Pouvez-vous faire confiance à votre ordinateur ?
par Richard Stallman , le 21
octobre 2002
De qui votre ordinateur devrait-il obtenir ses ordres ? La plupart des gens pensent que leur ordinateur devraient leur obéir, et n’obéir à personne d’autre. Grâce à un projet qu’elles appellent « trusted computing » (l’informatique de confiance) de larges sociétés de media ( y compris les sociétés cinématographiques et les maisons de disque), en collaboration avec des sociétés informatiques telles que Microsoft et Intel, ont envisagé de faire obéir votre ordinateur à elles plutôt qu’à vous. Les logiciels propriétaires ont inclus auparavant des dispositifs malveillants, mais ce projet vise à rendre ce procédé universel.
L’expression « logiciel propriétaire » signifie, fondamentalement, que vous ne contrôlez pas ce qu’il fait ; vous ne pouvez pas en étudier le code source, et surtout pas le modifier. Il n’est pas surprenant de constater que d’astucieux hommes d’affaires ont trouvé le moyen d’utiliser ce contrôle afin de vous mettre en position de faiblesse. Microsoft l’a fait à plusieurs reprises : l’une des versions de Windows fut conçue pour informer Microsoft sur tous les logiciels situés sur votre disque dur ; un récent correctif de« sécurité » de Windows Media Player obligea les utilisateurs à accepter de nouvelles restrictions. Mais Microsoft n’est pas un cas isolé : le logiciel de partage de musique KaZaa est conçu de telle manière que les partenaires de KaZaa peuvent louer l'utilisation de votre ordinateur à leurs clients. Ces fonctions malveillantes sont souvent secrètes, mais une fois que vous vous en rendez compte il est difficile de les supprimer, car vous n’avez pas accès au code source.
Par le passé, il ne s’agissait que d’incidents isolés. L’« informatique de confiance » généralisera ce phénomène. L’« informatique déloyale » (« Treacherous computing ») est un nom plus approprié, car l’objectif de ce projet est d’être sûr que votre ordinateur vous désobéira. En fait, il est conçu pour empêcher votre ordinateur de fonctionner comme un ordinateur universel. Toute opération nécessitera une autorisation explicite.
L’idée technique sous-jacente de « l’informatique déloyale » est que l’ordinateur comprenne un procédé de cryptage digital et de signature, et les clés sont gardées secrètes et ne vous sont pas divulguées. (La version Microsoft de ce procédé est appelé « palladium ».) Des logiciels propriétaires utiliseront ce dispositif afin de contrôler quels autres programmes vous pouvez utiliser, à quels documents et quelles données vous avez accès, et quels programmes vous pouvez leur transmettre. Ces programmes téléchargeront continuellement de nouvelles règles d’autorisation grâce à Internet, et imposeront automatiquement ces règles sur vos nouveaux travaux. Si vous n’autorisez pas périodiquement votre ordinateur à obtenir ces nouvelles règles, certaines fonctions s’arrêteront automatiquement.
Bien sûr, Hollywood et les maisons de disques envisagent d’utiliser l’informatique déloyale pour la « gestion des droits numériques » (Digital Restrictions Management), de telle sorte que les vidéos et la musique téléchargées ne puissent fonctionner que sur un ordinateur précis. Partager sera totalement impossible, du moins en utilisant les fichiers autorisés que vous pourriez obtenir de ces sociétés. Vous, le public, devriez avoir à la fois la liberté et la capacité de partager ces éléments. (J’espère que quelqu’un trouvera le moyen de produire des version non cryptées, et de les télécharger et de les partager, ainsi la « gestion des droits numériques » ne sera pas totalement un succès, ce qui n’excuse toutefois pas ce système.)
Rendre le partage impossible est assez grave, mais il y a pire. Il existe des projets qui visent à utiliser la même méthode pour les e-mails et les documents, ce qui se solde par la disparition des e-mails au bout de deux semaines, ou par des documents qui ne peuvent être lus que par les ordinateurs d’une seule société.
Imaginez que vous recevez un e-mail de la part de votre chef vous demandant de faire quelque chose que vous estimez risqué ; un mois plus tard, si des ennuis surviennent, vous ne pouvez pas utilisez ces e-mails pour démontrer que cette décision n’était pas la vôtre. « Avoir une preuve écrite » ne vous protège pas quand l’ordre est écrit avec de une encre qui disparaît.
Imaginez que vous recevez un e-mail de la part de votre chef fixant une politique illégale ou moralement outrageante, telle que détruire un audit de votre société, ou bien mettre en péril votre pays en ne faisant pas état d’une dangereuse menace. Aujourd’hui, vous pouvez envoyer ces preuves à un journaliste et dénoncer ainsi la pratique. Avec l’informatique déloyale, le journaliste ne sera pas capable de lire le document ; son ordinateur refusera de lui obéir. L’informatique déloyale devient un paradis pour la corruption.
Les traitements de texte tels que Microsoft Word pourraient utiliser l’informatique déloyale lorsqu’ils sauvegardent vos documents, et s’assurer qu’aucun traitement de texte concurrent ne pourra les lire. Aujourd’hui, nous devons arriver à comprendre les secrets du format Word grâce à de laborieuses expériences afin de concevoir des logiciels de traitements de texte libres capables de lire les documents Word. Si Word crypte les documents lors de la sauvegarde en utilisant l’informatique déloyale, la communauté du Logiciel Libre n’aura pas les moyens de développer des logiciels à même de les lire ( et même si nous le pouvions, de tels programmes seraient interdits par le Digital Millenium Copyright Act.)
Les logiciels qui utilisent l’informatique déloyale téléchargeront continuellement de nouvelles autorisations par Internet et imposeront automatiquement ces règles à vos nouveaux travaux. Si Microsoft, ou le gouvernement Américain, n’aime pas ce que vous dîtes dans un document que vous écrivez, ils pourront appliquer de nouvelles instructions demandant à tous les ordinateurs de refuser de lire ce document. Chaque ordinateur obéirait dès le téléchargement de nouvelles instructions. Vos écrits seraient sujets à de l’effacement rétroactif façon « 1984 ». Vous-même seriez incapable d’ouvrir vos propres documents.
Vous pensez peut-être pouvoir découvrir toutes les choses malveillantes que l’informatique déloyale peut faire, étudier au combien elles peuvent être pénibles, et décider au final de les accepter. Cela serait un manque de perspicacité et insensé d’accepter, mais le problème est que votre décision n’aura pas de portée. Une fois que vous devenez dépendant du programme que vous utilisez, vous devenez esclave et ils le savent ; ensuite il peuvent modifier les règles du jeu. Certaines applications téléchargeront automatiquement les mises à jour qui vont opérer différemment (et ils ne vous offriront pas d’alternative concernant ces mises à jours).
Aujourd’hui, vous pouvez éviter d’être limité par les logiciels propriétaires en ne les utilisant pas. Si vous utilisez GNU/Linux ou un autre système d’exploitation, et si vous évitez d’y installer des programmes propriétaires, alors vous serez donc maître de votre ordinateur. Si un programme libre comporte une caractéristique malveillante, d’autres développeurs au sein de la communauté l’ôteront, et vous pourrez utilisez la version corrigée. Vous pouvez également utiliser des programmes et des outils libres sur des systèmes d’exploitation non-libres ; cela reste insuffisant pour vous offrir une totale liberté, mais de nombreux utilisateurs le font.
