1 points par GN⁺ 2023-07-28 | 1 commentaires | Partager sur WhatsApp
  • La proposition Web Environment Integrity de Google est présentée comme un moyen de rendre l’environnement du navigateur « fiable », mais elle est en réalité considérée comme visant à neutraliser les bloqueurs de publicité (ad blockers)
  • Elle est structurellement similaire à Palladium, que Microsoft avait tenté d’intégrer à Vista avant d’y renoncer, et des technologies d’attestation et d’intégrité pourraient être détournées pour imposer des DRM et bloquer des applications concurrentes
  • L’idée s’inspire de l’API Play Integrity (SafetyNet) d’Android, mais son efficacité est mise en doute car les utilisateurs root et de ROM personnalisées la contournent déjà facilement
  • Si elle était adoptée, des banques comme Chase pourraient exiger Secure Boot ou l’interdiction des bloqueurs de publicité comme condition de paiement, faisant craindre un retour au web fermé du début des années 2000
  • Comme pour Palladium autrefois, il serait possible de bloquer la tentative de Google par la régulation et la pression

Nature et intentions de Web Environment Integrity

  • La proposition Web Environment Integrity de Google est officiellement destinée à vérifier si l’environnement du navigateur est « digne de confiance », mais son objectif réel serait de faire disparaître les bloqueurs de publicité
  • L’auteur précise d’emblée qu’il travaille chez Microsoft, sans être lié à Windows ni à Edge, et qu’il s’agit d’une opinion personnelle fondée sur sa propre compréhension, pas d’une expertise exhaustive sur la technologie

Similarités avec Microsoft Palladium

  • Web Environment Integrity ressemble fortement à Palladium, que Microsoft voulait intégrer à Vista
    • Palladium était une tentative de renforcer la sécurité de Windows en ajoutant l’attestation (attestation) et l’intégrité (integrity)
    • Mais il pouvait aussi servir à imposer des DRM à l’échelle du PC et à bloquer des applications concurrentes « non fiables » comme Firefox
    • À l’issue du long et douloureux cycle de développement de Vista, Palladium a été abandonné, ce qui a permis la sortie de Vista
  • Palladium a ensuite été renommé « Next-Generation Secure Computing Base », même s’il est resté connu sous le nom de Palladium
    • Certaines fonctions ont bien été déployées, comme BitLocker, l’UEFI Secure Boot (Windows 8) et l’exigence de TPM (Windows 11), mais elles peuvent être désactivées ou contournées

Inspiration de l’API Play Integrity et réalité du contournement

  • Google s’est inspiré de l’API Play Integrity (SafetyNet) d’Android
    • Cette API est souvent utilisée pour empêcher les appareils rootés d’utiliser certaines applications comme Netflix, Google Pay ou des apps bancaires
  • Après root, les utilisateurs de ROM personnalisées comme LineageOS masquent déjà le root aux applications malveillantes pour passer les contrôles
    • Google Pay est utilisé au quotidien même sur un OnePlus 11 équipé d’une build non officielle de LineageOS
    • Il est aussi facile de contourner le système sur des appareils Pixel de Google comme le Pixel 7, ce qui amène à se demander si Google mesure à quel point Play Integrity est couramment percé
  • À moins d’autoriser uniquement des binaires Chrome officiellement signés, il n’existe aucun moyen d’empêcher la modification de Chromium pour falsifier le contrôle

Inquiétudes en cas d’adoption par les banques et la fintech

  • De tels précédents existent déjà sur le web actuel, avec Chase Bank par exemple
    • Chase affirme que seuls Windows ou Mac sont « requis » et bloque l’accès depuis BSD et Linux-on-ARM sans modification du user agent
    • Si cela ne fait pas la une, c’est parce que Chase autorise Linux-on-x86 et Chrome OS, chacun au-delà de 2 à 3 % de part de marché
    • En pratique, il est possible de se connecter à Chase.com depuis un portable Fedora sans aucune modification
  • Si Chase adoptait Web Environment Integrity
    • la banque pourrait imposer à ses clients le pire du web du début des années 2000, tout en exemptant peut-être Chromebook et les distributions Linux grand public pour éviter une contestation
    • elle pourrait aller plus loin et rendre Secure Boot et la suppression des bloqueurs de publicité obligatoires pour les paiements de carte de crédit ou de prêt immobilier
    • cela ne concernerait pas seulement Chase : ce serait vrai pour toutes les banques, et encore plus grave pour les fintechs qui imposent leur propre application pour le support client ou le paiement des factures (ex. : X1 credit card)

