Avec l'iPhone, « sécurité » est le nom de code pour « contrôle »
samedi 8 mars 2008 :: Articles
Acheter un iPhone ne revient pas au même qu'acheter une voiture ou un grille-pain. Vous recevez votre iPhone avec une liste compliquée de règles sur ce que vous pouvez ou ne pouvez pas faire avec. Vous ne pouvez pas y installer des application tierces non homologuées. Vous ne pouvez pas le déverrouiller et l'utiliser avec l'opérateur téléphonique de votre choix. Et Apple est très sérieux au sujet de ces règles : une mise à jour logicielle publiée en septembre 2007 effaçait les logiciels non autorisés et, dans certains cas, rendait inutilisables les téléphones déverrouillés.
On dit qu'ainsi l'iPhone devient aussi utile qu'une « brique » et Apple ne s'en est pas excusé le moins du monde.
Les entreprises informatiques veulent plus de contrôle sur les produits qu'elles vous vendent et elles ont recours à des mesures de sécurité incroyablement draconiennes pour y parvenir. Les raisons sont économiques.
Le contrôle permet à une entreprise de limiter la concurrence sur des produits auxiliaires. Avec des ordinateurs Mac, n'importe qui peut vendre un logiciel qui fasse n'importe quoi. Mais Apple en arrive à décider qui peut vendre quoi pour l'iPhone. Apple peut encourager la concurrence quand il le veut et se réserver une position de monopole quand il le veut. Et il peut dicter ses conditions à toute entreprise qui voudrait vendre des logiciels ou des accessoires pour l'iPhone.
Au final, les bénéfices d'Apple en sont accrus. Mais le principal bénéfice à tirer de tout ce contrôle d'Apple est qu'il accroît le "menottage" (NdT : le terme anglais est « lock-in », qui pourrait aussi se traduire par « verrouillage » ou « captation », j'ai préféré « menottage » pour aller dans le sens de Richard Stallman lorsqu'il parle des effets nocifs des DRM). Le « menottage » est un terme économique pour signifier la difficulté de changement pour un produit concurrent. Pour certains produits, le cola par exemple, il n'existe pas de menottage. Je peux boire du Coca aujourd'hui et du Pepsi demain : aucun problème. Mais pour d'autres produits, c'est plus difficile.
Par exemple, changer de traitement de texte, demande d'installer un nouveau logiciel, d'apprendre une nouvelle interface et un nouveau jeu de commandes, de convertir tous les fichiers (qui peuvent ne pas être proprement convertis) et les applications sur mesure (qui nécessitent certainement d'être réécrites), voire d'acheter éventuellement du matériel plus récent. Si je ne suis plus satisfait du Coca, même pour un instant, je changerai : ce que Coca a appris à ses dépends en 1985 lorsqu'ils ont changé leur formule et lancé sur le marché le « Nouveau Coca-Cola ». Mais je devrai être sacrément dégoûté par mon traitement de texte depuis un bon bout de temps avant de seulement envisager de dépenser tant d'énergie et d'argent pour en changer.
Le menottage n'est pas nouveau. C'est la raison pour laquelle les fabricants de consoles de jeux veillent à ce que leurs cartouches ne fonctionnent pas sur d'autres consoles, et c'est pourquoi ils peuvent vendre les consoles à perte et faire des profits uniquement en vendant des jeux. C'est la raison pour laquelle Microsoft ne veut jamais (NdT malgré ce qu'ils prétendent) ouvrir ses formats de fichiers pour que d'autres applications puissent les lire. C'est la raison pour laquelle la musique achetée chez Apple pour votre iPod ne marchera pas sur d'autres marques de baladeurs. C'est la raison pour laquelle les compagnies de téléphones cellulaires des États-Unis se sont battues contre la portabilité des numéros. C'est la raison pour laquelle Facebook attaque toute entreprise qui tente de grappiller ses données pour les mettre sur un site web concurrent. Cela explique les programmes des compagnies aériennes pour les grands voyageurs, les cartes de fidélité des supermarchés et le nouveau programme de récompense de Coca-Cola (NdT : My Coke Rewards).
Avec un menottage suffisant, une entreprise peut protéger ses parts de marché même lorsqu'elle diminue sa qualité de service, augmente ses prix, refuse d'innover ou maltraite sa base de clients. Il ne faut pas s'étonner si cela rappelle à tout le monde son expérience vis-à-vis des entreprises informatiques : lorsque ce secteur a découvert le menottage, tout le monde a commencé à imaginer comment en profiter le plus possible.
Les économistes Carl Shapiro et Hal Varian ont même prouvé que la valeur d'une entreprise informatique est la somme du menottage qu'elle pratique. Voici le principe : imaginez, par exemple, que vous avez 100 personnes dans une entreprise qui utilise MS Office pour un coût de 500 € par personne. Si cela coûte moins de 50000 € à l'entreprise de migrer vers Open Office, ils le feront. Si cela coûte plus que 50000 €, Microsoft augmentera ses prix.
La plupart du temps, les entreprises augmentent leur menottage via des mécanismes de sécurité. Parfois le menottage est perpétué par des brevets, mais le plus souvent il s'agit de protection contre la copie, des DRM (NdT : Digital Restriction Management), du code signé ou d'autres mécanismes de sécurité. Ces fonctionnalités de sécurité ne correspondent pas à ce qu'on entend habituellement par sécurité : elles ne nous protègent d'aucune menace extérieure, elles protègent les entreprises contre nous.
Microsoft fait des projets sur ce type de mécanisme de sécurité basé sur le contrôle depuis des années. Initialement appelée Palladium et maintenant NGSCB (Next-Generation Secure Computing Base), l'idée est de fabriquer un système de sécurité basé sur le contrôle dans le matériel informatique. Les détails sont complexes mais cela donne des choses qui vont d'autoriser un ordinateur à ne se lancer que depuis une copie autorisée du système d'exploitation, jusqu'à interdire à l'utilisateur d'accéder à des fichiers ou de lancer des logiciels « non autorisés ». Les bénéfices concurrentiels pour Microsoft sont gigantesques.
Bien entendu, ce n'est pas ainsi que Microsoft fait la publicité de NGSCB. Ils le présentent comme une mesure de sécurité, protégeant les utilisateurs contre les vers, chevaux de Troie et autres logiciels malveillants. Mais le contrôle n'équivaut pas à la sécurité. Et ce genre de sécurité basée sur le contrôle fonctionne très difficilement, et nous rend souvent plus vulnérables que les autres menaces. C'est peut-être pourquoi Microsoft est tranquillement en train de tuer NGSCB (nous avons BitLocker, et nous pourrions avoir d'autres fonctionnalités de sécurité du même genre) malgré l'immense investissement consenti par les fabriquants de matériel lorsqu'ils ont incorporé des composants de sécurité spécifiques dans leurs cartes mères.
Dans mon dernier article, je discutais du débat entre sécurité contre vie privée et comment il s'agit en fait d'un débat entre sécurité contre contrôle. Nous voyons ici la même dynamique à l'oeuvre, mais dans un environnement commercial. En confondant contrôle et sécurité, les entreprises sont capables d'imposer des mesures de contrôle qui agissent contre nos intérêts en nous convainquant qu'elles le font pour notre propre sûreté.
En ce qui concerne Apple et l'iPhone, je ne sais pas ce qu'ils vont faire. D'un côté, il y a ce rapport disant qu'il existe plus d'un million d'iPhones déverrouillés, ce qui coûte à Apple entre 300 et 400 millions de dollars. D'un autre côté, Apple projette de publier ce mois-ci (NdT : février 2008) un kit de développement logiciel, amorçant un virage à 180° par rapport aux restrictions imposées par le passé et permettant à des éditeurs tiers d'écrire des applications pour l'iPhone. Apple essayera de garder le contrôle via une clé secrète applicative qui sera exigée de la part de toute application tierce "officielle", mais qui bien entendu a déjà fuité.
Et la course aux armements de sécurité continue...
Article original de Bruce Schneier, traduit par Gérald Sédrati-Dinet et publié ici avec l'aimable autorisation de l'auteur. Bruce Schneier est directeur technique de BT Counterpane et l'auteur de "Beyond Fear: Thinking Sensibly About Security in an Uncertain World" (Au-delà de la peur : penser raisonnablement à la sécurité dans un monde incertain). D'autres de ses écrits sont consultables sur son site web.