Comments on Le problème des gadgets électroniques qu'on peut bricker (briquer ? pétrifier ?)

Finalement j'ai opter pour mon nouveau smartphone. Question élémentaire : y a-t-il un risque énorme qu'on court et qu'il faudrait éviter absolument si on décide de n'effectuer aucune mise à jour. Apparemment par ce biais il peut y avoir des choses qui participent de l'obsolescence programmée, c'est du moins des rumeurs qu'on peut entendre. Je connais quelqu'un qui achète de vieux iphone de trois ans et qui a décidé de ne pas procéder aux mises à jour en raison de cette suspicion. Idiot ou défendable ?

Je précise que le mobile à une trentaine d'euros c'est ce que j'ai pris lundi dernier car j'avais besoin de continuer à être joignable, pas celui qui a rendu l'âme dimanche, au cas où il y aurait une méprise.

le post fait était du nexus 5, or la dernière entrée du blog sur les smartphones correspond je crois au nexus 4 avec un commentaire assez critique.
Perso, le mien a lâché définitivement ce dimanche après un rachat de batterie (la deuxième) en juillet qui n'a fait que retarder un peu son déclin et il m'aura servi en tout 4 ans. Ca m'agace car je l'avais eu pour une bouchée de pain (c'était l'époque où les tarifs d'abonnements élevés (trop) permettait d'acheter de nouveaux tel très très loin de leur prix neuf et je m'étais dit qu'il était suffisamment bon pour que j'en change plus. Après une rapide recherche, je pense :
1) qu'il y a une politique délibérée d'obsolescence programmée pour les smartphones. Le chiffre qui revient le plus souvent est trois ans en moyenne, bien qu'un réparateur m'ait dit que des iphones 4 tournaient encore (mais plus lent et moins optimal vu l'environnement d'apple dans les mises à jour etc poussant à la vente) donc 6 ans, une vendeuse de magasin sfr m'a quant à elle donné le chiffre sans doute erroné de deux ans.
2) qu'avec l'iphone 7 on dépasse les limites du grotesque. Plus de 900 euros pour des pseudo-innovations comme la SUPPRESSION de la prise jack, ce qui est pour moi un élément de dégradation puisqu'auparavant il avait le bluetooth et la prise jack.
3) Bon bref moi j'avais pris le premier prix d'un vieux mobile 30 euros dans une boutique orange mais c'est insupportable, notamment pour les sms etc. Je vais prendre un truc autour de 300 euros maxi, si le nexus 5 est bon ça pourrait faire l'affaire vu les prix que j'ai repérés sur amazon.

>mais je ne crois pas qu'il existe de mot français
je propose modestement « méduser »

>Les gens se pensent tracés individuellement alors que c'est loin d'être le cas

Ce que vous dites ne colle pas bien avec, par exemple, l'existence de services de publicité « ciblés » offerts par facebook. Sur l'intérêt des données individuelles, une mutuelle d'assurances ou un établissement de crédit pourra être intéressée par votre consommation de tabac et d'alcool, mais aussi de fruits, de beurre et de sucre.

Tu as eu le nez creux … alors qui sont derrière ces attaques virales ou de détournement d'objets dédiés à des usages précis ?

Hagen : Je comprends que ça puisse être vue comme une intrusion mais c'est souvent très très mal expliqué. Les gens se pensent tracés individuellement alors que c'est loin d'être le cas. Je prétends qu'une bonne partie de ces gens sont opposé à un traçage qui n'existe pas. C'est ballot.

Xavier : Bien sûr que c'est l'utilisation de l'ensemble des données des consommateurs qui permet d'en faire quelque chose. Et bien sûr que je me doute que Google s'en tape de ce que je fais en tant qu'individu isolé. La différence est dans ta phrase "Tant que les données sont traitées en tant que masse, je ne vois pas d'atteinte à la vie privée". C'est subjectif : certaines personnes y voit une atteinte à leur vie privée ! On peut ne pas être d'accord, mais il y a des gens qui n'aiment pas qu'on enregistre (et exploite) tout ce qu'elles font de leur vie (même si concrètement, les entreprises se foutent de leur comportement individuel). Ça *peut* être ressenti comme une atteinte à la vie privée. En plus, le fait que ce soit fait de manière opaque (le consommateur a-t-il moyen de savoir ce que sa télé connectée communique comme donnée ? et à qui ? et peut-il s'opposer ?) n'incite pas à la confiance.

