Pouvez-vous faire confiance à votre ordinateur ?
par Richard StallmanDe qui votre ordinateur doit-il recevoir ses ordres ? La plupart des gens pensent que leurs ordinateurs doivent leur obéir, et non pas obéir à quelqu'un d'autre. Par une stratégie qu'elles appellent « informatique de confiance » [trusted computing], de grandes sociétés de médias (entre autres du cinéma et de l'industrie du disque), ainsi que des sociétés informatiques telles que Microsoft et Intel, projettent de faire en sorte que votre ordinateur leur obéisse plutôt qu'à vous (chez Microsoft ce stratagème est nommé « Palladium »). Il est déjà arrivé que des programmes privateurs a contiennent des dispositifs malveillants, mais ce projet rendrait cette pratique universelle.
Par définition, on ne contrôle pas ce que fait un logiciel privateur ; on ne peut ni étudier son code source, ni le modifier. Il n'est donc pas étonnant que des hommes d'affaires astucieux trouvent moyen d'exercer leur pouvoir à vos dépens. Microsoft l'a déjà fait plusieurs fois : l'une des versions de Windows a été conçue pour renseigner Microsoft sur tous les logiciels installés sur votre disque dur ; une mise à jour de « sécurité » récente du lecteur multimédia de Windows (Windows Media Player) exigeait des utilisateurs d'accepter de nouvelles restrictions. Mais Microsoft n'est pas seul dans ce cas : le logiciel de partage de musique « KaZaa » est conçu de telle sorte que le partenaire commercial de KaZaa puisse louer l'utilisation de votre ordinateur à ses clients. Ces dispositifs malveillants sont souvent secrets, mais même une fois que vous en avez connaissance, il est difficile de les enlever, puisque vous ne disposez pas du code source de l'application.
Dans le passé, il s'agissait d'incidents isolés. « L'informatique de confiance » les rendrait dominants. « L'informatique déloyale » [Treacherous Computing] est un nom plus approprié, parce que le projet est conçu pour s'assurer que votre ordinateur vous désobéira systématiquement. En fait, il est conçu pour que votre ordinateur ne puisse plus fonctionner comme ordinateur polyvalent. Chaque opération pourra exiger une permission explicite.
L'informatique déloyale repose sur le principe technique que l'ordinateur contient un dispositif de chiffrement et de signature numériques dont les clefs sont maintenues secrètes (la version Microsoft de ce système s'appelle « Palladium »). Les logiciels privateurs utiliseront ce dispositif afin de contrôler le lancement de tel ou tel programme, à quels documents ou données vous pourrez accéder, et avec quels programmes vous pourrez lire ou modifier ces documents ou données. Ces logiciels téléchargeront régulièrement de nouvelles règles d'autorisation par Internet et vous les imposeront. Si vous ne laissez pas votre ordinateur récupérer périodiquement ces nouvelles règles depuis Internet, certaines fonctions se désactiveront automatiquement.
Naturellement, Hollywood et l'industrie du disque se proposent d'employer l'informatique déloyale dans des dispositifs de gestion numérique des restrictions, ou DRM, de sorte que les vidéos ou la musique téléchargées ne puissent être lues que sur un ordinateur déterminé. Vous ne pourrez absolument pas les partager, du moins si vous utilisez les fichiers licites obtenus auprès de ces sociétés. Vous, le public, devriez avoir la liberté et la possibilité de partager ces contenus (je suis sûr que quelqu'un trouvera moyen d'en produire des versions non chiffrées, de les mettre en ligne et de les partager, de sorte que la gestion numérique des restrictions n'atteigne pas complètement son but, mais cela ne justifie pas ce système).
C'est déjà mal de rendre le partage impossible, mais la situation est en train d'empirer. Il est question de généraliser le même dispositif aux messages électroniques et aux documents – avec pour résultat de faire disparaître un courriel au bout de deux semaines, ou de ne pouvoir lire certains documents que sur les ordinateurs d'une société déterminée.
Imaginez que vous receviez un courriel de votre patron vous disant de faire quelque chose que vous estimez risqué ; un mois plus tard, lorsque la situation s'envenime, vous ne pouvez plus utiliser ce message pour prouver que la décision n'était pas de vous. « Recevoir l'ordre par écrit » ne vous protège pas quand l'ordre est écrit avec une encre qui disparaît.
Imaginez que vous receviez un courriel de votre patron définissant une pratique illégale ou moralement indigne, comme de passer au broyeur les résultats de l'audit de votre société, ou de laisser se propager une menace dangereuse pour votre pays. Aujourd'hui vous pouvez envoyer ce message à un journaliste et lui présenter les faits. Avec l'informatique déloyale, le journaliste ne pourra pas lire le document ; son ordinateur refusera de lui obéir. L'informatique déloyale devient un paradis pour la corruption.
