URL: https://linuxfr.org/users/eingousef--2/journaux/point-d-etape-sur-le-materiel-et-nos-libertes-partie-2 Title: Point d'étape sur le matériel et nos libertés partie 2 Authors: eingousef Date: 2016年10月26日T00:49:03+02:00 License: CC By-SA Tags: wifi, matériel, matériel_libre et open_hardware Score: 29 Voilà, j'ai bien parlé de TALOS, j'ai bien parlé des CPU, maintenant passons au Wi-Fi. Je suis nul en machins juridiques, je ne suis pas exégète professionnel ni même amateur alors je vais vous dire ce que j'ai compris, débrouillez-vous avec ça. Le Wi-Fi, comme toutes les technos de communication par ondes radio, utilise des bandes de fréquences du spectre électromagnétique. Ces bandes de fréquences étant disponibles en quantités limitées, elles sont allouées à certains usages, par les États. Certaines bandes sont totalement réservées (par exemple à la défense, à l'aviation civile, aux secours en mer, à l'aérospatiale, etc), d'autres sont disponibles plus ou moins librement, parfois sous des licences plus ou moins restrictives. Dans tous les cas, il y a un certain nombre de normes à respecter. En effet, le principal problème des communications par ondes radio est qu'elles sont soumises aux interférences, il faut donc s'assurer que l'exploitation de celles-ci se fait dans un certains cadre, par exemple en ne débordant pas sur des fréquences non-autorisées, ou en ne dépassant pas une certaine puissance d'émission. Depuis des années, la FCC ([Federal Communications Commission](https://en.wikipedia.org/wiki/FCC)), un organisme fédéral américain de régulation des télécommunications (une sorte d'équivalent de ARCEP + CSA chez nous), cherche à empêcher par tous les moyens une utilisation non-autorisée des fréquences radio accessibles via les équipements informatique grand public. Par exemple en faisant pression sur les fabricants d'ordinateurs pour qu'ils n'incluent que des cartes avec firmware non-libre dans leurs produits, voire pour qu'ils [incluent dans leur BIOS une fonctionnalité malveillante](https://libreplanet.org/wiki/Group:Hardware/Mini_PCIe_slot_restrictions_on_wireless_cards) interdisant l'utilisateur de changer sa carte Wi-Fi pour un modèle plus respectueux de sa liberté. Depuis, la FCC fait pression sur les autorités américaines et européennes pour soumettre les équipements radio grand public à encore plus de restrictions. En mai 2014, la Radio Equipment Directive [2014/53/EU](http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX%3A32014L0053) a été adoptée dans l'UE (j'étais encore parti pour dire que les américains avaient commencé et que l'Europe avait suivi, mais cette fois il semblerait que ce soit le contraire, en tout cas si je m'en tiens à la chronologie) dont le but est d'harmoniser les régulations du spectre de fréquences et d'en améliorer la sécurité. La plupart des mesures édictées dans ce texte ne sont pas contestées par les libristes. Une mesure particulière cependant est contestée, l'article 3.3(i) : > "[...] radio equipment supports certain features in order to ensure that software can only be loaded into the radio equipment where the compliance of the combination of the radio equipment and software has been demonstrated". Selon divers constructeurs et organisations, cette mesure impliquerait que tout appareil radio dont le fonctionnement est dépendant d'un logiciel (typiquement : firmware) capable de modifier les caractéristiques de l'antenne (bande de fréquence, puissance...) en-dehors de son cadre d'exploitation légal doit être équipé de mesures techniques empêchant l'utilisateur de modifier le logiciel, c'est-à-dire en gros que ce firmware doit être non-libre et signé par le constructeur, avec une clé gravée dans le silicium pour vérifier la signature. Cette technique de signature des firmwares pour restreindre la liberté de l'utilisateur est déjà largement employée dans d'autres cas (signature du bootloader dans les smartphones, signature du firmware dans certaines cartes graphiques, signature du kernel dans un tristement célèbre lecteur de salon, signature des binaires les plus intrusifs dans les BIOS