4. Comment cela fonctionne-t-il ?

TCPA fournit un composant de surveillance et d'alerte à insérer dans les futurs PC. La mise en oeuvre privilégiée au cours de la première phase de TCPA est une puce « Fritz » : une puce de type carte à puce ou un périphérique dongle soudé à la carte mère.

Lorsque vous amorcez votre PC, Fritz prend la main. Il vérifie que la ROM d'amorce est conforme, l'exécute, contrôle l'état de la machine ; puis il vérifie la première partie du système d'exploitation, le charge et l'exécute, vérifie l'état de la machine, et ainsi de suite. Le périmètre de confiance, englobant le matériel et les logiciels considérés comme connus et vérifiés, est régulièrement étendu. Une table du matériel (carte audio, vidéo, etc) et des logiciels (système d'exploitation, pilotes, etc.) est tenue à jour ; Fritz vérifie que les composants matériels sont sur la liste « approuvé TCPA », que les composants logiciels ont été signés, et qu'aucun d'entre eux ne possède un numéro de série ayant été résilié. Si la configuration du PC a connu des modifications significatives, la machine doit se reconnecter pour être certifiée en ligne. Au final, le PC a démarré dans un état bien déterminé, avec une combinaison de matériels et de logiciels (dont les licences n'ont pas expiré) dûment approuvée. L'autorité est ensuite transférée à un logiciel de surveillance du système d'exploitation ; il s'agira de Palladium si vous utilisez Windows.

Une fois la machine dans cet état, Fritz peut la certifier auprès de tiers : par exemple il exécutera un protocole d'authentification avec Disney pour démontrer que cette machine est apte à recevoir « Blanche Neige ». C'est-à-dire certifier que le PC utilise actuellement un logiciel autorisé : MediaPlayer, DisneyPlayer, ou autre. Le serveur de Disney envoie ensuite des données chiffrées, et une clef que Fritz utilisera pour les décoder. Fritz ne fournit la clef qu'aux logiciels autorisés et seulement tant que l'environnement demeure « de confiance ». Cette notion de « confiance » est déterminée par la politique de sécurité qui a été téléchargée sur un serveur où l'éditeur du logiciel a toute autorité. Ce qui veut dire que Disney peut décider de fournir ses dernières nouveautés pour un logiciel de lecture multimédia en échange d'un contrat stipulant que le logiciel ne fera pas de copie non autorisée, et qu'il peut imposer que certaines conditions soient respectées (incluant la définition du niveau de sécurité TCPA). Il peut s'agir aussi de conditions financières : Disney pourrait demander, par exemple, que le logiciel facture un dollar à chaque fois que vous regardez le film. En fait, le logiciel lui-même pourrait être loué, et c'est un aspect qui intéresse particulièrement les éditeurs de logiciels. Les possibilités ne semblent limitées que par l'imagination des hommes du marketing.

5. À quoi d'autre peuvent servir TCPA et Palladium ?

TCPA peut aussi être utilisé pour mettre en place des conditions d'accès plus restrictives sur des documents confidentiels. Une armée pourrait, par exemple, décider que ses soldats créeront uniquement des documents Word avec une étiquette de type « confidentiels » ou d'un type supérieur et que seul un PC TCPA ayant un certificat délivré par son agence de renseignement pourra les lire. On nomme ceci un « contrôle d'accès obligatoire » (mandatory access control), et les gouvernements s'y intéressent particulièrement. L'annonce de Palladium laisse à penser que ce sera une fonctionnalité des produits Microsoft : vous pourrez configurer Word pour qu'il chiffre tous les documents produits dans tel compartiment de votre machine, et qu'il ne les partage qu'avec les utilisateurs d'un groupe bien défini.

Les grandes entreprises pourraient disposer des mêmes facilités, pour rendre difficile toute dénonciation de pratiques illicites. Elles pourraient s'assurer que tous les documents de l'entreprise ne soient lisibles que sur leurs propres PC, sauf lorsqu'une personne dûment autorisée lève cette interdiction. Elles pourraient aussi créer des dates de péremption : elles s'assureraient, par exemple, que tous les courriels disparaissent après 90 jours, sauf décision explicite de les conserver. (Pensez combien ceci aurait été utile pour Enron, ou Arthur Andersen, ou même Microsoft pendant leur procès antitrust.) La mafia pourrait utiliser les mêmes facilités : elle pourrait s'assurer que les feuilles de calcul détaillant les dernières livraisons de drogues ne puissent être lues que par les PC accrédités de la mafia, et disparaissent à la fin du mois. Cela pourrait rendre le travail du FBI plus difficile ; quoique Microsoft soit en discussion avec les gouvernements pour savoir si les policiers et les espions auront accès aux clefs principales. Mais dans tous les cas, le fait pour un employé d'envoyer par courriel un document à un journaliste sera plutôt inefficace, puisque la puce Fritz du journaliste ne lui donnera pas la clef nécessaire au décodage.

TCPA / Palladium semble aussi destiné à être utilisé dans les systèmes de paiements électroniques. L'une des visions de Microsoft est que la plupart des fonctionnalités développées aujourd'hui autour des cartes bancaires pourraient migrer dans les logiciels une fois ceux-ci rendus infalsifiables. C'est une nécessité si nous devons vivre dans un futur dans lequel nous paierons pour les livres que nous lirons, et la musique que nous écouterons, tant de centimes la page ou la minute. Même si ces modèles économiques ne peuvent pas fonctionner, et il y a de bons arguments en ce sens ; c'est clairement un enjeu pour les systèmes de paiement en ligne, et cela pourrait avoir des répercussions sur l'utilisateur. Si dans dix ans, il est pénible de faire des achats en ligne avec une carte bancaire, sauf à utiliser une plate-forme TCPA ou Palladium, cela poussera un grand nombre de personnes vers ce système.

6. Ok, donc il y aura des gagnants et des perdants ; Disney pourrait gagner beaucoup et les fabricants de cartes à puces faire faillite. Mais il est sûr que Microsoft et Intel n'investissent pas des milliards par pure bonté ! Comment espèrent-ils gagner de l'argent ?

Mes espions chez Intel me disent qu'il ne s'agit que d'une posture défensive. Comme ils gagnent principalement de l'argent en vendant des microprocesseurs pour PC, que leur part de marché est presque maximale, ils ne peuvent faire grossir leur entreprise qu'en augmentant la taille du marché. Ils sont déterminés à ce que le PC devienne le centre du futur réseau électronique domestique. Si les loisirs électroniques sont la poule aux oeufs d'or, et que la gestion numérique des droits (DRM) devient la technologie qui les autorise, alors le PC doit faire de la DRM ou risquer de se faire remplacer sur le marché grand public.

Microsoft était également motivé par le souhait d'annexer toute l'industrie des loisirs au sein de son empire. Mais ils sont placés pour gagner gros si TCPA ou Palladium se généralise, puisqu'ils pourront l'utiliser pour éradiquer de manière drastique la copie des logiciels. « Faire payer les logiciels aux chinois » est une affaire très importante pour Bill ; avec Palladium, il peut rattacher chaque PC à sa copie individuelle et légale d'Office, et avec TCPA il peut rattacher chaque carte mère à sa copie personnelle et légale de Windows. TCPA maintiendra aussi une liste noire mondiale des numéros de série de toutes les copies d'Office qui ont été piratées.

Enfin, Microsoft aimerait rendre plus coûteux le fait d'abandonner ses produits (comme Office) pour passer à des produits concurrents (comme OpenOffice). Il lui serait possible d'augmenter le prix des mises à jour sans provoquer la fuite de ses utilisateurs.