Alerte Micro$oft

Certes c’est long mais lisez svp c’est vraiment grave :

Deviantart.com a publié en juin, dans ses forums, un post au contenu terrifiant. Signé warpbackspin, il revient avec beaucoup de précisions sur l’annonce faite par Microsoft, concernant ses projets de déploiement de la technologie nommée Palladium. Je vous conseille de le lire avec attention, pour ne pas dire après que vous n’étiez pas au courant.

Je vous en livre la traduction telle quelle. Bon courage, et pas de violence, s’il vous plaît.

NDT : Une petite explication tout d’abord. Ceci est la traduction intégrale du post sur le forum, les commentaires, définitions et autres sont en note de bas de page. Les idées exprimées ici n’appartiennent qu’à l’auteur.

"Désolé, il fallait que je poste cela, car c’est pratiquement la chose la plus dégoûtante que j’aie jamais entendue. J’ai lu dessus toute la semaine, et maintenant que j’ai du temps, j’ai pensé que je pouvais écrire quelque chose là-dessus, de façon à ce que tous ceux qui ne lisent pas The Register ou SlashDot puisse entendre parler du dernier projet de la Bête. J’ai pensé que cela était probablement le forum le plus adapté, dans la mesure où cela concerne n’importe qui utilisant un ordinateur, mais sentez-vous libres de le mettre ailleurs. Je voulais juste qu’une partie de cela fusse connu par les masses.

Et pour ceux qui s’effrayent de longues contributions : ignorez celle-ci, mais à votre péril. J’aimerais aussi lire vos réactions sur cela.

Plus tôt dans la semaine, Microsoft a esquissé ses plans pour sa prochaine génération de systèmes d’exploitation, nom de code Longhorn / Palladium. Parmi toutes les spécifications qu’ils cherchent à vendre, se trouvaient les fonctions de "réseau sécurisé" offertes par l’OS
Premièrement :
Microsoft prévoit d’implémenter Palladium DRM (Digital Rights Management) [1] sur une puce hadware, initialement implantée sur la carte mère, mais plus tard intégrée au processeur, et utilisant des flux de cryptage matériels. Le but est d’associer un drapeau à chaque fichier sur l’ordinateur, avec une signature numérique informant un serveur distant de sa nature. Si ce fichier est inautorisé, le serveur distant ordonnera à votre ordinateur de ne pas vous laisser l’ouvrir.

À la base, il s’agit d’une tentative pour mettre un terme à l’échange de MP3 et de ***** [2].
Deuxièmement :
Avant qu’une application puisse se lancer, elle aussi devra se faire "vérifier" par un autre serveur. Si le code du programme ne correspond à aucun des codes authentifiés, l’ordinateur en refusera l’exécution. Cela, à nouveau, est fait pour empêcher votre ordinateur d’exécuter des applications "inautorisées" - qui pourraient être du *****, ou bien juste un freeware astucieux dont les auteurs ne peuvent pas payer la certification. Microsoft sera en mesure de contrôler précisément ce qui peut ou non tourner sur votre ordinateur.
Troisièmement :
Comme la plupart d’entre vous le savent, Microsoft a recours à une stratégie qui consiste à rendre leur logiciel délibérément obsolète - compatibilité ascendante mais pas descendante. Avec les lois de la DMCA [3], il sera bientôt interdit d’essayer de développer un produit logiciel compatible avec les types de fichiers issus d’un autre programme (par exemple, pensez aux nombreuses applications bureautiques pour Linux qui ont obtenu quelque succès en traduisant leurs formats de fichiers abscons). Cela a pour effet de tuer toute concurrence dans l’oeuf - dans la mesure ou vous n’êtes pas autorisé à rendre votre nouveau produit compatible avec les autres, personne ne l’utilisera. Et finalement, les gens cesseront d’utiliser des logiciels alternatifs, puisque personne ne pourra relire leurs documents. Le monde entier n’aura plus qu’un choix pour le logiciel - Microsoft.
Quatrièmement :
Palladium va efficacement interdire le logiciel gratuit, pas seulement le logiciel gratuit pour Windows, mais aussi pour Linux, Mac, en fait tout ordinateur fondé sur une carte-mère équipée de Palladium. Pourquoi ? Pour autoriser le programme à tourner sur une machine Palladium, vous aurez à payer pour que votre code soit certifié "sûr" par le service d’authentification du logiciel de Microsoft. Et quel esprit sensé ira payer pour un code sur lequel il aura travaillé des heures ? Ça ne vaudrait vraiment pas la peine.