des cartes mères, etc.), mais c'est la première fois que je la vois évoquée pour du matériel wifi, et c'est la première fois à ma connaissance qu'elle est rendue obligatoire (et donc imposée à tous les vendeurs) par une restriction légale. La directive en question est entrée en vigueur le 12 juin 2016 et les pays membres ont un an pour la mettre en application. Depuis, la FCC a apparemment fait appliquer des restrictions similaires aux États-Unis (apparemment le nom du truc serait Notification of Proposed Rule Making (NPRM) on modular transmitters and electronic labels for wireless devices), au cours du deuxième semestre 2015. Les passages problématiques seraient l'[article 2.1033, paragraphe 4(i)](https://www.federalregister.gov/documents/2015/08/06/2015-18402/equipment-authorization-and-electronic-labeling-for-wireless-devices#p-256) :> For devices including modular transmitters which are software defined radios and use software to control the radio or other parameters subject to the Commission’s rules, the description must include details of the equipment’s capabilities for software modification and upgradeability, including all frequency bands, power levels, modulation types, or other modes of operation for which the device is designed to operate, whether or not the device will be initially marketed with all modes enabled. The description must state which parties will be authorized to make software changes (e.g., the grantee, wireless service providers, other authorized parties) and the software controls that are provided to prevent unauthorized parties from enabling different modes of operation. Manufacturers must describe the methods used in the device to secure the software in their application for equipment authorization and must include a high level operational description or flow diagram of the software that controls the radio frequency operating parameters. The applicant must provide an attestation that only permissible modes of operation may be selected by a user. et [article 2.1042, paragraphe 8(e)](https://www.federalregister.gov/documents/2015/08/06/2015-18402/equipment-authorization-and-electronic-labeling-for-wireless-devices#p-318) :> Manufacturers of any radio including certified modular transmitters which includes a software defined radio must take steps to ensure that only software that has been approved with a particular radio can be loaded into that radio. The software must not allow the installers or end-user to operate the transmitter with operating frequencies, output power, modulation types or other radio frequency parameters outside those that were approved. Manufacturers may use means including, but not limited to the use of a private network that allows only authenticated users to download software, electronic signatures in software or coding in hardware that is decoded by software to verify that new software can be legally loaded into a device to meet these requirements. Il est probable que tous les constructeurs finissent par se plier à cette mesure, même s'ils sont hors des USA et de l'UE, car sinon ils se priveraient d'un marché important (et aucun autre pays n'a pris de décision contradictoire, donc qui peut le plus peut le moins). La question que vous vous posez alors sûrement est la suivante : l'Europe et les USA viennent-ils d'interdire le logiciel libre ? Oui et non. Théoriquement il est toujours possible d'acheter des appareils dépourvus de modules radio et de les utiliser avec du logiciel libre. De ce point de vue-là la réponse est non. Cependant, il faut reconnaître qu'il est difficilement concevable, aujourd'hui, de faire son informatique en se passant complètement de transmissions sans fil et donc de modules radio (typiquement wifi). De ce point de vue-là, la réponse dépend de celle donnée à la question qui suit : L'Europe et les USA viennent-ils d'interdire d'utiliser un module radio avec du logiciel libre ? Là aussi, oui et non. Théoriquement, il serait possible de concevoir un module wifi dont toutes les restrictions légales seraient incluses dans le hardware, ou incluses de façon logicielle dans une puce ne permettant pas la mise à jour de ce logiciel. De ce point de vue-là, la réponse est non. Mais en pratique, cela demanderait un travail si complexe et ces modules seraient tellement chers à produire que de tels produits sont inimaginables à l'heure actuelle. De plus, la tendance de l'industrie ces dernières années est très clairement de déplacer de plus en plus de fonctionnalités dans le firmware, souvent pour des raisons techniques compréhensibles. En effet, au fur et à mesure que les mondes de l'électronique et de l'informatique progressent, et alors que les nouvelles normes de transmission sans fil se complexifient de plus en plus et sont de plus en plus difficiles à implémenter, les constructeurs ont tout intérêt à implémenter un maximum de mécanismes de façon logicielle. Il ne fait donc aucun doute que pour respecter la loi, un fabricant préfèrera charger un firmware dans le module radio et le signer en gravant la clé dans le matériel, plutôt que d'implémenter toutes les restrictions légales d'utilisation du spectre directement dans le matériel. Procéder autrement tiendrait très certainement du suicide commercial. De ce point de vue-là la réponse est oui. Enfin, il faut préciser qu'il s'agit d'une interdiction sur la vente. Il reste légal d'utiliser des équipements sans fil doté d'un firmware non signé. Si j'ai bien compris il devrait aussi être possible, de distribuer des modules wifi avec un firmware non signé, tant qu'on ne les vend pas (mais ça ne me semble pas super viable comme modèle économique). La possibilité de continuer à assurer les quatre libertés de l'utilisateur dans un tel contexte relève donc a priori de l'utopie. C'est à ma connaissance de jeunot sorti de l'œuf la première fois qu'on assiste à une interdiction légale des quatre libertés sur un logiciel (en général, je ne parle pas des cas où on est effectivement obligé d'utiliser un logiciel non-libre précis, comme du code non-libre sur un site gouvernemental, ou bien [cette obligation d'utiliser Windows pour payer ses impôts en Slovaquie](https://fsfe.org/campaigns/eura-slovakia/eura.en.html)). Et cette restriction concerne une trentaine de pays très influents. C'est très inquiétant. Pourquoi les politiciens ont-ils accepté de voter des telles mesures liberticides ? Certaines personnes prêtent des intentions machiavéliques au lobbyistes de la FCC, qui auraient présenté les dangers du non-respect des normes radio (rappelons que les signaux radio sont utilisés par l'aviation civile, l'armée, les secours, etc, et leur bon fonctionnement est crucial dans des domaines critiques pour la sécurité des individus), et que l'argument du "pensez aux enfants" l'aurait emporté. D'autres ne prêtent aucune mauvaise intention à la FCC et mettent le texte liberticide sur le dos de l'incompétence crasse des politiciens. La FCC elle-même se défend de toute intention malveillante et prétend qu'elle n'a aucune intention d'impacter le logiciel libre ou les libertés de l'utilisateur. Quoi qu'en prétendent les différentes parties impliquées, le texte est là, il est voté, et il est potentiellement dangereux. L'un des principaux acteurs à avoir réagi est la FSFE. Dans un article sur la "[Radio Lockdown Directive](https://fsfe.org/activities/radiodirective/index.fr.html)", il expliquent le problème. La FSFE souligne notamment le fait que l'utilisateur n'a pas le contrôle de son logiciel, alors que le constructeur a le contrôle du logiciel de l'utilisateur. C'est un point important à prendre en compte : dans le cas d'une puce en lecture seule, le logiciel n'est pas modifiable, mais ni l'utilisateur ni le constructeur ne peuvent le modifier. Dans le cas d'un firmware signé, l'utilisateur ne peut pas le modifier, mais le constructeur le peut. Il y a là une asymétrie dangereuse entre le développeur et l'utilisateur. La FSFE mentionne également l'incompatibilité de cette loi avec la GPLv3 (qui interdit la tivoïsation). Les constructeurs utilisant un firmware sous GPLv3 pour leurs modèles devront réécrire un firmware pour leur prochains modèles de modules sans-fil. La FSFE mentionne aussi les réseaux sans fil construits autour de la libre et saine compétition permise par le logiciel libre dans le domaine de réseaux sans fil. Des organismes comme France-wireless, Tetaneutral, Freifunk, FunkFeuer, Guifi.net, pourraient en pâtir (après j'avoue que je ne sais pas si ces organismes ont pour politique de n'utiliser que du logiciel libre dans leurs équipements). La FSFE répond enfin aux questions concernant la sécurité en soulignant que : - laisser l'exclusivité des mises à jour au constructeur n'augmente pas nécessairement la sécurité, c'est même plutôt souvent le contraire - les dispositifs radio grand public ont de toute façon une puissance trop faible au niveau matériel pour constituer un danger significatif - les gens qui veulent vraiment impacter le bon fonctionnement des communications radio trouveront de toute façon un moyen de le faire, indépendamment des restrictions sur le matériel grand public. D'autres organismes ont réagi, comme des entreprises. Thinkpenguin, notamment, l'un des seuls (peut-être même *le* seul, vu que j'en connais pas d'autre) vendeur de matériel informatique à vendre un routeur wifi fonctionnant entièrement avec du logiciel libre a cessé de vendre son produit. Il s'agissait du seul routeur wifi certifié RYF par la FSF. Cette réaction de Thinkpenguin a eu lieu juste après que TP-Link ait commencé à commercialiser des routeurs dont le firmware est signé. Notons que dans ce cas précis, c'est le firmware au sens large, c'est à dire l'OS du routeur au complet, et pas juste le firmware du module wifi, qui est signé. Cela rend donc impossible l'installation d'un OS alternatif sur ces routeurs. J'ai aussi demandé leur avis à des membres de certains projets d'openhardware, ce qui m'a aussi permis de me renseigner un peu sur la situation des modules wifi dans l'embarqué. Je ne parlerai ici que du wifi, puisque la situation des puces GSM est tellement mauvaise qu'il n'y a de toute façon pas d'espoir d'avoir des firmwares libres sur celles-ci dans un futur proche (il y a bien un projet de rétro-ingéniérie, mais c'est un travail gigantesque qui avance très lentement). Le projet Neo900, lancé en 2013, et qui a connu bien des péripéties ayant ralenti son avancée, est toujours en cours. Parmi les spécifications promises pour ce téléphone à la pile logicielle la plus libre possible, il y avait le fait d'utiliser une puce wifi au firmware malheureusement non-libre, mais en tout cas non-signé. Il faut savoir que le marché des puces wifi embarquées est beaucoup plus restreint que celui des modules wifi pour ordinateurs portables ou ordinateurs de bureau. Alors que dans ce dernier il est encore possible de trouver des cartes PCI ou mini-PCI qui fonctionnent avec un firmware libre, ce n'est pas le cas dans le précédent : les rares puces wifi fonctionnant avec un firmware libre sont trop grosses et trop gourmandes en énergie pour être adaptées à un ordinateur de poche. Les membres du projet Neo900 se sont cependant efforcés, parmis les puces disponibles, à choisir celle qui serait la plus facilement libérable par rétro-ingéniérie. Les membres du projet Neo900 sont un peu inquiets à cause de cette loi, mais pas autant que la FSFE et Thinkpenguin. Ils pensent pouvoir vendre le Neo900 tant que les États n'ont pas obligation de faire activement respecter cette mesure. Sinon, suivant l'interprétation de la directive qui est faite par les États, ils déclareront la fonctionnalité WLAN comme inopérante sur le Neo900 et vendront l'appareil comme tel. Dans le pire des cas, ils pourraient ne plus pouvoir vendre l'appareil dans certains pays d'Europe, et devront trouver une autre solution. Le projet Pyra, annoncé officiellement en 2014, est lui aussi toujours en cours. Parmi les spécifications de cette console de jeux portable/mini-ordinateur fonctionnant en grande partie avec du logiciel libre, il y a bien entendu un module wifi. Il s'avère que la Pyra utilise le même modèle de puce wifi que le Neo900 (et sans doute le projet Pyra s'est-il inspiré du projet Neo900 dans ce choix). Dans la communauté Pyra également, on trouve des personnes intéressées par la possibilité de rétro-ingéniérie sur le firmware. Les membres du projet Pyra sont encore moins inquiets que ceux du projet Neo900. Certains n'étaient même pas au courant de la Radio Lockdown Directive. Il faut dire que le projet Pyra avance très vite, et le chef du projet est confiant quant à la possibilité de présenter une Pyra complète et fonctionnelle dès le début de l'année 2017 (et donc avant que les pays d'Europe soient tous obligés d'appliquer la directive). Les membres du projet n'ont pas prévu de contre-mesure, et, si le pire devait arriver, il est probable qu'ils suivent les idées du projet Neo900. Rappelons aussi que la Pyra possède une connectique très importante, avec multiples slots SD et ports USB, et que dans le pire des cas, on pourrait toujours utiliser le wifi librement via un dongle approprié. La Free Software Foundation n'a encore publié aucun communiqué sur le sujet. Je n'ai pas tout compris dans cette problématique de Radio Lockdown, il me reste des questions dont j'espère que certains lecteurs de linuxfr ont la réponse : - Les organismes qui critiquent le Radio Lockdown semblent dire que non seulement le firmware doit être signé, mais qu'en plus le code ne doit pas être libre. Je ne comprends pas ce qui implique ça dans la directive. Est-ce que le fait de laisser l'utilisateur lire le code du firmware signé pourrait contrevenir à la loi ? - La FSFE ne liste pas de modifications légitimes du firmware que l'utilisateur pourrait faire pourvu qu'il en ait le droit. Je suppose que c'est parce que d'une part tous les constructeurs ne mettent pas les mêmes choses dans le firmware, d'autre part parce qu'on pourrait imaginer tout et n'importe quoi (et quand on parle d'innovation, on parle justement de ce qui n'a pas encore été imaginé). Certains bidouilleurs m'ont parlé de firmwares wifi, qui, une fois bidouillés, permettaient à l'antenne de recevoir la radio FM, alors que cela n'était pas prévu par le vendeur. Il y a aussi la problématique de la sécurité, où on peut imaginer par exemple une faille que le constructeur ne veut pas corriger, ou un logiciel malveillant volontairement inclus dans le firmware par le constructeur, où l'utilisateur pourrait avoir une bonne raison de vouloir modifier son firmware. Avez-vous d'autres exemples de potentielles modifications légitimes d'un firmware wifi (que vous avez observées dans la vraie vie ou simplement imaginées) ? - Comment ça se passe pour les projets d'openhardware commencés avant l'introduction de la directive ? Si je lance un projet avec une campagne de crowdfunding promettant X (par exemple un appareil avec une puce wifi précise dont le firmware n'est pas signé) à mes utilisateurs/clients, et qu'avant que le projet se termine, une loi Y (par exemple décrétant que telle puce wifi sans firmware signé est illégale) interdisant X est votée et entre en vigueur, comment ça se passe légalement ? Si je tiens ma promesse je viole la loi, si je respecte la loi je viole ma promesse (ce qui suivant le pays peut être illégal aussi !). Suivant les sources on me dit que l'État a le droit de casser un contrat d'affaires comme il veut quand il veut, ou que l'État ne peut pas endommager un business légal sans offrir une compensation proportionnée. Qu'en pensent les exégètes (amateurs ou non) de linuxfr ? Enfin, j'aimerais dire que je suis assez inquiet de la façon dont évoluent les choses en matière de libertés, dans le monde du matériel électronique et des lois qui y sont associées. Dans le cas présent, on observe une entité, qui est un organisme d'État, dépendant de l'État fédéral américain, la FCC, faire pression d'abord sur les constructeurs, puis sur les parlementaires européens et américains, pour tenter d'interdire le contrôle du logiciel par l'utilisateur, dans le domaine concerné (communications radio). Et réussir à se faire obéir. Ce n'est pas surprenant que les constructeurs obéissent, ils défendent leur marché. Ce n'est pas non plus surprenant que les politiciens obéissent : quand on leur dit "Pensez aux petits nenfants qui prennent