[HS ?] TCPA/Palladium

To: debian-user-french@lists.debian.org
Subject: [HS ?] TCPA/Palladium
From: Olivier <dsi@cnje.org>
Date: Tue, 07 Jan 2003 12:05:20 +0100 (CET)
Message-id: <[🔎] 1041937520.3e1ab4703871a@imp.free.fr>
Bonjour,

Navré, je débute un "troll". Je viens de lire l'article du LMF sur 
TCPA/Palladium, je m'étais pas mal documenté auparavant, mais j'ai une question 
qui reste sans réponse. Donc si ça trouve, sur cette mailing y aura quelqu'un 
qui saurait m'éclairer. Au pire, j'aurais alerté les gens sur certaines 
réalités.

Petit rappel : TCPA permet de lancer un OS "sécurisé" via une puce "Fritz" de 
cryptage branchée sur la carte mère, puis implantée directement dans le 
processeur Intel, puis quand l'OS "sécurisé" démarre, dans le cas de Windows 
une couche logicielle nommée "Palladium" va vérifier que les logiciels que tu 
lances sont certifiés et que les DvDs que tu regardes ne sont pas piratés, cela 
pouvant dégénérer à des plans marketings foireux (genre tu payes 2 visions du 
DvD, ou tu n'as le droit d'écouter ton CD que le jour de ton anniversaire), de 
la cryptomanie maladive (les documents rédigés sur un réseau ne peuvent être 
lisibles que sur ce même réseau), et des intrusions dans la vie privée (si une 
boîte quelconque détecte un MP3 qui lui plait pas, elle peut se permettre de 
l'effacer, même s'il s'agit d'un enregistrement perso de ton groupe de rock 
avec tes copains dans la cave de ta grand-mère). Bref, c'est du bonheur !

J'ai cru comprendre que parmi les objectifs de chacun des protagonistes de ce 
projet, on trouve des trucs comme "faire payer la Chine", "anihiler les 
eDonkey/KazZA/Napster", et "banir le MP3 et le DiVX maison". Soit.

Cependant, le point qui coince pour moi, c'est au niveau du développement : 
sous palladium, seules les applis certifiées ont le droit d'être exécutées. Or 
je suis prestataire de service, et quand je réalise une appli, je me vois mal 
dire au client "ben l'appli est finie, mais on doit la soumettre à MS pour 
qu'ils vérifient qu'il n'y a pas de faille de sécurité et qu'ils vous donne une 
certif vous autorisant à l'éxécuter sur votre Palladium". De plus, cette 
certification éventuelle va coûter je suppose, un surcoût qui incombera bien 
entendu au client, mais au détriment du budget global de ma prestation (bref, 
j'y perds). Donc à priori je suis pas content d'y perdre, et je suis pas 
content non plus de devoir filer mon source à une société externe qui serait 
capable de foutre des brevets dessus à mon insu (ou d'en trouver et donc 
m'attaquer en justice par une boîte qui constate que j'utilise inconsciemment 
des algos qu'ils auraient déposés). On serait alors dans un monde où le 
développement de service en info serait fatalement contrôlé par des sociétés 
dont ce n'est pas la vocation première (mais où s'arrête le champ d'activité de 
MS : OS, Office, BDD, e-Development et souris à molettes ?).

Ensuite, y a ce qui me semble être une absurdité : les logiciels qui tournent 
sous Palladium sont obligatoirement certifiés. Je crée une interface pour 
accéder à une BDD quelconque. Le module d'accès à cette BDD fonctionne en mode 
certifié, donc il est logique que mon environnement de développement aussi. 
Donc le compilateur aussi. Mais alors, cet abruti de compilateur va me générer 
un exécutable ... qui n'aura pas été certifié. Il est évident que j'aurais à le 
lancer pour valider mon développement, non ? Je peux donc créer un exécutable 
dangereux pour le système sur lequel je développe, non ? Avec un peu 
d'ingéniosité, je peux étendre mon dangereux programme à d'autres systèmes (mon 
client est en droit de me demander des version intermédiaires pour contrôler 
l'évolution du développement), en quoi le système est-il sécurisé dans ce cas ? 
Evidemment si je fais ça à mon boulot, même si je suis en France, les 
différentes autorités en charge de l'espionage de la vie privée de chacun 
m'arrêtera sous peu et m'interdira à jamais d'accéder à un ordi ou à un 
téléphone. Mais si je suis Chinois, que je bosse en Chine, la donne est 
nettement différente il me semble :o) Donc pour des raisons de sécurité, il ne 
faut pas que je puisse exécuter mes programmes fraichement compilés en 
mode "sécurisé", cela va de soi. Par conséquent, il faudrait que j'accède à mon 
module de BDD en mode "non-sécurisé", d'après ce que j'ai lu, ils ont même 
prévu ça. Dans ce cas, je me pose des questions au niveau de comment je peux 
réaliser des tests de mon logiciel. Il me semble qu'effectuer mon job en 
mode "non-sécurisé" pour qu'il fonctionne en mode "sécurisé" n'est pas 
recommandable : autant développer un soft sous Windows pour qu'il soit ensuite 
utilisé sous Mac sans avoir accès à un Mac avant la fin du développement. Quand 
il s'agit de développer des règles d'accès à des serveurs dans des banques qui 
doivent réaliser plusieurs milliers de transactions par seconde, c'est 
carrément impensable !

