Amutable - Une entreprise nouvellement fondée par un développeur de systemd et le mainteneur du VFS Linux

Réactions sur Hacker News

• Bonjour, ici Chris, CEO d’Amutable. Je suis très enthousiaste à propos de ce projet. Si vous avez des questions, je serai ravi d’y répondre.
• Je ne pensais pas que la guerre autour de l’informatique générale finirait par s’étendre jusqu’au cœur de l’écosystème open source.
  Vu le parcours des personnes impliquées, ça ressemble surtout à un nouveau projet où le profit passe avant tout. Même les réponses des fondateurs sonnent comme du langage d’entreprise très classique.
  Plutôt que des phrases comme « j’ai aimé le FOSS toute ma vie », j’aurais voulu entendre de vraies mesures de protection contre les risques. Au final, je pense qu’il y a de fortes chances que ce genre de technologie devienne un outil hostile aux utilisateurs.
  • Moi aussi, je pense que je pourrais tolérer un petit appareil attesté (attested device). Par exemple, si une banque dit : « Nous ne savons pas quels programmes tournent sur votre appareil, donc nous ne pouvons pas assumer la responsabilité des transactions », je peux le comprendre.
    Bien sûr, je n’achèterais pas moi-même ce type d’appareil. Mais si une banque ou Netflix fournissait un terminal dédié à son propre service, cela ne me dérangerait pas de n’y accéder que par ce biais.
  • En voyant la landing page, la direction semble assez claire. En tant qu’individu, il n’y a pratiquement rien que je puisse faire pour l’empêcher, et il n’y a même pas de consensus pour dire que c’est une mauvaise chose.
    Parfois, je me dis que c’est presque une chance d’être techniquement ignorant : au moins, je n’ai pas à porter la responsabilité de ces technologies fondamentales.
  • Vérifier l’intégrité d’un système ne signifie pas automatiquement que son propriétaire perd le contrôle.
    Ce type d’attestation de bout en bout (e2e attestation) peut être utile dans les infrastructures d’entreprise ou publiques. Ce serait bien si des ATM ou des systèmes de transport avaient ce niveau d’intégrité.
    Le point essentiel est de savoir si le propriétaire du matériel peut gérer lui-même les clés. Si c’est le cas, je pense que c’est une excellente technologie.
• L’attestation à distance (remote attestation) fonctionne parce qu’il existe, dans une zone sécurisée du CPU, une clé privée gravée en usine.
  Cette clé reçoit un certificat du fabricant et sert d’identifiant unique avec la clé publique. En collaborant avec un intermédiaire, il devient donc possible de suivre les utilisateurs.
  Il existe bien des tentatives pour renforcer l’anonymat, mais en croisant les bases de données, on peut au final rétablir l’identité.
  De plus, si l’on extrait des clés depuis un appareil compromis ou avec l’aide d’un initié, on peut aussi produire de fausses attestations. Le principe est quasiment le même que pour les systèmes DRM.
  • J’achète ce genre d’appareil directement en liquide. Les gens détestent le cash mais se plaignent d’être traqués. Donner son numéro de téléphone à tout le monde, c’est le même problème.
  • Les protocoles d’attestation anonyme sont déjà standardisés. Voir par exemple Direct Anonymous Attestation.
  • Je ne vois pas très bien quel est exactement le modèle de menace ici. Je me demande s’il existe un risque concret pour les utilisateurs individuels, ou si l’on parle surtout de cas d’usage en entreprise.
• J’aimerais qu’on n’intègre pas de technologie d’attestation dans les distributions Linux. C’est, par essence, une technologie qui transfère la confiance à un tiers.
  Dans les environnements mobiles, des entreprises s’en sont déjà servies pour exclure les utilisateurs et leur nuire. Je ne veux pas d’un monde où nous ne possédons plus vraiment les appareils que nous avons achetés.
  • Le côté positif, s’il y en a un, c’est que cela passera probablement par systemd, et que cela pourrait justement déclencher un fork qui débarrasserait le système d’éléments inutiles.
    Les tentatives pour transformer Debian en clone de Red Hat suscitent déjà des réactions hostiles.
  • Pour les entreprises du matériel comme l’IoT ou la robotique, l’attestation est une fonction de sécurité essentielle. Si les distributions fournissaient un paquet standard pour cela, ce serait une aide considérable pour l’industrie.
  • C’est déjà inclus dans Android, qui est la distribution Linux la plus répandue.
  • Je ne suis pas d’accord. Nous faisons déjà confiance à des tiers. Ces tiers peuvent être, par exemple, les développeurs d’une distribution.
    L’important, c’est la possibilité de choisir. Il faut pouvoir désactiver l’attestation au niveau matériel et la configurer comme une option lors de l’installation.
    Il serait plus productif de discuter de la manière de l’implémenter dans un esprit FOSS.
• Cette technologie pourrait aggraver encore le problème évoqué dans « Can You Trust Your Computer? » de GNU. Je me demande s’il existe un plan pour éviter cela.
  • Je suis Aleksa, ingénieur fondateur chez Amutable. Le modèle que nous envisageons repose sur une architecture où l’utilisateur contrôle entièrement ses propres clés.