Les logiciels de traitement de texte tels que Microsoft Word pourraient se servir de l'informatique déloyale quand ils enregistrent vos documents, pour s'assurer qu'aucun logiciel concurrent ne puisse les lire. Aujourd'hui il nous faut découvrir les secrets du format Word par des essais laborieux pour programmer des logiciels libres qui puissent lire les documents Word. Si à l'avenir Word utilise l'informatique déloyale pour chiffrer les documents à l'enregistrement, la communauté du logiciel libre n'aura aucune chance de développer un programme capable de les lire – et à supposer que ce soit réalisable, de tels programmes pourraient même être interdits par la loi dite Digital Millennium Copyright Act.b
Les programmes qui utilisent l'informatique déloyale téléchargeront régulièrement de nouvelles règles par Internet et imposeront ces règles automatiquement à votre travail. Si par hasard Microsoft, ou le gouvernement des États-Unis, n'aimait pas le contenu d'un de vos écrits, ils seraient en mesure d'ajouter de nouvelles instructions ordonnant à tous les ordinateurs de refuser de lire ce document. Chaque ordinateur obéirait, sitôt qu'il aurait téléchargé les nouvelles instructions. L'écrit en question serait sujet à un effacement rétroactif « façon 1984 » ; au final, vous ne pourriez même plus le relire.
Vous pensez peut-être que vous saurez découvrir les méfaits commis par une application déloyale, évaluer leur degré de nuisance, et prendre la décision de les accepter, ou non. En admettant que vous y arriviez, non seulement il serait idiot d'accepter la transaction, mais vous ne pouvez même pas espérer qu'elle reste en l'état. À partir du moment où vous devenez dépendant de l'utilisation d'un programme, vous êtes piégé et ils le savent ; ils peuvent alors se permettre de changer la donne. Certaines applications récupéreront automatiquement des mises à jour qui fonctionneront alors de façon différente, et elles ne vous laisseront pas le choix de mettre à jour ou non.
Aujourd'hui vous pouvez éviter les contraintes du logiciel privateur en ne l'utilisant pas. Si vous travaillez sous GNU/Linux ou sous un autre système d'exploitation libre, et que vous évitez d'y installer des applications privatrices, alors vous avez le contrôle de ce que fait votre ordinateur. Si un logiciel libre contient un dispositif malveillant, les développeurs de la communauté l'élimineront et vous pourrez utiliser la version corrigée. Vous pouvez également utiliser des programmes et des applications libres sur les systèmes d'exploitation non libres ; cela ne vous octroie pas une liberté totale, mais beaucoup d'utilisateurs le font.
L'informatique déloyale met l'existence des systèmes d'exploitation libres et des applications libres en danger, parce qu'elle pourrait rendre impossible leur utilisation. Certaines versions de l'informatique déloyale exigeraient que, pour se lancer, le système d'exploitation bénéficie d'une autorisation spécifique délivrée par une société déterminée. Il serait impossible d'installer les systèmes d'exploitation libres. D'autres versions exigeraient que, pour s'exécuter, chaque programme bénéficie d'une autorisation délivrée spécifiquement par le développeur du système d'exploitation. Vous ne pourriez pas utiliser d'application libre sur un tel système. Si vous trouviez une façon de le faire et que vous le disiez à quelqu'un, cela pourrait être considéré comme une infraction.
Il y a déjà des propositions de lois aux États-Unis pour exiger que tous les ordinateurs utilisent l'informatique déloyale et pour interdire de connecter de vieux ordinateurs à Internet. La CBDTPA (nous l'appelons le Consume But Don't Try Programming Act c) est l'une d'entre elles. Mais même s'ils ne vous forcent pas à passer à « l'informatique de confiance » par des lois, les pressions pour l'accepter peuvent être énormes. Aujourd'hui les gens utilisent souvent le format Word pour communiquer, bien que cela cause des problèmes variés (voir « Finissons-en avec les pièces jointes Word ! »). Si un jour seule une machine déloyale peut lire les documents créés avec la dernière version de Word, beaucoup de gens se mettront à l'utiliser, à supposer qu'ils envisagent la situation en termes de choix personnel (à prendre ou à laisser). Pour s'opposer à l'informatique déloyale, nous devons nous regrouper et confronter la situation en termes de choix collectif.
Pour plus ample information au sujet de l'informatique déloyale, voir “Trusted Computing” Frequently Asked Questions (FAQ sur « l'informatique de confiance »).