Les choses deviennent pires quand elles en arrivent aux projets open source, comme Linux et BSD. Ceux d’entre vous qui connaissent savent que les projets open source sont créés par des développeurs indépendants tout autour du globe, qui font des programmes dans leur temps libre et les donnent au reste du monde gratuitement. Beaucoup d’entre eux livrent le code même librement, de façon à ce que, si vous le souhaitez, vous puissiez changer le programme (par exemple pour corriger des bugs, ajouter des fonctionnalités, etc.). Ce serait déjà suffisamment grave que le propriétaire ait à payer des frais de certification. Mais CHAQUE MODIFICATION apportée au code source demandera un nouveau certificat séparé. Ceux qui utilisent Linux savent que tant de choses sont mises à jour si rapidement que c’est non seulement peu pratique, mais coûterait aux développeurs open source des millions de Dollars. Argent qu’ils n’ont évidemment pas, et Microsoft le sait.
Cinquièmement :
Le "réseau sécurisé". C’est ce qui fait vraiment pencher la balance en faveur de Palladium. Tout d’abord, ils vont le faire de telle façon qu’il sera possible de le contourner au niveau matériel. Mais c’est conçu de manière à ce que, si vous essayez de vous connecter à un serveur web Palladium, vous ne le pourrez pas. Les machines Palladium seront capables de communiquer uniquement avec d’autres machines Palladium, et les machines non-Palladium ne pourront le faire avec aucune machine Palladium. À partir de là, si Palladium atteint la masse critique, il y aura des milliers de gens dans le monde qui seront incapables d’accéder à l’internet, ou même travailler sur un réseau avec des machines Palladium, d’où leur obligation de se "mettre à jour" en machines Palladium.
Sixièmement :

Ainsi que je l’ai pensé en premier lieu : quel est le problème, cela ne s’appliquera qu’aux machines basées sur une architecture x86 (notamment équipées de puces Athlon et Pentium, dans la mesure où seuls AMD et Intel se sont engagés pour l’instant). donc, je pourrais essayer une autre architecture hardware : comme Mac/PPC, ou le Sparc de Sun, ou toute sorte de processeur. Mais j’ai alors compris que même si je faisais ainsi, je ne pourrais accéder au "réseau Palladium", qui pourrait inclure la totalité d’internet si le concept fait suffisamment son chemin. Ce qui fait que vous, tous les Mac users seraient effectivement verrouillés ; vous aussi devriez adopter une machine Palladium si vous voulez que votre ordinateur puisse faire quoi que ce soit.
Septièmement :
Palladium va permettre que vos documents puissent être contrôlés à distance. Non, ce n’est pas une plaisanterie. Si Microsoft juge que vous utilisez une version trop vieille d’Office, tout ce qu’ils ont à faire, c’est d’envoyer un message à votre ordinateur, et il ne sera plus capable de lire aucun de vos documents créés par cette application. Encore plus sinistre est le fait que si Microsoft juge que n’importe lequel des documents sur votre machine les dérange (cela pourrait être du p***o, ou bien un simple document contenant de l’information D***S ou anti-Palladium), ils peuvent simplement l’effacer ou l’altérer, non seulement sur votre PC, mais sur toute autre machine Palladium sur le réseau. Cela fait remarquablement penser au "Ministère de la Vérité" du "1984" de George Orwell, dans lequel le gouvernement truque en permanence l’information, passée et actuelle, pour le pays entier, afin d’apparaître comme "correct" en toute circonstance.

Si Palladium se répand suffisamment, ce sera la mort de l’internet tel que nous le connaissons à présent. Plutôt que d’être contrôlé par nous, il le sera par Microsoft, et vous n’aurez d’autre choix que de faire exactement ce qu’ils disent.

Voilà pourquoi je tiens à dire cela au plus de gens possible avant que l’idée n’en devienne populaire, et que M$ s’arrange pour nous faire croire qu’il s’agit là de la meilleure chose depuis l’invention du pain tranché."

