Effets pervers du modèle de sécurité BitFrost de OLPC

OLPC : One Laptop Per Child (un portable par enfant)
est un projet lancé par des professeurs du MIT aux États-Unis qui a pour but de promouvoir un ordinateur portable à 100 dollars US
pour permettre à chaque enfant dans le monde l'accès à la connaissance et aux formes modernes d'éducation.
Déjà commandé à plus de 600 000 exemplaires,
il est principalement destiné aux pays où les moyens financiers,
l'infrastructure électrique et l'accès à Internet ne permettent pas d'utiliser du matériel classique.

L'ordinateur en lui même s'appelle le XO,
et il implémente un modèle de sécurité appelé BitFrost qui impose un certain nombre de principes adaptés aux utilisateurs
et aux infrastructures dans lesquelles le XO est censé être utilisé.

À l'occasion de la conférence UPSEC (USENIX Usability, Psychology and Security),
trois personnes ont publié un document qui analyse de façon pertinente les effets pervers de certaines des mesures de sécurité de BitFrost.

- OLPC sur Wikipedia
http://fr.wikipedia.org/wiki/One_Laptop_per_Child

- Chilling Effects of the OLPC XO Security Model (PDF)
http://www.cosic.esat.kuleuven.be/publications/article-1042.pdf

- Chilling Effects of the OLPC XO Security Model (HTML)
http://www.usenix.org/event/upsec08/tech/full_papers/patterson/patterson_html/

- DLFP : Bitfrost : Un nouveau modèle de sécurité
https://linuxfr.org//2007/02/15/22069.html

Ce qui suit est un rapide survol des points abordés par le document référencé:

1. Introduction
Afin d'éviter le vol, la dégradation, le piratage, l'accès aux données personnelles des XO,
un certain nombre de mesures ont été implémentées directement au niveau matériel
et logiciel au cœur de l'ordinateur.
Appelé BitFrost, ce modèle de sécurité part d'un bon sentiment mais a des conséquences
qui risquent d'aller à l'inverse des buts fixés.

2. Procédure d'attribution
Afin de limiter l'utilisation du XO aux personnes légitimes,
une procédure d'activation doit être jouée avant de pouvoir l'utiliser.
Le processus d'activation permet d'associer chaque ordinateur à une personne,
permet la création d'une identité numérique pour signer les échanges
et l'identification du propriétaire légitime en cas de vol.

Le premier démarrage de la machine doit se faire à portée d'un serveur d'activation/sauvegarde
(Ordinateur classique équipé du WiFi et d'Internet et qui a reçu les certificats correspondants aux XO reçus).
A cette occasion, la WebCam du XO prend une photo de l'enfant propriétaire
et lui demande de saisir son nom.
Ces informations forment une clef d'attribution appelée Identité Numérique (Digital Identity)
qui est conservée sur le XO, sur le serveur d'activation
et envoyé également sur le serveur de sauvegarde national.

Le serveur local sert ensuite de serveur de sauvegarde en utilisant une identification réciproque.
Les XO forment un réseau maillé dans lequel les machines servent de relais les unes aux autres
pour partager et propager l'accès à Internet.

L'identité numérique est utilisée pour identifier l'utilisateur dans toutes ses communications
(email, requêtes HTTP) afin d'éviter les messages anonymes et l'usurpation d'identité.

Tous les jours,
le XO se connecte au serveur d'activation national pour vérifier la légitimité de l'utilisateur ;
permettant de désactiver un ordinateur volé.
Si le serveur n'a pas pu être contacté pendant plus de 21 jours,
la machine se désactive également.

3. Limites du système
Voici les principaux points reprochés à ce modèle :
- A. Les données (Documents utilisateurs et identité numérique)
sont par principe sauvegardés sur le serveur national ;
l'enfant n'a pas le choix de l'entité à qui il veut les confier.
Toute compromission de ces serveurs entraîne la compromission de l'ensemble des XO du pays.
C'est la même entité qui gère l'identité et les sauvegardes des données utilisateurs.
L'usurpation des clefs du serveur de sauvegarde donne également accès
à toutes les informations des XO qui en dépendent.
- B. La compromission des serveurs entraîne la compromission des identités numériques,
permettant l'usurpation de toutes les identités récupérées.
- C. La signature systématique fait qu'aucun mécanisme de communication confidentiel n'est possible.
Les pays du tiers monde dans lesquels cette solution est prévue pour être déployée
sont sujets de façon chronique à la corruption et à l'ingérence ;
on peut imaginer qu'un gouvernement peu scrupuleux des libertés individuelles
n'hésitera pas à filtrer et punir les personnes tenant des propos critiquant le gouvernement ;
exprimant des propos politiques ou religieux non conformes.
Ce genre de loi existe dans plusieurs pays.
- D. Cette signature, toujours,
interdit l'utilisation des OLPC comme système de vote à bulletin secret.
- E. En cas de catastrophe naturelle ou de tout autre évènement entraînant la perte de la connexion internet
pour une longue durée, la limitation à 21 jours va entraîner la désactivation de tous les XO,
alors qu'ils pourraient justement permettre d'aider les gens.
- F. Les instances contrôlant les serveurs nationaux peuvent désactiver
comme ils le souhaitent n'importe quel XO pour n'importe quelle raison ;
opposition politique, représailles, etc.
Ce moyen de pression peut être utilisé sans aucun rapport avec l'éducation
ou l'utilisation prévue du XO et donne plus de pouvoir au gouvernement.
Le document insiste sur le fait que les victimes de telles mesures
touchent des enfants à un âge où l'on apprend à exprimer ses opinions
et où l'on est très sensible à la critique,
ce genre de mesure peut avoir des impacts importants sur le développement social des enfants.

4. Conclusion
Le document ne propose pas de solution magique,
mais invite à réfléchir sur ces implications
et sur les manques du modèle BitFrost afin de le compléter
ou de le faire évoluer en prenant en compte les différents sujets évoqués.

Actualités

Créer un forum

Forum de support