Avec Palladium, Windows sera-t-il encore plus exclusif?
Par Matt Loney, ZDNet UK, avec Christophe Guillemin
ZDNet France 9 juillet 2002
Le numéro un des logiciels est parti en croisade pour sécuriser les systèmes informatiques. Une initiative baptisée Palladium. Mais les développeurs de logiciels libres craignent qu'elle ne soit réservée qu'à Windows, ce que conteste Microsoft.
Face aux critiques de développeurs de logiciels libres, Microsoft assure que sa stratégie baptisée Palladium, visant à renforcer la sécurité de son système d'exploitation Windows, ne sera pas cantonné à celui-ci.
En guise de bonne foi, l'éditeur a indiqué le 1er juillet qu'il publiera une partie des codes sources des futurs composants de Windows (les Application Program Interfaces ou API) mis au point dans le cadre du projet Palladium.Une démarche qui, pour autant, ne rassure pas les partisans des logiciels libres. Ils redoutent que les licences qu'utilisera Microsoft empêchent le développement de logiciels non propriétaires pour le futur Windows.
Interrogé par ZDNet, Mario Juarez, le directeur produit Palladium de Microsoft, a indiqué qu'il était trop tôt pour déterminer le type de licence qui sera utilisé pour les API de Palladium. Mais il a précisé que cela ne sera pas aussi restrictif que ce que l'on a pu voir dans le passé.
Pour autant, Juarez met en garde: «Il est question ici de la propriété intellectuelle de Microsoft, et nous ferons tout ce qui est nécessaire pour la faire respecter». Et d'ajouter: «La technologie que nous mettons au point doit être excellente et intègre. Ce sera notre objectif. Nous ne sacrifierons pas l'intégrité de la plate-forme Palladium», a-t-il déclaré.
Les partisans des logiciels libres basent leurs craintes sur un récent exemple. Fin mars, Microsoft a en effet publié un document expliquant aux développeurs tiers comment utiliser son protocole CIFS (Common Internet File Sharing), qui décrit comment les PC sous Windows partagent des fichiers avec des serveurs.
Ce document, qui aurait dû faciliter le développement de
programmes intégrant le CIFS, contenait une clause interdisant l'utilisation
des informations pour écrire des programmes en licence GPL (General
Public License), la principale licence utilisée pour les logiciels
libres.
Avec Palladium et TCPA, l'informatique de confiance reste encore
bien abstraite
Par Robert Lemos
CNET News.com
8 novembre 2002
Les initiatives visant à créer une "plateforme sécurisée" suscitent bien des interrogations. Les détracteurs redoutent des dérives, et que les ordinateurs tombent sous la coupe des éditeurs et constructeurs, avec en jeu la liberté des utilisateurs.
SAN FRANCISCO - Lors de la conférence USENIX sur la sécurité qui s'est tenue en août en Californie, les développeurs de Microsoft ont présenté Palladium, la prochaine initiative d'architecture "sécurisée" du numéro un mondial des loigiciels. Microsoft la présente comme une technologie qui renforcera la confidentialité des données personnelles, empêchera la copie privée d'oeuvres sous copyright, et augmentera le contrôle des entreprises sur leur parc informatique. Palladium devrait entrer en vigueur en 2005, dans le cadre d'une mise à jour majeure de Windows.
Une vision idyllique qui n'est pas perçue comme telle par tous. Les critiques pleuvent sur cette future plateforme, ainsi que sur les initiatives que veulent prendre les membres de la TCPA (Trusted Computing Platform Alliance), devenu un lobby très influent dans le monde de la sécurité informatique. Créé en octobre 1999, ce consortium regroupe la fine fleur de l'industrie américaine, tant dans les logiciels que les machines (Microsoft, Intel, Compaq, Hewlett-Packard et IBM). Il ne manquerait plus que Sun et Oracle pour boucler la boucle. Mais aucune autre société ne semble avoir été acceptée en son sein depuis. Pour se donner un peu de crédit, TCPA a rassemblé un conseil scientifique de quatre universitaires (deux Américains, un Européen et un Australien).
L'esprit de la TCPA et de Palladium de Microsoft est de modifier totalement le mode de traitement des données sur ordinateurs. Cela passe par des ajouts et modifications qui seront apportés aux ordinateurs au niveau du matériel.
