Craintes et incertitudes autour de Palladium

Cloud

En conformant son Bios aux spécifications de la TCPA, American Megatrend ajoute une pierre à l’édifice du projet « d’informatique de confiance », initié par Microsoft et Intel notamment. Ce projet de sécurisation de l’ordinateur, qui pourrait s’imposer dès 2004 avec la prochaine version de Windows, pose de nombreuses questions sur le contrôle de l’information.

American Megatrends Inc (AMI) a annoncé, le 6 janvier 2003, la mise au point d’un module Bios conforme aux spécifications 1.0 de la Trusted Computing Platform Alliance (TCPA). Rappelons que la TCPA est un consortium de plus de 170 industriels – dont Microsoft, Intel, IBM et HP-Compaq constituent le comité directeur – chargé de définir une nouvelle plate-forme informatique sécurisée (en tout cas censée apporter la confiance aux utilisateurs de PC). Celle-ci passera par une puce « de sécurité » placée sur la carte mère et par Palladium, un logiciel que Microsoft introduira dans les futures versions de Windows, en particulier Longhorn prévu pour 2004.

Certification matérielle et logicielle

Le principe est simple : au démarrage de l’ordinateur, la puce de sécurité vérifie l’intégrité du Bios (le premier programme qui se lance pour vérifier l’état des composants, de la mémoire et des périphériques), lequel serait crypté, ainsi que le noyau du système d’exploitation (le kernel). Cela permet de certifier que l’ordinateur est bien une « machine TCPA ». De son côté, muni du feu vert de la puce, Palladium se charge des autorisations d’utilisation des applications (voir édition du 25 juin 2002). Par exemple, la projection d’un film sur DVD ou téléchargé ne pourrait se faire que si le fichier vidéo et le logiciel de lecture ont bien reçu l’autorisation de l’éditeur ou du distributeur du film (accompagnée bien sûr des conditions commerciales d’exploitation).

Un tel système implique donc les éditeurs de Bios. Ainsi AMI a-t-il décidé d’intégrer le Trusted Platform Module (TPM) dans son dernier Bios, prenant ainsi une longueur d’avance dans ce qui pourrait constituer l’avenir de l’informatique personnelle et professionnelle. Mais le consortium TCPA ne répond pas à un certain nombre de questions. Notamment s’il sera possible d’exploiter son Bios sur une machine équipée d’un autre système d’exploitation que Windows qui ne serait pas certifié TCPA. Voire si l’utilisateur aura la possibilité de désactiver le TPM. Car avec l’arrivée de Palladium, on voit augmenter les craintes d’abus de pouvoir de la part de Microsoft. L’éditeur pourrait ainsi décider que les documents Word ne peuvent être lus et rédigés que sous une version spécifique de son logiciel de traitement de texte, ce qui imposerait une mise à jour à l’utilisateur qui n’en a pas forcément la volonté ou les moyens. La copie, à titre privé, d’un fichier MP3 sur une machine personnelle pourrait devenir impossible. Pire, un éditeur constatant la présence de documents ou logiciels non certifiés pourrait déclencher, à distance, la destruction des fichiers incriminés.

De la sécurisation à la censure

Les acteurs du TCPA avancent l’argument sécuritaire pour justifier la mise en place de cette solution. Certes, les logiciels piratés seront beaucoup moins facilement exploitables et Microsoft pourra, à distance, désactiver toutes les versions non référencées de ses logiciels. Certes, chevaux de Troie et autres virus ne devraient (théoriquement) plus avoir aucune incidence sur les ordinateurs. Mais le principe peut s’étendre à la censure pure et simple. Comment garantir qu’un texte tapé sous un ordinateur TCPA pourra bien être diffusé comme bon lui semble par son auteur ? Et les documents rédigés sur des machines non certifiées seront-ils lisibles sur des plates-formes TCPA ? Qui décidera des droits accordés aux applications et fichiers de données ? Le contrôle de l’information par une poignée d’industriels a de quoi provoquer des sueurs froides. TCPA et Palladium semblent aujourd’hui poser plus de problèmes qu’ils n’en résolvent.