Zut, j’ai oublié de poster les liens d’explication sur le sujet, je vais aussi vous mettre quelques mails reçu sur des mailings lists dont moi et mes amis faisons partie.

1/ Bloquer définitivement vos formats de fichiers aux concurrents.

"Une possibilité encore plus intéressante est que Palladium pourrait aider à introduire le DRM sur les PC d’entreprise et même les PC du grand public. C’est amusant, a déclaré Bill Gates, nous en sommes venus là en pensant à la musique, mais nous avons alors réalisé que les courrièls [7] et les documents étaient des domaines bien plus intéressants."

Voici pourquoi c’est une possibilité plus intéressante pour Microsoft et Palladium d’aider à introduire le DRM sur les machines d’entreprise et les machines grand public plutôt que de n’utiliser la chose que pour éviter la copie de contenus multimédias :

Il est vrai que Microsoft, Intel, et d’autres acteurs clé du TCPA considèrent que le DRM fait du PC le concentrateur du réseau multimédia domestique. Comme Ross l’a signalé, en ajoutant le DRM à cette plate-forme (le PC), Microsoft et Intel deviennent capable d’agrandir le marché des PC.

Malgré tout, le DRM seul ne suffit pas à augmenter le coeur de marché déjà important de Microsoft. Comme l’a dit Bill Gates, Microsoft a pour projet de transformer l’ensemble de ses formats de fichiers sous DRM. Comment cela aide-t-il Microsoft ? Très simple : Activer le DRM pour les documents Word(tm) rends illégal, selon le DMCA de créer des logiciels concurrents qui peuvent lire ou traiter le format de fichier en question sans l’autorisation du vendeur.

Les développeurs de suite bureautique Libres seront alors confrontés à un choix simple : ne pas permettre au logiciel de lire les formats de fichier où partir en prison. Quiconque doute qu’un tel cas puisse se produire est encouragé à se familiariser avec le cas de Dmitry Skylarov, qui fut arrêté après la DEF CON de l’an dernier [8] pour avoir créé un logiciel qui permettait de traiter un document dans un format de fichier protégé par le DRM [9].

Bloquer en permanence les concurrents c’est une chose qui, bien sûr, n’attire pas seulement Microsoft. Un grand nombre d’éditeurs d’applications dominantes sont à la recherche d’un moyen de bloquer leur compétiteurs. La beauté de ce « coup » est que les vendeurs n’ont pas besoin de faire appel eux-même au FBI et d’encourir le retour de bâton de l’opinion publique qu’Adobe a subi sur le cas Skylarov. Les fournisseurs de contenu ou certains de ceux qui utilisent les fonctions mondialement utilisées du DRM donneront volontiers ce coup de fil eux-mêmes.

Par une attaque en douceur, les éditeurs logiciels, tels que Microsoft et beaucoup d’autres, créent une situation dans laquelle la toute puissance du système judiciaire Américain peut fondre sur quiconque tente de concurrencer un éditeur d’application dominant. C’est l’une des nombreuses voies par lesquelles TCPA étouffe la compétition.

Ce qui vient d’être décrit est l’un des objectifs à court / moyen terme que le TCPA permet d’atteindre - L’objectif essentiel à court terme est bien sûr de garantir que chacune des copies de vos applications a bien été payée - Ci dessous est décrit un objectif à moyen / long terme :
2/ Lier les documents à la licence de l’application

Comme le mentionne l’article de Levy, Palladium permettra la création de documents à durée de vie limitée. Cette fonction nécessitera impérativement une horloge sécurisée, non seulement sur le bureau du créateur du document, mais aussi sur les bureaux de tous les groupes qui sont susceptibles de lire dans le futur ce document. Comme les PC ne sont pas vendus avec une horloge que les possesseurs du micro sont incapables d’altérer, et comme les spécifications du TCPA n’exigent pas une solution matérielle aussi chère, toute implémentation de la durée de vie limitée d’un document doit par nécessité obtenir l’heure ailleurs. La source évidente pour une heure sécurisée est un serveur TPM [10] authentifié qui distribue le temps sur Internet.