Contrer l'informatique déloyale va nécessiter que de nombreux citoyens s'organisent. Nous avons besoin de votre aide ! Soutenez Defective by Design (défectueux à dessein), la campagne de la Fondation pour le logiciel libre contre la gestion numérique des restrictions.
Post-scriptum
En sécurité informatique, le terme « informatique de confiance » est utilisé d'une manière différente. Attention à ne pas confondre les deux significations.
Le projet GNU distribue GNU Privacy Guard, logiciel permettant le chiffrement par clef publique et la signature numérique, utilisable pour envoyer des courriels sécurisés et privés. Il est intéressant d'étudier comment GPG diffère de l'informatique déloyale, pour voir ce qui rend l'un utile et l'autre si dangereux.
Quand un correspondant se sert de GPG pour vous envoyer un document chiffré, et que vous utilisez GPG pour le décoder, vous obtenez un document non chiffré que vous pouvez lire, transférer, copier et même chiffrer à nouveau pour l'envoyer de manière sécurisée à quelqu'un d'autre. Une application déloyale vous laisserait lire le texte à l'écran, mais ne vous permettrait pas de produire un document non chiffré adapté à d'autres usages. GPG, un logiciel libre, procure des fonctionnalités de sécurité aux utilisateurs ; ils choisissent de l'utiliser. L'informatique déloyale est conçue pour imposer des restrictions aux utilisateurs ; c'est elle qui les « utilise ».
Les partisans de l'informatique déloyale concentrent leur discours sur son utilisation bénéfique. Ce qu'ils disent est souvent correct, mais porte sur des points mineurs.
Comme la plupart des appareils, les équipements informatiques déloyaux peuvent être utilisés à des fins qui ne sont pas néfastes. Mais leurs fonctionnalités peuvent être mises en œuvre autrement, sans utiliser d'équipement déloyal. Pour vous, utilisateurs, la principale différence est que l'informatique déloyale a une conséquence fâcheuse : la manipulation de votre ordinateur pour qu'il agisse contre vous.
Ce qu'ils disent est vrai, et ce que je dis est vrai. Combinez le tout ; qu'est-ce que vous en déduisez ? Que l'informatique déloyale est un projet destiné à nous ôter la liberté tout en offrant des avantages mineurs destinés à nous distraire de ce que nous perdrions.
Microsoft présente Palladium comme un dispositif de sécurité et prétend qu'il protégera vos données contre les virus. Mais ce discours est manifestement faux. Une présentation réalisée par Microsoft Researchd en octobre 2002 a indiqué qu'un élément du cahier des charges de Palladium est d'assurer que les systèmes d'exploitation et les applications existants continuent à fonctionner ; donc les virus seront toujours capables de faire tout ce qu'ils font aujourd'hui.
Quand les employés de Microsoft parlent de security à propos de Palladium, il ne s'agit pas de la définition habituelle de la sécurité : protéger votre machine contre les choses dont vous ne voulez pas. Dans leur esprit, il s'agit de protéger les données que vous avez copiées sur votre machine contre des manipulations faites par vous-même, mais dont d'autres que vous ne veulent pas. L'une des diapos de la présentation énumérait plusieurs types de données secrètes que Palladium pourrait servir à stocker, entre autres des « secrets de tiers » et des « secrets de l'utilisateur » – mais j'ai mis « secrets de l'utilisateur » entre guillemets, car c'est quelque peu absurde dans le contexte de Palladium.
Dans la présentation, on trouve fréquemment d'autres termes que nous associons fréquemment à la notion de sécurité, tels que « attaque », « code malveillant », « spoofing », ainsi que « confiance » [trusted]. Aucun d'eux n'est pris dans son sens habituel. « Attaque » ne veut pas dire que quelqu'un essaie de vous faire du mal, mais que vous essayez de copier de la musique. « Code malveillant » signifie un code installé par vous pour faire ce que quelqu'un d'autre ne veut pas que votre machine fasse. « Spoofing » ne veut pas dire que quelqu'un vous trompe, mais que vous trompez Palladium. Et ainsi de suite.
Une déclaration antérieure des développeurs de Palladium a énoncé le principe de base suivant : quiconque ayant développé ou rassemblé de l'information doit avoir un contrôle total sur la façon dont vous l'utilisez. Ceci représenterait un renversement révolutionnaire des concepts établis de l'éthique et du droit et créerait un système de contrôle sans précédent. Les problèmes spécifiques de ces systèmes ne sont aucunement des accidents ; ils résultent de leur principe de base. C'est ce principe que nous devons rejeter.
En 2015, la distribution de copies d'un document, quel qu'il soit, se fait surtout par Internet et plus particulièrement sur le web. De nos jours, les sociétés qui désirent imposer la gestion numérique des restrictions à l'univers veulent que les programmes interagissant avec les serveurs web pour obtenir ces copies la mettent en œuvre. Cela signifie qu'elles tiennent à prendre le contrôle de votre navigateur et de votre système d'exploitation. Elles le font au moyen de l'« authentification à distance », un dispositif qui permet à votre ordinateur d'« authentifier » auprès du serveur web les logiciels qu'il exécute, sans possibilité de triche de votre part. Les logiciels devant être authentifiés sont le navigateur web (pour prouver qu'il gère les DRM et ne vous donne aucun moyen d'extraire les données déchiffrées), le noyau (pour prouver qu'il ne vous donne aucun moyen de modifier le navigateur en fonctionnement), le programme de démarrage (pour prouver qu'il ne vous donne aucun moyen de modifier le noyau en cours de démarrage), ainsi que tout autre logiciel pouvant mettre en échec la domination de ces sociétés sur vous.
Quand vous vivez sous un régime malfaisant, la seule issue vous permettant de réduire son pouvoir effectif sur vous est de cacher ou déguiser ce que vous faites. En d'autres termes, vous devez avoir un moyen de mentir à la police secrète du régime. L'« authentification à distance » est une stratégie ayant pour but de forcer votre ordinateur à dire la vérité à une société quand son serveur web demande à l'ordinateur si vous l'avez libéré.
À compter de 2015, l'informatique déloyale est implémentée dans les ordinateurs personnels sous la forme de « modules de plateforme de confiance » (Trusted Platform Modules ou TPM) ; cependant, pour des raisons pratiques, les TPM se sont révélés complètement inadéquats en tant que plateformes d'authentification à distance pour mettre en œuvre la gestion numérique des restrictions. Les entreprises ont alors implémenté les DRM par d'autres moyens. À l'heure actuelle, les « modules de plateforme de confiance » ne sont plus du tout utilisés pour les DRM et il y a des raisons de penser qu'il n'est pas possible de le faire. De manière assez ironique, cela signifie que les seuls usages actuels de ces modules sont d'innocentes fonctions secondaires comme de vérifier que quelqu'un n'a pas subrepticement modifié le système d'un ordinateur.
En conséquence, nous pouvons conclure que les TPM disponibles pour PC en 2015 ne sont pas dangereux et qu'il n'y a aucune raison de les exclure d'un ordinateur ou de ne pas les prendre en charge dans un système d'exploitation.
Cela ne signifie pas pour autant que tout est rose. D'autres systèmes matériels destinés à empêcher le propriétaire d'un ordinateur de changer les logiciels qui y sont installés sont utilisés dans certains PC à architecture ARM, ainsi que dans les processeurs des téléphones portables, voitures, télévisions et autres appareils, et ceux-ci sont aussi néfastes que l'on pouvait s'y attendre.
Cela ne veut pas dire non plus que l'authentification à distance n'est pas une menace. Si jamais un appareil parvient à l'implémenter, cela constituera une grave menace pour la liberté des utilisateurs. La seule raison pour laquelle les TPM actuels sont inoffensifs est qu'ils n'ont pas réussi à rendre effective l'authentification à distance. Nous ne devons pas partir du principe que toutes les tentatives futures échoueront également.
Depuis 2022, un nouveau « module de plateforme de confiance » appelé TPM2 met effectivement en œuvre l'authentification à distance et peut mettre en œuvre la gestion numérique des restrictions. Le danger sur lequel je mettais en garde en 2002 est devenu terriblement réel.
L'authentification à distance est effectivement utilisée par l'API « SafetyNet » (qui fait maintenant partie de « Play Integrity »), utilisée par Google pour vérifier que le système d'exploitation Android en service dans un de ses téléphones espions est une version officielle.
Cette fonctionnalité malveillante rend déjà impossible l'utilisation de certaines applis bancaires sur GraphenOS, une version modifiée d'Android dépourvue de certains logiciels non libres (pas tous) faisant normalement partie d'Android.
Une version libre d'Android comme Replicant rencontrerait sûrement le même obstacle. Si vous donnez assez de prix à votre liberté pour installer Replicant, vous ne tolérerez probablement aucune appli non libre (bancaire ou non) sur vos ordinateurs. Néanmoins, il est injuste que Google espionne ses utilisateurs pour savoir s'ils ont modifié leur système d'exploitation et, sur cette base, leur dicte ce qu'ils peuvent faire avec.
Cet essai est publié dans le livre Free Software, Free Society : The Selected Essays of Richard M. Stallman.