[Helpc] L'industrie façonne un PC sécurisé
- From: "Shaka( Rudy)" <strub.rudy@xxxxxxxxx>
- To: <helpc@xxxxxxxxxxxxx>
- Date: Fri, 4 Oct 2002 05:11:38 +0200
L'industrie façonne un PC sécurisé
Pierre Berlemont et Fabrice Frossard,
<http://www.01net.com/decisionmicroetreseaux> Décision Micro, le
03/10/2002 à 19h16
Microsoft, Intel, IBM, HP et près de deux cents autres acteurs préparent
un PC entièrement sécurisé. Un moyen de rassurer les utilisateurs, mais
aussi de relancer le marché du matériel.
À l'avenir, le PC sera placé sous le signe de la sécurité ou ne sera
pas. Un éventail d'événements - les virus ILOVEYOU et Nimda, les
attentats du 11 septembre, le piratage croissant sur le Net, etc. -,
réveille les consciences et met la sécurité au coeur des préoccupations
de l'industrie. Résultat, les principaux acteurs s'allient et préparent
- pour 2004-2005 - une machine totalement modifiée avec, comme ligne de
conduite, la sécurité.
Que ce soit celle de l'utilisateur, des données, des échanges et, sans
surprise, des programmes commerciaux. Dans ce contexte, l'alliance la
plus connue est sans conteste TCPA (Trusted Computing Platform Alliance,
lire encadré), initiée par HP, Compaq, IBM, Microsoft et Intel, auxquels
se sont associés près de 200 acteurs de l'industrie.
Le consortium propose tout un lot de spécifications matérielles et
logicielles pour créer une machine sécurisée. Coïncidence ou non, TCPA
revient sous les feux de l'actualité avec un rapport sur la sécurisation
du cyberespace remis au président G. W. Bush. Il y prône, pour
l'Administration américaine, l'utilisation systématique des machines
TCPA, mais aussi de celles issues d'initiatives plus larges de «
Trustworthy Computing », ou informatique de confiance.
Dans ce cadre, deux annonces récentes d'Intel et de Microsoft
préfigurent ces innovations. Lors de son forum annuel, Intel a en effet
évoqué une nouvelle technologie, baptisée LaGrande, intégrée à ses
processeurs Prescott, fin 2003. LaGrande est conçue pour protéger les
ordinateurs des virus et des pirates par un jeu d'identification des
données et de chiffrement.
« Nous avons pris cette initiative parce que les utilisateurs commencent
à réaliser l'intérêt du e-commerce et des transactions sur Internet. Ils
commencent aussi à se poser des questions sur l'intégrité des données et
sur la confidentialité des informations transmises sur le Net ou
stockées sur leur PC », commente Oswalt Daven, porte-parole d'Intel.
Cette annonce intervient peu de temps après celle de Microsoft sur
Palladium.
Le robinet informatique
our Bernard Ourghanlian, directeur technique chez Microsoft France,
Palladium a pour objectif de créer au sein du PC une zone sécurisée
préservant l'intégrité des données, une sorte de DMZ (voir infographie).
Pour ce faire, ce jeu d'API crée un genre de coffre-fort dans lequel
seront stockées les données et applications critiques. Les données
stockées sur le disque dur seront chiffrées, tandis que les applications
critiques s'exécuteront dans une zone mémoire physiquement protégée.
Par un jeu de certifications, d'échanges de clés asymétriques,
symétriques et de sceaux, l'intégrité de ces applications et données
sera totalement préservée. Mais, pour en arriver là, il faut que les
parties matérielles et logicielles puissent communiquer, et ce, afin
d'effectuer les vérifications.
Reste que les PC de demain devront être entièrement compatibles avec
Palladium et LaGrande, ce qui implique pour Clain Anderson, directeur
des solutions de sécurité PC chez IBM, « une refonte du PC : un clavier
spécifique pour éviter le piratage de la frappe, des disques durs, un
jeu de composants vidéo entièrement revu, etc. »
En effet, outre les attaques extérieures, les technologies à l'oeuvre
contrôleront aussi tous les échanges de données au sein du PC. Palladium
ne réglera pas pour autant les problèmes du spamming et des attaques
virales.
« Seul un logiciel approuvé par l'utilisateur fonctionnera dans l'espace
sécurisé. Palladium assure que ce logiciel ne peut être infecté ou
attaqué par un virus. Il peut prouver à d'autres logiciels ou services
distants qu'il n'est pas infecté. En revanche, les antivirus seront
toujours nécessaires dans Windows », explique John Manferdelli,
directeur général de l'unité Microsoft Palladium Business.
Et pour cause, puisque les applications actuelles pourront toujours
fonctionner avec Windows, il en est de même pour les virus. Par
ailleurs, en nécessitant l'exécution d'applications spécifiques et
certifiées, Palladium impose, de facto, un contrôle accru des logiciels
installés et la gestion des droits numériques.
Néanmoins, Microsoft se défend de voir en Palladium une sorte d'espion
antipiratage. Même si, comme le reconnaît l'éditeur par la voix de John
Manferdelli, « Palladium ne gère pas les droits numériques et de copie,
il fournit une base de confiance sur laquelle bâtir cette gestion ».
Cette suspicion, qui vire à la polémique, est levée par Bernard
Ourghanlian. Pour lui l'objectif de Palladium et du Trusworthy Computing
est ailleurs, il est « que l'entreprise et l'utilisateur grand public
aient une confiance absolue dans leur informatique. Nous voulons que
l'usage de l'informatique soit aussi naturel que celui de l'électricité
ou l'eau ».
Certes, mais pour en profiter, il faudra de toute façon renouveler tout
le parc de PC et serveurs...
Le blindage Microsoft
Palladium sera optionnel. L'utilisateur pourra s'en passer... sauf s'il
souhaite utiliser une application ayant recours à Palladium. Microsoft
propose qu'à partir des clés stockées dans le SSC soient générées
aléatoirement des clés virtuelles, qui serviront aux échanges sécurisés,
afin d'éviter que l'utilisateur puisse être identifié.
Par défaut, les fichiers chiffrés sur un PC sont inexploitables
ailleurs. L'éditeur prévoit cependant d'intégrer différentes politiques
de sécurité, afin de permettre l'exportation de certaines données. Le
code source de Nexus sera publié. Toutefois, la question des droits à
payer sur les brevets portant sur Palladium n'est pas encore tranchée.
Palladium et TCPA
A l'issue des spécifications 1.1 de la Trusted Computing Platform
Alliance (TCPA), les cartes mères se voient affublées d'un jeu de
composants dédié au chiffrement des données et au stockage des clés
publiques. Chaque composant de la machine est identifié et reconnu, il
ne peut fonctionner qu'avec celle-ci.
Les similarités entre TCPA et le couple Palladium-LaGrande sont
nombreuses, mais pour Clain Anderson, directeur des solutions de
sécurité PC IBM, « l'aspect fondamental de TCPA est le contrôle d'accès,
alors que pour Palladium, c'est le contrôle tout court de tout ce qui
fonctionne avec. Néanmoins, il est vrai que la version 1.2 de TCPA sera
plus proche de Palladium. Mais l'objet est de fournir des fonctions en
plus ».
« Nimda a été la plus grande catastrophe de l'informatique »
Bernard Ourghanlian, directeur technique chez Microsoft France.
De janvier à août 2002, Microsoft a publié plusieurs versions d'un livre
blanc consacré à la sécurité « Building a Secure Platform for
Trustworthy Computing », ou bâtir une plate-forme pour l'informatique de
confiance.
Pour Bernard Ourghanlian, « ce virage a été pris à l'arrivée de Nimda,
qui pour nous a été comme une explosion. Nimda a été la plus grande
catastrophe de l'informatique. Même si tous les patchs étaient
disponibles avant que ce virus attaque, nous avons néanmoins pris
conscience de notre responsabilité envers les utilisateurs. Le programme
Trustworthy Computing vise à minimiser les risques. »
La plate-forme sécurisée repose sur quatre piliers : disponibilité
totale de la plate-forme ; sécurité face aux attaques ; contrôle de la
vie privée et responsabilité de l'éditeur envers ses clients. Pour le
mener à bien, quatre actions sont engagées : la sécurité du code des
logiciels (Secure by Design) ; la non-activation de certains services
(Secure by Default) ; un accompagnement dans le déploiement et, enfin,
une communication avec les consommateurs. Le tout résumé sous
l'abréviation SD3 + C.
Une sécurité logique et matérielle
Les applications courantes continueront de fonctionner dans Windows.
Celles compatibles avec Palladium font appel au Nexus, un bout de code
s'exécutant au niveau du noyau, chargé avec Windows.
Le Nexus est exécuté dans une zone mémoire physiquement protégée. Il se
charge du stockage sécurisé et communique avec le module matériel SSC
(Security Support Component).
Chargé du chiffrement, le module SSC contient une paire de clés privée
et publique RSA, une clé symétrique AES et un peu de mémoire. Il
identifie la machine. À terme, il pourrait être intégré au processeur,
grâce à la technologie LaGrande d'Intel.
--->
Shaka( Rudy)
Helpc list owner
<mailto:shaka.rudy@xxxxxxxxx> shaka.rudy@xxxxxxxxx
Other related posts:
- » [Helpc] L'industrie façonne un PC sécurisé
