Très contestée, la nouvelle technologie de la firme de Bill Gates devrait être en partie dévoilée au premier semestre. Imaginée pour lutter contre la prolifération des virus informatiques et pour préserver les données sensibles, elle inquiète toutefois de nombreux chercheurs.
Microsoft devrait rendre publiques, vers la fin du premier trimestre, les premières données techniques d’un projet très controversé de « sécurisation » de l’informatique.
S’il voit le jour, Palladium, nom de code de cette technologie, bouleversera les relations entre les utilisateurs et leur ordinateur. Il s’agira bien, prévient Claude Kirchner, directeur de recherche à l’Institut national de recherche en informatique et en automatique (INRA), d’une « révolution ».
Les détails de ce bouleversement annoncé restent confidentiels, mais ses grandes orientations sont connues. A l’occasion de plusieurs conférences, tenues outre-Atlantique ces derniers mois, Palladium a en effet été présenté à la communauté des professionnels de la sécurité informatique. Il est, depuis, diversement et passionnément commenté.
« Palladium n’est pas encore un produit en tant que tel, précise Bernard Ourghanlian, directeur technique de Microsoft France. Il correspond à des projets de modifications logicielles et matérielles qui devraient intervenir dans un futur proche, aux alentours de fin 2004, début 2005. » Ces modifications résideront dans l’ajout, sur chaque ordinateur, d’une puce contenant des clés de chiffrement numériques et des données permettant d’identifier la machine. Un module logiciel – intégré aux futures versions de Windows – permettra, quant à lui, de créer une « zone de confiance » dans la mémoire de l’ordinateur. Les fichiers qui y seront stockés ne pourront être ouverts que par des programmes dont la signature numérique sera conforme à Palladium. « Typiquement, illustre M. Ourghanlian, les logiciels antivirus fonctionnant dans la zone Palladium ne pourront pas être détruits par des virus puisque ceux-ci, faute des bons certificats, ne pourront pas pénétrer dans ce sanctuaire. » De la même façon, des documents stockés dans ce mode sécurisé ne pourraient être détruits ou altérés par des programmes malicieux. Et les informations personnelles et confidentielles (coordonnées bancaires, informations médicales, etc.), entreposées dans le cadre de Palladium, seraient en outre plus difficilement « piratables » puisque accessibles aux seuls logiciels certifiés et « dignes de confiance », selon le terme de Microsoft.
FIN DU CONTRÔLE PAR L’USAGER
Toutefois, les potentialités de telles dispositions techniques inquiètent. « On pourrait, par exemple, s’assurer que, sur une machine donnée, l’accès à certaines informations est autorisé, précise Claude Kirchner. Cela revient à ce qu’en mode sécurisé, à chaque fois qu’une commande est passée sur l’ordinateur, elle est soumise à un serveur d’autorisation situé à l’extérieur. » En définitive, dans le contexte de Palladium, l’utilisateur n’aurait plus un contrôle total sur les données stockées sur son propre disque dur.
La première application grand public à tirer parti de cette fonctionnalité sera la gestion des droits numériques. Par exemple, des fichiers musicaux d’un nouveau type ne pourraient être lus que si un serveur tiers s’était auparavant assuré de leur conformité et de l’acquittement par l’utilisateur des droits d’utilisation.
« Il y a également des implications de souveraineté nationale, explique M. Kirchner. Un tel système pourrait faire en sorte que les ordinateurs Windows situés dans un pays ne reçoivent plus d’un serveur tiers le jeton les autorisant à redémarrer. » D’autant, poursuit le chercheur, que « la question de savoir qui va contrôler les contrôleurs n’a pas été posée ». Chez Microsoft, on qualifie ces interprétations de « fantasmagories » à mettre au compte de la « paranoïa » qui entoure le projet. En outre, rappelle M. Ourghanlian, « l’utilisateur restera libre, s’il le souhaite, de désactiver les fonctions Palladium ».