Hagen : "Croyez-vous qu'elle se prive de recueillir ces infos et de les transmettre à des personnes qui paieraient cher pour le savoir ?"
Pas exactement. Tes données, mes données ne valent rien du tout (sauf si tu es une personne connue qui intéresse un certaine presse).
Ce qui vaut de l'argent, c'est une *énorme masse* de données. La différence est fondamentale. Google se fiche totalement de ce que X fait. Google aurait même probablement beaucoup de mal à tracer X dans la montagne de données. L'intérêt est d'avoir de gros paquets de données pour pouvoir extraire des tendances et change sa stratégie en conséquence. Tant que les données sont traitées en tant que masse, je ne vois pas d'atteinte à la vie privée. "ha mais ils *peuvent* regarder ce que *je* fais" : oui… amis très difficilement et surtout "ils s'en tapent totalement ce de ce que TU fais".

Même sans les problèmes de sécurité, l'Internet of Things posent également d'énormes problèmes de vie privée. Une télé connectée sait exactement ce que vous regardez, et à quel moment. Croyez-vous qu'elle se prive de recueillir ces infos et de les transmettre à des personnes qui paieraient cher pour le savoir ?
Idem pour un frigo connecté qui sait exactement ce que vous achetez/mangez.
D'ailleurs, il me semble que c'est un des points de contestation d'associations de consommateurs à propos de l'installation des compteurs d'électricité/gaz connectés.

Enfin bon, je dis ça, j'ai un smartphone. Google sait déjà toute ma vie en temps réel de toute façon. :)

Une autre question que je me pose est celle de savoir si l'internet des objets changera quelque chose à ce qui a été jusqu'ici la norme évolutive du rapport attaque/défense où les progrès technique incessants n'ont cessé de donner tantôt l'avantage à l'un tantôt à l'autre dans une course sans fin. Du coup je crois qu'on s'est habitué à ce schéma. Mais rien ne dit qu'il s'agit d'une loi d'airain que l'émergence d'une nouveauté comme l'internet of things ne rendrait plus valable, logeant un avantage décisif du côté offensif. Pas sûr évidemment qu'il y ait la moindre possibilité d'une réponse catégorique puisque cela, à ce qui me semble, supposerait d'anticiper le progrès futur par essence non connaissable actuellement du côté de la "défense".

Est-ce que les relais privilégiés quelque peu masqué dans l'expression "frigos/téléviseurs/imprimantes/quidlibet" ne reste pas le PC et le téléphone portable ?

https://www.newscientist.com/article/mg22730392-600-unhackable-kernel-could-keep-all-computers-safe-from-cyberattack-2/
Ce programme de la DARPA n'est-il pas porteur d'espoirs ?

I have some experience with Compulab machines (I'm using one -- MintBox 2 -- to write this, and I installed another one -- Fit-PC 4 -- at my parents' place for email, online banking and such). They are expensive but well made, easily upgradeable, and work nicely with Linux. I've had mine for 2.5 years.

Euh… Si le danger recoupe la sécurité d'une infrastructure d'un Etat, n'a-t-il pas des services spécialisés pour être conscient du risque et s'isoler de l'impact des objets connectés de ses citoyens détournés comme arme à son égard ?? La guerre informatique entre les Etats et plus généralement les attaques informatiques sont je crois pris très au sérieux désormais par des services dédiés, ce qui est la moindre des choses vu les dernières années où un virus à détraquer des systèmes en Iran etc.., l'espionnage industriel etc.., et même les soupçons récents de l'équipe démocrate aux US sur du piratage russe fuitant vers la promotion de Trump. Les individus lambda sont sans doute très peu conscients des risques tu évoques,quant aux Etats j'ai du mal à y croire.

J'entends bien tous ces arguments. En même temps, la sécurité est sur toutes les lèvres actuellement. L'attaque sur les centaines de millions de compte yahoo a été pas mal relayée. Pour les téléphones, j'ai validé et accompagné perso le branchage au réseau parce que ça me rend plein de services et que c'est comme un mini-ordi. Mais pour les frigos etc… à mon avis plein de gens n'en voudront pas et idem pour les voitures. Quand ça va vraiment se concrétiser je suis presque certain que de nombreux magazines en feront large part dans leurs pages et même que des responsables politiques alerteront sur les risques. Franchement, quel intérêt à grappiller quelques fonctionnalités superfétatoires de plus pour nombre d'objets avec des risques béants dans l'escarcelle du processus ? Le rapport avantage/coût potentiel me semble clairement défavorable et je pense que ce sera le calcul de beaucoup de personnes. Surtout si la normalisation technique laisse ouverte la possibilité d'opter pour le on/off comme tu l'évoques, a priori beaucoup devraient le désactiver (sur tant d'objets techniques modernes, tant de gens, dont moi, ne se servent que d'une palette réduite des possibilités de leur télé, ordi n'en parlons pas etc faute de compétences, d'intérêt, et aussi naturellement en raison de leur paresse et de la conscience des risques à tripatouiller tout ça, avec la mise en danger généralisé que l'internet des objets ouvre, je pense que ça sera un élément accentuant de prémisses qui existent déjà quant à la "castration" de possibilités techniques des objets dont on dispose).

