derecho a reparar
Produits et Services PRODUITS & SERVICES

Les experts en cybersécurité se battent pour défendre le droit-de-réparer

Les fabricants et les utilisateurs se livrent une bataille concernant le droit de réparer un produit, et les entreprises de technologie utilisent les nombreux défis que représente la cybersécurité comme une arme de dissuasion. 

Aux États-Unis, les États ont envisagé une législation concernant le droit de réparer qui permettrait aux utilisateurs de réparer leurs propres appareils, ouvrant ainsi l’accès à des pièces certifiées et à de la documentation technique. Il s’agit d’une réaction face aux mesures prises par des fabricants tels qu’Apple pour verrouiller le processus de réparation via des partenaires agréés.

Plus tôt cette semaine, la Démocrate Susan Talamantes Eggman, de l’Assemblée de l’État de Californie, avait retiré le projet de loi sur le droit de réparer de l’examen par le Privacy and Consumer Protection Committee de l’État, car il n’avait pas le soutien nécessaire. Elle a accusé des lobbyistes du secteur de l’industrie d’avoir mis à mal le projet de loi, en déclarant à Motherboard :

Les fabricants ont suffisamment mis en doute les revendications, plutôt vagues et dépourvues d’analyse, concernant les préoccupations en matière de vie privée et de cybersécurité.

Vie privée, sécurité et préjudice

Selon le site, des éditeurs et des associations du secteur de l’industrie ont fait pression sur les législateurs pour faire valoir que le droit de réparer était une mauvaise idée. Apple a averti que les personnes essayant de réparer leur propre iPhone pourraient endommager la batterie et se blesser.

Le groupe industriel CompTIA a également approché les législateurs avec une lettre tirant la sonnette d’alarme en matière de cybersécurité. Il les a avertis que le fait d’offrir ce droit de réparer au grand public pourrait nuire à la sécurité des produits. Des affirmations similaires avaient été faites par ce même groupe en mars 2017, quand il avait envoyé une déclaration à la législature du Nebraska pour protester contre un éventuel projet de loi sur le droit de réparer dans cet État. La lettre destinée au Nebraska indiquait que les pirates essayaient constamment de pénétrer dans des appareils, en ajoutant que :

Tout affaiblissement des normes actuelles, y compris le partage d’outils sensibles de diagnostic et des données matérielles propriétaires, pourrait exposer les clients à des risques.

Pas vraiment, disent les professionnels de la cybersécurité. En novembre dernier, le journaliste technologique Paul Roberts a fondé securerepairs.org, un groupe de défense des droits qui soutient la législation sur le droit de réparer. Cette semaine, le groupe a annoncé le soutien de plus de 20 stars de la cybersécurité, qui se prononceront pour une législation sur le droit de réparer à travers les États-Unis.

Parmi ces derniers, on compte Bruce Schneier, “technologue d’intérêt public” et expert en cybersécurité, membre du conseil d’administration de l’Electronic Frontier Foundation (EFF), et Katie Moussouris, CEO de Luta Security. Dan Geer, le RSSI d’In-Q-Tel, la branche à but non lucratif de la CIA, est également de la partie, tout comme Chris Wysopal, CTO de Veracode et ancien membre du collectif L0PHT. L0PHT était un groupe de hackers d’élite qui avait témoigné devant le Congrès américain en 1998, l’avertissant rapidement des dangers de ne pas sécuriser les produits et services connectés. Nous savons tous comment cela s’est passé par la suite.

Dans une lettre ouverte datant de février dernier, Joe Grand, fervent défenseur de securerepairs.org, a expliqué pourquoi l’argument de la cybersécurité, mis en avant par les éditeurs, ne l’impressionne pas. Grand, qui était membre de L0PHT avec Wysopal, est également un ingénieur informaticien expérimenté dans la conception et la fabrication de matériel informatique.

Il a déclaré :

Lors de la mise en œuvre de la sécurité avec les meilleures pratiques actuelles, dans la plupart des cas, l’accès physique à un périphérique n’affaiblira pas la sécurité, en particulier pendant les opérations de réparations classiques. Les appareils dotés d’une approche, en matière de sécurité, digne de ce nom, isoleront les composants essentiels à la sécurité dans une zone physiquement protégée et avec un accès contrôlé.

Il cite la technologie Secure Enclave d’Apple, qui stocke les secrets en matière de sécurité du hardware, ainsi que des mesures similaires, au niveau du processeur de la part d’Intel, qui stocke les données de sécurité hardware dans un module de plateforme sécurisée (TPM).

En fait, il affirme que le fait d’ouvrir le droit de réparer et de donner accès aux pièces et à la documentation d’origine réduit le risque de compromission.

Ceux qui réparent des appareils peuvent être innocents et involontairement associés à une attaque malveillante, en ayant été contraints d’obtenir des composants à partir de sources non vérifiables et de qualité douteuse.

Un long chemin à parcourir

Des initiatives positives ont récemment été lancées et vont dans le sens des défenseurs du droit de réparer. En octobre, le Library of Congress and Copyright Office a créé une dérogation à la loi DMCA (Digital Millennium Copyright Act), permettant ainsi aux utilisateurs de contourner les TPM et autres verrous électroniques au niveau des smartphones et des systèmes domestiques à des fins de maintenance ou de réparation. Ainsi, vous ne serez pas mis en prison pour avoir piraté votre propre puce Apple T2.

Néanmoins, les défenseurs du droit de réparer ont encore un long chemin à parcourir.

L’utilisation de la cybersécurité comme argument contre le droit de réparer soulève également une autre question : qu’en est-il des correctifs logiciels ? Les correctifs sont une sorte de réparation censée rendre les logiciels plus sûrs. Ils proviennent normalement de l’éditeur du logiciel, mais si ce dernier ne publie pas de correctif ou si le programme arrive à la fin de sa période de support, est ce que d’autres personnes peuvent être autorisées à créer des correctifs pour leur logiciel propriétaire ?

Que pensez-vous des effets de la réparation faite par l’utilisateur au niveau de la cybersécurité ? Les fabricants doivent-ils faciliter la réparation de leurs produits en publiant de la documentation technique et en vendant des pièces certifiées aux clients, ou ont-ils raison de garder leurs secrets de réparation techniques bien protégés ?


Billet inspiré de Cybersecurity experts battle for right to repair, sur Sophos nakedsecurity.

Qu’en pensez-vous ? Laissez un commentaire.

Your email address will not be published. Required fields are marked *