    C’est bien préférable, non seulement pour la liberté de l’utilisateur, mais aussi pour la sécurité en entreprise. En tant que personne engagée dans le FOSS depuis toujours, je n’ai aucune intention de contribuer à ce type de problème.
  • Si la moitié des fondateurs viennent de Microsoft, alors la réponse me semble déjà évidente.
  • Réaction sarcastique : « Donc au final, nous avons vraiment matérialisé le Torment Nexus des vieux romans de science-fiction. »
• En tant qu’utilisateur Linux de longue date, j’ai tendance à désactiver Secure Boot. L’installation du pilote DisplayLink avait échoué, donc je suis retourné dans les paramètres UEFI pour le couper.
  C’est moins sûr, mais avoir le contrôle total est plus important pour moi. Je m’inquiète de voir, à l’avenir, des “systèmes d’attestation complets” devenir obligatoires pour accéder à des services en ligne.
  • Secure Boot n’étend la chaîne de confiance, côté firmware, que jusqu’au premier binaire UEFI.
    Aujourd’hui sous Linux, on ne vérifie que jusqu’au kernel, et ensuite l’initrd et l’espace utilisateur ne sont pas vérifiés.
    Dans son état actuel, Secure Boot n’est guère plus qu’un mécanisme qui vous pousse à faire confiance aux clés de Microsoft plutôt qu’un véritable dispositif de sécurité.
    En revanche, si une vérification complète des signatures de code devenait possible, Linux pourrait lui aussi atteindre un niveau de sécurité comparable à celui des OS commerciaux.
• Je n’accepterai jamais que d’autres entités contrôlent le code exécuté sur un appareil qui m’appartient, qu’il s’agisse de clients ou d’actionnaires.
  • Dès l’instant où l’on utilise systemd, on a déjà abandonné une part du contrôle. Cette époque restera dans l’histoire comme un tournant où la liberté a commencé à être grignotée.
• Maintenant, je sais quelle technologie va me gâcher la vie d’ici cinq ans : l’attestation dans le kernel.
  • Il est frappant de voir le mouvement open source passer de « incluons aussi les entreprises dans le mouvement du logiciel libre » à « ce n’est pas grave si les entreprises monopolisent la direction de l’OSS ».
• L’attestation à distance est, en soi, une technologie qui ne restreint pas intrinsèquement la liberté logicielle. Mais voici des cas où elle a déjà servi à restreindre cette liberté :
  • contrôle d’intégrité des smartphones (SafetyNet / Play Integrity / Apple DeviceCheck)
  • HDMI/HDCP
  • DRM de streaming (Widevine / FairPlay)
  • Secure Boot (basé sur des clés de fournisseurs)
  • authentification des cartouches d’imprimante intégrée à la puce
  • formats de fichiers propriétaires et effets de réseau
  • Je suis contre. Dans la pratique, il y a eu de nombreux dommages causés par le contrôle des entreprises, mais je n’ai jamais été victime d’une attaque de type « evil maid ». Cette technologie n’est pas faite dans l’intérêt des utilisateurs.
  • Je me demande pourquoi il n’existe pas, à l’inverse, une technologie permettant d’attester la façon dont un serveur traite les données des utilisateurs.
  • À l’inverse, Mullvad étudie justement l’attestation à distance pour permettre aux utilisateurs de vérifier les serveurs. Lien associé
  • Les intentions des auteurs sont peut-être bonnes, mais quelqu’un finira forcément par en abuser. Je me demande s’il serait possible de le restreindre par licence, comme la GPLv3.
  • J’ai moi aussi des sentiments mitigés. C’est nécessaire pour sécuriser des serveurs distants ou des appareils personnels, mais le problème commence quand cela devient un moyen de coercition.
    Pour l’instant, comme il y a peu d’utilisateurs Linux, la menace reste limitée, mais si ce type de contrôle d’intégrité était imposé sur le web, l’accès même aux services pourrait être restreint.
    Cela dit, l’IA pourrait aussi automatiser les efforts de contournement de ce type de mesures anti-utilisateur et aider à restaurer le contrôle des utilisateurs.
• systemd a résolu plusieurs problèmes de Linux, mais il semble maintenant vouloir aller vers des distributions entièrement basées sur des images et des images kernel unifiées signées.
  Cela limite le droit de l’utilisateur à modifier son système, et si l’on perd l’« état signé », on pourrait même se retrouver privé d’accès à Internet.
  Quand on voit Poettering travailler chez Microsoft, on a l’impression qu’il y a un mouvement visant à transformer Linux en OS de type électroménager.
  • Cette approche ne sera probablement utilisée que pour certains cas très spécifiques. En pratique, il est impossible qu’elle soit imposée à tout Linux.
  • Nous avions déjà averti que systemd n’était qu’un début.
  • Le Linux actuel est en grande partie maintenu grâce au soutien des grandes entreprises. Sa complexité et sa structure centrée sur les entreprises en sont le résultat.
    Mais c’est aussi grâce à ces financements que Linux a pu se développer. Au final, il n’y a pas de repas gratuit.
  • Je ne comprends pas la logique qui consiste à participer à ce genre de projet hostile aux utilisateurs tout en se convainquant que c’est « pour le bien ».
    Que Poettering soit impliqué dans cette direction ne me surprend pas. J’y vois une attaque contre l’informatique libre.