Projet “l’informatique de confiance” et NGSCB (Palladium)

By 24 September 2012

5.3/ Projet l’« informatique de confiance » (trusted computing) et NGSCB (Palladium).

Ce sont des technologies qui permettent à une tierce personne de contrôler l’utilisation des contenus disponibles sur l’ordinateur, au sens de limitation de l’utilisation et non pas de surveillance (bien que ce soit possible).

Comme on l’a vu tout au long de ce mémoire, le système d’exploitation le plus exposé à ces différents types de mouchards et aux problèmes de sécurité est Windows : tout d’abord car c’est le plus utilisé au niveau du grand public et qu’il contient en plus de nombreuses failles facilement exploitables, souvent dues à des technologies assez dangereuses qui lui sont propres (comme les active X). De plus, les logiciels de navigation et de messagerie utilisés sont les plus attaqués, toujours grâce à l’utilisation de failles (les chevaux de Troie s’en servent énormément…). De plus les mouchards touchent dans ce cas un plus grand nombre de personnes qui ont un système de protection bien moins développé qu’une grande entreprise.

Face à ce constat et aux récriminations importantes faites à Microsoft celui-ci à mis en place un projet ayant comme but la sécurisation des ordinateurs.

5.3.1. Le Trust Computing Group et TCPA

TCPA, Trust Computing Platform Alliance ou alliance pour une informatique de confiance, est un consortium qui regroupait à l’origine Compaq, HP, IBM, Intel et Microsoft depuis 1999. AMD avait été rajouté et Compaq a été racheté par HP.

Le consortium TCPA a changé de nom et de raison social le 8 avril 2003 et s’appelle aujourd’hui le Trust Computing Group (TCG) qui regroupe AMD, Intel Corporation, IBM, HP, Microsoft : il reprend les spécifications du TCPA, et propose également la création de logiciels correspondants. Il a pour but de définir des spécifications pour une informatique plus sûre, “de confiance” et a défini comme objectif « d’améliorer la confiance et la sécurité sur les plates-formes et systèmes informatiques »

Le projet du TCG est composé de deux choses : le TPM (Trusted Platform Module), c’est à dire une famille de matériels appelé puce Fritz et un logiciel qui permet de le paramétrer.

Les premières puces sont externes au processeur (IBM) : une puce Fritz, puce de type carte à puce ou un périphérique dongle, est soudée à la carte mère pour les premières versions. Il n’y a pour l’instant qu’IBM qui commercialise une puce correspondant aux spécifications TCPA. Ainsi Atmel vend une puce Fritz dans les portables IBM type Thinkpad et les ordinateurs de bureau les netvista depuis mars 2002.

Adrian Horne, directeur marketing Europe de la division PC d’IBM, en explique le rôle : “Cette puce de sécurité garantit plutôt la sécurité locale du système, mais fournit aussi un certain niveau de sécurité pour les accès réseau.” Elle permet notamment de verrouiller les informations personnelles sensibles de l’utilisateur.

A partir de la phase 2, cette puce sera dotée d’un identifiant unique et sera intégrée au niveau de la carte mère (bus LPC), cette phase est prévue pour 2005 et c’est alors Intel qui proposera une puce de chiffrement à la norme TCG, projet appelée « LaGrande ».

Cette technologie est également prévue pour être incorporée dans les téléphones mobiles et les PDA.

Principe :

L’ordinateur inclut un procédé de chiffrement et de signature, dont les clés ne sont pas connues de l’utilisateur. En effet cette puce comporte une mémoire permettant de stocker les clés de chiffrement des données protégées, chiffrement assuré grâce à l’algorithme AES (successeur du puissant DES), à clé symétrique (une seule clé secrète pour chiffrer et déchiffrer), dont la taille de clé va jusqu’à 256 bits.

Au démarrage, la puce vérifie que la ROM est conforme, puis une partie du système d’exploitation. Le périmètre de confiance est constitué du matériel et des logiciels connus et vérifiés et peut donc être étendus régulièrement grâce à une table du matériel et des logiciels dont l’OS tenue à jour.

La puce va vérifier que les composants matériels sont sur la liste approuvée TCG et que les composants logiciels n’ont pas un numéro de série résilié et qu’ils sont bien signés.

Si des modifications dans la configuration du pc ont été effectuées, l’ordinateur va devoir être reconnecté pour être certifié en ligne.

Ensuite c’est un logiciel de surveillance du système d’exploitation qui prend le relais.

5.3.2. Le NGSCB ou Palladium

NGSCB, Next Generation Secure Computing Base ou plate-forme informatique sécurisée de nouvelle génération (depuis le 24 janvier 2003), anciennement Palladium (projet commencé en 1997), est une technologie logiciel de Microsoft. Microsoft a du modifier son nom car une autre entreprise l’utilisait déjà en tant que marque mais a gardé le nom de code Palladium en interne. Le NGSCB est un environnement applicatif pour la gestion des composants TCG que Microsoft intégrera à Windows Longhorn, le successeur de Windows XP, prévu pour 2005. C’est un module ajouté au noyau de Windows.

Le NGSCB sera composé de trois modules :
– un système d’authentification du code et des communications
– un système de cryptage des données
– un système de contrôle des accès et des droits numériques.

Ces trois modules formeront un système tournant en parallèle de Windows et ne se chargeront que de la sécurité et de la stabilité du système.

La partie matériel, une puce répondant aux spécifications TCPA, est appelée SSC (Security Support Component). Elle fournit la clé racine principale.

Le Nexus, partie du système d’exploitation, interagit avec le SSC inclus dans le matériel.

Pour chaque exécution ou consultation d’un document le système d’exploitation vérifiera à distance sur un serveur centralisé la légitimité de cette action et accordera ou non le certificat pour réaliser l’opération. L’identifiant unique du SSC fournira les informations nécessaires aux agents de confiance pour permettre à ceux-ci de gérer les autorisations nécessaires pour tel ou tel fichier.

Pour l’accès à un fichier, l’ordinateur devra alors contrôler plusieurs points essentiels à la sécurité :
– la conformité du logiciel (est-ce un agent de confiance ?)
– la conformité des périphériques (est ce que ce sont les périphériques autorisés aux transactions ?)
– la conformité de droits d’accès (droits d’auteur, certificats de confidentialité…)

Les applications interagissent avec le Nexus de façon sécurisée, ce qui permet de stocker les documents confidentiels dans une « chambre forte » (zone de stockage sécurisée).

5.3.3. Les buts de ces projets

· Mesure contre la fraude :
– Cette puce est prévue pour la gestion des droits numériques (DRM : Digital Right Management), c’est à dire le contrôle de contenus protégés par copyright. (DRMP : Digital Right Management Password)

Ainsi le peer to peer deviendra impossible. En effet le système vérifiera à chaque écoute d’un fichier mp3 que le digital password est bien valide.

Mais il semble que le DRM sera totalement indépendant du NGSCB : la DRM ne sera pas activée par défaut. Ainsi le NGSCB pourra fonctionner sans la technologie DRM et la technologie DRM pourra être installée sur des ordinateurs n’ayant pas le NGSCB.

– De même pour les logiciels, le système vérifie la validité de la licence : le principe est qu’une utilisation non autorisée d’un logiciel entraînera la désactivation de celui-ci lors du chargement.

Le système prévoit également l’élimination des contenus piratés : ainsi une liste noire des mauvais fichiers sera téléchargée et des fichiers pourront être radiés en fonction du contenu, du numéro de série de l’application qui les a créés ou d’autres critères. Il prévoit aussi une liste noire mondiale des numéros de série de toutes les copies d’office qui ont été piratées.

· Une meilleure sécurité :
– Pour les paiements sécurisés, le commerce électronique souffrant d’un manque de confiance.
– Sécurité logicielle : une meilleure protection contre les virus.
– Renforcement de la confidentialité des données personnelles et sensibles et les sécurisations matérielles et logicielles ne permettront plus l’usurpation d’identité.

· Autres utilisations possibles :
– Mise en place de conditions d’accès plus restrictives sur des documents confidentiels : c’est à dire que certains types de fichiers ne pourront être lus que sur des ordinateurs ayant les même autorisations. C’est le contrôle d’accès obligatoire (mandatory acces control). C’est très utile pour les gouvernements. Ainsi on pourra configurer un traitement de texte pour que les fichiers créés ne puissent être lus que par un groupe défini, ou par une entreprise. De la même manière, cette technologie interdira l’accès aux formats des fichiers des logiciels. Ainsi si on envoie un fichier, il ne pourra être lu que par un ordinateur ayant cette technologie.

– Possibilité de créer des dates de péremption sur les fichiers.
– Rendra possible la location de logiciel.
– Certains services de sites Web ne pourront être accessibles qu’aux ordinateurs possédant cette technologie.

Mais avec le projet palladium l’utilisateur n’a plus le contrôle de son ordinateur, c’est l’éditeur qui contrôle l’utilisateur.