@Ruxor : je ne crois pas beaucoup aux objets connectés qui s'imposeraient massivement sur les objets courants qui existent aujourd'hui (disons à horizon de nos existences), sur les produits manufacturés il y a une telle concurrence et les craintes que tu soulèves sont bien comprises par beaucoup de gens. Après effectivement l'exemple sur les cartes bancaires sans contact illustre bien le fait qu'une industrie peut imposer son offre (au détriment des autres) alors qu'une partie de la clientèle ne la souhaiterais pas : mais là se pose aussi le problème économique de proposer beaucoup d'offres : ça peut coûter plus chers que de proposer un mono-produit. Idem pour la sécurité : ça coûte cher surtout s'il n'y a pas de problème majeur (s'il y en a à la marge c'est pas grave, on ne parle pas de la sécurité aérienne) et puis elle ne sera jamais parfaite. Pour la voiture connectée ou autonome, c'est deux choses différentes la première est opérationnelle, la seconde pas complètement, mais surtout je pense que suis en train de me planter sur ma prévision mais bon je m'en sortirais en disant que ce ne sont pas des objets comme les autres.

Pour mon PC je crois comprendre que suivant les versions de noyau de Linux que je sélectionne au boot ça marche plus ou moins bien, la seule qui a l'air stable est la 4.4.0-36-generic.

Sur l'inévitabilité des objets connectés, la messe est-elle vraiment déjà dite ? Perso, je préférerai ne pas acheter de tels articles. Il y aura toujours cette possibilité a priori, non ? Et si beaucoup suivent ce schéma, la grande inclusion généralisée dans le réseau/matrix pour tout un tas d'objets qui y échappent encore n'aura peut-être pas lieu.

Il y a quand même parfois des problèmes aussi redoutables que le brickage : l'instabilité chronique de son système Linux Ubuntu dont je suis victime, jusqu'à hier il semblait aller mieux avec plus de plantages intempestifs et aujourd'hui il se fige systématiquement à la connexion avant de se loguer (une dizaine de tentatives faites), c'est vraiment déroutant. Heureusement que j'ai mon système Windows 10 opérationnel et stable !

Ça l'air sympa le utilite pro, mais est-ce que tu as une idée de la qualité du support linux ? Notamment pour les sorties vidéos (mais peut-être que tu t'en fiches de la vidéo). Je trouverais terrible de payer aussi cher pour un support linux moisi (alors que avec avec un rpi ou assimilé, à la fois le matériel et le linux sont pourris, mais au moins ça n'est pas trop cher).

Il y a aussi une autre méthode, qui est un dérivé de celle avec flash+ROM, et qui est celle qui consiste à avoir deux flash (flashes ?) : lors d'une mise à jour de la flash, une fois celle-ci terminée et contrôlée, il y a recopie sur la seconde flash. En cas de corruption durant la première ou la seconde copie, c'est la flash non corrompue qui est recopiée vers celle corrompue (j'ai eu une paire de cartes mères Asus dont les mises à jour du BIOS se faisaient ainsi).

Ca ne résout pas tous les problèmes (puisqu'il y a toujours la possibilité qu'un firmware malveillant soit ainsi installé sans possibilité évidente de retour en arrière), mais ça permet d'avoir un firmware en backup qui soit le plus à jour possible.
En fait, pour bien faire, il faudrait la somme de toutes ces solutions
- Une version en ROM qui ne soit utilisable qu'à l'aide d'une opération physique (un cavalier…)
- Deux versions en flash avec recopie
- Une vérification de l'authenticité de la mise à jour, avec possibilité pour l'utilisateur de passer outre à l'aide d'un cavalier (si je veux mettre un firmware open source que que j'ai modifié moi-même, pourquoi ne puis-je pas le faire, surtout si je peux revenir en arrière grâce à celui en ROM ?)

"Par exemple, avoir un firmware zéro qui sait simplement lire un firmware sur clé USB, puis l'exécuter et décider que ce firmware zéro sera gravé en ROM donc impossible à modifier (c'est une solution raisonnable, et elle se rapproche de ce que je raconte ci-dessus à propos de ma carte mère)"
Oui voila c'est a solution la plus simple. Ce firmware en rom doit être le plus simple possible.
J'ai aussi vu des systèmes avec un watchdog : Quand on update le firmware, on n'écrase pas l'ancien. Ca stocke le nouveau à coté…et si le système ne boote plus alors il tente de booter sur l'ancien firmware. Je crois qu'en gros toutes les cartes meres ont a pour leur "bios". Inconvenient : il faut deux fois plus de mémoire. Avantage : le watchdog en ROM voire en hard et ultra simple.

David,

Je t'assure que ton Nexus 5 est pétrifiable (l'ensemble de la gamme Nexus d'ailleurs…). :-)