L’informatique déloyale met en péril les systèmes d’exploitation libres et les logiciels libres, car vous ne serez plus autorisé à tous les faire fonctionner. Un aspect de l’informatique déloyale supposerait que votre système d’exploitation soit autorisé par une société particulière. Des systèmes d’exploitation libres ne pourraient pas être installés. Certains aspects de l’informatique déloyale nécessiteraient aussi une autorisation spécifique émanant de l’éditeur du système d’exploitation. Vous ne pourriez pas faire fonctionner des logiciels libres sur de tels systèmes. Si vous y parveniez, et que vous le divulguiez à quelqu’un, cela pourrait représenter une infraction.
Il existe déjà des propositions de loi aux Etats Unis qui exigeraient de tous les ordinateurs qu’ils tolèrent l’informatique déloyale, et que soit interdite la connexion Internet aux ordinateurs âgés. Le CBDTPA (que nous appelons le Consume But Don’t Try Programming Act, c’est à dire « consommez mais n’essayez pas de programmer ») est l’une d’entre-elles. Mais même si on ne vous force pas légalement à vous reporter sur l’informatique déloyale, la pression visant à vous faire accepter peut être énorme. Aujourd’hui, les gens utilisent fréquemment le format Word pour la communication, bien qu’il entraîne plusieurs types de problèmes (voir http://www.gnu.org/philosophy/no-word-attachments.html). Si seuls les ordinateurs intégrant l’informatique déloyale sont aptes à lire les documents Word, de nombreuses personnes s’y plieront, s’ils contemplent la situation en terme d’action individuelle (c’est à prendre ou à laisser). Pour s’opposer à l’informatique déloyale, nous devons nous unir et affronter la situation comme un impératif collectif.
Pour plus d’information concernant l’informatique déloyale, consultez http://www.cl.cam.ac.uk/users/rja14/tcpa-faq.html
L’entrave à l’informatique déloyale nécessitera qu’un grand nombre de citoyens s’organise. Nous avons besoin de votre aide ! La Electronic Frontier Foundation (www.eff.org) et la Public Knowledge (www.publicknowledge.org) font campagne contre l’informatique déloyale, et de même pour la FSF ( Digital Speech Project (www.digitalspeech.org). Ne manquez pas de visiter ces sites où vous pourrez vous inscrire afin de soutenir leurs travaux.
Vous pouvez également offrir
votre contribution en écrivant au bureau des affaires publiques
d’Intel, IBM, HP/Compaq, ou tout autre établissement où vous
avez pu acquérir un ordinateur, en expliquant que vous ne souhaitez
pas être contraint d’acheter des systèmes informatiques «
de confiance », et que par conséquent vous ne souhaitez pas
qu’ils en produisent. En procédant ainsi, le grand public pourra
se faire entendre. Si vous procédez individuellement, envoyez s’il
vous plait des copies de vos lettres aux organisations citées précédemment.
Post-scriptum
Le projet GNU distribue GNU Privacy Guard, un programme qui applique le cryptage des clés publiques et la signature numérique, qui vous seront utiles pour envoyer des e-mails sécurisés et privés. Il est utile d’explorer pourquoi GPG diffère de l’informatique déloyale, et d’analyser les aspects qui rendent l’un si efficace et l’autre si dangeureux.
Lorsque quelqu’un utilise GPG pour vous envoyer un document crypté, et que vous utilisez GPG pour le décoder, il en résulte un document décrypté que vous pouvez lire, faire suivre, copier, et même crypter à nouveau pour l’envoyer de façon sécurisée à quelqu’un d’autre. Un programme lié à l’informatique déloyale vous permettrait de lire les mots qui apparaissent sur votre écran, mais pas de produire un document décrypté que vous pourriez utiliser à d’autres fins. GPG, un progiciel libre, rend les caractéristiques de sécurité disponibles aux utilisateurs ; et ils l’utilisent. L’informatique déloyale est conçue pour imposer des restrictions aux utilisateurs ; et dans ce cas précis, c’est elle qui les utilisent.
