Les firmwares propriétaires seraient le meilleur allié de la NSA
Le patron de Canonical tire la sonnette d'alarme

Le , par Arsene Newman, Expert éminent sénior
Mark Shuttleworth, actuel patron de Canonical, vient de lancer un appel à l’ensemble des constructeurs de matériels électroniques en vue d’abandonner les firmwares propriétaires, ces derniers représenteraient, selon lui, une véritable menace pour la sécurité informatique.

Pour l’homme fort de Canonical, cette situation serait due à la grande incompétence des manufacturiers, à l’inverse des attaquants (y compris les agences gouvernementales) qui seraient très compétents, ce qui laisse peu de place pour la sécurité par l'obscurité du code du firmware.

Toujours selon Shuttleworth : «Tout code de firmware s’exécutant sur un téléphone, tablette, PC, TV, routeur wifi, machine à laver, serveur, ou le serveur exécutant le Cloud sur lequel tourne un SaaS est une menace».

Pour appuyer encore plus cette idée, Shuttleworth évoque les révélations faites par Edward Snowden : «si vous lisez le catalogue d’outils d’espionnage et d’armes numériques fournit par Edward Snowden, vous verrez que le firmware de votre équipement est le meilleur allié de la NSA», avant de rajouter que «votre plus grande erreur serait de penser que la NSA est l’unique institution qui abuse de cette position de confiance».

«Penser que les ACPI [N.D.L.R : Advanced Configuration and Power Interface] sont le prochain saut générationnel pour vos équipements cela revient à laisser un cheval de Troie de proportion monumentale s’installer dans votre salon ou sur votre data center», conclut Shuttleworth.

Certes cet appel peut sembler alarmiste, mais, dans les faits, beaucoup d’évènements abondent dans ce sens comme les vulnérabilités découvertes sur de nombreux firmwares (routeurs Linksys, imprimantes HP, mots de passe écrits en durs sur SCADA).

Une des solutions évoquées par Shuttleworth serait alors de se tourner vers des firmwares n’incluant pas de code exécutable, cette dernière partie serait incluse alors dans les noyaux de l’OS. «Les firmwares déclaratifs qui décrivent les liens matériels et les dépendances, mais n’incluent pas de codes exécutables représentent la meilleure solution pour améliorer la sécurité», conseille celui-ci, avant de conclure que «les noyaux de l’OS sont le meilleur emplacement pour délivrer la partie logicielle de l’innovation qui est commercialisée».

Source : Blog de Mark Shuttleworth

Et vous ?

Qu’en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de nirgal76 nirgal76 - Membre expérimenté https://www.developpez.com
le 24/03/2014 à 12:12
Ma machine à laver est une menace et serait espionnée ? mince, la NSA va savoir tous les combiens je lave mon caleçon. Quel scandale international !
Canonical oublient que Ubuntu aussi est une menace, chaque fois qu'on lance une recherche, ça envoie des requêtes à Amazon dans le but de tracer nos habitudes de consommateurs.

Edit: cela dit, il n'a pas tord, on peut utiliser tous les OS libres que l'on voudra (le sien y compris), si le chipset de la carte mère et/ou celui de la carte réseau etc... sont "backdoorés" par la NSA, ça ne sert à rien, ils auront accès à ce qu'ils veulent. Le seul moyen, c'est de couper le net (si on veut se faire suer sa vie de parano).
D'ailleurs, est-ce que ça existe une machine entièrement libre, un ordinateur individuel sans aucun code proprio absolument nul part firmware et code dans tous les composants y compris ?
Avatar de Squisqui Squisqui - Membre expérimenté https://www.developpez.com
le 24/03/2014 à 14:49
Il fut un temps où ce n'était pas forcément l'OS qui recevait un virus. Les crackers n'étaient pas tous encore à but lucratif et aimaient flinguer des cartes réseaux ou autre.
Là où ça fait mal, c'est lorsque le GPS est directement relié au modem (en plus du CPU), qui peut le contrôler directement.
Avatar de Saverok Saverok - Expert éminent https://www.developpez.com
le 24/03/2014 à 15:01
Ma machine à laver est une menace et serait espionnée ? mince, la NSA va savoir tous les combiens je lave mon caleçon. Quel scandale international !

