sont un peu comme une adaptation SF ennuyeuse de l'Ancien Testament des Nombres, une sorte d'énumération rébarbative de chaque permutation de choses que les gens pourraient faire avec l'information et les façons dont on pourrait s'y prendre pour les faire payer pour ces activités.</em></p>
</blockquote>
<p>Le seul hic dans cette histoire est que cela est uniquement possible dans le cas où l'on serait en mesure de contrôler l'usage que font les gens de leurs ordinateurs. Mais comment y parvenir ? Comment réussir à s'assurer que les gens n'exécutent que les programmes qui satisfont nos conditions ?</p>
<p>Voilà comment l'idée géniale d'empêcher les ordinateurs d'exécuter certains programmes est née : on peut chiffrer le fichier nécessaire pour le fonctionnement du programme et ainsi obliger l'utilisateur à exécuter un programme supplémentaire qui débloque le premier dans certaines conditions.</p>
<p>
<img src="http://candobetter.net/files/information-filtering6.jpg" alt="Filtrage, du blog 'Can Do Better', CC-by-NC-ND 2.0" title="Filtrage, du blog 'Can Do Better', CC-by-NC-ND 2.0" />
<br />
</p>
<p>Mais là, on a deux problèmes : dans ce cas, on doit empêcher l'utilisateur d'enregistrer le fichier une fois déchiffré ET l'empêcher de comprendre où sont stockés les clés puisque, si l'utilisateur trouve les clés, un chiffrement futur ne fonctionnera pas. Et maintenant, on a 3 problèmes (ici, tout le monde dans la grande salle a rigolé) : il faut pouvoir empêcher l'utilisateur de donner le fichier en clair à autrui. Et on a 4 problèmes : stopper les utilisateurs qui savent comment débloquer des programmes de le dire à d'autres qui ne savent pas. Mais on a 5 problèmes en fait ! Il faut empêcher les utilisateurs qui connaissent les secrets d'un programme de les communiquer à d'autres... Bon, ça fait plein de soucis, en fait. Mais c'est le début de la fin. De quoi ? Du partage illégal, voyons. Parce que <strong>la</strong> solution à tous ces problèmes était l'adoption en 1996 du <em>Copyright Treaty</em> par l'Organisation Mondiale de la Propriété Intellectuelle (OMPI) qui est un ensemble de lois rendant illégal le déblocage de programmes, rendant illégal le fait de dire à d'autres comment le faire, etc. C'est ainsi que la copie illégale fut enterrée à jamais et l'économie de l'information a pu s'épanouir comme une rose aux premières lueurs du soleil de printemps.</p>
<p>Oui, beh là, c'est évident que toute la salle riait haut et fort :) On sait que cette législation a créé davantage de problèmes qu'elle n'en a résolu. Dans la pratique, cette législation rend en fait illégal pour l'utilisateur de regarder ce qu'il se passe à l'intérieur de son pc, mais elle rend également illégal le fait de dire à d'autres ce qu'il se passe dans les entrailles de l'ordi si vous le savez et autres choses farfelues du genre. Ici, j'ai bien aimé la métaphore de la comptine : si vous avalez une araignée pour manger la mouche, il faut avaler un oiseau pour picorer l'araignée et il faut aussi avaler un chat pour attraper l'oiseau, etc. Cela dit, on ne peut pas pour autant dire que le législateur est idiot ou méchant ou méchamment idiot : une telle assertion nous mène droit dans l'impasse, d'autant plus qu'il n'est pas obligatoire pour quelqu'un d'être spécialiste pour produire une loi efficace. Selon Doctorow, ce qui n'est pas évalué dans les cas précis où il est question de l'information, c'est non seulement si le dispositif régulateur est adéquat avec le but recherché mais aussi si, lors de son implémentation et exécution, ce dispositif aura beaucoup de répercussions sur tout autour.</p>
<p>Pour expliquer ça avec les pneus d'une voiture : il est purement inefficace de dire qu'on va réguler l'utilisation des pneus dans les voitures comme moyen d'empêcher les braqueurs de banque de se barrer avec la thune volée. Il n'y a de toute manière aucune façon de produire des pneus de voiture qui seraient utiles aux gentils et empêcheraient les méchants de commettre leurs forfaits. Si, en revanche, on a une preuve solide que l'utilisation de kits mains libres au volant est vraiment dangereuse, on peut réussir à convaincre le législateur de les interdire. Cela illustre le fait que les technologies spécialisées (<em>special purpose</em>, telles qu'une voiture) sont complexes mais qu'on peut en retirer des fonctionnalités (le kit mains libres par exemple) sans que ça dénature le système. Le souci se trouve dans le cas des ordinateurs qui sont des technologies génériques (<em>general purpose</em>) où on peut confondre les fonctionnalités avec des caractéristiques inhérentes.</p>
<p>
<img src="http://farm1.staticflickr.com/114/313835555_9afd103b58.jpg" alt="Haut les mains ! CC-by-SA 2.0, orangeobject" title="Haut les mains ! CC-by-SA 2.0, orangeobject" />
<br />
</p>
<p>Ainsi, ne pas se rendre compte que la législation qui est efficace dans le cas des voitures ou n'importe quelles autres technologies spécialisées est défaillante dans le cas de l'internet ne rend pas quelqu'un méchant ou totalement ignare. Cela traduit juste le fait que la personne fait partie de la vaste majorité de gens pour qui <em>Turing-complet</em> ne veut rien dire. Une législation inadéquate dans ce cas se traduit par un fonctionnement bordélique et inefficace, voire par une loi mort-née. Le souci réside dans le syllogisme selon lequel <em>quelque chose doit être fait, je fais quelque chose, donc quelque chose est fait</em> et qui a pour conséquence de considérer que toute défaillance est au final due à une régulation insuffisante plutôt qu'à un défaut de conception. (Je suis sûre que plusieurs ont déjà au moins une loi en tête qui illustre ces propos...)</p>
<p>La tendance à transformer les ordinateurs en <em>appareils logiciels</em> un peu comme les appareils électroménagers. Doctorow utilise le mot <em>appliance</em> pour illustrer l'idée : on ne fabrique pas un ordinateur exécutant uniquement un programme spécifique à l'appareil, on fabrique un ordinateur qui peut exécuter tous les programmes, mais qui utilise une combinaison de rootkits, spyware et signature de code pour empêcher l'utilisateur de savoir ce qui s'exécute sur l'ordinateur et d'arrêter certains processus jugés indésirables. C'est ici que les DRM convergent vers du malware. La dernière trouvaille du genre -- U-EFI, le logiciel d'amorçage révolutionnaire <em>(sic)</em> -- a suscité quelques protestations du côté des associations de défense des droits humains. En effet, U-EFI restreint les ordinateurs en les obligeant à utiliser seulement des systèmes d'exploitation agréés, ce qui pourrait donner de nouvelles bonnes idées à un nombre incroyable de gouvernements répressifs du genre ne rendre agréés que des systèmes qui ont intégré des mouchards permettant la surveillance des citoyens utilisateurs... En bref : on est dans la plus pure informatique <em>de confiance</em>.</p>
<p>Du côté de l'internet, ce n'est pas plus rose : toute tentative de rendre le réseau inadapté pour aller à l'encontre du droit d'auteur converge au final vers des mesures de surveillance telles qu'on les connaît des pratiques de gouvernements répressifs. Ainsi, cette dernière grande invention qu'est SOPA (<em>Stop Online Piracy Act</em>) : cette proposition de loi vise à bannir des outils tels que DNSSec parce qu'il peut être utilisé à contrer des blocages de DNS ou encore Tor lequel peut être utilisé pour le contournement du blocage IP. En fait, les fervents partisans de SOPA que sont les gens de la <em>Motion Picture Association of America</em> ont diffusé un document citant des études comme quoi SOPA a des chances de bien fonctionner parce qu'elle utilise les mêmes mesures que celles en vigueur en Syrie, en Chine et en Ouzbekistan, mesures efficaces dans ces pays, donc elles le seraient aussi bien aux États-Unis !</p>
<p>Argument imparable, hein. Mais ce n'est pas parce qu'on pourrait se débrouiller pour que SOPA ne soit pas votée que cela sifflera la fin de la récré. La législation relative au droit d'auteur est allée au point où elle en est actuellement justement parce qu'elle n'est pas prise au sérieux. La législation relative à la technologie de l'information non plus. Et pourquoi devrait-elle l'être ? Parce que le monde dans lequel nous vivons est fait d'ordinateurs. On n'a plus de voitures, on a des ordis dans lesquels on entre ; on n'a plus d'avions, on a des boîtes Solaris volantes bourrées de contrôleurs SCADA ; une imprimante 3D n'est plus un appareil mais un auxiliaire qui fonctionne connecté à un ordinateur, etc.</p>
<p>
<img src="http://farm8.staticflickr.com/7025/6523513689_baeec3c53c.jpg" alt="Contrôle. CC-by-NC 2.0, Eric Constantineau" title="Contrôle. CC-by-NC 2.0, Eric Constantineau" />
<br />
</p>
<p>Là où ça charcle c'est quand on réalise que les chagrins causés par la copie non autorisée sont triviaux en comparaison avec toutes les interventions que notre nouvelle réalité brodée d'ordinateurs risque de provoquer. À terme, la probabilité est réelle que toute application donnée reposant sur l'utilisation d'un programme se retrouve empaquetée dans une infrastructure matérielle <em>de confiance</em> ; le corollaire est que tout ordinateur sera contrôlé par une autorité centrale qui assurera qu'il n'exécute que des programmes permis.</p>
<blockquote>
<p>And even this is a shadow of what is to come. After all, this was the year [...] of crowd-funded open-sourced hardware for gene sequencing. And while 3D printing will give rise to plenty of trivial complaints, there will be judges in the American South and Mullahs in Iran who will lose their minds over people in their jurisdiction printing out sex toys.</p>