Régulation et pistes de réponse

  • Si Web Environment Integrity était introduit, tous les gouvernements devraient réguler Google, Apple, Microsoft et l’adtech par tous les moyens possibles
    • Il faudrait ajouter des exigences d’unbundling afin que n’importe quel navigateur puisse être attesté, sauf s’il s’agit d’un malware manifeste
  • À l’époque de l’UEFI Secure Boot sous Windows 8, Linux n’a pas été exclu
    • Des pressions ont été exercées sur Microsoft pour signer les distributions Linux, avec en toile de fond les craintes antitrust liées à la disparition de Linux sur desktop
    • De la même manière, il serait possible de contraindre Google à autoriser de petits navigateurs comme Vivaldi ou Tor Browser

Perspectives et conclusion

  • Il vaudrait mieux que l’API Web Environment Integrity disparaisse dans une branche Chromium abandonnée, comme Palladium
    • On suppose même que le code source pré-reset de Windows Longhorn, qui concurrençait Palladium, subsiste encore quelque part sur un serveur Azure DevOps oublié
  • Cette bataille n’est pas perdue d’avance
    • Il existe un précédent : malgré les immenses ressources de Microsoft, de l’industrie du PC, ainsi que de la NSA et de la MPAA, Palladium a pu être bloqué
    • En s’y opposant fermement, il serait aussi possible d’empêcher la tentative anti-utilisateur de Google autour de Web Integrity

1 commentaires

 
GN⁺ 2023-07-28
Avis de Hacker News
  • Dire que la bataille contre Palladium a été gagnée était en réalité une victoire à la Pyrrhus. Microsoft a appliqué cette idée à la XBox et à Azure Sphere, et elle revient maintenant, avec l’intégration de Pluton, sous forme de futures exigences matérielles Windows pour les postes de travail sécurisés
    https://www.microsoft.com/en-us/security/blog/2020/11/17/mee...
    Ceux qui s’intéressent surtout au monde UNIX ne se rendent probablement pas bien compte que leur prochain PC pourrait embarquer un CPU Pluton
    https://www.thurrott.com/hardware/260917/here-come-the-first...

    • Ce n’est pas pour rien que beaucoup de gens s’intéressent à RISC-V
    • À ma connaissance, AMD a dit qu’il n’activerait pas les fonctionnalités Pluton par défaut, et que les clients entreprises pourraient les activer s’ils en avaient besoin
  • Le problème ici, c’est que la plupart des gens s’en fichent. Hier soir, autour d’un verre, j’ai expliqué la situation à ma petite amie ; même si elle est une universitaire de haut niveau dans un autre domaine, avec une solide formation en mathématiques et en logique, elle n’a pas vraiment dépassé le stade de : « pourquoi est-ce un problème si les choses que j’utilise continuent de fonctionner ? »
    Comme il s’agit d’un risque hypothétique, je comprends sa réaction, mais les effets secondaires sont globalement négatifs et la nature du web ouvert est en danger. Les gens ne voient toujours que le chemin sûr au milieu de la forêt, pas le monstre qui surgira deux pas derrière eux pour les dévorer