Je trouve que c'est justement ce genre de remarque qui est un scandale.
La vie privée est PRIVEE et intime.
C'est la seule chose qui t'appartient vraiment et c'est précieux.
Tous ces instants privés qui te définissent en tant qu'être humain ne sont pas une marchandise (ça c'est pour l’espionnage privée de Google, Microsoft, Apple et consorts) ni des éléments de surveillance d'état.
Commencer par des trucs aussi "bêtes" (en apparence) qu'une machine à laver est le petit doigt dans l'engrenage qui fait que de proche en proche, l'intégralité de ton existence est mise sous surveillance et acceptée (si aujourd'hui tu acceptes que ta machine à laver soit surveillée, demain tu accepteras que ta télé le soit, après demain ton téléphone et le lendemain, une puce dans ton cerveau (au travers de la nano technologie).

Il n'y a pas de petites violations de la vie privée.
Toute intrusion dans ton intimité est un viol, une agression à ton individualité.
Avatar de nirgal76 nirgal76 - Membre expérimenté https://www.developpez.com
le 24/03/2014 à 15:48
Citation Envoyé par Saverok  Voir le message
Je trouve que c'est justement ce genre de remarque qui est un scandale.
La vie privée est PRIVEE et intime.
C'est la seule chose qui t'appartient vraiment et c'est précieux.
Tous ces instants privés qui te définissent en tant qu'être humain ne sont pas une marchandise (ça c'est pour l’espionnage privée de Google, Microsoft, Apple et consorts) ni des éléments de surveillance d'état.

Commencer par des trucs aussi "bêtes" (en apparence) qu'une machine à laver est le petit doigt dans l'engrenage qui fait que de proche en proche, l'intégralité de ton existence est mise sous surveillance et acceptée (si aujourd'hui tu acceptes que ta machine à laver soit surveillée, demain tu accepteras que ta télé le soit, après demain ton téléphone et le lendemain, une puce dans ton cerveau (au travers de la nano technologie).

Il n'y a pas de petites violations de la vie privée.
Toute intrusion dans ton intimité est un viol, une agression à ton individualité.

Tous tes actes te définissent, qu'ils soient privés ou publics.

Pour moi, la liberté c'est celle de choisir. Si je choisis d'accepter que ma machine à laver soit surveillée mais uniquement elle et pas le reste, ce serait ça la vraie liberté. Je ne suis pas pour une dictature du libre. Si ça peut conduire à une meilleure conception des prochains modèles en analysant l'utilisation qui est faite, pourquoi pas, tout recueil de données n'est pas forcément négatif s'il est anonyme et bien exploité derrière. Après, les histoire NSA complots mondial etc, je laisse ça au passionnés de séries américaines sur le sujet, je ne me sens pas oppressé par ça. Si un mec quelque part n'a rien d'autre à faire qu'a s'occuper de surveiller mes habitudes de vie, il perds vraiment la sienne à faire ça, et qu'il soit agent d'état ou commercial, c'est sa vie qui est pourrie du coup, pas la mienne.
Avatar de Saverok Saverok - Expert éminent https://www.developpez.com
le 24/03/2014 à 16:29
Citation Envoyé par nirgal76  Voir le message
Tous tes actes te définissent, qu'ils soient privés ou publics.

Pour moi, la liberté c'est celle de choisir. Si je choisis d'accepter que ma machine à laver soit surveillée mais uniquement elle et pas le reste, ce serait ça la vraie liberté. Je ne suis pas pour une dictature du libre. Si ça peut conduire à une meilleure conception des prochains modèles en analysant l'utilisation qui est faite, pourquoi pas, tout recueil de données n'est pas forcément négatif s'il est anonyme et bien exploité derrière. Après, les histoire NSA complots mondial etc, je laisse ça au passionnés de séries américaines sur le sujet, je ne me sens pas oppressé par ça. Si un mec quelque part n'a rien d'autre à faire qu'a s'occuper de surveiller mes habitudes de vie, il perds vraiment la sienne à faire ça, et qu'il soit agent d'état ou commercial, c'est sa vie qui est pourrie du coup, pas la mienne.

Vue la quantité de données, c'est des algorithmes qui tournent sur des bases nosql (tu as surement déjà entendu le terme de BigData ?)
La gars a juste pris le temps d'écrire l'algo.
et puis, le hic est que tu n'as pas le choix ou que d'autres le prennent à ta place.
Les recueils de données ne sont pas anonymes et tu n'as aucun moyen de savoir combien de temps elles seront conservées et qui y aura accès (tu acceptes que ta marque préférée recueille tes données mais acceptes tu qu'elles les vendent à d'autres ? qui a leur tout les vendront à d'autres ? puis à d'autres ?).
Si tu n'es pas ultra calé et que tu n'en prends pas le temps, tu n'as aucune idée de quelles données sont collectées et pour quelles usages.

Perso, je préfère que les entreprises ne recueillent rien plutôt que tout et sans contrôle.
Car manque de bol, c'est un peu le tout ou rien sur ce sujet.

