Developpez.com

Le Club des Développeurs et IT Pro

Les firmwares propriétaires seraient le meilleur allié de la NSA

Le patron de Canonical tire la sonnette d'alarme

Le 2014-03-24 10:12:20, par Arsene Newman, Expert éminent sénior
Mark Shuttleworth, actuel patron de Canonical, vient de lancer un appel à l’ensemble des constructeurs de matériels électroniques en vue d’abandonner les firmwares propriétaires, ces derniers représenteraient, selon lui, une véritable menace pour la sécurité informatique.

Pour l’homme fort de Canonical, cette situation serait due à la grande incompétence des manufacturiers, à l’inverse des attaquants (y compris les agences gouvernementales) qui seraient très compétents, ce qui laisse peu de place pour la sécurité par l'obscurité du code du firmware.

Toujours selon Shuttleworth : «Tout code de firmware s’exécutant sur un téléphone, tablette, PC, TV, routeur wifi, machine à laver, serveur, ou le serveur exécutant le Cloud sur lequel tourne un SaaS est une menace».

Pour appuyer encore plus cette idée, Shuttleworth évoque les révélations faites par Edward Snowden : «si vous lisez le catalogue d’outils d’espionnage et d’armes numériques fournit par Edward Snowden, vous verrez que le firmware de votre équipement est le meilleur allié de la NSA», avant de rajouter que «votre plus grande erreur serait de penser que la NSA est l’unique institution qui abuse de cette position de confiance».

«Penser que les ACPI [N.D.L.R : Advanced Configuration and Power Interface] sont le prochain saut générationnel pour vos équipements cela revient à laisser un cheval de Troie de proportion monumentale s’installer dans votre salon ou sur votre data center», conclut Shuttleworth.

Certes cet appel peut sembler alarmiste, mais, dans les faits, beaucoup d’évènements abondent dans ce sens comme les vulnérabilités découvertes sur de nombreux firmwares (routeurs Linksys, imprimantes HP, mots de passe écrits en durs sur SCADA).

Une des solutions évoquées par Shuttleworth serait alors de se tourner vers des firmwares n’incluant pas de code exécutable, cette dernière partie serait incluse alors dans les noyaux de l’OS. «Les firmwares déclaratifs qui décrivent les liens matériels et les dépendances, mais n’incluent pas de codes exécutables représentent la meilleure solution pour améliorer la sécurité», conseille celui-ci, avant de conclure que «les noyaux de l’OS sont le meilleur emplacement pour délivrer la partie logicielle de l’innovation qui est commercialisée».

Source : Blog de Mark Shuttleworth

Et vous ?

Qu’en pensez-vous ?
  Discussion forum
11 commentaires
  • Saverok
    Expert éminent
    Ma machine à laver est une menace et serait espionnée ? mince, la NSA va savoir tous les combiens je lave mon caleçon. Quel scandale international !
    Je trouve que c'est justement ce genre de remarque qui est un scandale.
    La vie privée est PRIVEE et intime.
    C'est la seule chose qui t'appartient vraiment et c'est précieux.
    Tous ces instants privés qui te définissent en tant qu'être humain ne sont pas une marchandise (ça c'est pour l’espionnage privée de Google, Microsoft, Apple et consorts) ni des éléments de surveillance d'état.
    Commencer par des trucs aussi "bêtes" (en apparence) qu'une machine à laver est le petit doigt dans l'engrenage qui fait que de proche en proche, l'intégralité de ton existence est mise sous surveillance et acceptée (si aujourd'hui tu acceptes que ta machine à laver soit surveillée, demain tu accepteras que ta télé le soit, après demain ton téléphone et le lendemain, une puce dans ton cerveau (au travers de la nano technologie).

    Il n'y a pas de petites violations de la vie privée.
    Toute intrusion dans ton intimité est un viol, une agression à ton individualité.
    le 24/03/2014 à 15:01
  • Saverok
    Expert éminent
    Envoyé par Traroth2
    Une chaine de logiciels en lesquels il est possible d'avoir confiance, c'est à dire libre, de bout en bout, c'est la seule solution pour préserver la confidentialité de ses données. En faisant transiter les informations de manière cryptée quand elles passent pas un canal public.
    Par exemple, tu utilises une distribution Linux RedFat
    C'est du libre, c'est super tout beau tout mignon
    Tu acceptes que RedFat récupère tes informations... Comme c'est du libre, tu peux contrôler exactement les informations récupérées.
    Tes données sont envoyées en cryptées à RedFat
    Jusque là, tout va bien
    Mais une fois que tes données sont chez RedFat, est-ce que tu sais réellement ce qui est fait ?
    RedFat reste une entreprise privée. Tu n'as pas accès à ses serveurs. Tu ne peux pas savoir...

    Ce n'est pas parfait mais c'est déjà nettement mieux car tu peux savoir exactement ce qui est collecté (alors que c'est nettement plus flou sur du propriétaire).
    Ca devient mieux si les données sont anonymes.
    Par contre, RedFat sait qui lui envoie les données donc il est possible de les désanonymyser à l'autre bout de la chaîne sans qu'on ne s'en rende compte...

    Autrement dit, même avec du libre, on ne peut pas être sûr à 100%
    La seule solution est d'utiliser du libre ET de ne pas autoriser la collecte de données
    le 24/03/2014 à 17:27
  • Traroth2
    Membre émérite
    Une chaine de logiciels en lesquels il est possible d'avoir confiance, c'est à dire libre, de bout en bout, c'est la seule solution pour préserver la confidentialité de ses données. En faisant transiter les informations de manière cryptée quand elles passent pas un canal public.
    le 24/03/2014 à 17:03
  • Squisqui
    En attente de confirmation mail
    Il fut un temps où ce n'était pas forcément l'OS qui recevait un virus. Les crackers n'étaient pas tous encore à but lucratif et aimaient flinguer des cartes réseaux ou autre.
    Là où ça fait mal, c'est lorsque le GPS est directement relié au modem (en plus du CPU), qui peut le contrôler directement.
    le 24/03/2014 à 14:49
  • Envoyé par nirgal76
    Ah mais moi aussi.
    je dis juste qu'on sera en liberté quand : non pas on sera obligé de tout interdire, mais quand (mais c'est une utopie) on pourra en toute confiance dire "oui récoltez mes données" parceque l'on saura comment c'est fait de bout en bout (quelles données, ou elles iront, pourquoi faire etc..).
    La, être obligé de couper les tuyaux pour être sur à 100% que rien n'est mal utilisé, c'est restreint comme liberté. C'est comme si tu préfèrais rester enfermé chez toi pour être sur que personne ne sait ce que tu fais dehors. ok ta vie privée est respectée mais bon, à quel prix, tu dresse toi même les barreaux de ta prison
    La liberté c'est le choix, malheureusement, je trouve qu'on oublie un peu que la première étape, c'est déjà de savoir si nous souhaitons fournir des données.

    Un peu comme avec la pub dite ciblée, la question actuellement c'est "aidez nous à vous envoyer de la super pub qui vous intéressera en nous racontant votre vie" or la vraie question serait plutôt de commencer par "voulez-vous de la pub?".
    le 26/03/2014 à 0:16
  • Saverok
    Expert éminent
    Envoyé par nirgal76
    Tous tes actes te définissent, qu'ils soient privés ou publics.

    Pour moi, la liberté c'est celle de choisir. Si je choisis d'accepter que ma machine à laver soit surveillée mais uniquement elle et pas le reste, ce serait ça la vraie liberté. Je ne suis pas pour une dictature du libre. Si ça peut conduire à une meilleure conception des prochains modèles en analysant l'utilisation qui est faite, pourquoi pas, tout recueil de données n'est pas forcément négatif s'il est anonyme et bien exploité derrière. Après, les histoire NSA complots mondial etc, je laisse ça au passionnés de séries américaines sur le sujet, je ne me sens pas oppressé par ça. Si un mec quelque part n'a rien d'autre à faire qu'a s'occuper de surveiller mes habitudes de vie, il perds vraiment la sienne à faire ça, et qu'il soit agent d'état ou commercial, c'est sa vie qui est pourrie du coup, pas la mienne.
    Vue la quantité de données, c'est des algorithmes qui tournent sur des bases nosql (tu as surement déjà entendu le terme de BigData ?)
    La gars a juste pris le temps d'écrire l'algo.
    et puis, le hic est que tu n'as pas le choix ou que d'autres le prennent à ta place.
    Les recueils de données ne sont pas anonymes et tu n'as aucun moyen de savoir combien de temps elles seront conservées et qui y aura accès (tu acceptes que ta marque préférée recueille tes données mais acceptes tu qu'elles les vendent à d'autres ? qui a leur tout les vendront à d'autres ? puis à d'autres ?).
    Si tu n'es pas ultra calé et que tu n'en prends pas le temps, tu n'as aucune idée de quelles données sont collectées et pour quelles usages.

    Perso, je préfère que les entreprises ne recueillent rien plutôt que tout et sans contrôle.
    Car manque de bol, c'est un peu le tout ou rien sur ce sujet.

    Et puis, les entreprises ont plein d'autres moyens pour améliorer leurs produits sans passer par là (enquêtes de satisfactions, tests en labo, pilotes sur personnes identifiées, etc.)
    Pas besoin de faire une récolte massive de données pour ça
    C'est un peu comme sortir un tracteur pour couper un brin d'herbe.
    Ca fera le job mais un simple ciseau aurai suffit à condition qu'on se baisse pour ça alors que le tracteur est autotracté (feignasse !)
    le 24/03/2014 à 16:29
  • nirgal76
    Membre chevronné
    Envoyé par Saverok
    Perso, je préfère que les entreprises ne recueillent rien plutôt que tout et sans contrôle.
    Car manque de bol, c'est un peu le tout ou rien sur ce sujet.
    Ah mais moi aussi.
    je dis juste qu'on sera en liberté quand : non pas on sera obligé de tout interdire, mais quand (mais c'est une utopie) on pourra en toute confiance dire "oui récoltez mes données" parceque l'on saura comment c'est fait de bout en bout (quelles données, ou elles iront, pourquoi faire etc..).
    La, être obligé de couper les tuyaux pour être sur à 100% que rien n'est mal utilisé, c'est restreint comme liberté. C'est comme si tu préfèrais rester enfermé chez toi pour être sur que personne ne sait ce que tu fais dehors. ok ta vie privée est respectée mais bon, à quel prix, tu dresse toi même les barreaux de ta prison
    le 25/03/2014 à 17:45
  • Traroth2
    Membre émérite
    En principe, on peut aussi choisir de ne pas remonter d'information du tout. Ce qui est le choix que je fais systématiquement avec des logiciels fournis par des entreprises.
    le 25/03/2014 à 10:01
  • Envoyé par Arsene Newman
    Mark Shuttleworth, actuel patron de Canonical, vient de lancer un appel à l’ensemble des constructeurs de matériels électroniques en vue d’abandonner les firmwares propriétaires, ces derniers représenteraient, selon lui, une véritable menace pour la sécurité informatique.
    Vu ses moyens financiers, il ferait mieux d'aider à la fabrication de firmware open source, voir à l'invention de systèmes pour remplacer les propriétaires par des open source dans les matériels existant.
    le 25/03/2014 à 12:17
  • nirgal76
    Membre chevronné
    Envoyé par Saverok
    Je trouve que c'est justement ce genre de remarque qui est un scandale.
    La vie privée est PRIVEE et intime.
    C'est la seule chose qui t'appartient vraiment et c'est précieux.
    Tous ces instants privés qui te définissent en tant qu'être humain ne sont pas une marchandise (ça c'est pour l’espionnage privée de Google, Microsoft, Apple et consorts) ni des éléments de surveillance d'état.

    Commencer par des trucs aussi "bêtes" (en apparence) qu'une machine à laver est le petit doigt dans l'engrenage qui fait que de proche en proche, l'intégralité de ton existence est mise sous surveillance et acceptée (si aujourd'hui tu acceptes que ta machine à laver soit surveillée, demain tu accepteras que ta télé le soit, après demain ton téléphone et le lendemain, une puce dans ton cerveau (au travers de la nano technologie).

    Il n'y a pas de petites violations de la vie privée.
    Toute intrusion dans ton intimité est un viol, une agression à ton individualité.
    Tous tes actes te définissent, qu'ils soient privés ou publics.

    Pour moi, la liberté c'est celle de choisir. Si je choisis d'accepter que ma machine à laver soit surveillée mais uniquement elle et pas le reste, ce serait ça la vraie liberté. Je ne suis pas pour une dictature du libre. Si ça peut conduire à une meilleure conception des prochains modèles en analysant l'utilisation qui est faite, pourquoi pas, tout recueil de données n'est pas forcément négatif s'il est anonyme et bien exploité derrière. Après, les histoire NSA complots mondial etc, je laisse ça au passionnés de séries américaines sur le sujet, je ne me sens pas oppressé par ça. Si un mec quelque part n'a rien d'autre à faire qu'a s'occuper de surveiller mes habitudes de vie, il perds vraiment la sienne à faire ça, et qu'il soit agent d'état ou commercial, c'est sa vie qui est pourrie du coup, pas la mienne.
    le 24/03/2014 à 15:48
  Poster une réponse