    • Pour les personnes qui demandent « pourquoi est-ce un problème si les choses que j’utilise continuent de fonctionner ? », le plus simple est d’aborder la question sous l’angle de l’argent. En mettant de côté l’idéologie, l’utilité pratique, la sécurité et la surveillance, il suffit de leur demander ce qu’elles penseraient si, à partir de demain, chaque fois qu’elles achètent un ordinateur comme un iPad, un téléphone, un PC ou un Mac, elles devaient payer l’équivalent de 100 dollars en monnaie locale pour un tampon d’approbation, puis 10 dollars par mois pour renouveler une licence d’attestation
      Obtenir ce tampon ne serait pas obligatoire et l’ordinateur continuerait de fonctionner normalement, mais certains sites web seraient bloqués. Au début les sites bancaires, puis les sites de streaming, puis les services de commande de repas, et au final la plupart des grands services passeraient derrière un mur tant que vous n’auriez pas payé
      Cette infrastructure devra être construite et maintenue, et elle ne sera pas gratuite ; il est donc probable que les FAANG, ou les opérateurs des services d’attestation, facturent les utilisateurs du service, et que ce coût soit répercuté sur l’utilisateur final
    • J’ai autrefois été un jeune sans-abri fuyant une secte, et sans le logiciel je n’aurais pas pu m’en sortir. Des choses comme WEI consistent surtout à réguler qui peut utiliser le logiciel ; si WEI avait existé à l’époque, je pense que j’aurais pu mourir
      La partie « ouverte » est vraiment importante parce qu’elle signifie que toute personne compétente peut contribuer. Une universitaire dotée d’une solide formation en mathématiques et en logique devrait comprendre ce que non seulement l’industrie, mais aussi la science elle-même, peuvent perdre quand une autorité, comme une Église, s’arroge le rôle d’arbitre de qui a le droit de travailler
    • La plupart des gens n’ont ni les compétences ni les informations nécessaires pour s’en préoccuper. Quand nous adoptons un médicament, nous ne nous basons pas sur l’avis de « la plupart des gens », et nous n’adoptons pas non plus des technologies potentiellement nocives sur la seule base de l’opinion d’un public mal informé
      C’est pour cela qu’il existe des régulateurs et diverses institutions, qui doivent rester informés et vigilants en permanence. Ils ne devraient pas agir uniquement après une explosion de colère du public
      Le problème, c’est la capture réglementaire, et le fait que ces institutions échouent dans leur mission de protéger les intérêts de ceux qui les financent. Ce n’est pas un problème technique, mais un problème touchant aux fondements de la démocratie et de la gouvernance ; si l’on ne veut pas s’en soucier, autant arrêter de voter et accepter de vivre dans une oligarchie d’entreprises
    • L’ambiance « pourquoi est-ce un problème si ce que j’utilise continue de fonctionner ? » existe dans beaucoup de domaines. À l’échelle individuelle, c’est le cas de la santé, un peu comme le choix d’un enfant qui voudrait manger des frites et de la glace tous les jours. Dans l’éducation aussi, il voudrait passer toute la journée devant des jeux vidéo et des vidéos TikTok qui captent son attention
      À l’échelle d’un pays, cela devient : pourquoi aider l’Ukraine ou Taïwan, pourquoi réduire notre empreinte carbone ? Les canalisations en plomb fonctionnaient bien, l’amiante fonctionnait bien, fumer semblait acceptable, mais au bout du compte ce n’était pas le cas
      Les effets de second ordre exigent de l’expérience et de l’éducation, et les gens comprennent mal les liens de causalité quand les conséquences ne sont pas immédiates
    • On peut toujours dire : « Tu es sûre que ça va continuer à fonctionner ? Il existe un site entier qui recense les produits tués par Google ; pourquoi penses-tu que ce que tu utilises est si spécial qu’ils ne le tueront jamais ? »
      Bien sûr, il y a de fortes chances que cette nuit-là, tu finisses par dormir sur le canapé
  • Il est insensé que les technologies numériques occidentales soient désormais entièrement dominées par quelques sociétés de publicité. Les conflits d’intérêts avec les objectifs sociaux et économiques sont énormes, et la solution est simple et naturelle.
    Le fait qu’un problème aussi grave ne soit pas traité avec l’attention prioritaire et les moyens qu’il mérite en dit plus sur l’état du système politique américain que l’épisode de l’homme à cornes prenant d’assaut le Capitole.

    • À y réfléchir un peu, c’était presque prévisible. La publicité est le seul moyen, ou le plus efficace, de monétiser n’importe quel appareil numérique. Les annonceurs ont donc des intérêts dans pratiquement toutes les technologies numériques connectées à Internet, et peuvent exploiter chaque domaine comme source de revenus publicitaires supplémentaires.
      À cette échelle, les seuls concurrents significatifs sont d’autres sociétés de publicité, et personne d’autre ne peut monétiser arbitrairement des appareils numériques aussi efficacement.
      C’est pourquoi il faut agir politiquement, et efficacement ; et c’est bien que l’article d’origine l’ait souligné. C’est un peu comme rappeler aux gens de voter lorsqu’on parle des résultats des élus.
      À part la publicité, quelle activité peut affirmer sans risque : « peu importe la technologie numérique que nous inventons, tant qu’elle devient populaire, nous pouvons gagner des montagnes d’argent » ? À mes yeux, cela ressemble presque au slogan d’une entreprise technologique dominante. Les nombreux échecs des assistants domestiques en sont un exemple frappant : ils étaient populaires, mais les entreprises tech n’ont pas trouvé comment insérer de la publicité dans l’expérience utilisateur, donc elles n’ont pas gagné d’argent.
    • Les grandes entreprises tech américaines contrôlent largement le récit autour des évolutions technologiques et, vu depuis l’industrie du jeu vidéo, les États-Unis ressemblent déjà à une société où l’on gagne avec l’argent, donc ce n’est pas surprenant. La suite devrait l’être davantage.
      Par exemple, soit l’IA dépassera la capacité des États-Unis à dominer le récit numérique occidental et chaque pays aura son propre récit numérique, soit le vainqueur de la guerre technologique et économique entre les États-Unis et la Chine prendra ce rôle. J’aimerais qu’il existe une troisième option, mais pour l’instant les autres hypothèses paraissent dépassées.
    • Les médias grand public étant eux aussi des plateformes publicitaires, il n’est pas surprenant que ce problème ne soit ni discuté ni résolu.
    • Je me demande si la solution est vraiment aussi simple et naturelle.
  • J’ai grandi en Inde, et la majorité de la population n’a pas accès au matériel le plus récent. Si les sites web commencent à adopter ce type de changement, beaucoup de gens seront coupés d’Internet.
    La plupart appartiennent à des communautés marginalisées. L’Inde a une longue histoire de discrimination fondée sur la caste, et ce changement pourrait limiter encore davantage les ressources en ligne accessibles à ces communautés, au point de réduire à néant les progrès accomplis jusqu’ici. C’est absurde.

