Posté 19 décembre 2002 à 05:39
La nouvelle botte secrète de Micro$oft
ET que pensez vous de cela ? ( je post le contenu d'un lien qui etait dans un autre topic pour ceux qui ne voudrait pas chercher le post en question... ceux qui ont deja entendu parler de Palladium ne sont pas concerné par la suite ...)
Certes c'est long mais lisez svp c'est vraiment grave :
Deviantart.com a publié en juin, dans ses forums, un post au contenu terrifiant. Signé warpbackspin, il revient avec beaucoup de précisions sur l'annonce faite par Microsoft, concernant ses projets de déploiement de la technologie nommée Palladium. Je vous conseille de le lire avec attention, pour ne pas dire après que vous n'étiez pas au courant.
Je vous en livre la traduction telle quelle. Bon courage, et pas de violence, s'il vous plaît.
NDT : Une petite explication tout d'abord. Ceci est la traduction intégrale du post sur le forum, les commentaires, définitions et autres sont en note de bas de page. Les idées exprimées ici n'appartiennent qu'à l'auteur.
"Désolé, il fallait que je poste cela, car c'est pratiquement la chose la plus dégoûtante que j'aie jamais entendue. J'ai lu dessus toute la semaine, et maintenant que j'ai du temps, j'ai pensé que je pouvais écrire quelque chose là-dessus, de façon à ce que tous ceux qui ne lisent pas The Register ou SlashDot puisse entendre parler du dernier projet de la Bête. J'ai pensé que cela était probablement le forum le plus adapté, dans la mesure où cela concerne n'importe qui utilisant un ordinateur, mais sentez-vous libres de le mettre ailleurs. Je voulais juste qu'une partie de cela fusse connu par les masses.
Et pour ceux qui s'effrayent de longues contributions : ignorez celle-ci, mais à votre péril. J'aimerais aussi lire vos réactions sur cela.
Plus tôt dans la semaine, Microsoft a esquissé ses plans pour sa prochaine génération de systèmes d'exploitation, nom de code Longhorn / Palladium. Parmi toutes les spécifications qu'ils cherchent à vendre, se trouvaient les fonctions de "réseau sécurisé" offertes par l'OS
Premièrement :
Microsoft prévoit d'implémenter Palladium DRM (Digital Rights Management) [1] sur une puce hadware, initialement implantée sur la carte mère, mais plus tard intégrée au processeur, et utilisant des flux de cryptage matériels. Le but est d'associer un drapeau à chaque fichier sur l'ordinateur, avec une signature numérique informant un serveur distant de sa nature. Si ce fichier est inautorisé, le serveur distant ordonnera à votre ordinateur de ne pas vous laisser l'ouvrir.
À la base, il s'agit d'une tentative pour mettre un terme à l'échange de MP3 et de warez [2].
Deuxièmement :
Avant qu'une application puisse se lancer, elle aussi devra se faire "vérifier" par un autre serveur. Si le code du programme ne correspond à aucun des codes authentifiés, l'ordinateur en refusera l'exécution. Cela, à nouveau, est fait pour empêcher votre ordinateur d'exécuter des applications "inautorisées" - qui pourraient être du warez, ou bien juste un freeware astucieux dont les auteurs ne peuvent pas payer la certification. Microsoft sera en mesure de contrôler précisément ce qui peut ou non tourner sur votre ordinateur.
Troisièmement :
Comme la plupart d'entre vous le savent, Microsoft a recours à une stratégie qui consiste à rendre leur logiciel délibérément obsolète - compatibilité ascendante mais pas descendante. Avec les lois de la DMCA [3], il sera bientôt interdit d'essayer de développer un produit logiciel compatible avec les types de fichiers issus d'un autre programme (par exemple, pensez aux nombreuses applications bureautiques pour Linux qui ont obtenu quelque succès en traduisant leurs formats de fichiers abscons). Cela a pour effet de tuer toute concurrence dans l'oeuf - dans la mesure ou vous n'êtes pas autorisé à rendre votre nouveau produit compatible avec les autres, personne ne l'utilisera. Et finalement, les gens cesseront d'utiliser des logiciels alternatifs, puisque personne ne pourra relire leurs documents. Le monde entier n'aura plus qu'un choix pour le logiciel - Microsoft.
Quatrièmement :
Palladium va efficacement interdire le logiciel gratuit, pas seulement le logiciel gratuit pour Windows, mais aussi pour Linux, Mac, en fait tout ordinateur fondé sur une carte-mère équipée de Palladium. Pourquoi ? Pour autoriser le programme à tourner sur une machine Palladium, vous aurez à payer pour que votre code soit certifié "sûr" par le service d'authentification du logiciel de Microsoft. Et quel esprit sensé ira payer pour un code sur lequel il aura travaillé des heures ? Ça ne vaudrait vraiment pas la peine.