Et puis, les entreprises ont plein d'autres moyens pour améliorer leurs produits sans passer par là (enquêtes de satisfactions, tests en labo, pilotes sur personnes identifiées, etc.)
Pas besoin de faire une récolte massive de données pour ça
C'est un peu comme sortir un tracteur pour couper un brin d'herbe.
Ca fera le job mais un simple ciseau aurai suffit à condition qu'on se baisse pour ça alors que le tracteur est autotracté (feignasse !)
Avatar de Traroth2 Traroth2 - Expert éminent sénior https://www.developpez.com
le 24/03/2014 à 17:03
Une chaine de logiciels en lesquels il est possible d'avoir confiance, c'est à dire libre, de bout en bout, c'est la seule solution pour préserver la confidentialité de ses données. En faisant transiter les informations de manière cryptée quand elles passent pas un canal public.
Avatar de Saverok Saverok - Expert éminent https://www.developpez.com
le 24/03/2014 à 17:27
Citation Envoyé par Traroth2  Voir le message
Une chaine de logiciels en lesquels il est possible d'avoir confiance, c'est à dire libre, de bout en bout, c'est la seule solution pour préserver la confidentialité de ses données. En faisant transiter les informations de manière cryptée quand elles passent pas un canal public.

Par exemple, tu utilises une distribution Linux RedFat
C'est du libre, c'est super tout beau tout mignon
Tu acceptes que RedFat récupère tes informations... Comme c'est du libre, tu peux contrôler exactement les informations récupérées.
Tes données sont envoyées en cryptées à RedFat
Jusque là, tout va bien
Mais une fois que tes données sont chez RedFat, est-ce que tu sais réellement ce qui est fait ?
RedFat reste une entreprise privée. Tu n'as pas accès à ses serveurs. Tu ne peux pas savoir...

Ce n'est pas parfait mais c'est déjà nettement mieux car tu peux savoir exactement ce qui est collecté (alors que c'est nettement plus flou sur du propriétaire).
Ca devient mieux si les données sont anonymes.
Par contre, RedFat sait qui lui envoie les données donc il est possible de les désanonymyser à l'autre bout de la chaîne sans qu'on ne s'en rende compte...

Autrement dit, même avec du libre, on ne peut pas être sûr à 100%
La seule solution est d'utiliser du libre ET de ne pas autoriser la collecte de données
Avatar de Traroth2 Traroth2 - Expert éminent sénior https://www.developpez.com
le 25/03/2014 à 10:01
En principe, on peut aussi choisir de ne pas remonter d'information du tout. Ce qui est le choix que je fais systématiquement avec des logiciels fournis par des entreprises.
Avatar de valkirys valkirys - Membre expérimenté https://www.developpez.com
le 25/03/2014 à 12:17
Citation Envoyé par Arsene Newman  Voir le message
Mark Shuttleworth, actuel patron de Canonical, vient de lancer un appel à l’ensemble des constructeurs de matériels électroniques en vue d’abandonner les firmwares propriétaires, ces derniers représenteraient, selon lui, une véritable menace pour la sécurité informatique.

Vu ses moyens financiers, il ferait mieux d'aider à la fabrication de firmware open source, voir à l'invention de systèmes pour remplacer les propriétaires par des open source dans les matériels existant.
Avatar de nirgal76 nirgal76 - Membre expérimenté https://www.developpez.com
le 25/03/2014 à 17:45
Citation Envoyé par Saverok  Voir le message
Perso, je préfère que les entreprises ne recueillent rien plutôt que tout et sans contrôle.
Car manque de bol, c'est un peu le tout ou rien sur ce sujet.

Ah mais moi aussi.
je dis juste qu'on sera en liberté quand : non pas on sera obligé de tout interdire, mais quand (mais c'est une utopie) on pourra en toute confiance dire "oui récoltez mes données" parceque l'on saura comment c'est fait de bout en bout (quelles données, ou elles iront, pourquoi faire etc..).
La, être obligé de couper les tuyaux pour être sur à 100% que rien n'est mal utilisé, c'est restreint comme liberté. C'est comme si tu préfèrais rester enfermé chez toi pour être sur que personne ne sait ce que tu fais dehors. ok ta vie privée est respectée mais bon, à quel prix, tu dresse toi même les barreaux de ta prison
Offres d'emploi IT
Spécialiste systèmes informatiques qualité et référent procédure H/F
Safran - Ile de France - Colombes (92700)
Architecte systèmes études & scientifiques H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Chef projet big data - pse flotte H/F
Safran - Ile de France - Évry (91090)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil