{"id":455,"date":"2012-11-14T22:12:41","date_gmt":"2012-11-14T20:12:41","guid":{"rendered":"http:\/\/blog.nebule.org\/?p=455"},"modified":"2016-03-29T19:04:41","modified_gmt":"2016-03-29T17:04:41","slug":"tuer-lordinateur-pour-le-sauver","status":"publish","type":"post","link":"http:\/\/blog.nebule.org\/?p=455","title":{"rendered":"Tuer l’ordinateur pour le sauver"},"content":{"rendered":"

Un article fort int\u00e9ressant<\/a> du New York Times<\/a>, une biographie du Dr. Peter G. Neumann<\/a> ainsi que sa vision de la refonte de l’ordinateur et de son environnement.<\/p>\n

Voici ma r\u00e9interpr\u00e9tation de l’article. Je le trouve tr\u00e8s fouillis dans sa forme d’origine. Mais il y a du bon, et m\u00eame du tr\u00e8s bon \u00e0 retenir.<\/p>\n

Mr Neumann fait de la recherche pour le DARPA (USA) sur diff\u00e9rents domaines comme la s\u00e9curit\u00e9, cryptographie appliqu\u00e9e, survivabilit\u00e9 des syst\u00e8mes, fiabilit\u00e9, tol\u00e9rance aux erreurs, s\u00fcret\u00e9, m\u00e9thodes d’ing\u00e9nierie logicielle, syst\u00e8me dans l’ensemble, application des m\u00e9thodes formelles, et r\u00e9duction des risques.<\/p>\n

L’article part sur une note d’histoire avec cet accumulation de complexit\u00e9 au cours du temps dans tous les syst\u00e8mes. Pourtant, les r\u00e9seaux et syst\u00e8mes actuels n’ont pas fondamentalement \u00e9volu\u00e9s depuis 45 ans. Cette complexit\u00e9 et les failles qui en d\u00e9coulent ne d\u00e9pendent pas uniquement de la complexit\u00e9 des syst\u00e8mes, mais aussi de la complexit\u00e9 de leurs interactions. Cela a pour cons\u00e9quence directe un d\u00e9but d’\u00e9pid\u00e9mie de logiciels malveillants et une prise de conscience globale de la cyber-menace. Avec nos syst\u00e8mes actuels, nous en sommes \u00e0 boucher les trous de la digue avec nos doigts… pour d\u00e9couvrir qu’au fur et \u00e0 mesure de nouveaux trous apparaissent.<\/p>\n

<\/p>\n

Les personnes responsables de l’\u00e9volution du secteur informatique ne veulent pas entendre parler de complexit\u00e9, ils pr\u00e9f\u00e8rent les solutions rapides<\/em> et sales<\/em>. Bien que la recherche fasse beaucoup de progr\u00e8s, les entreprises suivent toujours les int\u00e9r\u00eats \u00e0 cours terme des actionnaires dont elles sont fort redevables. Cette sous \u00e9valuation de l’analyse de risque des syst\u00e8mes et\u00c2\u00a0de leur complexit\u00e9 va paradoxalement de paire avec une monoculture des syst\u00e8mes des postes de travail, des serveurs et des r\u00e9seaux. Le parall\u00e8le avec la biologie est int\u00e9ressant. La monoculture ne r\u00e9siste pas dans la nature. Les d\u00e9fenses ont plusieurs niveaux et acteurs dont certains sont \u00e0 auto-apprentissage. Mais la s\u00e9curit\u00e9, jadis parent pauvre de l’informatique, dispose aujourd’hui de beaucoup d’attention, de budgets cons\u00e9quents et d’une plus grande visibilit\u00e9 publique et politique.<\/p>\n

Le but est de repenser compl\u00e8tement l’ordinateur et le r\u00e9seau pour les rendre plus s\u00e9curis\u00e9s et plus r\u00e9siliants face \u00e0 aux menaces. Cette r\u00e9flexion s’appelle le clean slate<\/em>, repartir sur une bonne base<\/em>. Une partie concerne un poste de travail plus r\u00e9sistant aux attaque et capables de retourner rapidement dans un \u00e9tat stable une fois l’attaque d\u00e9tect\u00e9e. Une autre partie concerne la r\u00e9silience des services du r\u00e9seau autour de leurs missions.<\/p>\n

Une des approches de l’\u00e9quipe du Dr Neumann (tagged architecture) est une machine dans laquelle chaque donn\u00e9e est marqu\u00e9 cryptographiquement, c’est une signature. Si une signature est invalide, la donn\u00e9e est invalide est ne peut \u00eatre trait\u00e9e. Une deuxi\u00e8me approche (capability architecture) est la machine bas\u00e9e sur une architecture \u00e0 capacit\u00e9s. Chaque programme est dot\u00e9 de capacit\u00e9s d\u00e9clar\u00e9es \u00e0 utiliser tel composant ou tel librairie, le tout contr\u00f4l\u00e9 par une partie sp\u00e9cifique du processeur.<\/p>\n

Cet article est int\u00e9ressant sur plusieurs points. Le plus important \u00e0 mon sens est que le socle de base de notre informatique moderne n’est pas s\u00e9curis\u00e9, voir pas s\u00e9curisable. La preuve en est que, malgr\u00e9 une coop\u00e9ration internationale et beaucoup de recherches en cours, le nombre de nouveaux logiciels malveillants d\u00e9tect\u00e9s et les m\u00e9thodes de contournement des politiques de s\u00e9curit\u00e9 sont en constante progression. C’est le signe que nous n’avons pas encore endigu\u00e9 le probl\u00e8me.<\/p>\n

La complexit\u00e9 des syst\u00e8me, finalement, profite aux soci\u00e9t\u00e9s de d\u00e9veloppement et de support logiciel. Le client ne peut plus entretenir ou d\u00e9panner lui-m\u00eame son syst\u00e8me d’information, il devient d\u00e9pendant de soci\u00e9t\u00e9s tierces et donc de ses commerciaux. Complexit\u00e9, entente sur les prix, vente \u00e0 perte, distorsion de concurrence, brevets abusifs, terrorisme juridique, incompatibilit\u00e9s, monopoles, \u00e9cosyst\u00e8me unique et ferm\u00e9, R&D asthmatique, d\u00e9faillances programm\u00e9es, baisse des co\u00fcts \u00e0 tout prix… Le monde du commerce est en constante \u00e9volution et pas forc\u00e9ment \u00e0 l’avantage du consommateur. L’empire de Microsoft<\/em> a vraiment d\u00e9marr\u00e9 avec MS-DOS<\/em> et un march\u00e9 exclusif avec IBM<\/em>. MS-DOS<\/em> a \u00e9t\u00e9 un descendant de Q-DOS<\/em> (Quick & Dirty Operating System)… et l’anc\u00eatre des Windows<\/em> actuels, en situation de monop\u00f4le. A cette \u00e9poque, MS-DOS<\/em> a aussi \u00e9t\u00e9 un concurrent d’UNIX<\/em>, bien plus perfectionn\u00e9 mais tellement plus ch\u00e8re et complexe…<\/p>\n

Aujourd’hui, les syst\u00e8mes d’exploitation ont bien \u00e9volu\u00e9s. La s\u00e9lection naturelle<\/em> en a fait dispara\u00eetre quelques uns. MS Windows<\/em> ne doit plus avoir beaucoup de code h\u00e9rit\u00e9 de MS-DOS<\/em>. Les diff\u00e9rents UNIX<\/em> qui ont surv\u00e9cus conservent quelques outils des origines mais bien cach\u00e9s derri\u00e8re une interface graphique. De nouveaux syst\u00e8mes font leur entr\u00e9e dans notre environnement, des syst\u00e8mes hyper connect\u00e9s avec \u00e9cran tactile. Les monop\u00f4les industriels d’un temps sont bouscul\u00e9s par l’\u00e9volution des mat\u00e9riels et des pratiques. Mais la base de ces syst\u00e8mes est rest\u00e9 la m\u00eame. Et on retrouve d’ailleurs toujours les m\u00eames probl\u00e8mes, amplifi\u00e9s par l’hyper connectivit\u00e9.<\/p>\n