Les choses deviennent pires quand elles en arrivent aux projets open source, comme Linux et BSD. Ceux d'entre vous qui connaissent savent que les projets open source sont créés par des développeurs indépendants tout autour du globe, qui font des programmes dans leur temps libre et les donnent au reste du monde gratuitement. Beaucoup d'entre eux livrent le code même librement, de façon à ce que, si vous le souhaitez, vous puissiez changer le programme (par exemple pour corriger des bugs, ajouter des fonctionnalités, etc.). Ce serait déjà suffisamment grave que le propriétaire ait à payer des frais de certification. Mais CHAQUE MODIFICATION apportée au code source demandera un nouveau certificat séparé. Ceux qui utilisent Linux savent que tant de choses sont mises à jour si rapidement que c'est non seulement peu pratique, mais coûterait aux développeurs open source des millions de Dollars. Argent qu'ils n'ont évidemment pas, et Microsoft le sait.
Cinquièmement :
Le "réseau sécurisé". C'est ce qui fait vraiment pencher la balance en faveur de Palladium. Tout d'abord, ils vont le faire de telle façon qu'il sera possible de le contourner au niveau matériel. Mais c'est conçu de manière à ce que, si vous essayez de vous connecter à un serveur web Palladium, vous ne le pourrez pas. Les machines Palladium seront capables de communiquer uniquement avec d'autres machines Palladium, et les machines non-Palladium ne pourront le faire avec aucune machine Palladium. À partir de là, si Palladium atteint la masse critique, il y aura des milliers de gens dans le monde qui seront incapables d'accéder à l'internet, ou même travailler sur un réseau avec des machines Palladium, d'où leur obligation de se "mettre à jour" en machines Palladium.
Sixièmement :
Ainsi que je l'ai pensé en premier lieu : quel est le problème, cela ne s'appliquera qu'aux machines basées sur une architecture x86 (notamment équipées de puces Athlon et Pentium, dans la mesure où seuls AMD et Intel se sont engagés pour l'instant). donc, je pourrais essayer une autre architecture hardware : comme Mac/PPC, ou le Sparc de Sun, ou toute sorte de processeur. Mais j'ai alors compris que même si je faisais ainsi, je ne pourrais accéder au "réseau Palladium", qui pourrait inclure la totalité d'internet si le concept fait suffisamment son chemin. Ce qui fait que vous, tous les Mac users seraient effectivement verrouillés ; vous aussi devriez adopter une machine Palladium si vous voulez que votre ordinateur puisse faire quoi que ce soit.
Septièmement :
Palladium va permettre que vos documents puissent être contrôlés à distance. Non, ce n'est pas une plaisanterie. Si Microsoft juge que vous utilisez une version trop vieille d'Office, tout ce qu'ils ont à faire, c'est d'envoyer un message à votre ordinateur, et il ne sera plus capable de lire aucun de vos documents créés par cette application. Encore plus sinistre est le fait que si Microsoft juge que n'importe lequel des documents sur votre machine les dérange (cela pourrait être du porno, ou bien un simple document contenant de l'information DeCSS ou anti-Palladium), ils peuvent simplement l'effacer ou l'altérer, non seulement sur votre PC, mais sur toute autre machine Palladium sur le réseau. Cela fait remarquablement penser au "Ministère de la Vérité" du "1984" de George Orwell, dans lequel le gouvernement truque en permanence l'information, passée et actuelle, pour le pays entier, afin d'apparaître comme "correct" en toute circonstance.
Si Palladium se répand suffisamment, ce sera la mort de l'internet tel que nous le connaissons à présent. Plutôt que d'être contrôlé par nous, il le sera par Microsoft, et vous n'aurez d'autre choix que de faire exactement ce qu'ils disent.
Voilà pourquoi je tiens à dire cela au plus de gens possible avant que l'idée n'en devienne populaire, et que M$ s'arrange pour nous faire croire qu'il s'agit là de la meilleure chose depuis l'invention du pain tranché." [ndt]
Zut, j'ai oublié de poster les liens d'explication sur le sujet, je vais aussi vous mettre quelques mails reçu sur des mailings lists dont moi et mes amis faisons partie.
La description initiale de Palladium (en anglais)
Analyse décrivant pourquoi Palladium est uniquement conçu pour maintenir les grandes entreprises informatiques telles que Microsoft (en Anglais)
La FAQ Palladium (en Anglais)
Comment Palladium compte éradiquer Linux (En Anglais).
Ce qui suit est un extrait d'un mail de "Lucky Green", l'un des « hackers cryptographiques » les plus connus au monde :
Insertion mineure : Je suis supposé faire une intervention sur TCPA [4] à la Conference DEF CON sur la sécurité cette année [5]. Je vous promet qu'il s'agira d'un discours intéressant
Ci dessous se trouvent deux aspects supplémentaires de TCPA que je suis susceptible de mentionner :
1/ Bloquer définitivement vos formats de fichiers aux concurrents.
Extrait de l'article de Steven Levy [6] : "Une possibilité encore plus intéressante est que Palladium pourrait aider à introduire le DRM sur les PC d'entreprise et même les PC du grand public. C'est amusant, a déclaré Bill Gates, nous en sommes venus là en pensant à la musique, mais nous avons alors réalisé que les courrièls [7] et les documents étaient des domaines bien plus intéressants."
