Forum TI-Planet.org

Pour Delta+Khicas, la taille totale testee fait environ 6M. Ca me parait quand meme tres difficile de modifier la calc pour retourner exactement ce qui est attendu, beaucoup plus technique que de recompiler un firmware en ajoutant des documents personnels persistants. On est bien au-dessus des failles pour les autres modeles.

La version web de Xcas permet maintenant aussi de certifier Delta+KhiCAS
https://www-fourier.ujf-grenoble.fr/~parisse/xcasfr.html
Ouvrir la documentation (bouton Doc) si elle n'est pas visible, cliquer sur Numworks puis sur Certifier.

Adriweb a écrit:[
En quoi ceci protégerait contre quelqu'un qui a un firmware custom sur calculatrice qui répond "ce qu'il faut" à ces commandes DFU lorsqu'elles sont reçues ? Avec une flash suffisamment grosse il suffira que le firmware aille lire de la mémoire ailleurs contenant par exemple les données officielles NumWorks alors qu'un tout autre OS tourne. Et selon la taille (que je n'ai plus en tête), peut être meme que tout tiendrait des actuellement dans une N110 non modifiée

J'ai reflechi a un moyen de se proteger contre ce type de fraude, je pense qu'il suffit de generer un fichier de taille assez grande avec des donnees non predictibles, l'envoyer a la Numworks en ecriture sur les secteurs de flash non utilises, le relire et comparer a l'original. Les faibles capacites RAM de la Numworks vont nous garantir qu'un firmware se faisant passer pour un autre devra stocker les donnees en flash et il va alors manquer de place disponible et le test echouera.
Ce type de test est evidemment plus long a effectuer a cause de l'ecriture en flash (d'autant plus long que le firmware a certifier est de petite taille). A n'utiliser que si on soupconne l'existence de firmwares detournant les commandes d'echanges de donnees.

La compressibilité des données aléatoires de qualité cryptographique n'est pas bonne, donc on devrait pouvoir s'en sortir avec quelques MBs de données aléatoires. Mais du coup, la validation peut prendre un peu de temps, oui... et si la vitesse d'écriture en Flash est suffisante, peut-être pas beaucoup moins de temps que le reflashage des machines avec un firmware conforme, directement dans la salle d'examen, qui reste à mon sens la bonne solution pour faire quelque chose de raisonnablement sécurisé et supprimer la nécessité d'un mode examen.

La certification n'est pas a faire systematiquement a mon avis, mais plutot de maniere aleatoire, pour que frauder devienne trop risque, alors qu'un flashage systematique serait beaucoup trop lourd a mettre en place, je n'y crois pas, en plus cela aurait probablement un enorme inconvenient: supprimer toute concurrence, faute d'etre capable de gerer le flashage de plusieurs modeles au debut de l'examen.

Gérer le flashage de plusieurs modèles au début de l'examen est un simple problème logiciel, et partant, la solution à ce problème serait principalement technique (et clairement, éviterait l'usage de Windows à cause des problèmes de drivers dont sont exempts les autres OS).
Chaque fabricant fournit des logiciels capables de gérer le transfert d'OS vers tous les modèles adéquats, et pour certains modèles, des logiciels tiers peuvent également réaliser ce type d'actions. L'arrivée de WebUSB facilite la vie de ce point de vue, du moins quand l'OS hôte ne nécessite pas stupidement des drivers.

Lionel, imagine que tu es dans une salle d'examen qui fait composer une centaine d'etudiants (ce qui se passe en temps normal pour un amphi de capacite 200). Le temps d'emargement par etudiant est d'une vingtaine de secondes je dirais, avec 2 surveillants, ca prend un bon quart d'heure, et c'est pour ca qu'on demande aux etudiants d'arriver 1/2h a l'avance.
Rajoute le flashage systematique: disons que dans le cas le plus favorable (1 seul modele et un flashage rapide) il faut 1 minute par etudiant. Ca devient impossible. Sans compter que tu n'es pas a l'abri d'une erreur de flashage, comment tu la geres?
Dans une classe, on fera composer moins d'eleves, mais il n'y aura qu'un surveillant, je pense que c'est tout aussi impossible.
La certification aleatoire par contre ca me parait realisable. Ca pourrait meme se faire en cours d'epreuve sur la Numworks car on ne touche pas aux donnees du candidat, il faudrait un adapteur pour brancher la calc sur le smartphone du surveillant. Ou bien on tire au sort quelques candidats (+ ceux suspectes de fraude) a qui on demande en debut ou fin d'epreuve de faire certifier leur firmware. Cela uniquement dans les salles ou le surveillant est competent, dans les autres salles on ne certifie pas. Le tout c'est que le risque soit suffisamment grand de se faire prendre si on utilise un firmware trafique.

Moi je penserais à ce que chaque constructeur commercialise/distribue un boîtier / nano-ordinateur, à connecter sur chaque calculatrice, qui teste automatiquement et affiche clairement le résultat des tests.

Facile à déplacer d'une table à une autre, et pas besoin de réfléchir pour les surveillants : juste à brancher et lire.

On pourrait imaginer qu'il y en ait plusieurs par salle (2-4) si le but est véritablement de vérifier toutes les calculatrices avant épreuve.
Sinon, on peut aussi imaginer des vérifications progressives en cours d'épreuve, des vérifications aléatoires en cours d'épreuve, ou des vérifications en cas de suspicion de fraude.

Le probleme c'est qu'un constructeur ne certifiera que son propre firmware, ce qui ne permettrait pas d'utiliser Omega ou Delta+KhiCAS en examen.
Si on utilise un navigateur sur un PC, chaque editeur de firmware peut certifier son firmware et on peut avec un systeme qui accepte plusieurs empreintes (comme celui que j'ai mis en place dans Xcas) certifier plusieurs editeurs de firmware pour la Numworks. On pourrait alors avoir un site unique de l'education nationale reprenant tous les modeles reconnus. Le surveillant regarde le nom de modele et de constructeur et clique sur le bouton correspondant dans une liste.

Hautement plus compliqué qu'un mini boîtier à transposer/brancher pour au final lire une diode verte/rouge, même si il en faut 3 : un de chez TI, un de chez Casio et un de chez NumWorks.

Moi je m'inspirais juste du mode examen qui prend les surveillants pour des idiots : ne regardez plus les écrans, regardez la diode, pas grave si le candidat a branché un oscillateur RLC derrière.