Ce qui me surprend, c'est qu'il ne me semble pas être le seul à faire du 
développement (bon, d'accord, quand je compare à mes collègues directs, je fais 
partie des plus impliqués dans la vie du "libre" et de ce qui gravite autour). 
Dans les différents articles que j'ai lus, les dangers énoncés gravitaient 
plutôt autour des intrusions dans la vie privée, et l'alarme était concentrée 
sur "Attention, ils vont faire un truc pour qu'on puisse pas lire nos DivX, et 
dans ce cadre ça va porter gravement atteinte au monde du libre". Je 
caricature, mais le sujet est trop sérieux, et je suis un fervent défenseur du 
principe de la GPL et de l'open-source ; mais l'absurdité que j'ai évoqué dans 
cet article me semble encore plus dangereuse : qu'on s'attaque à ma vie privée, 
soit, je sais que je suis surement déja fiché aux RG à cause de mes activités, 
mais je n'ai rien à cacher et j'achète les DvDs des films que je veux voir. 
Mais au niveau de ma vie professionnelle (10h en moyenne par jour, donc une 
part de ma vie non négligeable), il me semble totalement absurde de voir MS et 
consors préparer un projet qui aboutirait au final à leur offrir gracieusement 
mon boulot : "je ne peux pas vendre du service à cause de votre environnement 
sécurisé, donc voici mon portefeuille de clients et un tube de vaseline".

Bref, j'y vois un danger Anti-trust encore plus flagrant que la livraison d'IE 
et mediaplayer avec Win95. Suis-je le seul ? Ai-je tort ?

En observant ce qui se passe avec plus de recul, et en atteignant des degrès de 
paranoïa encore plus aigus, j'ai encore plus peur si on réfléchit en terme de 
guerre de l'information et que l'on se base sur le faux dicton "un scandale 
peut en cacher un autre". Dans cet esprit j'ai considéré il y a quelques années 
que l'idiote affaire Lewinski n'avait pour autre but que de réduire l'attention 
de l'opinion publique sur des problèmes plus sérieux comme les interventions 
des forces armées des Etats-Unis dans les Balkans et au Moyen Orient. La 
semaine de la Haine du roman de Georges Orwell (1984) n'avait pour principal 
but que de conforter la dominance de l'oligarchie en place sur son peuple. Dans 
notre cas, l'histoire du TCPA/Palladium, aux vues de ses absurdités 
intrinsèques, ne cacheraient-elles pas un drame à priori moins grave mais 
cependant dangereux pour le monde du logiciel libre (genre des lois sur les 
brevets logiciels en Europe ou autres bêtises dans le même genre ...) ? Nous 
entrerions alors dans un climat de psychose maladive, et probablement (?) 
injustifiée.

Cependant sachons rester vigilants ...

Fin du "troll"

Olivier
Reply to:
Follow-Ups:
- [HS: prise de conscience politique] (était TCPA/Palladium)
  - From: Olivier Garet <Olivier.Garet@labomath.univ-orleans.fr>
- Re: [HS ?] TCPA/Palladium
  - From: Xavier Henner <debian@euclide.org>
- Re: [HS ?] TCPA/Palladium
  - From: Frédéric Bothamy <fbothamy@mail.dotcom.fr>
Prev by Date: Free Pascal et cross compilation
Next by Date: Re: Problème ext3
Previous by thread: Free Pascal et cross compilation
Next by thread: [HS: prise de conscience politique] (était TCPA/Palladium)
Index(es):
- Date
- Thread