Un virus rend le système inaccessible car il va considérer que les licences sont illégales… Il devient alors impossible de réinstaller.

De plus si quelqu’un accède aux autorisations des personnes habilitées il peut alors faire tous ce qu’il veut dans un nombre incalculable d’ordinateurs. Toute attaque du système du registre de mots de passe, d’espionnage, infectera tous les ordinateurs reliés au système.

5.3.4. Les risques économiques

§ Avec ce système il n’est plus possible d’effectuer des modifications sur un logiciel, autrement il n’est plus autorisé.

De plus toute création de nouveau logiciel demandera d’avoir une certification par une autorité compétente pour que le système le reconnaisse et qu’il puisse fonctionner. Or il est assez difficile d’obtenir des certifications dans le cas des logiciels libres étant donné qu’ils peuvent être modifiés et compilés sur chaque machine et que les certifications coûtent chères. Ce projet réduirait alors énormément le nombre de logiciels libres et de ce fait, la concurrence.

§ Un autre problème qui n’a pas encore été résolu, est que les fichiers créés par un logiciel NGSCB ne pourront être lus que par un ordinateur ayant ce système. Il y a donc là un autre problème important de limitation de la concurrence que Microsoft doit régler.
§ De plus ce système risque de faire disparaître toute l’industrie des antivirus, des firewalls, les systèmes de destruction d’intrusion…
§ La puce Fritz va évincer les cartes à puce du marché de l’identification et ce sont les pays européens qui vont être les premiers touchés (l’industrie européenne de la carte à puce est très puissante).
§ Enfin, si on veut que ce nouveau système soit efficace, en plus du coût de son installation, il faudra également renouveler tout le parc informatique que ce soit au niveau matériel ou logiciel. En effet il ne prendra toute son envergure qu’avec les nouveaux matériels et logiciels développés pour cette technologie.

5.3.5. La possibilité de désactivation

Face à la levée de bouclier qu’a entraînée l’annonce du projet Palladium, les défendeurs de ce système ont précisé qu’il serait possible de désactiver le système ou de réduire ses effets. Le problème est que dans ce cas tous les logiciels liés à cette technologie ne fonctionneraient plus ou fonctionneraient très mal. Il faudra alors utiliser les logiciels non sécurisés.

De plus pour certains services sur Internet, on pourrait ne pas y accéder si le système est désactivé.

Une fois désactivé on retrouvera peut être un peu de la liberté que l’on avait avant mais on aura beaucoup moins de choix au niveau des logiciels. Microsoft a déclaré que le NGSCB permettrait de faire cohabiter des logiciels de confiance et les autres, ce qui n’est pas le cas de TCPA seul.

Le NGSCB sera désactivé par défaut, l’utilisateur pourra choisir d’activer ou non les fonctionnalités du NGSCB logicielles ou matérielles.

Mais par contre si un utilisateur désactive un système, il ne pourra plus être réactivé. Voilà qui risque de limiter de beaucoup les désactivations…

En revanche, la puce, même avec le système désactivé, n’ignorera pas les logiciels piratés. L’effet de la désactivation est que l’ordinateur ne démarre plus en mode de confiance, mais il vérifie toujours le système d’exploitation. La désactivation ne sera donc jamais totale.

Ce projet, utilisé différemment, peut devenir un énorme mouchard, le meilleur jamais conçu. Si ce projet aboutit, cela signifie que tous les ordinateurs avec ce système seront contrôlés de l’extérieur et référencés. L’ordinateur ne sera plus du domaine privé…

5.3.6. Au niveau du droit

La première question venant à l’esprit est pourquoi les lois sur la protection de la vie privée et sur la concurrence déloyale ne rendent pas ce projet caduque. Cela vient du DMCA (Digital Millenium Copyright Act). En Europe c’est l’EUCD (European Union Copyright Directive), qui a été transposée en France le 4 avril 2003 dans un avant-projet de loi portant le même nom.

Ces Lois obligent les fabricants de matériels et de logiciels à ne fournir que des produits empêchant le piratage. Ainsi, par exemple, un graveur ne devrait pas pouvoir graver de cd ne possédant pas de copyright et les lecteurs multimédia ne devraient pas pouvoir lire les mp3 piratés. Donc le DMCA interdit de casser la puce Fritz.
Le projet Palladium / TCPA remplit exactement les conditions demandées par ces lois.

Ce projet montre une fois de plus que la limite entre la protection contre la fraude, la sécurité et la protection de la vie privée est très floue. Ces projets signifient que l’utilisateur n’aura plus le choix : que ce soit au niveau matériel ou logiciel. De plus la différenciation entre les deux projets est très floue. Beaucoup les confondent, et rien n’est fait, que ce soit par le consortium TGC ou par Microsoft, pour éclaircir la situation. De plus le projet Palladium est modifié au fur et à mesure et les communiqués de Microsoft change de ton tous les six mois. Il est donc encore assez difficile de voir réellement les dangers liés à ce projet et de vérifier leur validité.

Conclusion

Le modèle économique du net repose sur la publicité et le « profiling ». Internet semble gratuit mais en réalité chacun se rémunère par des moyens différents : les publicités ciblées, les spywares, l’étude de profil revendu ensuite…

Si tous ces moyens permettant ce genre de rémunération étaient totalement bloqués ou interdits (chose plus ou moins impossible en raison de la vitesse à laquelle naissent de nouvelles technologies et de l’impossibilité d’être totalement anonyme sur le net) ou n’existait pas, est ce qu’Internet tel qu’on le connaît existerait ?

Oui. Car le « profiling » n’est pas l’unique rémunération de ces entreprises et Internet est un très bon moyen de se faire connaître et d’élargir son champ d’action. En revanche de nombreux sites n’ont pas un but pécuniaire, mais cherchent à partager des connaissances ou des passions (sites personnels, associations…) : Internet est avant tout un moyen d’expression et d’ouverture au monde et à la connaissance.

Malheureusement aujourd’hui encore, de nombreux pays restreignent l’accès à Internet, que ce soit par manque d’infrastructures ou par la censure de l’information. Les traces servent, dans ces pays, à limiter l’accès à de nombreux sites. Mais des tentatives sont faites aussi dans les pays où la vie privée et la liberté d’expression sont censées être acquises : le gouvernement américain a tenté de poser des filtres sur les ordinateurs des bibliothèques publiques…

Face aux dangers grandissant du net, les internautes sont de plus en plus à la recherche de sécurité, alors même que la plupart sont très loin d’être informés des risques potentiels.

Les différents projets répondent à cette attente :
– La sécurité d’État, la sûreté nationale, justifie des projets comme Échelon, Carnivore et d’autres, en particulier depuis le 11 septembre 2001.
– La protection des internautes justifie la naissance de projet comme Palladium et TCPA.
– Les mesures de sécurité dans les entreprises pour éviter les intrusions et protéger les données justifient les outils conservant des traces directement ou indirectement nominatives sur les salariés.
– Les technologies développées contre la fraude justifient les atteintes à la vie privée.
– Les lois de lutte contre la criminalité informatique, donc pour réduire les dangers du net, justifient de contourner les lois de protection de la vie privée.

La sécurité est devenue une justification aux atteintes à la vie privée : la protection des données est un danger pour la vie privée ! En réponse, de nombreuses associations de défense de la vie privée se créent et prennent de l’importance.

On est face à un dilemme : les internautes demandent plus de sécurité pour protéger leurs données personnelles, mais peut-on traiter la sécurité autrement que par le contrôle ? Tous les mécanismes de sécurité sont plus ou moins illégaux car on regarde le contenu.

L’exemple type est le projet Palladium : projet à but totalement sécuritaire et en même tant gigantesque mouchard.

Un recueil de directives pratiques sur la protection des données des travailleurs du 7 octobre

1996 précise que « les données personnelles collectées en relation avec la mise en œuvre de mesures techniques ou d’organisation visant à garantir la sécurité et le bon fonctionnement des systèmes d’information automatisés ne devraient pas servir à contrôler le comportement des travailleurs ». Ainsi une surveillance permanente ne peut être autorisée que pour des raisons de santé et de sécurité et en vue de protéger les biens de l’entreprise. Les traitements automatisés sont en général autorisés, tant qu’il n’y a pas intervention humaine. Mais le jour où un problème apparaît, l’intervention humaine est obligatoire. Le principe est le même pour les interceptions de communication.

Les politiques de protection des données doivent viser un juste équilibre entre le respect de la vie privée, la sécurité des réseaux pour les entreprises, la prévention de la fraude, et la lutte contre les activités criminelles et terroristes. Mais il faut également protéger le public si on veut que la confiance envers le commerce électronique grandisse, et qu’Internet reste cette exceptionnelle possibilité d’échange et de liberté.

Lire le mémoire complet ==> (Mouchard informatique
De l’atteinte à la vie privée à l’espionnage d’État – Principes, Techniques et Législation
)

Mémoire – DESS Audit et Expertise en Informatique
Université Paris II Panthéon-Assas