    • Les téléphones Android et iOS vendus ces dernières années intègrent déjà des choses comme ARM TrustZone ou Secure Enclave. C’est déjà là.
      L’écrasante majorité des internautes indiens utilisent le mobile, et Xiaomi ainsi que d’autres OEM chinois dominent le marché. Ils vendent des téléphones qui tombent en panne au bout d’un ou deux ans et dont les mises à jour OTA sont médiocres. Certains rétrogradent leur version ou utilisent des ROM personnalisées, mais la plupart achètent un nouveau téléphone tous les deux ou trois ans, voire chaque année. Même les plus pauvres achètent parfois un iPhone à crédit. Et il n’est même pas nécessaire d’acheter un appareil cher : n’importe quel téléphone certifié GMS sorti ces dernières années dispose déjà de ce qu’il faut.
      Les vrais ordinateurs sont pour la plupart des machines préassemblées ou des ordinateurs portables, et depuis 2013 ils intègrent Secure Boot. La dernière version de Windows sans TPM obligatoire ne sera plus prise en charge en 2025, et Microsoft poussera les gens à mettre à niveau.
      Ce sont de vieux appareils. Si un ordinateur portable est sorti au cours des quatre dernières années, il pourra accéder au nouveau web fermé, donc le remplacer ne sera pas si difficile.
      Au contraire, j’espère que cette « fin d’Internet » arrivera très vite. Ainsi, les gens s’en rendront compte. Il faut qu’un jour, ils se réveillent avec l’accès au web bloqué sur leurs appareils coûteux. Si cela avance comme une eau qui chauffe lentement, il sera encore trop tard pour l’empêcher.
    • La vraie restriction arrivera probablement dans 10 ans, peut-être 15. Au fond, c’est un plan de long terme pour rendre le monde pire, pas une idée improvisée. D’ici là, les gens n’auront-ils pas renouvelé leur matériel ?
  • Il est important de noter que si l’on peut « tromper » SafetyNet/Play Integrity, c’est à cause de la compatibilité avec les anciens appareils. Le niveau le plus strict de Play Integrity, MEETS_STRONG_INTEGRITY, ne peut pas être falsifié sur les appareils dont le bootloader est déverrouillé.
    Si ce n’est pas encore un gros problème aujourd’hui, c’est parce que peu d’apps l’exigent, et qu’il existe encore beaucoup d’anciens appareils dépourvus du matériel nécessaire ou avec une version d’Android trop ancienne pour le valider.
    Dans quelques années, le nombre d’appareils non déverrouillés mais incompatibles avec MEETS_STRONG_INTEGRITY aura suffisamment diminué, et les apps commenceront à l’exiger. Cela signera probablement la fin du déverrouillage du bootloader pour la plupart des utilisateurs qui le pratiquent encore.

    • Avec cette API, on dirait qu’ils veulent « corriger » ce contournement dès le départ en exigeant une attestation matérielle.
  • Si l’on parle de la FSF sur ce sujet, impossible de ne pas mentionner Right to Read de Stallman.
    https://www.gnu.org/philosophy/right-to-read.html
    Le texte a été écrit il y a 26 ans, et il vaut la peine de le relire pour voir à quel point il a vu juste.

  • L’un des « problèmes » que cela cherche à résoudre est que les annonceurs « doivent savoir » si la personne qui voit la publicité est un humain plutôt qu’un robot.
    Mais c’est beaucoup trop unilatéral. Dans ce cas, les utilisateurs devraient aussi avoir le droit de savoir si la responsabilité de leur montrer cette publicité incombe à un humain plutôt qu’à un robot. Bien sûr, la réalité n’est pas ainsi. Cette approche mettra l’ennemi, c’est-à-dire l’utilisateur, à genoux, et donnera uniquement aux annonceurs accès à l’automatisation et à la vérification d’intégrité.
    Peu de gens s’opposeraient vraiment à voir des publicités pour des outils électriques sur un forum de bricolage, ou des publicités pour des outils de développement sur Stack Overflow. Le problème, c’est d’être bombardé d’arnaques évidentes, de jeux mobiles saturés de microtransactions, de casinos en ligne et de choses qui ne m’apportent rien en tant que consommateur. Google devrait peut-être se concentrer davantage sur la vérification du consommateur, c’est-à-dire de l’intégrité des annonceurs.

  • Je ne pense pas que ce sera facilement abandonné. Google a certes l’habitude d’abandonner des projets, mais cela s’applique rarement à ce qui est directement lié à la vente de publicité dans la recherche.

    • Ils reviendront avec un nouveau nom comme Privacy Environment Integrity, façon Privacy Sandbox ou Topics.
  • Je pensais que les dirigeants du monde s’opposeraient plus ouvertement au fait que les libertés de leurs citoyens et les leurs soient restreintes unilatéralement par une entreprise américaine qui semble avoir respiré à pleins poumons des relents d’autoritarisme.

  • Je ne suis pas sûr que les bloqueurs de publicité soient un si gros problème pour Google. Ils ne sont notamment pas très utilisés sur mobile, et le monde bascule clairement vers le mobile
    Sait-on à combien est estimé l’impact financier des bloqueurs de publicité ?
    La fraude publicitaire me semble être un problème bien plus important. Certains diront peut-être que la fraude publicitaire n’est pas le problème de Google, mais elle lui cause quand même du tort
    Ou alors il y a peut-être une troisième raison qui ne me vient pas à l’esprit. Le blocage des pubs paraît trop marginal. Ne serait-ce pas simplement pour renforcer davantage son monopole du suivi des utilisateurs ?

    • Google est une régie publicitaire. C’est sa principale source de revenus, et le reste existe en grande partie pour faire croître cette activité. Bloquer les bloqueurs de publicité et les clients alternatifs colle parfaitement à l’objectif business de diffuser davantage de publicités
      Et franchement, même si l’objectif était de lutter contre la fraude publicitaire, je m’en moque. Ce n’est pas mon problème, et pourquoi devrais-je payer le prix d’un problème créé par Google au départ, afin que Google gagne encore plus d’argent ? S’ils veulent vraiment empêcher la fraude publicitaire, qu’ils arrêtent la publicité. Problème réglé
    • Aujourd’hui, les bloqueurs de publicité ne sont pas énormes, mais Safari sur iOS et Samsung Browser sur Android les prennent en charge. Que se passerait-il si Apple ou Samsung décidaient d’intégrer un bloqueur de publicité par défaut ? Google se prépare à des mouvements futurs
      D’autres navigateurs ont déjà pris les devants sur l’anti-tracking et le contrôle des cookies tiers, ce qui a affecté le modèle économique de Google. Google a donc créé Chrome, investi pour que les gens le préfèrent, l’a mis en avant sur ses propres sites, et a créé un jardin clos avec Chrome Sync et Passwords
      Ensuite, en faisant en sorte que se connecter à Gmail connecte aussi à Chrome, ils ont commencé à l’utiliser pour réduire la confidentialité. Même si un site n’utilise pas Google Ads, ils suivent les sites visités et s’en servent pour améliorer la publicité
      Sur Android, le seul gestionnaire de mots de passe limité à son propre navigateur est celui de Google, et ce n’est pas un hasard
    • Ils font tout un scandale autour des bloqueurs de publicité, comme l’industrie du cinéma avec le piratage de films. Ils disent perdre des « millions » parce que quelques personnes le font, mais ils gagnent quand même des « milliards »
    • Ils rejettent simplement sur les bloqueurs de publicité le scandale actuel autour de Google Ads, à savoir la falsification de rapports publicitaires fournis aux clients
      C’est Google qui a manipulé les données, ils n’ont qu’à s’en prendre à eux-mêmes
    • Il y a plus en jeu que les bloqueurs de publicité. Depuis que le potentiel économique des grands modèles de langage et de l’IA en général est devenu évident, les scrapers web sont devenus un gros problème. Les acteurs établis peuvent vouloir rendre plus difficile pour leurs concurrents de faire tourner leurs propres bots