<p><em>"Mais même ça, c'est juste l'ombre de ce qui nous attend. Après tout, 2011 est l'année qui a vu des choses telles que [...] la naissance d'une machine de séquençage génétique open source dont le financement résulte des efforts citoyens. Et tandis que l'imprimante 3D donnera lieu à un tas de plaintes triviales, il y aura des juges dans les États du sud des États-Unis et des mollahs en Iran qui vont tout simplement perdre la tête au sujet de personnes dans leurs juridictions qui vont imprimer des sex toys."</em></p>
</blockquote>
<p>Eh bien, pas besoin de lire de la SF pour se rendre compte pourquoi le législateur peut être nerveux à l'idée de, par exemple, <em>firmwares</em> de voitures automatiques modifiables par l'utilisateur. On peut imaginer un tas de trucs qui (nous) fichent les jetons. Il est donc tout à fait raisonnable d'envisager que l'idée de limitation des ordinateurs génériques trouvera une audience réceptive. Mais comme on l'a vu avec les lois sur le droit d'auteur, bannir des instructions ou protocoles sera totalement inefficace, autant en tant que mesure de prophylaxie qu'en tant que remède. Toute tentative de contrôle des ordinateurs aboutira à la création de rootkits aussi sûrement que toute tentative de contrôler l'internet donnera naissance à davantage de surveillance et censure.</p>
<p>Je trouve que le contexte se prête bien à une réflexion personnelle. « <em>La guerre moderne est un jeu d'échecs perfectionné, comportant une majorité de pièces rétrogrades</em> », disait dans les années 1930 André Breton. On est dans le cadre d'une guerre et, comme le dit Doctorow, on s'est bien entraîné avec le boss de niveau que constituait les batailles contre les lois délirantes sur le droit d'auteur. L'annonce de cette présentation avait circulé sur la liste de diffusion du Parti Pirate International l'autre jour et <a href="http://lists.pirateweb.net/pipermail/pp.international.general/2012-January/010326.html">RMS ne s'est pas retenu de commenter</a> que les propos de Doctorow ne font que pointer et résumer une chose précise :</p>
<blockquote>
<p>Although he didn't say the term "free software", in fact the conclusion he arges for speech is the central idea of the free software movement: users must have control over the software they use.</p>
<p><em>Même s'il n'a pas mentionné le terme « logiciel libre », la conclusion en faveur de laquelle il argumente est l'idée centrale du movement du logiciel libre : les utilisateurs doivent avoir le contrôle sur le logiciel qu'ils utilisent.</em></p>
</blockquote>
<p>Et je pense que RMS a tort cette fois, ou plus précisément, il se laisse aller à une réduction malheureuse : il ne s'agit plus que du logiciel. Il n'est plus question que de l'ouverture du code que j'exécute sur ma machine, mais de la possibilité de l'exécuter. Si je n'ai pas cette possibilité parce qu'un rootkit installé par mon gouvernement pour contrôler ce que fait mon ordinateur ne me permet pas d'exécuter un logiciel libre, on s'en fiche un peu que le logiciel soit libre... Autrement dit, il s'agit de la guerre pour une infrastructure libre de toute chaîne ce qui va au-delà de la liberté du logiciel. Pour reprendre les mots de fin de Doctorow, « <em>la liberté à l'avenir nous demandera d'avoir la capacité de superviser nos appareils et instaurer des politiques sensées pour les régir, pour examiner et terminer des processus qu'ils exécutent, pour qu'ils restent serviteurs honnêtes de notre volonté et non pas traîtres et espions travaillant pour des criminels, malfrats et des fanatiques du contrôle. [...] Nous avons combattu le mini-boss ce qui signifie que les grands défis sont à l'horizon, mais comme tout bon architecte de niveau, le destin nous a envoyé des cibles en carton pour nous entraîner et des organisations qui se battent -- EFF, Bits of Freedom, EDRi, CCC, Netzpolitik, La Quadrature du Net et toutes les autres heureusement trop nombreuses pour être citées ici. Nous pouvons gagner la bataille et assurer les munitions dont nous aurons besoin pour la guerre.</em> »</p>
<p>
<img src="http://www.veilleurs.info/wp-content/uploads/2011/12/tumblr_le4xc5Z1Y31qdms0lo1_500_large.jpg" alt="Les munitions, du blog Les Veilleurs, CC0" title="Les munitions, du blog Les Veilleurs, CC0" />
<br />
</p>
<p>P.S. Pour ceux et celles que cela intéresse, j'ai mis en liens quelques ressources relatives à l'initiative <em>Open Hardware</em>. Le journal éponyme recherche des contributeurs, donc si vous en avez envie, allez-y :)</p></div><div><a href="https://linuxfr.org/news/guerre-et-paix-tolstoi-au-21e-siecle-par-cory-doctorow-au-28c3.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/88907/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/guerre-et-paix-tolstoi-au-21e-siecle-par-cory-doctorow-au-28c3#comments">ouvrir dans le navigateur</a>
</p>
MaliciaLucas BonnetBenoît SibaudNÿcohttps://linuxfr.org/nodes/88907/comments.atom