Une puce enrichie en sécurité, mais qui démange
Dans les deux cas, l'idée est d'intégrer une nouvelle puce sur la carte mère des nouveaux ordinateurs en usine. Elle comportera de nouvelles fonctions de chiffrement et une mémoire qui permettra de stocker les clés de déchiffrement des données protégées. La TCPA décrit cette puce comme un "trusted platform module", successeur d'un système d'identifiant que Intel voulait mettre en place sur ses processeurs; le fondeur y a renoncé en 1999 suite au vent de protestations soulevé, et notamment en France, sur les questions de respect de la vie privée (lire notre enquête du 23/11/1999).Et de fait, le principe de machines dotées d'une technologie permettant de protéger les données, sécuriser les communications et vérifier les caractéristiques de leur système, ne fait clairement pas l'unanimité. Une application de ce type pensée pour un marché de masse se heurte d'emblée à un mur d'opposition, car le grand public a du mal à faire confiance à une technologie pour une "informatique digne de confiance" (trusted computing).
Nombreux sont ceux qui pensent que des programmes comme Palladium risquent d'empêcher les utilisateurs d'accéder à certaines données. Son effet pervers pourrait être d'interdire l'accès à des données stockées sur une machine si son utilisateur utilise des logiciels sans licence. «L'idée que la sécurité protège d'utilisateurs tiers le contenu du poste de l'utilisateur est erronée» affirme Lucky Green, consultant spécialiste de la sécurité.
Mais à qui appartient au final l'ordinateur?
Pas étonnant de voir Richard Stallman, fondateur de la Free Software Foundation, à l'origine du projet GNU et de la licence GPL dont s'inspirent tous les systèmes Linux aujourd'hui, tirer à boulets rouges sur TCPA. Stallman parle même d'«informatique perfide». Dans une longue tribune publiée sur Sourceforge et traduite depuis en français (lire le texte complet), il débute ainsi: «De qui votre ordinateur devrait-il recevoir ses ordres? La plupart des personnes pensent que leurs ordinateurs devraient leur obéir, et ne pas obéir à quelqu'un d'autre. [Le plan TCPA] projette de faire en sorte que votre ordinateur obéisse [aux fabricants et éditeurs] au lieu de vous obéir. Les programmes propriétaires ont déjà inclus des dispositifs malveillants auparavant, mais ce plan rendrait cette pratique universelle.»Il estime enfin que le but de cette technologie est d'interdire aux utilisateurs, et non aux pirates ou hackers malveillants, d'accéder librement à leurs données. Le but avoué étant la gestion des droits numériques, ou DRM (digital rights management), c'est-à-dire le contrôle de contenus protégés par copyright.
Ross Anderson est sur la même longueur d'ondes. Chercheur britannique respecté (laboratoire d'informatique, université de Cambridge), spécialiste en sécurité et en cryptographie, il rappelle que «depuis des années, Bill Gates rêve d'inventer un moyen d'obliger les Chinois de payer pour ses logiciels: Palladium pourrait être la réponse à cette prière.» Anderson a publié et met à jour régulièrement une foire aux questions pointilleuse sur TCPA (une FAQ également traduite en Français).
«Notre technologie est adaptée aux évolutions du marché»
Microsoft réfute l'idée que Palladium est conçu pour contrôler le contenu des ordinateurs de ses clients. L'éditeur estime au contraire que sa technologie répond aux besoins du marché, puisque les réseaux privés virtuels, ou VPN (virtual private networks), de plus en plus répandus, ont besoin d'être sécurisés et de permettre aux administrateurs d'identifier les ordinateurs sur leur réseau. Autre exemple, des entreprises qui souhaitent éviter que des emails compromettants pour elles soient présentés devant un tribunal, pourraient obliger leurs salariés à utiliser des technologies de sécurisation. Ces dernières pourraient alors jeter les clés numériques des emails datant de plus d'un mois, ne permettant ainsi plus de les déchiffrer. Des possibilités alléchantes qui pourraient bien séduire nombre d'entreprises.«Une plateforme de confiance a sa configuration pour carte de visite; un fournisseur peut décider de traiter ou non avec l'ordinateur en question», a expliqué dans une récente interview Marcus Varady, responsable marketing "Safer computing initiative" chez Intel et président du comité directeur de la TCPA. «Le fournisseur peut ensuite abaisser son mur de protection dans cet environnement pour collaborer avec cette machine en toute confiance».
Ainsi, un site web qui vend de la musique peut savoir si l'ordinateur d'un client dispose de protections anticopie, avant de lui permettre de télécharger de la musique sur internet. Une idée qui fait bondir les opposants, qui crient au retour en arrière puisque les utilisateurs se voient imposer des limites sur leur usage privé de l'information.
Moins de liberté d'un côté, plus de pouvoir de l'autre
William Arbaugh, professeur en informatique à l'Université du Maryland, estime que la TPCA pourrait apporter certes plus de sécurité, mais que les modifications matérielles et logicielles pourraient faire beaucoup de mal si les entreprises s'en servent de façon abusive. «Le TCPA sous sa forme actuelle est inacceptable», conclut-il. Sans compter, rajoutent les détracteurs, que la technologie ne prémunit pas totalement du piratage. Palladium, par exemple, ne pourrait éviter une attaque matérielle qui entraînerait une fuite de données. La sécurité de la technologie n'a plus aucun effet sur les données se trouvant en dehors de l'infrastructure Palladium, explique d'ailleurs Peter Biddle, responsable produit chez Microsoft.Les détracteurs critiquent également tout processus ou technologie contrôlé par une seule entreprise, cette dernière pouvant avoir d'autres idées en tête - surtout s'il s'agit de Microsoft. Eben Moglen, l'un des avocats de la Free Software Foundation et professeur de droit à l'université de Columbia, redoute que de telles initiatives propriétaires nuisent au développement de technologies open-source comme GNU/Linux, qui commence à s'ériger face à Windows.
Lucky Green redoute également que des technologies comme Palladium donnent trop de pouvoir aux éditeurs de systèmes d'exploitation au détriment des développeurs d'applications. «Dans la mesure où les systèmes d'exploitation qui limitent les données peuvent établir quelles applications peuvent tourner, le paysage des logiciels va se muer en applications de premier choix qui permettront aux utilisateurs d'accéder au contenu, et à d'autres applications de second ordre qui n'y donnent pas accès», affirme-t-il. «Dans ce scénario, les éditeurs de logiciels sont sous la coupe des constructeurs».
Il suspecte Microsoft d'utiliser Palladium pour contraindre le public d'utiliser les logiciels avec une licence. Pour lui, les initiatives de trusted computing quelles qu'elles soient ambitionnent de «sécuriser les applications et données au détriment de l'utilisateur final, mais au profit de tierces parties».
Cette vision d'une conspiration fait rire les partisans. «Rien ne montre que Microsoft et Intel cherchent à berner le monde entier. Si c'est ce qui se produit au final, je suis persuadé que le Congrès américain les arrêtera», estime Farber de l'Université de Pennsylvanie.
Reste que la complexité du sujet fait l'unanimité, et que Microsoft lui-même n'en connaît pas les aboutissants. «Nous pouvons parler de ce que nous avons voulu faire», affirme Mario Juarez, responsable produit sur Palladium, ajoutant que «bien des questions restent encore sans réponse».
Allemagne: Palladium soulève déjà l'inquiétude
du gouvernement
Par Estelle Dumout
ZDNet France
12 décembre 2002
Interpellé par une députée de l'opposition, le gouvernement Schröder estime que la future architecture Palladium de Microsoft risque d'entraîner des coûts élevés et d'empêcher les concurrents d'entrer sur le marché.
Le gouvernement allemand s'inquiète des risques d'une adoption massive par les services fédéraux de Palladium, la future architecture de système d'exploitation "sécurisée" développée par Microsoft. C'est, en substance, sa réponse faite à une députée du parti conservateur (CDU), qui l'interpellait sur le sujet.
