Bonjour, Navré, je débute un "troll". Je viens de lire l'article du LMF sur TCPA/Palladium, je m'étais pas mal documenté auparavant, mais j'ai une question qui reste sans réponse. Donc si ça trouve, sur cette mailing y aura quelqu'un qui saurait m'éclairer. Au pire, j'aurais alerté les gens sur certaines réalités.
Petit rappel : TCPA permet de lancer un OS "sécurisé" via une puce "Fritz" de cryptage branchée sur la carte mère, puis implantée directement dans le processeur Intel, puis quand l'OS "sécurisé" démarre, dans le cas de Windows une couche logicielle nommée "Palladium" va vérifier que les logiciels que tu lances sont certifiés et que les DvDs que tu regardes ne sont pas piratés, cela pouvant dégénérer à des plans marketings foireux (genre tu payes 2 visions du DvD, ou tu n'as le droit d'écouter ton CD que le jour de ton anniversaire), de la cryptomanie maladive (les documents rédigés sur un réseau ne peuvent être lisibles que sur ce même réseau), et des intrusions dans la vie privée (si une boîte quelconque détecte un MP3 qui lui plait pas, elle peut se permettre de l'effacer, même s'il s'agit d'un enregistrement perso de ton groupe de rock avec tes copains dans la cave de ta grand-mère). Bref, c'est du bonheur ! J'ai cru comprendre que parmi les objectifs de chacun des protagonistes de ce projet, on trouve des trucs comme "faire payer la Chine", "anihiler les eDonkey/KazZA/Napster", et "banir le MP3 et le DiVX maison". Soit. Cependant, le point qui coince pour moi, c'est au niveau du développement : sous palladium, seules les applis certifiées ont le droit d'être exécutées. Or je suis prestataire de service, et quand je réalise une appli, je me vois mal dire au client "ben l'appli est finie, mais on doit la soumettre à MS pour qu'ils vérifient qu'il n'y a pas de faille de sécurité et qu'ils vous donne une certif vous autorisant à l'éxécuter sur votre Palladium". De plus, cette certification éventuelle va coûter je suppose, un surcoût qui incombera bien entendu au client, mais au détriment du budget global de ma prestation (bref, j'y perds). Donc à priori je suis pas content d'y perdre, et je suis pas content non plus de devoir filer mon source à une société externe qui serait capable de foutre des brevets dessus à mon insu (ou d'en trouver et donc m'attaquer en justice par une boîte qui constate que j'utilise inconsciemment des algos qu'ils auraient déposés). On serait alors dans un monde où le développement de service en info serait fatalement contrôlé par des sociétés dont ce n'est pas la vocation première (mais où s'arrête le champ d'activité de MS : OS, Office, BDD, e-Development et souris à molettes ?). Ensuite, y a ce qui me semble être une absurdité : les logiciels qui tournent sous Palladium sont obligatoirement certifiés. Je crée une interface pour accéder à une BDD quelconque. Le module d'accès à cette BDD fonctionne en mode certifié, donc il est logique que mon environnement de développement aussi. Donc le compilateur aussi. Mais alors, cet abruti de compilateur va me générer un exécutable ... qui n'aura pas été certifié. Il est évident que j'aurais à le lancer pour valider mon développement, non ? Je peux donc créer un exécutable dangereux pour le système sur lequel je développe, non ? Avec un peu d'ingéniosité, je peux étendre mon dangereux programme à d'autres systèmes (mon client est en droit de me demander des version intermédiaires pour contrôler l'évolution du développement), en quoi le système est-il sécurisé dans ce cas ? Evidemment si je fais ça à mon boulot, même si je suis en France, les différentes autorités en charge de l'espionage de la vie privée de chacun m'arrêtera sous peu et m'interdira à jamais d'accéder à un ordi ou à un téléphone. Mais si je suis Chinois, que je bosse en Chine, la donne est nettement différente il me semble :o) Donc pour des raisons de sécurité, il ne faut pas que je puisse exécuter mes programmes fraichement compilés en mode "sécurisé", cela va de soi. Par conséquent, il faudrait que j'accède à mon module de BDD en mode "non-sécurisé", d'après ce que j'ai lu, ils ont même prévu ça. Dans ce cas, je me pose des questions au niveau de comment je peux réaliser des tests de mon logiciel. Il me semble qu'effectuer mon job en mode "non-sécurisé" pour qu'il fonctionne en mode "sécurisé" n'est pas recommandable : autant développer un soft sous Windows pour qu'il soit ensuite utilisé sous Mac sans avoir accès à un Mac avant la fin du développement. Quand il s'agit de développer des règles d'accès à des serveurs dans des banques qui doivent réaliser plusieurs milliers de transactions par seconde, c'est carrément impensable ! Ce qui me surprend, c'est qu'il ne me semble pas être le seul à faire du développement (bon, d'accord, quand je compare à mes collègues directs, je fais partie des plus impliqués dans la vie du "libre" et de ce qui gravite autour). Dans les différents articles que j'ai lus, les dangers énoncés gravitaient plutôt autour des intrusions dans la vie privée, et l'alarme était concentrée sur "Attention, ils vont faire un truc pour qu'on puisse pas lire nos DivX, et dans ce cadre ça va porter gravement atteinte au monde du libre". Je caricature, mais le sujet est trop sérieux, et je suis un fervent défenseur du principe de la GPL et de l'open-source ; mais l'absurdité que j'ai évoqué dans cet article me semble encore plus dangereuse : qu'on s'attaque à ma vie privée, soit, je sais que je suis surement déja fiché aux RG à cause de mes activités, mais je n'ai rien à cacher et j'achète les DvDs des films que je veux voir. Mais au niveau de ma vie professionnelle (10h en moyenne par jour, donc une part de ma vie non négligeable), il me semble totalement absurde de voir MS et consors préparer un projet qui aboutirait au final à leur offrir gracieusement mon boulot : "je ne peux pas vendre du service à cause de votre environnement sécurisé, donc voici mon portefeuille de clients et un tube de vaseline". Bref, j'y vois un danger Anti-trust encore plus flagrant que la livraison d'IE et mediaplayer avec Win95. Suis-je le seul ? Ai-je tort ? En observant ce qui se passe avec plus de recul, et en atteignant des degrès de paranoïa encore plus aigus, j'ai encore plus peur si on réfléchit en terme de guerre de l'information et que l'on se base sur le faux dicton "un scandale peut en cacher un autre". Dans cet esprit j'ai considéré il y a quelques années que l'idiote affaire Lewinski n'avait pour autre but que de réduire l'attention de l'opinion publique sur des problèmes plus sérieux comme les interventions des forces armées des Etats-Unis dans les Balkans et au Moyen Orient. La semaine de la Haine du roman de Georges Orwell (1984) n'avait pour principal but que de conforter la dominance de l'oligarchie en place sur son peuple. Dans notre cas, l'histoire du TCPA/Palladium, aux vues de ses absurdités intrinsèques, ne cacheraient-elles pas un drame à priori moins grave mais cependant dangereux pour le monde du logiciel libre (genre des lois sur les brevets logiciels en Europe ou autres bêtises dans le même genre ...) ? Nous entrerions alors dans un climat de psychose maladive, et probablement (?) injustifiée. Cependant sachons rester vigilants ... Fin du "troll" Olivier
