Le tatouage du Pentium III
Pour réagir à cet article, utilisez notre forum
Maj. du 09/12/99
I. L'ACCUSATION
Intel a annoncé que son nouveau processeur le Pentium III serait
équipé d'un numéro d'identification inscrit en dure dans
la mémoire de la puce.
Un numéro de série unique (sur 96 bits), appelé PSN (Processor
Serial Number) serait tatoué sur la puce au moment de sa fabrication.
Ce numéro étant censé faciliter le commerce électronique,
la protection des contenus et éviterait la fraude (vol de processeurs
et overclocking illégal à l'insu de l'acheteur) mais Intel reste
discret quand à la mise en oeuvre de cette dernière possibilité.
Ce qui devait-être l'innovation de l'année pour Intel, tourne vite au fiasco. L' affaire fait grand bruit outre-Atlantique et deux associations de consommateurs ont appelé au boycott des processeurs usant de ce dispositif.
A la suite du témoignage d'un utilisateur, on apprend que certains Pentium II équipant des PC portables comportaient déjà le tatouage d'identification ! Intel prétextant à « un test de fabrication en vue de la conception du Pentium III » et d'ajouter « Une ligne de fabrication défectueuse aurait échoué dans l'opération de désactivation et laissé le tatouage activé ».
D'après le magazine PC Expert, la présence du tatouage concerne également les processeurs Celeron. La plupart des portables et des machines équipés en PII 300MHz et 366MHz et Celeron de mêmes fréquences, sont concernés. Parmi les grandes marques on trouve notamment Dell, Compaq, Asus, Nec et Hewlett Packard.
IBM a annoncé, par une lettre au CDT (association de défense des libertés publiques) que le système d'identification serait désactivé par défaut au niveau des Bios (le programme de base du PC inscrit sur sa carte mère) sur ses machines.
Selon un document inédit de la Cnil (Commission nationale de l'informatique et des libertés)
c'est à la suite de directives européennes qu' Intel a été
contraint de faire marche arrière et d'annoncer que la désactivation
du tatouage sera rendue possible par voie logicielle, grâce au logiciel
PSN Utility.
Il refuse, pour des raisons de coûts invoqués, de modifier ses
processeurs afin de retirer le numéro de série de la puce in-situ.
Toutefois, la désactivation par défaut au niveau du Bios est effective
dans les PC (récents) destinés au grand public mais restera active
dans les Bios pour les machines professionnelles (mais désactivé
par défaut au niveau logiciel). Les PC professionnels étant déjà
soumis à de nombreux moyens de pistage : adresse IP permanente, login
du salarié sur le réseau de l'entreprise, etc.
Intel a dû se plier aux directives
de la Cnil, et notamment :
"L'activation de la procédure
d'identification doit nécessiter un acte volontaire" : pour l'activer l'utilisateur devra redémarrer
son ordinateur.
"L'utilisateur
doit-être informé en permanence de l'état de la procédure
d'identification" : Dans
la barre des tâches de Windows un voyant donne l'état de l'activation
(bleu pour le PSN actif, rouge pour PSN inactif).
"L'utilisateur doit-être informé de la demande
d'identification formulée par un service distant" : cette demande dépend de la politique de chaque
site Web et est difficilement contrôlable.
Mais de nombreuses annonces mettent à mal ce choix de désactivation logiciel. Des rumeurs enflent sur la possibilité de désactiver la protection logicielle c'est à dire la possibilité de réactiver à distance le PSN via l'Internet (uniquement en cas d'activation au niveau du Bios de la machine).
Selon le magazine allemand Computer Technology, un hacker peut activer ou désactiver à
distance le tatouage du Pentium III. Le magazine allemand a fait la démonstration
que ce système était vulnérable à une attaque extérieure.
Un représentant d'Intel, Tom Waldrop, a expliqué qu'un correctif serait diffusé
si cela était confirmé.
La technique utilisée est simple : Une commande ActiveX est envoyée
au navigateur de l'internaute victime, elle simule le plantage de sa machine
en affichant un écran bleu.
Croyant à un plantage, l'internaute redémarre sa machine. L'activeX profite d'une période d'environ 15 secondes pendant laquelle, le numéro de série est temporairement activé (le temps que l'utilitaire de désactivation se charge en mémoire) pour le récupérer et le sauvegarder dans un Cookie.
Ce dernier peut alors être transmis à tous les sites Web qui en font la demande !
II. LA PREUVE
Pour vérifier vous-même la présence du tatouage sur le Pentium
de votre PC et connaitre l'état du PSN dans le Bios de votre ordinateur,
vous pouvez télécharger l'utilitaire Wcpuid sur le site officiel
de l'auteur ou sur le site français de ZDNet qui propose des explications dans la langue de Molière.