l'avion, il faut faire quelque chose !", ils ne peuvent pas répondre qu'ils ne vont rien faire. Pour sauver leur image, ils doivent faire quelque chose, même si c'est complètement débile. La FCC n'est pas la seule entité puissante à faire pression sur les vendeurs de matériel électronique et à réussir à se faire obéir. Si NVidia met des firmwares signés dans ses cartes graphiques, et déplace de plus en plus de fonctionnalités du driver dans ces firmwares, ce n'est pas parce que ça les amuse. C'est parce que Hollywood/l'industrie du cinéma fait pression sur les constructeurs de carte graphique les plus populaires pour que les utilisateurs aient de moins en moins de contrôle sur la pile graphique de leur système d'exploitation. Le rêve d'Hollywood, c'est qu'on ne puisse plus lancer un logiciel de screencast pour capturer le flux envoyé de la carte graphique à l'écran. C'est pour cela que l'industrie force NVidia, à chaque nouvelle génération de carte graphique, à déplacer un peu plus de fonctionnalités d'affichage dans le firmware, et à signer celui-ci. Et je suis à peu près sûr que les autres fabricants de GPU (Intel, AMD,...) qui pour l'instant ne signent pas leurs firmwares (mais déplacent eux aussi de plus en plus de fonctionnalités dans ces firmwares, qui sont non-libres bien entendu), finiront par s'aligner un jour ou l'autre sur les pratiques de NVidia. Aujourd'hui, les lobbyistes de l'industrie cinématographique vont voir les constructeurs et arrivent à se faire obéir. Que se passera-t-il lorsqu'ils iront voir les parlementaires européens et américains ? Que se passera-t-il lorsqu'ils brandiront l'argument choc "Pensez aux artistes !" ? Vous croyez sérieusement que les politiciens les enverront bouler ? On va dire que je prophétise, que je sors l'argument de la pente savonneuse. Mais je suis intimement convaincu qu'une fois que l'obligation légale de verrouillage des firmwares wifi sera passée et mise en application, alors l'obligation légale de verrouillage d'un logiciel quel qu'il soit sera bientôt vue comme quelque chose de normal. Et que les entités qui ont intérêt à retirer aux utilisateurs le contrôle de leurs logiciels auront, à chaque nouvelle demande, de moins en moins de difficultés à obtenir gain de cause auprès des politiciens. Liens : [Position de la FSFE sur la Radio Lockdown Directive](https://fsfe.org/activities/radiodirective/index.fr.html) [Pétition de la FSFE et de différents organismes contre la directive](https://fsfe.org/activities/radiodirective/statement.fr.html) Les articles de Thinkpenguin sur l'affaire, avec des détails sur la situation de TP-Link : [[1]](https://www.thinkpenguin.com/gnu-linux/save-wifi-fcc-attempting-criminalize-freedom-new-regulations) [[2]](https://www.thinkpenguin.com/gnu-linux/europe-going-kill-free-software-have-you-contacted-your-states-rep) [[3]](https://www.thinkpenguin.com/gnu-linux/fcc-threat-tp-link-bullied-and-lock-down-situation-worsening-wireless-routers) [Save WiFi sur libreplanet](https://libreplanet.org/wiki/Save_WiFi) (article sous licence libre) [Des détails sur la directive européenne](https://blog.tohojo.dk/2015/10/the-new-wifi-regulations-in-europe.html), avec des informations sur la façon dont les États peuvent interpréter la loi, et [pourquoi l'accès au firmware est important](https://blog.tohojo.dk/2016/02/why-is-access-to-wifi-firmware-important.html), avec des exemples d'utilisations légitimes des quatre libertés sur des appareils wifi. (articles sous licence libre) [Un excellent article très complet sur la chose](https://prpl.works/2015/09/21/yes-the-fcc-might-ban-your-operating-system/), qui explique bien mieux que moi le qui quand comment pourquoi, les histoires de fréquences, de firmwares, de drivers, d'organisations régulatrices, de lois, etc. Notez que l'auteur pense que la loi américaine pourrait obliger les constructeurs à signer non seulement le firmware, mais également le pilote de module wifi. [L'article d'une parlementaire européenne sur la question](https://juliareda.eu/2015/10/dear-european-governments-dont-endanger-free-and-open-wifi-networks/) .