On trouve chez les utilisateurs un comportement assez curieux. Il y \u00e0 15 ans, quand un \u00e9quipement se bloquait ou posait probl\u00e8me on le faisait r\u00e9parer. Dans de rare cas, on haussait les \u00e9paules, une bonne baffe de bon fonctionnement et on se rappelait que l’\u00e9quipement \u00e9tait d\u00e9j\u00e0 \u00e2g\u00e9. Aujourd’hui, la plupart du temps, lorsqu’un ordinateur ou un t\u00e9l\u00e9phone plante, on le red\u00e9marrer… ou on contourne le probl\u00e8me. A part notre fourchette, en quels objets avons-nous enti\u00e8re confiance? Presque tous sont susceptibles de d\u00e9faillir ou d’avoir quelques probl\u00e8mes impromptus. L’anomalie est commune au lieu d’\u00eatre l’exception, l’anormalit\u00e9 devient la norme.<\/p>\n

Dans l’article, l’approche tagged architecture<\/em> ressemble \u00e0 nebule dans sa philosophie. Chaque objet peut-\u00eatre v\u00e9rifi\u00e9 \u00e0 tout instant et \u00eatre \u00e9cart\u00e9 en cas de corruption. L’autre approche, capability architecture<\/em>, ressemble \u00e0 ce que l’on retrouve par exemple sur l’android market<\/em> o\u00f9 chaque application doit d\u00e9finir ce \u00e0 quoi elle veut acc\u00e9der. Ne reste qu’\u00e0 ajouter un contr\u00f4le strict fait par un composant mat\u00e9riel.<\/p>\n

Le mat\u00e9riel est-il plus r\u00e9sistant que le logiciel? Les statistiques montrent qu’un programme d\u00e9velopp\u00e9 par un humain comporte en moyenne une erreur toutes les 100 lignes de code. Par exemple le noyau Linux compte aujourd’hui 15 million de lignes de code, la totalit\u00e9 de la distribution Debian en compte presque 420 million. Ce m\u00eame code grossit de fa\u00e7on exponentielle avec le temps et l’int\u00e9gration de nouvelles fonctionnalit\u00e9s. Le nombre de d\u00e9veloppeurs augmente presque dans les m\u00eames proportions, participant ainsi au ph\u00e9nom\u00e8ne d’acc\u00e9l\u00e9ration ressentit de notre soci\u00e9t\u00e9. Comment dans ce cas peut-on esp\u00e9rer endiguer les failles qui les affectent? Et pourtant, on trouve des syst\u00e8mes d’exploitation, et donc des programmes, dont le but avou\u00e9 est de consolider l’ensemble en ralentissant le d\u00e9veloppement, en prenant le temps de faire les choses bien d\u00e8s le d\u00e9but ou en prenant le parti de figer l’environnement pour mieux le ma\u00eetriser. C’est la philosophie de OpenBSD<\/em> et Debian Linux<\/em> par exemple. Mais ce n’est pas suffisant, d\u00e8s l’installation d’un logiciel et l’ouverture d’un service sur le r\u00e9seau, ou prend le risque qu’il comporte des failles et qu’il mettes en p\u00e9ril le reste du syst\u00e8me.<\/p>\n

