Pouvez-vous faire confiance à votre ordinateur? by Richard Stallman Tuesday December 03, 2002 at 01:47 PM |
Palladium, TCPA, ca vous dit quelque chose? Non? Alors lisez ceci, pour savoir comment Microsoft et quelques autres comptent bien contrôler VOTRE ordinateur.
Pouvez vous faire confiance à votre ordinateur ?
Par Richard Stallman (octobre 2002) :
De qui votre ordinateur devrait-il recevoir ses ordres ? La plupart des gens pensent que leur ordinateur devrait leur obéir, et non obéir à quelqu'un d'autre. Avec un projet qu'elles appellent "trusted computing" ("l'informatique de confiance"), de grandes sociétés de médias (incluant des sociétés de cinéma et des maisons de disques), en collaboration avec des sociétés informatiques comme Microsoft et Intel, prévoient de faire en sorte que votre ordinateur leur obéisse au lieu de vous obéir. Dans le passé, des programmes propriétaires ont déjà inclus des dispositifs malveillants, mais ce projet rendrait ceci universel.
"Logiciel propriétaire" signifie, fondamentalement, que vous ne contrôlez pas ce qu'il fait; vous ne pouvez pas étudier le code source, ou le modifier. Il n'est pas surprenant que des hommes d'affaires intelligents trouvent des façons d'utiliser ce contrôle pour vous désavantager. Microsoft l'a fait plusieurs fois : une des versions de Windows a été conçue de façon à informer Microsoft sur tous les logiciels de votre disque dur; un correctif "de sécurité" récent dans Windows-Media-Player exige que les utilisateurs acceptent de nouvelles restrictions. Mais Microsoft n'est pas seul : le logiciel de partage de musique KaZaa est conçu pour qu'un partenaire commercial de KaZaa puisse louer à ses clients l'utilisation de votre propre ordinateur. Ces fonctions malveillantes sont souvent secrètes, mais même une fois que vous en avez connaissance, il est difficile de les enlever, puisque vous n'avez pas le code source.
Dans le passé, il s'agissait d'incidents isolés. L'"informatique de confiance" généralisera cela. Un nom plus approprié serait "informatique déloyale (treacherous computing)", parce que le projet est conçu pour s'assurer que votre ordinateur vous désobéira systématiquement. En fait, il est conçu pour empêcher votre ordinateur de fonctionner comme un ordinateur à vocation universelle. Chaque opération devra être autorisée explicitement.
L'idée technique à la base de l'"informatique déloyale" (treacherous computing) consiste en ce que l'ordinateur inclut un procédé de chiffrement et de signature, dont les clefs ne vous sont pas connues. (La version de Microsoft est appelée "palladium"). Des logiciels propriétaires utiliseront ce dispositif pour contrôler quels autres programmes vous pouvez utiliser, quels documents ou quelles données vous pouvez lire, et avec quels programmes vous avez le droit de les lire. Ces programmes téléchargeront de nouvelles règles d'autorisation par Internet et vous imposeront automatiquement ces règles. Si vous ne permettez pas à votre ordinateur d'obtenir les nouvelles règles, certaines fonctionnalités cesseront automatiquement de fonctionner.
Évidemment, Hollywood et les maisons de disques prévoient d'utiliser l'"informatique déloyale" pour la "gestion des droits numériques" (Digital Right Management), afin que les vidéos et la musique téléchargées puissent être joués seulement sur un ordinateur précis. Le partage sera complètement impossible, au moins avec les fichiers autorisés que vous obtiendrez de ces sociétés. Vous, (le public), devriez avoir la liberté et la capacité de partager ces choses. (Je m'attends à ce que quelqu'un trouve une façon de produire des versions non cryptées pour les télécharger, si bien que le DRM ne sera pas un succès total. Mais ça ne justifie en rien ce principe de restriction.)
L'impossibilité du partage est déjà mauvaise, mais il y a pire. Il y a des projets d'utiliser la même méthode pour le courrier et les documents électroniques. Ainsi, certains mails disparaîtraient au bout de deux semaines, ou certains documents ne pourraient être lus que sur les ordinateurs d'une société.
Imaginez que vous receviez un mail de votre patron vous forçant à faire quelque chose de risqué; un mois plus tard, si des ennuis surviennent, vous ne pouvez plus utiliser le mail pour prouver que la décision n'était pas la vôtre. Vous ne pouvez pas être protégé par un document écrit avec une encre qui disparaît. Imaginez si vous recevez un mail de votre patron exposant une politique illégale ou amorale. Aujourd'hui vous pouvez l'envoyer à un journaliste et exposer l'activité. Avec l'"informatique déloyale", le journaliste ne sera pas capable de lire le document; son ordinateur refusera de lui obéir. L'"informatique déloyale" devient un paradis pour la corruption.
Les logiciels de traitement de texte comme Microsoft Word pourraient utiliser l'"informatique déloyale" pour enregistrer vos documents et s'assurer qu'aucun autre logiciel de traitement de texte concurrent ne peut les lire. Aujourd'hui nous sommes obligés de faire des expérimentations laborieuses pour découvrir les secrets du format de fichier Word ".doc" pour fabriquer des logiciels libres de traitement de texte qui supportent ce format. Si Word enregistre les documents en utilisant l'"informatique déloyale", la communauté du logiciel libre n'aura aucun moyen de développer un logiciel pour les lire - et même si nous pouvions, cela serait interdit par la loi DMCA (Digital Millenium Copyright Act).
Les programmes utilisant l'"informatique déloyale" récupéreront régulièrement de nouvelles règles d'autorisation par Internet et appliqueront ces règles automatiquement à votre travail. Si Microsoft, ou le gouvernement américain, n'aiment pas ce que vous avez écrit dans un document, ils pourraient créer de nouvelles règles imposant à tous les ordinateurs de refuser de lire ce document. Chaque ordinateur obéirait à ces règles sans votre contrôle. Vos écrits seraient soumis à de l'effacement rétroactif façon "1984, de G. Orwell". Vous pourriez même être dans l'incapacité d'ouvrir vos propres documents.
Vous pensez peut-être que vous découvrirez ce que cache un logiciel utilisant l'"informatique déloyale", et que vous déciderez de l'accepter ou non. Il faudrait être myope et idiot pour accepter, mais le problème est que votre décision aura une portée bien faible. Une fois que vous devenez dépendant de l'utilisation du programme, vous êtes pris et ils le savent; à ce moment ils peuvent changer les règles du jeu. Quelques logiciels téléchargeront automatiquement les mises à jour qui feront quelque chose de différent - et ils ne vous donneront pas le choix de mettre à jour ou non.
Aujourd'hui vous pouvez éviter de voir vos libertés contraintes par un logiciel propriétaire, en ne l'utilisant pas. Si vous utilisez GNU/Linux ou tout autre système libre et si vous évitez d'y installer des logiciels propriétaires, alors vous pouvez décider ce que fait votre ordinateur. Si un logiciel libre a une fonction malveillante, d'autres développeurs de la communauté l'enlèveront et vous pourrez utiliser la version corrigée. Vous pouvez aussi utiliser des applications libres et des outils libres sur des systèmes qui ne le sont pas; cela ne vous octroie pas une liberté totale, mais beaucoup d'utilisateurs le font.
L'"informatique déloyale" met en danger l'existence de l'informatique libre, parce que vous ne serez plus autorisé à l'utiliser. Certaines versions de l'"informatique déloyale" exigeraient que le système d'exploitation soit spécifiquement autorisé par une compagnie particulière. Des systèmes d'exploitation libres ne pourraient pas être installés. D'autres versions de l'"informatique déloyale" exigeraient que chaque programme soit spécifiquement autorisé par l'éditeur du système d'exploitation. Vous ne pourriez pas utiliser d'applications libres sur un tel système. Si vous y parveniez et que vous diffusiez la façon de faire, ce serait considéré comme un délit.
Il y a déjà des propositions de loi américaines qui veulent exiger que tous les ordinateurs fonctionnent avec ce principe et interdire aux anciens ordinateurs de se connecter à l'internet. Le CBDTPA (nous l'appelons le Consume But Don't Try Programming Act, c'est-à-dire "consommez, mais n'essayez pas de programmer") est l'une d'entre elles. Même si elles ne vous forçaient pas légalement à vous convertir à l'"informatique déloyale", la pression sur vous pour l'accepter serait énorme. Aujourd'hui les gens utilisent souvent le format de Word pour communiquer, bien que cela cause plusieurs sortes de problèmes (voir http: // http://www.gnu.org/philosophy/no-word-attachments.fr.html (ou bien ici). Si les seules machines à pouvoir lire le format de Word sont des machines utilisant l'"informatique déloyale", beaucoup de personnes s'y plieront, s'ils voient la situation seulement en termes d'action individuelle (c'est à prendre ou à laisser). Pour nous opposer à l'"informatique déloyale", nous devons agir et réagir de façon collective.