Microsoft présente Palladium comme une mesure de sécurité, et déclare qu’il protègera contre les virus, mais cette déclaration est évidemment fausse. Une présentation effectuée en octobre 2002 par le département de recherches Microsoft affirme que l’une des spécificités de Palladium est le fait que les systèmes d’exploitation et les applications existantes continueront de fonctionner ; par conséquent, les virus continueront à faire toutes les choses qu’ils sont actuellement capables de faire.
Quand Microsoft parle de « sécurité » a propos de Palladium, ils ne font pas référence à la définition que nous avons l’habitude de rencontrer : protéger votre ordinateur des choses que vous ne souhaitez pas. Ils veulent dire protéger l’accès aux copies de vos données situées sur votre machine pour que vous ne puissiez pas les utiliser d’une autre façon que celle qu’ils ont prévue. Une diapositive fait la liste de plusieurs types de secrets que Palladium serait amené à conserver, y compris « les secrets d’une tiers partie » et « les secrets de l’utilisateurs » ( mais cette présentation met entre guillemets « secrets de l’utilisateurs », reconnaissant que Palladium n’est pas réellement conçu pour ça).
La présentation fait fréquemment usage d’autres termes que nous associons souvent au contexte de sécurité, tels que « attaque », « code malveillant », « canular (*) », aussi bien que « complète confiance ». Aucun de ces termes n’a la signification à laquelle ils se rapportent habituellement. « Attaque » ne signifie pas que quelqu’un tente de vous blesser, il signifie « vous, tentant de copier de la musique ». « Code malveillant » signifie code installé par vos soins pour faire ce que quelqu'un d'autre ne veut pas que votre ordinateur fasse. « Canular » ne signifie pas que l’on tente de vous berner, cela signifie « vous, tentant de contourner Palladium ». Et ainsi de suite.
(*) canular a été employé à la place de la notion d'usurpation d'identité qui provient du mot spoofing. A noter le spoofing IP est une technique permettant à quelqu'un d'envoyer à une machine des données semblant provenir d'une adresse IP autre que celle utilisée (note du traducteur).
Une précédente déclaration des développeurs
de Palladium affirme que le principe de base est que quiconque a développé
ou collecté des informations devrait avoir un contrôle total
sur la manière dont vous les utilisez. Cette notion représenterait
un retournement de situation révolutionnaire par rapport à
l’éthique et au système légal, et créerait
un système de contrôle sans précédent. Les problèmes
spécifiques à ces systèmes ne sont pas fortuits ;
ils résultent de l’objectif principal. C’est cet objectif que nous
devons refuser.
Copyright 2002 Richard Stallman : Reproduction textuelle et distribution de l’article entier sont autorisées sans droit d’auteur sous n’importe quel format que ce soit pourvu que cette notice soit préservée.
Note de l’éditeur NewsForge : Cet article est apparu pour la première fois dans le nouvel ouvrage de Richard Stallman, intitulé « Free Software, Free Society ». Il s’agit de la première parution en ligne de cet article, et Stallman y a ajouté certaines remarques.
***** SOURCES*****
Document source original en anglais : http://newsforge.com/newsforge/02/10/21/1449250.shtml?tid=19
Je me suis inspiré des differentes versions et traductions française
de l'article,
sur http://www.adullact.org (par
Matthieu Piaumer) pour la traduction ci dessous,
sur http://clx.anet.fr
(par Fabien Illide),
sur http://ccomb.free.fr
(par Christophe Combelles),
et sur http://salug.tuxfamily.org/
(par Vincent Gay).
Lexique :
DRM : Digital Right Management - gestion des droits numériques
DMCA : Digital Millenium Copyright Act - loi sur la gestion des droits
numériques au USA et
pour l'Europe son equivalent est EUCD ( European Union Copyright Directive
)
TCPA : Trusted Computing Platform Alliance - Technologie matérielle
Palladium : Technologie de Microsoft basée sur les matériels
TCPA pour empêcher l'exécution de contenus non certifiés.
Liens et documentations :