Pour l'instant les inquiétudes soulevées sont d'ordre économique. «Le danger [existe] que les applications logicielles pour les nouveaux PC hautement sécurisés nécessitent une licence [fournie] par Microsoft, ce qui induira des coûts élevés», peut-on lire dans cette lettre, que s'est procuré le quotidien électronique allemand Heise.de. Cela aurait pour conséquence de créer «de graves entraves à l'entrée sur le marché» pour les développeurs de logiciels concurrents, poursuit le gouvernement. En précisant que cette remarque vaut particulièrement pour les logiciels à base de noyau Linux ou d'autres logiciels libres.
Pour développer Palladium, Microsoft s'est allié avec la fine fleur de l'industrie informatique, rassemblée dans un consortium baptisé TCPA (Trusted Computing Platform Alliance). En sont membres, outre le géant de l'édition, Intel, HP-Compaq et IBM. Leur objectif est de modifier entièrement le mode de traitement des données sur ordinateurs, grâce à des modifications matérielles. Microsoft assure que cela permettra de renforcer la confidentialité des données personnelles, d'empêcher la copie privée d'oeuvres sous copyright et d'augmenter le contrôle des entreprises sur leur parc informatique.
Première semonce diplomatique pour Microsoft
«Notre objectif n'est pas de jouer l'arbitre entre ce qui peut fonctionner ou non sur votre PC», se défend Amy Carroll, directrice du département "Windows Custom Platform Technology", interrogée par notre rédaction américaine. «Nous sommes prêts à travailler avec le gouvernement allemand et quiconque voudra parler avec nous», affirme-t-elle. Et de poursuivre son argumentation: «Les gouvernements travaillent en général avec des données sensibles et sont particulièrement inquiets par rapport à la sécurisation des informations qu'ils traitent.» «Tout ce qui pourra accroître cette sécurisation est une bonne chose», conclut-elle.Le gouvernement allemand s'est refusé à se prononcer plus précisément au sujet des menaces que feraient planer Palladium et la TCPA sur la concurrence. Depuis le 1er août 2002, un groupe de travail dédié à ce projet a été formé au sein du Bureau fédéral pour la sécurité et les technologies de l'information, dépendant du ministère de l'Intérieur. Il tient régulièrement le chancelier au courant de l'avancée de ses travaux, mais n'a pas encore rendu de conclusions définitives.
Par ailleurs, la Commission européenne examinera également le projet Palladium dans le cadre de son enquête antitrust à l'encontre de l'éditeur, peut-on lire dans la réponse officielle du gouvernement.
Ne m'appelez plus jamais Palladium: Microsoft change de nom mais
garde le fond
Par Robert Lemos
CNET News.com
27 janvier 2003
La prochaine plate-forme de Microsoft s'appellera "next-generation secure computing base", et non plus "Palladium". Un nom qui passe à la trappe afin, officiellement, d'éviter un procès pour violation de marque.
Microsoft a décidé de changer le nom de sa future plate-forme de sécurité des applications. Elle ne s'appellera désormais plus "Palladium", mais "next-generation secure computing base" (littéralement, "plate-forme informatique sécurisée de nouvelle génération").
La firme de Redmond estime que le nom du système d'exploitation a souffert d'une controverse encore vive. Ce qui répondait au nom de code Palladium est la brique apportée par Microsoft au vaste chantier initié par les géants américains de l'informatique en 1999 (TCPA, "Trustworthy computing alliance" pour "informatique digne de confiance"). Ils sont désormais suivis par plus d'une centaine d'entreprises dans le monde.
Avec ce projet, Microsoft ambitionne notamment de permettre aux entreprises de sécuriser au maximum les données, les communications et les réseaux les reliant à leurs partenaires commerciaux.
Or, prenant le contre-pied de cette présentation quelque peu idyllique, les critiques estiment que cette technologie pourra être utilisée pour restreindre les droits de l'utilisateur à jouir des données présentes sur son ordinateur. Ainsi, le système peut être paramétré de façon à ce qu'un fichier contenant du texte ne puisse être accédé que par l'application avec laquelle il a été créé.
Un changement de nom en pleine opération séduction
En guise de réponse, l'entreprise a accepté de dévoiler une partie du code source du système d'exploitation. Il pourra être étudié pour que ses détracteurs voient qu'il est sûr, et qu'il ne peut faire que ce qu'a indiqué l'entreprise publiquement.Toutefois, Mario Juarez, responsable produit de la division Windows Trusted Platform Technologies, réfute l'idée que le changement de nom vise à esquiver toute critique. Il explique que le nom Palladium a valu à l'éditeur des ennuis juridiques avec une entreprise. Un conflit susceptible de les conduire devant les tribunaux, puisque la société plaignante revendique la propriété de l'appellation commerciale Palladium.
Le changement de nom a déjà été entériné dans un mémo envoyé par Bill Gates aux clients de Microsoft, où il relate les progrès de la firme dans la sécurisation des produits Windows. «Nous travaillons sur une nouvelle architecture matérielle/logicielle pour la plate-forme Windows destinée aux ordinateurs (dont le nom de code était à l'origine 'Palladium'). Elle améliorera grandement l'intégrité, le respect de la confidentialité et la sécurité des données des systèmes informatiques en éliminant de nombreux "maillons faibles"».
Ce léger recadrage sémantique n'est rien comparé aux multiples mesures de relations publiques visant à restaurer la confiance. Microsoft a débauché par exemple deux experts européens reconnus pour défendre l'iintérêt public. D'abord Caspar Bowden, nommé l'an dernier "directeur de la sécurité et de la vie privée" pour la zone Europe et Moyen-orient (Chief Privacy Officer), alors qu'il était auparavant directeur d'une fondation britannique très active dans les problèmes de société liés à l'informatique, la FIPR (Foundation for information policy research). Et dernièrement, Detlef Eckert, un officiel de la Commission européenne spécialisé en sécurité informatique, qui a été promu au siège de Microsoft pour travailler précisemment sur Palladium et ses avatars.
Avec Jerome Thorel à Paris pour ZDNet France
Conférence RSA: "l'informatique de confiance" et ses effets
seconds
Par Robert Lemos
CNET News.com
17 avril 2003
Les projets de "Trusted Computing" que concoctent les poids lourds américains de l'informatique étaient au menu de la conférence annuelle de la société RSA Security. La promesse d'une "sécurisation" forte laissera-t-elle une place à l'utilisateur?
SAN FRANCISCO - Les initiatives visant à développer des produits informatiques dits "de confiance" suscitent bien des interrogations, notamment sur les implications pour la vie privée des utilisateurs. Le sujet a été abordé cette semaine lors de la RSA Conference 2003 sur la sécurité, qui s'est tenue du 13 au 17 avril. Il a nourri des débats, où cryptographes et sociétés spécialistes de la sécurité ont exposé des avis radicalement différents sur les dangers potentiels des mesures de sécurisation envisagées.
Les ordinateurs "dignes de confiance" permettront aux entreprises de sécuriser leurs systèmes. Mais inquiets par les implications éventuelles de ces techniques, des cryptographes réputés ont alerté l'auditoire. «Une telle infrastructure protégée par des clés conduit à une domination et un verrouillage sur le marché, et permet à une autre personne d'utiliser votre ordinateur comme si c'était le sien», a ainsi déclaré Whitfield Diffie, expert émérite en chiffrement et directeur de la sécurité chez Sun Microsystems. Diffie est l'inventeur du principe de "cryptographie à clé publique", utilisé à grande échelle pour chiffrer et signer des documents électroniques.
Minimiser les risques d'attaques
La notion d'ordinateur "digne de confiance" s'étend aux serveurs et appareils grand public intégrant des fonctions de sécurisation des données par chiffrement. Des machines que veulent mettre au point les membres du Trusted Computing Group (TPG), ex-TCPA (Trusted Computing Platform Alliance). AMD, Hewlett-Packard, IBM, Intel et Microsoft l'ont intronisé la semaine dernière, avec pour mission commune de créer des spécifications pour ces systèmes et de promouvoir l'adoption de plateformes de confiance. Ce groupe souhaite rendre la vie dure aux auteurs de virus et hackers qui tentent de prendre le contrôle de systèmes et de corrompre des fichiers critiques.L'intégration de ces techniques est une question de survie selon leurs partisans, puisque même les entreprises sécurisées s'exposent à des attaques lorsqu'un client ou fournisseur se connecte à leur réseau. C'est l'avis de John Muir, modérateur d'un groupe de travail à la conférence RSA. Pour cet associé de la société de conseil en sécurité Trusted Strategies, «même en ayant fait le maximum, il est toujours possible d'être attaqués en se connectant à des ordinateurs non protégés». Et d'ajouter que les ordinateurs sécurisés permettent de minimiser les risques en dressant un rempart autour des données importantes.
Des débordements et abus en vue?
Une prise de position loin de faire l'unanimité. Les critiques craignent que ce type de technologie permette à des éditeurs et des fournisseurs de services de contrôler la façon dont leurs applications sont utilisées sur les ordinateurs de particuliers. La copie de fichiers ou de musique pourrait alors être rendue illicite, et l'échange de données entre applications différentes être gêné; des accords de licence qui ne tiendraient pas la route aux yeux de la justice pourraient aussi être appliqués.Ronald Rivest, professeur d'informatique au prestigieux Massachusetts Institute of Technology (MIT), a conseillé au public de s'informer régulièrement sur ces projets de "Trusted Computing". «Il nous faut accorder la plus grande vigilance et nous assurer que [ces projets vont] dans le sens que nous souhaitons», a-t-il insisté. Et d'ajouter, en guise de pied de nez à la "loi Moore" sur la croissance continue de la capacité des ordinateurs: «alors que le nombre de transistors augmente sans cesse, le respect de la vie privée recule d'autant». Rivest n'est pas un inconnu: c'est l'un des trois créateurs de l'algorithme de chiffrement à clé publique RSA (le "R" de RSA), inspiré des travaux de Diffie.
Un discours qui va dans le sens de bien d'autres, notamment au sujet d'une fonction imaginée par Microsoft dans son ex-projet Palladium (rebaptisée «base informatique sécurisée de prochaine génération»). La fonction permettrait à une application installée sur un ordinateur TPG d'appeler sa société éditrice, à l'insu ou pas de l'utilisateur, pour savoir si son état, ou intégrité, peut être vérifié.
Trusted Computing Group: objectifs et technologies de sécurité
en présence
Par Christophe Guillemin
ZDNet France, 22 avril 2003
L'ex-consortium TCPA, initié par cinq poids lourds américains (IBM, Microsoft, Intel, AMD et HP), vient de changer raison sociale pour élargir son champ d'influence. Mais en termes de technologies, que nous promet-il?
Le consortium international TCPA (Trusted Computing Platform Alliance), initié en 1999 par IBM et chargé de développer des normes de sécurisation des données sur ordinateur, a changé de nom. Depuis le 8 avril, il s'est rebaptisé Trusted Computing Group (TCG) et se dote d'une nouvelle organisation interne.
«Nous avons changé notre structure administrative afin qu'elle soit plus équitable entre les membres fondateurs (tous américains, Ndlr) et les autres», explique à ZDNet France Adrian Horne, responsable marketing Europe d'IBM.
Auparavant, seuls les membres fondateurs (Microsoft, Intel, HP Compaq, IBM et depuis peu AMD) avaient accès à toutes les informations mises en commun. Les cinq partenaires, mais néanmoins concurrents, avaient surtout un droit exclusif de vote pour valider ou non une nouvelle spécification, reconnaît le responsable de Big Blue.
Désormais, une majorité des deux tiers entre les quinze
principaux membres du conseil d'administration de TCG sera requise. Un
conseil composé des cinq fondateurs (appelés «Promoteurs»),
ainsi que de dix nouvelles sociétés (nommés «Contributeurs»),
parmi elles quatre à capitaux européens (dont le fondeur
franco-italien ST Microelectronics) et un seul japonais, Sony*. Il y aurait
ensuite plus de 170 autres membres, (simples «Adoptants») qui
ont, quant a eux, des droits très limités - pouvoir accéder
aux spécifications ou au droit d'utiliser l'habillage et les logos
TCG comme gage de crédibilité. La facture pour chaque «niveau
de membre» est bien entendu proportionnelle aux pouvoirs délégués:
50000 dollars annuels pour les promoteurs de TCG, 15000 dollars pour les
contributeurs et 7500 dollars pour les autres.
Seul IBM commercialise pour l'instant une puce TCPA
«La nouvelle organisation interne a également pour but de favoriser l'adoption des standards TCG», poursuit Adrian Horne. Car pour l'instant, sous l'ancienne bannière TCPA un seul fabricant, IBM, a passé le cap et propose déjà des implémentations, selon la spécification actuelle (TCPA 1.1).«Nous commercialisons depuis mars 2002, dans la majorité de nos PC portables (les Thinkpad), un "processeur TCPA" et dans nos ordinateurs de bureau (les Netvista). TCPA est surtout une option facturée environ 10 dollars», indique le responsable.
Concrètement, la protection TCPA implantée chez IBM se présente sous la forme d'une puce intégrée à la carte mère de l'ordinateur. Un processeur capable de chiffrer les données à la volée et à la demande. Son utilisation est paramétrée via un logiciel qui permet ainsi de créer un répertoire sécurisé du disque dur, sorte de coffre-fort où toutes les données reçues sont automatiquement chiffrées en temps réel.
Il s'agit d'un chiffrement assuré grâce à l'algorithme
AES (successeur du puissant DES), à clé symétrique
(une seule clé secrète pour chiffrer et déchiffrer),
dont la taille de clé va jusqu'à 256 bits. Horne voit dans
cette protection matérielle un «avantage» par rapport
à une solution logicielle; cette dernière pouvant être
compromise plus facilement, par un virus troyen par exemple, qui irait
récupérer la clé secrète sur le disque dur.
«Ce qui n'est pas le cas de la puce», assure le responsable
d'IBM. «Les clés privées ne sont jamais sauvegardées
sur le disque dur mais dans la puce».
En 2005 Microsoft et Intel prendront le relais sur TCG
«Avec le développement des réseaux sans fil via la technologie Wi-Fi, la sécurité des PC portables va devenir cruciale, et nous pensons que cela relancera cette année l'intérêt pour les solutions du TCG», prédit Adrian Horne.Mais le véritable rouleau compresseur du TCG est attendu pour 2005 et connu sous le nom de code de "LaGrande". Cette fois, c'est le «promoteur» Intel qui reprendra le flambeau. Il proposera une puce de chiffrement à la norme TCG destinée à être intégrée directement sur ses cartes mères, qui équipent la majorité des PC du marché mondial.
«Ce système nous permettra de garantir l'intégrité des données entre le processeur, le chipset (jeu de composants, Ndlr) et la mémoire de tous les périphériques», nous explique Arnaud Lambert, responsable technique chez Intel France. Concrètement, cette puce agira comme un filtre par lequel passera toutes les données de l'ordinateur.
Un système sur lequel Intel est attendu au tournant, s'agissant du respect des données privées qui seront ainsi filtrées par la puce magique d'Intel. Un tel filtre pourrait en effet être exploiter pour surveiller les us et coutumes de l'utilisateur, voire lui interdire certains fonctions, comme de copier tel ou tel fichier...
«Nous travaillons énormément pour être irréprochables sur ce point, et afin qu'aucune identification de l'utilisateur ne soit possible», reprend le responsable d'Intel. Il faut dire que dans ce domaine, le fondeur avait déjà souffert de vives critiques en 1999 avec un système d'identifiant "en dur" qu'il a dû supprimer des Pentium III (lire notre enquête du 23/11/1999).
Enfin, en 2005 encore, Microsoft devrait également apporter sa pierre à l'édifice TCG, côté logiciels, avec son projet de système (anciennement baptisé Paladium) et appelé désormais "NGSCB" ("next-generation secure computing base", littéralement, "plate-forme informatique sécurisée de nouvelle génération").
Également développée dans le cadre des travaux en commun du TCG, une nouvelle version de Windows est en préparation. L'éditeur, qui a présenté un prototype à la conférence RSA la semaine dernière en Californie (lire l'article de News.com du 14/04/2003), insiste sur le module "Windows Filter Manager Architecture": il devrait être adapté pour mieux contrer les spams, les virus et, plus généralement, pour augmenter le contrôle des entreprises sur leur parc informatique.
* Liste des dix contributeurs du TCG: Atmel (USA), Infineon Technologies AG (Allemgne), National Semiconductor (USA), Nokia (Finlande), Philips (Pays-Bas), Phoenix Technologies (USA), Sony (Japon), Verisign (USA), Wave Systems (US) et ST Microelectronics (France/Italie).