Pour plus d'information sur l'"informatique déloyale", voir http://www.cl.cam.ac.uk/users/rja14/tcpa-faq.html. (NdT : traduction bientôt disponible)
Pour bloquer l'"informatique déloyale", il faut qu'un grand nombre de citoyens s'organisent. Nous avons besoin de votre aide! L'Electronic Frontier Foundation et la Public Knowledgefont campagne contre elle, ainsi que le Digital Speech Project lancé par la Free Software Foundation. S'il-vous-plaît, visitez leurs sites Web pour pouvoir vous inscrire et les aider dans leur travail.
Vous pouvez aussi aider en écrivant aux bureaux d'affaires publics d'Intel, IBM, l'HP/COMPAQ, ou quiconque à qui vous avez acheté un ordinateur, expliquant que vous ne voulez pas subir des pressions pour acheter des systèmes informatique "de confiance" (trusted) et que vous ne voulez pas qu'ils en produisent. Cela peut aider le grand public à accroître sa pression. Si vous faites ceci vous-même, envoyez s'il vous plaît les copies de vos lettres aux organisations ci-dessus.
PS :
1. Le Projet GNU distribue le logiciel GPG (GNU Privacy Guard), un programme qui utilise l'encryption à clef publique et la signature numérique, que vous pouvez utiliser pour envoyer des mails sûrs et privés. Il est utile d'explorer comment GPG diffère de l'"informatique déloyale" et de voir ce qui fait que l'un est utile et l'autre si dangereux. Quand quelqu'un utilise GPG pour vous envoyer un document crypté et que vous utilisez GPG pour le décoder, le résultat est un document non crypté que vous pouvez lire, expédier, copier et même re-crypter pour l'envoyer de façon sûre à quelqu'un d'autre. Un logiciel d'informatique déloyale vous laisserait lire les mots sur l'écran, mais ne vous laisserait pas produire un document non crypté que vous pourriez utiliser d'une autre façon. GPG, un logiciel libre, met la sécurité à disposition des utilisateurs; ils l'utilisent. L'"informatique déloyale" est conçue pour imposer des restrictions aux utilisateurs; ici, c'est elle qui les utilise.
2. Microsoft présente le Palladium comme une mesure de sécurité et prétend qu'il nous protégera contre les virus, mais cette revendication est évidemment fausse. Une présentation par le département de recherche de Microsoft en octobre 2002 a déclaré qu'une des spécifications de Palladium est que les systèmes d'exploitation logiciels existants continueront de fonctionner; donc fatalement, les virus aussi continueront à faire toutes les choses qu'ils peuvent faire aujourd'hui.
En fait, quand Microsoft parle de "sécurité" en rapport avec Palladium, ce n'est pas avec la même définition que la nôtre : il ne s'agit pas protéger votre machine des choses vous ne voulez pas. Il s'agit d'ajouter une protection aux données de votre ordinateur, afin que vous ne puissiez pas les utiliser d'une autre façon que celle qui est prévue. Une diapositive de présentation a exposé plusieurs types de secrets pour lesquels le Palladium pourrait être utilisé, comprenant "des secrets de tiers" et "des secrets d'utilisateur" - mais les "secrets d'utilisateur" étaient entourés de guillemets, reconnaissant que ce n'est pas pour ça que le Palladium est vraiment conçu.
La présentation fait une utilisation fréquente d'autres termes que nous associons fréquemment au contexte de sécurité, comme "attaque", "code malveillant," "spoofing," aussi bien que "trusted" (de confiance)." Aucun d'eux n'a la même signification que d'habitude . "attaque" ne veut pas dire "quelqu'un qui essaye de vous attaquer", cela signifie "vous, essayant de copier de la musique". "code malveillant" signifie "code installé par vous, pour faire ce que quelqu'un d'autre ne veut pas". "Spoofing" ne signifie pas "quelqu'un vous dupant", cela signifie "vous, contournant le Palladium". Et ainsi de suite.
3. Une déclaration précédente faite par les développeurs de Palladium a exposé le principe de base disant que quiconque crée ou rassemble une information doit pouvoir contrôler totalement la façon dont vous l'utilisez. Cela représenterait une vraie révolution pour l'éthique et pour le système légal et créerait un système de contrôle sans précédent. Ces systèmes n'arrivent pas par hasard; ils sont le résultat d'une volonté et d'un but non avoué. C'est ce but que nous devons rejeter.
Copyright 2002 Richard Stallman. La reproduction mot pour mot et la distribution de l'intégralité de cet article (NdT: et de cette traduction) sont permises sans royalties sur quelque support que ce soit à condition que cette note soit préservée.