En d’autres termes, Palladium et les autres applications basées sur TCPA vont exiger un accès Internet au moins occasionnel pour fonctionner. C’est durant un tel accès obligatoire à Internet que les informations liées à la licence vont être poussées sur votre ordinateur. Parmi ces informations, on trouvera une liste noire de copies piratées largement distribuées de logiciels (Vous n’avez pas besoin de TCPA pour cette fonction si l’utilisateur télécharge et installe périodiquement les mises à jour, mais l’utilisateur peut choisir de vivre avec des bugs non corrigés plutôt que de voir son logiciel non payé être désactivé).

Avec TCPA et DRM sur tous les documents, le pouvoir des éditeurs logiciels augmente considérablement : les vendeurs peuvent désormais non seulement invalider les copies de logiciels non payés, mais aussi tous les documents créés avec ces applications. Quelle que soit la diffusion du document, où l’ordinateur sur lequel on trouve ce document.

En outre, cette fonctionnalité permet l’invalidation à distance et à grande échelle d’un document pour une raison autre que le non-paiement d’une licence. Pour donner juste un exemple, un document peut être invalidé à distance sur ordre d’un tribunal, comme ce pourrait être le cas si un document discutait du D***S v3 ou de Scientologie dans un format protégé par DRM. Il suffit, pour accomplir une telle désactivation, de disposer soit d’une copie du document à invalider (dont on peut obtenir l’identificateur unique), soit du numéro de série de l’application qui l’a créé, soit de la clé publique [11] de la personne qui possède la licence de l’application. (D’autres voies existent mais sont omises pour rester bref).

Malheureusement, plusieurs des prédictions catastrophiques de Bob se révèlent vraies.

[12]

Il y a juste un peu plus de trois ans de cela, j’ai écrit un article titré « Comment des techniques comptables intelligentes sont utilisées pour fabriquer des Millionnaires sur Internet ». Il expliquait comment les compagnies de télécommunications utilisaient des astuces comptables pour créer des revenus là où il n’y en avait aucun en réalité. Regardez bien cet article (en anglais), et pensez à Worldcom avec ses 3,7 milliards de dollars de dépense cachées. En août dernier, j’ai écrit un article intitulé « la mort de TCP/IP : pourquoi l’âge de l’Innocence d’Internet est terminé ». Regardez-donc cet article (en anglais), et pensez au projet que Microsoft vient juste de révéler et qui a pour nom Palladium.

La fin est proche.

Parfois j’aimerais m’être trompé, mais c’est une grave erreur que de supposer que la comptabilité, qui semble être devenue une sorte d’art de la danse d’interprétation, peut avoir un côté sombre. Et vous ne perdrez jamais d’argent en misant pour Microsoft et contre ses concurrents et ses clients.

Concentrons-nous sur l’histoire de Microsoft. En août dernier, j’ai écrit sur une rumeur selon laquelle Microsoft voulait remplacer TCP/IP par un protocole propriétaire -- un protocole possédé par Microsoft -- qu’il présenterait comme étant plus sécurisé. En fait, le protocole serait TCP/IP, mais avec certains des champs réservés utilisés comme pointeurs vers des extensions propriétaires, à la manière de Vines IP, si vous vous rappelez de ce protocole de Banyan Systems. Je l’ai appelé TCP/MS dans l’article. Comment faire adopter un tel protocole ? premièrement, rendez l’ancien inutilisable en plaçant des millions de piles TCP/IP exploitables sur le Net, prêtes à l’usage par n’importe quel sociopathe adolescent. Quand le Net ralentit ou tombe, la faute n’est pas imputée à Microsoft. Puis sortez le nouveau protocole avec chaque nouvelle copie de Windows, et installez-le avec chaque mise à jour de Windows sur Internet. Entre Zéro et 100 millions de copies peuvent être faites en moins d’un an.

Cette semaine, Microsoft a annoncé Palladium par un article exclusif dans Newsweek, écrit par Steven Levy, qui autrefois était moins naïf. Palladium est le nom de code pour un projet Microsoft pour rendre toute communication Internet sûre en ajoutant un certificat digital sur toute application, message, bit, et machine sur le Net, puis en cryptant les données MEME DANS VOTRE PROCESSEUR. Les matériels compatibles Palladium (on pense aux chipsets et aux cartes mères), proviendront d’AMD et d’Intel, et le logiciel viendra, bien sûr, de Microsoft. Ce logiciel est ce que j’avais surnommé TCP/MS.