III. LES REMÈDES
* L'utilitaire (gratuit) de contrôle du numéro de série d'Intel se trouve à l'adresse suivante pour chaque langue :
http://support.intel.com/support/processors/pentiumiii/snum.htm?iid=psncu+corpfr&
* Pour la France cliquez directement sur le lien suivant (919 Ko) :
ftp://download.intel.com/support/processors/pentiumiii/psfre103.exe
Après installation l'utilitaire désactive le numéro de série, et permet à l'utilisateur d'activer cette fonctionnalité s'il le désire.
* Utilisez les niveaux de sécurité de votre navigateur, moyen ou élevé, afin d'être averti lorsqu'un composant sensible (ActiveX, Applet Java, etc.) souhaite être téléchargé sur votre micro en même temps qu'une page Web anodine.
* Ce PSN peut-être intercepté et modifié avant sa transmission au réseau car le système d'interrogation du numéro n'est pas sécurisé.
Si vous connaissez un tel programme, écrivez-nous, nous le proposerons à nos lecteurs.
* Tous les accès à Internet, transitant par un serveur proxy (cache)
sont protégés. Dans ce cas c'est le PSN du serveur proxy qui voyagera
sur le réseau.
* Si vous achetez un Pentium III, demandez la désactivation au niveau du
Bios.
* Le mieux est d'envisager l'achat d'un AMD K7 dit « Athlon », qui est de
plus nettement plus performant qu'un Pentium III à même fréquence (env 10 %),
grâce a son architecture inspiré de l'Alpha et ne dispose pas de
numéro de série intégré à sa puce.
Et les autres OS ? Le magazine en ligne AMIGANEWS
a écrit à Jean-Louis
Gassé pour avoir sa position
concernant BeOS et le Pentium III. Sa réponse est claire : "Le système
d'identification sera désactivé par défaut sous BeOS".
Pour notre part nous avons envoyé un email à Intel pour avoir sa position sur les O.S. alternatifs (Linux, etc.) et notamment s'il comptait proposer un logiciel de désactivation du PSN sous d'autres O.S. que Windows, aucune réponse à ce jour...
IV. L'ANALYSE
Le numéro d'immatriculation du processeur (PSN) permet d'identifier une
machine connectée en réseau, mais seule la possibilité
d'accès à la base de données qui recense les utilisateurs
de ces ordinateurs permet d'identifier son propriétaire.
Hors, le numéro unique caché de Windows 98 (voir l'article sur 'Le mouchard de Windows 98') permet une telle identification, lors de l'enregistrement en ligne de l'OS, en créant une base de données des utilisateurs au siège de l'éditeur de Redmond.
La simultanéïté dans le temps de ces deux affaires peut laisser penser à une coalition entre les deux géants de l'informatique, l'un identifie les utilisateurs et l'autre, leur machine.
Ce système permettrait de pister non seulement une machine, mais aussi un individu sur Internet. Par exemple on pourrait déterminer que telle personne, passe son temps sur des sites dits « X », voire homosexuels ou pédophiles...
Le 24 novembre 1999, un rapport de la STOA (Scientific and Technological Options Assessments)
de l'Union Européenne nommé "Encryption and Cryptosystems
in Electronic Surveillance" confirme que le numéro de série
unique du Pentium III (le PSN) va à l'encontre des protocoles européens
concernant la sécurité. Selon ce rapport (disponible au format RTF
ou au format PDF),
le FBI et la NSA (National
Security Agency) mériteraient d'être
interrogés sur leur rôle vis-à-vis du PSN...Voilà qui
éclaire sans nul doute d'un jour nouveau, les véritables responsabilités
dans cette affaire, une fois de plus les éditeurs et constructeurs du
monde informatique sont priés de se plier aux exigences de la sécurité
nationale américaine mais ce sont eux qui paient les pots cassés
notamment en terme d'image.
V. DROIT DE REPONSE
Pour Intel, ce dispositif est la réponse exprimée
par un grand nombre de responsables informatiques, soucieux d'une meilleure
gestion de leur parc.
Le PSN était l'outil rêvé des pros du e-marketing : cela permettait aux serveurs Web d'authentifier les machines qui les interrogent et pour une plus grande sécurité des transactions financières sur le net. Cependant aucune certitude quand à la validité du numéro ne peut-être établi. Un patch peut intercepté et modifier ce dernier, rendant caduque cette assertion.
Ce dispositif permettrait également de limiter le piratage de logiciels en rendant une copie inutilisable sur plusieurs ordinateurs en liant numéro de série et numéro d'identification.
Le numéro permet de marquer chaque processeur de façon infalsifiable, et pourrait dissuader les vols de processeurs. C'est la seule utilisation rationnelle de ce procéder.
Pour plus de précisions, vous trouverez ici, une lettre d'explication du point de vue d'Intel.
Et en cliquant ici, la politique générale d'Intel en matière de respect de la vie privée et de protection des données personnelles informatisées.
DD.
Les marques et logos mentionnés sont déposés par leurs propriétaires respectifs