Voici pourquoi c'est une possibilité plus intéressante pour Microsoft et Palladium d'aider à introduire le DRM sur les machines d'entreprise et les machines grand public plutôt que de n'utiliser la chose que pour éviter la copie de contenus multimédias :
Il est vrai que Microsoft, Intel, et d'autres acteurs clé du TCPA considèrent que le DRM fait du PC le concentrateur du réseau multimédia domestique. Comme Ross l'a signalé, en ajoutant le DRM à cette plate-forme (le PC), Microsoft et Intel deviennent capable d'agrandir le marché des PC.
Malgré tout, le DRM seul ne suffit pas à augmenter le coeur de marché déjà important de Microsoft. Comme l'a dit Bill Gates, Microsoft a pour projet de transformer l'ensemble de ses formats de fichiers sous DRM. Comment cela aide-t-il Microsoft ? Très simple : Activer le DRM pour les documents Word™ rends illégal, selon le DMCA de créer des logiciels concurrents qui peuvent lire ou traiter le format de fichier en question sans l'autorisation du vendeur.
Les développeurs de suite bureautique Libres seront alors confrontés à un choix simple : ne pas permettre au logiciel de lire les formats de fichier où partir en prison. Quiconque doute qu'un tel cas puisse se produire est encouragé à se familiariser avec le cas de Dmitry Skylarov, qui fut arrêté après la DEF CON de l'an dernier [8] pour avoir créé un logiciel qui permettait de traiter un document dans un format de fichier protégé par le DRM [9].
Bloquer en permanence les concurrents c'est une chose qui, bien sûr, n'attire pas seulement Microsoft. Un grand nombre d'éditeurs d'applications dominantes sont à la recherche d'un moyen de bloquer leur compétiteurs. La beauté de ce « coup » est que les vendeurs n'ont pas besoin de faire appel eux-même au FBI et d'encourir le retour de bâton de l'opinion publique qu'Adobe a subi sur le cas Skylarov. Les fournisseurs de contenu ou certains de ceux qui utilisent les fonctions mondialement utilisées du DRM donneront volontiers ce coup de fil eux-mêmes.
Par une attaque en douceur, les éditeurs logiciels, tels que Microsoft et beaucoup d'autres, créent une situation dans laquelle la toute puissance du système judiciaire Américain peut fondre sur quiconque tente de concurrencer un éditeur d'application dominant. C'est l'une des nombreuses voies par lesquelles TCPA étouffe la compétition.
Ce qui vient d'être décrit est l'un des objectifs à court / moyen terme que le TCPA permet d'atteindre - L'objectif essentiel à court terme est bien sûr de garantir que chacune des copies de vos applications a bien été payée - Ci dessous est décrit un objectif à moyen / long terme :
2/ Lier les documents à la licence de l'application
Comme le mentionne l'article de Levy, Palladium permettra la création de documents à durée de vie limitée. Cette fonction nécessitera impérativement une horloge sécurisée, non seulement sur le bureau du créateur du document, mais aussi sur les bureaux de tous les groupes qui sont susceptibles de lire dans le futur ce document. Comme les PC ne sont pas vendus avec une horloge que les possesseurs du micro sont incapables d'altérer, et comme les spécifications du TCPA n'exigent pas une solution matérielle aussi chère, toute implémentation de la durée de vie limitée d'un document doit par nécessité obtenir l'heure ailleurs. La source évidente pour une heure sécurisée est un serveur TPM [10] authentifié qui distribue le temps sur Internet.
En d'autres termes, Palladium et les autres applications basées sur TCPA vont exiger un accès Internet au moins occasionnel pour fonctionner. C'est durant un tel accès obligatoire à Internet que les informations liées à la licence vont être poussées sur votre ordinateur. Parmi ces informations, on trouvera une liste noire de copies piratées largement distribuées de logiciels (Vous n'avez pas besoin de TCPA pour cette fonction si l'utilisateur télécharge et installe périodiquement les mises à jour, mais l'utilisateur peut choisir de vivre avec des bugs non corrigés plutôt que de voir son logiciel non payé être désactivé).
Avec TCPA et DRM sur tous les documents, le pouvoir des éditeurs logiciels augmente considérablement : les vendeurs peuvent désormais non seulement invalider les copies de logiciels non paysés, mais aussi tous les documents créés avec ces applications. Quelle que soit la diffusion du document, où l'ordinateur sur lequel on trouve ce document.
En outre, cette fonctionnalité permet l'invalidation à distance et à grande échelle d'un document pour une raison autre que le non-paiement d'une licence. Pour donner juste un exemple, un document peut être invalidé à distance sur ordre d'un tribunal, comme ce pourrait être le cas si un document discutait du DeCSS v3 ou de Scientologie dans un format protégé par DRM. Il suffit, pour accomplir une telle désactivation, de disposer soit d'une copie du document à invalider (dont on peut obtenir l'identificateur unique), soit du numéro de série de l'application qui l'a créé, soit de la clé publique [11] de la personne qui possède la licence de l'application. (D'autres voies existent mais sont omises pour rester bref).
Lucky Green
1
) 