Le but de tout cela est simple. Cela peut effectivement rendre l’Internet plus sûr. Mais le véritable objectif de ce truc, j’en ai peur, est de prendre une technologie sans propriétaire (TCP/IP) et de la remplacer par une technologie possédée par Redmond. C’est prendre l’Internet et le remplacer par MSN. Oh, et nous devrons tous acheter de nouveaux PCs.

C’est diabolique. Si Microsoft y parvient, Palladium donnera à Bill Gates un morceau de toute transaction de n’importe quel type, tout en marginalisant le travail des concurrents qui choisiraient de ne pas être compatibles Palladium. Tant pis pour Linux et l’Open Source, mais cela va encore plus loin. Tant pis pour Apple et le Macintosh. C’est une architecture militarisée que seul Dick Cheney [ndt2] est susceptible d’apprécier.

Ironiquement, Microsoft dit qu’il va révéler le code source de Palladium, ce qui n’est rien de plus qu’une feinte en direction du mouvement Open Source. Personne chez Microsoft ne pense donner la propriété de ce code source, où même permettre à quelqu’un de le changer.

Avec Palladium, tel que je le comprends, l’Internet n’est plus à nous mais à eux. Les données brutes de votre disque dur cessent d’être à vous, parce qu’elles peuvent s’autodétruire n’importe quand. Nous finirons par payer une rente pour utiliser nos propres données !

Vous croyez que je pense que c’est une mauvaise idée ?

Ce qui m’énerve le plus dans tout ça, c’est que celui qui nous vend une déclaration de bonnes intentions est celui-là même qui a rendu possible la plupart des problèmes de sécurité actuels d’Internet. « Le monde est un lieu effrayant (car nous lui avons permis de l’être en introduisant des concepts vulnérables suivis par des initiatives aléatoires de sécurité) donc laissez-nous le sécuriser pour vous. ». Mais bien sûr... Mais Palladium a une réelle chance de succès.

Combien de temps avant que seul le code signé par Microsoft soit autorisé à se lancer sur cette plate-forme ? Il semble que Microsoft tente d’implémenter un système qui leur permettra, une fois pour toute, de faire payer des royalties à la manière des jeux console aux développeurs de logiciels.

Mais comment cela va-t-il mettre un terme au problème : « Je viens juste de t’envoyer un ***** par courrièl » ? Comment cela empêche-t-il mes données personnelles d’êtres aspirées par un cookie ? Palladium ne le fera pas. Résoudre ce genre de problèmes n’est pas son objectif, qui est d’augmenter la part de marché de Microsoft. C’est un concept marketing qui sera vendu comme la solution à un problème. Cela ne marchera pas vraiment.

Bill Gates dit:
«Comprenons bien ici que tous les produits Microsoft ne sont pas mauvais et que beaucoup sont vraiment bons. Ces produits remplissent de vrais besoins pour leurs clients, et le font avec cet objectif, et non un artifice marketing. Mais Palladium n’est pas du tout dans ce cas. Ce n’est PAS pour améliorer les choses pour l’utilisateur. C’est empêcher l’utilisateur final de prendre des décisions sur le fonctionnement de son ordinateur. C’est un effort de Microsoft pour prendre littéralement la propriété de la technologie Internet, la stratégie « embrasser et agrandir » de Microsoft appliquée pour la première fois, mais à une échelle plus grande que ce que nous avions jamais vu jusque là. Même s’il y a des doutes que le PC survivra une décade de plus en tant que catégorie de produit, personne ne suggère que l’Internet fera quoi que ce soit d’autre que grandir et grandir encore d’ici là. Palladium garantit que quel que soit le matériel qui tourne sur le réseau pour les 10 prochaines années, il génèrera des revenus pour Microsoft. Il n’y a rien de mal à ce que Microsoft ait une stratégie de survie, mais beaucoup de mal à ce qu’ils nous la présente comme une grande faveur pour nous et pour le monde.»

Le plus triste dans cette histoire est qu’elle pourrait être positive. Le Monde est un endroit dangereux, et trouver un moyen pour responsabiliser les gens à ce qu’ils font sur le Net est probablement bien. Je pense seulement que nous n’avons pas les bonnes personnes pour faire le boulot.