Consciente de sa réputation déplorable et des difficultés qu’elle aura à faire accepter un tel dispositif, l’entreprise de Bill Gates a décidé de s’attirer les conseils de chercheurs extérieurs à ses laboratoires, dans le cadre de séminaires ou en faisant intervenir des universitaires comme consultants sur le projet. « Des contacts commencent à s’établir avec les grands chercheurs en chiffrement et en sécurité informatique, précise M. Ourghanlian. L’objet de notre interaction avec l’ensemble de cette communauté est d’échanger avec eux le plus ouvertement possible pour que nous puissions nous améliorer si un certain nombre de choses, pour des raisons relatives à la vie privée, par exemple, ne vont pas. »
A l’automne 2002, Ross Anderson, spécialiste de sécurité des systèmes d’information et directeur de recherche au laboratoire d’informatique de l’université de Cambridge (Royaume-Uni), est ainsi contacté par Microsoft. Après examen du dossier, il renonce à toute forme de collaboration. « Je me suis rendu compte que leurs motivations n’étaient pas tant la sécurité que le fait de pouvoir rendre les gens captifs de certains produits », raconte-t-il. Selon lui, Palladium est, en outre, très controversé au sein même de Microsoft, où certains départements s’opposeraient frontalement au projet, annonçant un « désastre » à venir.
La communauté scientifique est, elle aussi, partagée. David Farber, chercheur de l’université de Pennsylvanie sollicité par Microsoft sur ce projet mais connu pour son indépendance d’esprit – il a témoigné contre Microsoft au cours du procès antitrust -, estime, pour sa part, que les inquiétudes suscitées par Palladium tiennent surtout à ce que la firme de Redmond a trop mauvaise presse. En tout cas, juge-t-il, « ce système ne permettra pas à Microsoft d’accroître son contrôle des plates-formes ». En d’autres termes, les motivations de la firme de Bill Gates ne sont pas, selon M. Farber, de conforter sa position dominante.
Mais, là encore, les avis divergent. Certains spécialistes pensent que Microsoft sera tenté d’imposer certaines conditions à la mise en conformité des logiciels concurrents avec Palladium. Si cette technologie devient un standard largement adopté par les éditeurs de contenus numériques, Microsoft en finirait ainsi avec la menace de Linux et des logiciels libres. La firme de Redmond dément, assurant que la technologie Palladium sera « la plus ouverte possible ».
Une nomination aux « Big Brother Awards »
Sur un mode ironique et dans le cadre des « Big Brother Awards », l’organisation non gouvernementale Privacy International va décerner à Paris, lundi 20 janvier, une série de prix stigmatisant les projets, les technologies ou les personnes ayant le plus sérieusement attenté au respect de la vie privée des citoyens. Le système Palladium est cette année sélectionné dans la catégorie « technologies, produits et systèmes ». Le jury sera présidé par le sociologue Loïc Wacquant, disciple de Pierre Bourdieu et professeur à l’université de Berkeley (Californie). Aux Etats-Unis, l’une des plus célèbres associations de lutte pour le respect des libertés dans le cyberespace, l’Electronic Frontier Foundation (EFF), composée pour l’essentiel d’universitaires et de chercheurs, réserve toujours sa position sur Palladium.
Vers un matériel « digne de confiance »
La plupart des industriels de l’informatique (dont Intel, IBM, HP, Compaq, etc.) sont regroupés depuis 1999 au sein du consortium TCPA (Trusted Computing Platform Alliance ou Alliance pour une informatique de confiance). Les objectifs de ce regroupement sont la mise en place de nouvelles normes matérielles garantissant une informatique « digne de confiance », « respectant la confidentialité des communications électroniques » tout en étant à même de « favoriser le commerce électronique ». L’initiative fait suite à la tentative d’Intel, en 1998, de tatouer ses processeurs Pentium III pour authentifier les transactions électroniques. Devant le tollé, le leader mondial du microprocesseur avait dû renoncer. Officiellement, TCPA et Palladium sont distincts et « sans lien explicite », comme l’explique Microsoft France. « Mais il est très probable que les spécifications de TCPA vont évoluer pour que Palladium puisse y être hébergé. »
[source – lemonde.fr]