Revenir vers des solutions mat\u00e9rielles, c’est dans l’air du temps. C’est palpable, c’est solide, c’est clairement d\u00e9finit, c’est rassurant. On, \u00e7a marche, off, c’est \u00e9teint. C’est une vision simpliste des choses, presque un discours commercial. Le mat\u00e9riel, c’est \u00e0 dire l’impl\u00e9mentation de certaines fonctions dans des puces fig\u00e9es plut\u00f4t que dans des programmes logiciels, a des contraintes et\u00c2\u00a0pose beaucoup de probl\u00e8mes. Il est beaucoup plus difficile d’impl\u00e9menter des fonctions logiques avanc\u00e9es dans une puce mat\u00e9riel. La solution la plus simple pour des mat\u00e9riels embarqu\u00e9s est d’inclure un microprocesseur avec du code \u00e0 c\u00f4t\u00e9. \u00c7a ne r\u00e9sout pas le probl\u00e8me de base qui est de supprimer le code logiciel. Refaire un traitement de texte ou un client de r\u00e9seau social dans une puce mat\u00e9riel est inimaginable tant les fonctions internes sont nombreuses et complexes. La cr\u00e9ation, la pr\u00e9paration minutieuse, la correction d’une nouvelle puce demande beaucoup de temps et de moyens. Et la logique de base est similaire \u00e0 celle utilis\u00e9e pour la conception d’un logiciel. Du fait de cette logique commune, la solution mat\u00e9riel pr\u00e9sente en fait exactement les m\u00eames probl\u00e8mes. Et puis, comment mettre \u00e0 jour une puce qui pr\u00e9senterait un d\u00e9faut de conception, et donc un d\u00e9faut de s\u00e9curit\u00e9? Retourner tous les \u00e9quipements d\u00e9fectueux \u00e0 l’industriel pour r\u00e9vision? Le tout mat\u00e9riel est utopique.<\/p>\n

L’informatique est omnipr\u00e9sente. Elle est partout autour de nous, visible sur notre t\u00e9l\u00e9phone ou cach\u00e9 dans la machine \u00e0 laver. Peut de choses de notre quotidien en est compl\u00e8tement ind\u00e9pendant. Si, subitement, ne serait-ce que un quart de tous ces programmes s’arr\u00eataient, notre soci\u00e9t\u00e9 s’\u00e9croulerait en quelques jours ou au mieux en quelques semaines. Les militaires chinois l’on compris il y a quelques ann\u00e9es d\u00e9j\u00e0. Ils ont r\u00e9alis\u00e9 que malgr\u00e9 leur grande population, les am\u00e9ricains pourraient les vaincre militairement en quelques semaines rien qu’en s’attaquant \u00e0 l’informatique. Des soci\u00e9t\u00e9s comme Nortel Networks<\/em>, employant des milliers de personnes, peuvent d\u00e9poser le bilan suite \u00e0 une corruption de leur syst\u00e8me d’information. Ce n’est pas que du virtuel. Nos soci\u00e9t\u00e9s ne peuvent pas faire l’impasse sur la s\u00e9curisation de leur syst\u00e8me d’information, nos \u00e9tats et ses citoyens non plus.<\/p>\n

L’hyper-connectivit\u00e9 est maintenant un \u00e9l\u00e9ment de base de nos t\u00e9l\u00e9phones. On atteint celui des ordinateurs personnels. Et cette hyper-connectivit\u00e9 commence \u00e0 s’\u00e9tendre \u00e0 tout notre environnement. La t\u00e9l\u00e9vision est connect\u00e9e \u00e0 internet. La domotique envahi la maison. Le r\u00e9frig\u00e9rateur saura bient\u00f4t passer commande tout seul. Tous ces \u00e9l\u00e9ments sont interconnect\u00e9s, augmentant encore la complexit\u00e9 de l’ensemble.<\/p>\n

Mais nous n’avons plus le choix, la digue doit tenir, co\u00fcte que co\u00fcte. Plusieurs sc\u00e9narios sont possibles.<\/p>\n

On peut essayer de continuer \u00e0 am\u00e9liorer nos syst\u00e8mes actuels, ou au moins de maintenir l’\u00e9quilibre. Jusqu’ici \u00e7a n’a pas fonctionn\u00e9 comme pr\u00e9vu.<\/p>\n

Peut-\u00eatre que le village globale<\/em> pourrait nous aider en supprimant les fronti\u00e8res, en lissant les l\u00e9gislations, en permettant une intervention de la police partout ou cela est n\u00e9cessaire et en assurant une justice identique quelque soit le lieu o\u00f9 l’on vit. Il faut consid\u00e9rer qu’\u00e0 court ou moyen terme, c’est utopique.<\/p>\n

En se basant sur le mod\u00e8le OpenBSD<\/em> et Debian<\/em>, on peut imaginer mettre en place volontairement une informatique \u00e0 deux vitesses. Qui sera en TGV? Qui sera en m\u00e9tro? La solution semble \u00e9vidente comme am\u00e9lioration de l’existant, mais est elle suffisante pour infl\u00e9chir la courbe de croissance des logiciels malveillants? Pas s\u00fcr.<\/p>\n

Redonner un droit de l’objet physique sur le code logiciel, ou tout au moins pour certains domaines, peut redonner un peu de confiance dans l’ensemble. Il permet aussi de retrouver des pratiques ancestrales de production, de vente et d’\u00e9change. A voir.<\/p>\n

Plus que l’ordinateur, repenser l’informatique dans son ensemble est aussi une des voies possible d’am\u00e9lioration. L’id\u00e9e de base des recherches du Dr Neumann est de repartir sur une nouvelle base, une base propre, la clean slate<\/em>. Recr\u00e9er un nouvel \u00e9cosyst\u00e8me informatique demande cependant beaucoup de r\u00e9flexions et de recherches pour ne pas retomber dans les travers du pass\u00e9, et donc des financements associ\u00e9s. Il faut ensuite r\u00e9-impl\u00e9menter une \u00e9mulation de tous les services actuels couramment utilis\u00e9s, re-financement. Esp\u00e9rer que le gain soit suffisamment important pour que l’industrie accepte de re-d\u00e9velopper en profondeur tous ses produits commerciaux et ses strat\u00e9gies de vente. Et enfin que l’utilisateur soit pr\u00eat \u00e0 se les approprier. Bref, c’est loin d’\u00eatre gagn\u00e9.<\/p>\n

Liens :
\n– http:\/\/www.nytimes.com\/2012\/10\/30\/science\/rethinking-the-computer-at-80.html<\/a>
\n– http:\/\/www.nytimes.com\/<\/a>
\n– http:\/\/www.csl.sri.com\/users\/neumann\/<\/a>
\n– http:\/\/www.schneier.com\/blog\/archives\/2012\/11\/peter_neumann_p.html<\/a>
\n– http:\/\/www.sri.com\/<\/a>
\n– http:\/\/cleanslate.stanford.edu\/<\/a>
\n– http:\/\/linuxfr.org\/users\/patrick_g\/journaux\/debian-ca-vaut-14-milliards-d-euros<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Un article fort int\u00e9ressant du New York Times, une biographie du Dr. Peter G. Neumann ainsi que sa vision de la refonte de l’ordinateur et de son environnement. Voici ma r\u00e9interpr\u00e9tation de l’article. Je le trouve tr\u00e8s fouillis dans sa forme d’origine. Mais il y a du bon, et m\u00eame du tr\u00e8s bon \u00e0 retenir. … Continuer la lecture de Tuer l’ordinateur pour le sauver<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[2],"tags":[],"_links":{"self":[{"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts\/455"}],"collection":[{"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=455"}],"version-history":[{"count":1,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts\/455\/revisions"}],"predecessor-version":[{"id":2326,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts\/455\/revisions\/2326"}],"wp:attachment":[{"href":"http:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=455"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=455"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=455"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}