Dans une lettre, l'un des « pères » d'Internet, Vinton Cerf, et 260 experts demandent au régulateur américain des télécoms de revenir sur sa proposition d'interdire la modification logicielle des routeurs. À l'inverse, ils proposent que les constructeurs publient leurs firmwares en open source pour mieux les sécuriser.
La FCC veut-elle interdire la modification du firmware des routeurs ? C'est ce qu'ont compris Vint Cerf, l'un des co-inventeurs d'Internet, et plus de 260 autres experts, qui ont publié une lettre (PDF) destinée au régulateur américain des télécoms. Selon eux, une consultation publique ouverte en juillet (PDF), sur de nouvelles règles pour les appareils à ondes radio (du smartphone au routeur) signerait la fin des modifications des routeurs domestiques. Une perspective contre laquelle ils souhaitent lutter.
Avec sa proposition, la FCC dit surtout vouloir adapter la régulation aux nouvelles possibilités du matériel réseau. Il évoque notamment les smartphones, tablettes et futurs terminaux modulaires (comme le smartphone Ara de Google) qui seraient autant de sources potentielles de problèmes pour les réseaux en place. L'inquiétude de la FCC viendrait entre autres de cas d'interférence de matériels modifiés avec des radars météorologiques d’aéroports.
Dans sa consultation publique, la FCC n'y va pas par quatre chemins. « Pour garantir que la partie responsable des modifications d'un appareil certifié soit clairement identifiée, nous pensons que les modifications par des tiers ne doivent pas être permises, sauf si ce tiers a reçu sa propre certification » par le régulateur, estime-t-il. Avec cette rédaction, au revoir les bidouilles du dimanche sur les routeurs, voire les firmwares alternatifs tels que DD-WRT ou OpenWrt.
Empêcher la fin (présumée) de la bidouille de routeurs
Dans la lettre rendue publique hier, ce sont donc plus de 260 experts issus du monde académique, de la communauté de l'open source et de l'IETF (l'organe où sont décidés les standards d'Internet) qui s'insurgent contre la volonté présumée de la FCC. Pour ces experts, le problème est que les firmwares fournis avec les routeurs sont loin d'être assez sécurisés.
« La plupart des routeurs domestiques sont fournis avec un logiciel qui date de quatre ans ou plus. Trop souvent, ce firmware est connu pour ne pas être sûr à la date de la certification par la FCC » écrivent-ils. Ils arguent notamment que leur propre travail de recherche serait bien plus difficile sans la possibilité de modifier du matériel commercial. Un travail sans lequel les routeurs utilisés actuellement seraient bien moins sûrs, estiment-ils.
Ils proposent donc un scénario alternatif à la FCC, où plutôt que d'interdire d'altérer ces logiciels, l'analyse collaborative de ces objets essentiels serait encouragée. Ils envisagent ainsi d'imposer aux constructeurs de rendre certaines parties de leurs firmwares open source. Dans le détail, ils insistent sur la nécessité que :
- tout fabricant de routeurs publie le code complet et maintenable de leurs pilotes et de leurs firmwares radio
- à la livraison du produit, les constructeurs s'assurent que les mises à jour fonctionnent
- des mises à jour soient fournies régulièrement pour combler les failles identifiées, jusqu'à cinq ans après le dernier envoi de matériel
- si un constructeur ne respecte pas ces règles, la certification du produit concerné soit supprimée
- la FCC revoit toute règle potentielle qui serait contraire aux bonnes pratiques du développement open source ou qui laisse penser aux constructeurs qu'ils ne doivent pas fournir les sources complètes de leurs logiciels
Une volonté qui diffère du texte proposé
Cette réaction se fonde donc sur l'idée que la FCC veut interdire la modification logicielle des routeurs, en proposant exactement le contraire. « Si la Commission n'a pas l'intention d'interdire l'amélioration ou le remplacement du firmware dans les appareils Wi-Fi, les signataires apprécieraient une déclaration claire de cette intention » notent-ils tout de même.
Dans les faits, la FCC ne voudrait effectivement pas interdire toute modification tierce de ces routeurs. Le régulateur voudrait surtout interdire de trop modifier les propriétés radio des appareils. « Nous ne proposons ni une interdiction des modifications logicielles en général, ni d'empêcher les modifications logicielles qui altèrent la puissance d'émission ou tout autre paramètre lié aux radiofréquences qui respectent la certification de l'appareil ». Le cœur du problème semble se situer ici : certains firmwares alternatifs permettraient d'émettre à des puissances et sur des fréquences qui débordent de la licence accordée à la base pour le routeur.
Dans tous les cas, la FCC ajoute que « comme vous le notez, nous cherchons des retours des différents acteurs (y compris des utilisateurs) pour construire les règles au mieux » a ainsi répondu la Commission à Engadget la semaine dernière. En attendant, les 260 experts signataires ont jeté un pavé dans la mare, alors que la sécurité des routeurs est un sujet de plus en plus sensible.
