[HS ?] TCPA/Palladium
Bonjour,
Navré, je débute un "troll". Je viens de lire l'article du LMF sur
TCPA/Palladium, je m'étais pas mal documenté auparavant, mais j'ai une question
qui reste sans réponse. Donc si ça trouve, sur cette mailing y aura quelqu'un
qui saurait m'éclairer. Au pire, j'aurais alerté les gens sur certaines
réalités.
Petit rappel : TCPA permet de lancer un OS "sécurisé" via une puce "Fritz" de
cryptage branchée sur la carte mère, puis implantée directement dans le
processeur Intel, puis quand l'OS "sécurisé" démarre, dans le cas de Windows
une couche logicielle nommée "Palladium" va vérifier que les logiciels que tu
lances sont certifiés et que les DvDs que tu regardes ne sont pas piratés, cela
pouvant dégénérer à des plans marketings foireux (genre tu payes 2 visions du
DvD, ou tu n'as le droit d'écouter ton CD que le jour de ton anniversaire), de
la cryptomanie maladive (les documents rédigés sur un réseau ne peuvent être
lisibles que sur ce même réseau), et des intrusions dans la vie privée (si une
boîte quelconque détecte un MP3 qui lui plait pas, elle peut se permettre de
l'effacer, même s'il s'agit d'un enregistrement perso de ton groupe de rock
avec tes copains dans la cave de ta grand-mère). Bref, c'est du bonheur !
J'ai cru comprendre que parmi les objectifs de chacun des protagonistes de ce
projet, on trouve des trucs comme "faire payer la Chine", "anihiler les
eDonkey/KazZA/Napster", et "banir le MP3 et le DiVX maison". Soit.
Cependant, le point qui coince pour moi, c'est au niveau du développement :
sous palladium, seules les applis certifiées ont le droit d'être exécutées. Or
je suis prestataire de service, et quand je réalise une appli, je me vois mal
dire au client "ben l'appli est finie, mais on doit la soumettre à MS pour
qu'ils vérifient qu'il n'y a pas de faille de sécurité et qu'ils vous donne une
certif vous autorisant à l'éxécuter sur votre Palladium". De plus, cette
certification éventuelle va coûter je suppose, un surcoût qui incombera bien
entendu au client, mais au détriment du budget global de ma prestation (bref,
j'y perds). Donc à priori je suis pas content d'y perdre, et je suis pas
content non plus de devoir filer mon source à une société externe qui serait
capable de foutre des brevets dessus à mon insu (ou d'en trouver et donc
m'attaquer en justice par une boîte qui constate que j'utilise inconsciemment
des algos qu'ils auraient déposés). On serait alors dans un monde où le
développement de service en info serait fatalement contrôlé par des sociétés
dont ce n'est pas la vocation première (mais où s'arrête le champ d'activité de
MS : OS, Office, BDD, e-Development et souris à molettes ?).
Ensuite, y a ce qui me semble être une absurdité : les logiciels qui tournent
sous Palladium sont obligatoirement certifiés. Je crée une interface pour
accéder à une BDD quelconque. Le module d'accès à cette BDD fonctionne en mode
certifié, donc il est logique que mon environnement de développement aussi.
Donc le compilateur aussi. Mais alors, cet abruti de compilateur va me générer
un exécutable ... qui n'aura pas été certifié. Il est évident que j'aurais à le
lancer pour valider mon développement, non ? Je peux donc créer un exécutable
dangereux pour le système sur lequel je développe, non ? Avec un peu
d'ingéniosité, je peux étendre mon dangereux programme à d'autres systèmes (mon
client est en droit de me demander des version intermédiaires pour contrôler
l'évolution du développement), en quoi le système est-il sécurisé dans ce cas ?
Evidemment si je fais ça à mon boulot, même si je suis en France, les
différentes autorités en charge de l'espionage de la vie privée de chacun
m'arrêtera sous peu et m'interdira à jamais d'accéder à un ordi ou à un
téléphone. Mais si je suis Chinois, que je bosse en Chine, la donne est
nettement différente il me semble :o) Donc pour des raisons de sécurité, il ne
faut pas que je puisse exécuter mes programmes fraichement compilés en
mode "sécurisé", cela va de soi. Par conséquent, il faudrait que j'accède à mon
module de BDD en mode "non-sécurisé", d'après ce que j'ai lu, ils ont même
prévu ça. Dans ce cas, je me pose des questions au niveau de comment je peux
réaliser des tests de mon logiciel. Il me semble qu'effectuer mon job en
mode "non-sécurisé" pour qu'il fonctionne en mode "sécurisé" n'est pas
recommandable : autant développer un soft sous Windows pour qu'il soit ensuite
utilisé sous Mac sans avoir accès à un Mac avant la fin du développement. Quand
il s'agit de développer des règles d'accès à des serveurs dans des banques qui
doivent réaliser plusieurs milliers de transactions par seconde, c'est
carrément impensable !
Ce qui me surprend, c'est qu'il ne me semble pas être le seul à faire du
développement (bon, d'accord, quand je compare à mes collègues directs, je fais
partie des plus impliqués dans la vie du "libre" et de ce qui gravite autour).
Dans les différents articles que j'ai lus, les dangers énoncés gravitaient
plutôt autour des intrusions dans la vie privée, et l'alarme était concentrée
sur "Attention, ils vont faire un truc pour qu'on puisse pas lire nos DivX, et
dans ce cadre ça va porter gravement atteinte au monde du libre". Je
caricature, mais le sujet est trop sérieux, et je suis un fervent défenseur du
principe de la GPL et de l'open-source ; mais l'absurdité que j'ai évoqué dans
cet article me semble encore plus dangereuse : qu'on s'attaque à ma vie privée,
soit, je sais que je suis surement déja fiché aux RG à cause de mes activités,
mais je n'ai rien à cacher et j'achète les DvDs des films que je veux voir.
Mais au niveau de ma vie professionnelle (10h en moyenne par jour, donc une
part de ma vie non négligeable), il me semble totalement absurde de voir MS et
consors préparer un projet qui aboutirait au final à leur offrir gracieusement
mon boulot : "je ne peux pas vendre du service à cause de votre environnement
sécurisé, donc voici mon portefeuille de clients et un tube de vaseline".
Bref, j'y vois un danger Anti-trust encore plus flagrant que la livraison d'IE
et mediaplayer avec Win95. Suis-je le seul ? Ai-je tort ?
En observant ce qui se passe avec plus de recul, et en atteignant des degrès de
paranoïa encore plus aigus, j'ai encore plus peur si on réfléchit en terme de
guerre de l'information et que l'on se base sur le faux dicton "un scandale
peut en cacher un autre". Dans cet esprit j'ai considéré il y a quelques années
que l'idiote affaire Lewinski n'avait pour autre but que de réduire l'attention
de l'opinion publique sur des problèmes plus sérieux comme les interventions
des forces armées des Etats-Unis dans les Balkans et au Moyen Orient. La
semaine de la Haine du roman de Georges Orwell (1984) n'avait pour principal
but que de conforter la dominance de l'oligarchie en place sur son peuple. Dans
notre cas, l'histoire du TCPA/Palladium, aux vues de ses absurdités
intrinsèques, ne cacheraient-elles pas un drame à priori moins grave mais
cependant dangereux pour le monde du logiciel libre (genre des lois sur les
brevets logiciels en Europe ou autres bêtises dans le même genre ...) ? Nous
entrerions alors dans un climat de psychose maladive, et probablement (?)
injustifiée.
Cependant sachons rester vigilants ...
Fin du "troll"
Olivier
Reply to: