NumWorks 16.3 : verrouillage définitif anti Omega / KhiCAS

→ **MyCalcs** profile · by **M4x1m3** » 20 Aug 2021, 17:31

Les sources viennent de sortir et je me sent encore plus trahit que je ne l'étais déjà. Et visiblement c'est une décision qui a été prise depuis au moins un mois. Non seulement c'est Epsilon 16, mais Numworks ne repasse pas sur un CC-BY-ND-SA, mais sur directement du strong copyright.

On voit bien à quoi leur a servi leur CLA.

→ **MyCalcs** profile · by **critor** » 20 Aug 2021, 17:45

M4x1m3 wrote:Les sources viennent de sortir et je me sent encore plus trahit que je ne l'étais déjà. Et visiblement c'est une décision qui a été prise depuis au moins un mois. Non seulement c'est Epsilon 16, mais Numworks ne repasse pas sur un CC-BY-ND-SA, mais sur directement du strong copyright.

C'est, hélas, exactement ce que j'avais compris. Terminé les licences libres et même plus de licence du tout, donc tous droits réservés. Désolé donc si j'ai manqué de clarté dans les annonces, ce n'était absolument pas voulu.

C'est simple, tu n'as plus droit à rien : ni réutilisation du code, ni redistribution des binaires officiels, ni redistribution de tes versions modifiées aussi bien sous forme de binaires que sous forme de code source.
Ah si, tu as encore le droit à une chose : contribuer bénévolement à la gloire de ton constructeur préféré dans sa conquête de l'Amérique

→ **MyCalcs** profile · by **parisse** » 20 Aug 2021, 18:42

De toutes facons, il etait bien clair que vouloir rebaser Omega (ou Delta) sur Epsilon 16 serait illegal. Je ne sais pas dans quelle mesure on peut legalement backporter des modifs dans les versions anterieures de Epsilon, je pense que pour des bugfixes simples on peut, mais pas pour des modifs plus complexes.
La question que je me pose, c'est quel est l'interet pour Numworks de continuer a publier leurs sources (sauf les parties sensibles si j'ai bien compris)? J'imagine qu'ils veulent continuer a presenter leur calculatrice comme open-source.

→ **MyCalcs** profile · by **Lionel Debroux** » 21 Aug 2021, 07:21

En effet, "open source" recouvre même le source accessible mais dont on n'a rien le droit de faire (sans l'autorisation du fournisseur, qui n'est pas obligé d'en donner).

C'est exactement à cause de ce genre d'actions déplorables par les entités faisant signer des CLA qu'on trouve sur Internet diverses ressources enjoignant les gens de ne pas signer des CLA et donc à ne pas contribuer aux projets qui en demandent. Je le savais, je suis passé outre mes convictions pour signer ce CLA pour Epsilon... je ne pense pas que je vais recommencer, et je vous invite à faire de même.

→ **MyCalcs** profile · by **critor** » 21 Aug 2021, 09:19

En même temps, pas sûr qu'ils attendent après les contributions tierces. Déjà même du temps où c'était "ouvert", ils n'acceptaient que très peu de contributions visibles pour l'utilisateur, et après pas mal de temps. En fait je ne sais même pas pourquoi ils ont commencé comme ça, la tendance était déjà clairement à faire le maximum en interne (pour les choses développées en externe, je vois le turtle, mais là ça ne touche pas à leur sacro-sainte interface vu que le Python tourne dans son coin, donc sans doute plus facile à accepter).

Sinon, ils semblent s'attendre à des attaques (tu m'étonnes, ils font tout pour... ils ont bien de la chance d'avoir affaire à des jeunes bien gentils et dociles, peut-être pour partie les mains liés sous NDA, et pas aux équipes Ndless ou arTIfiCE

), nouvelle protection anti-downgrade :

https://github.com/numworks/epsilon/com ... 08d2b68537

→ **MyCalcs** profile · by **Lionel Debroux** » 21 Aug 2021, 09:30

Quand un ACE / RCE aura été publié juste avant les examens, à travers par exemple TOR pour être beaucoup moins traçable (on a déjà vu ça), et dûment signalé à ceux qui réglementent les examens... ça sera bien fait pour eux

→ **MyCalcs** profile · by **parisse** » 21 Aug 2021, 10:51

Je ne vois pas trop pourquoi un deverouillage devrait etre non tracable, Ndless est bien visible au grand jour. Sauf si ca viole des clauses de NDA, a condition que ce type de clauses ne soit pas abusives : si une clause est contraire a la loi, ici sur l'interoperabilite, c'est la loi qui prevaut. Ceci dit, je pense qu'il sera difficile de trouver comment deverouiller.

Mais d'un autre cote, il est fort possible que Numworks se soit deja puni tout seul de son mauvais coup envers la communaute, avec toutes les ressources qui ont ete investies chez eux dans le verrouillage et pas ailleurs, et le recul de fonctionnalites en se privant de contributions tierces. Je pense qu'on le saura dans 2 ans.

→ **MyCalcs** profile · by **Lionel Debroux** » 21 Aug 2021, 13:55

Certains exploits de la communauté TI ont été postés de façon peu traçable, et leurs auteurs restent à ma connaissance anonymes. C'est facile à faire et ça réduit fortement les risques que le fabricant s'en prenne à ceux qui postent les exploits. Le NDA n'a pas nécessairement à voir avec l'anonymat des posteurs d'exploits.

→ **MyCalcs** profile · by **redgl0w** » 21 Aug 2021, 14:10

Dans la suite de ce sujet d'exploit, j'ai des mauvaises nouvelles à apporter :

Premièrement, les attaques disponibles sur d'anciennes versions d'epsilon (dans le futur) ne seront pas possibles pour tous, car il y a une protection anti downgrade dans le bootloader, qui sauvegardera la version la plus récente enregistrée sur cette calculatrice. Rien d'original, mais ça va diminuer normalement plutôt bien la quantité d'exploit utilisable.
Deuxièmement, et plus important : les prochaines productions devraient, apparement, être en RDP2. Ce mode de protection de la flash signifie que le port de debug sera désactivé, mais aussi qu'il sera impossible de redescendre jusqu'au niveau 1 de RDP, empêchant donc définitivement une réécriture de la flash interne (donc même en cas d'exploit, s'il n'est pas dans le bootloader, après chaque reset, il faudra le réexécuter).

Outre ses nouvelles tristes, il y a quand même quelques petites nouvelles agréables :

Il est donc bien possible d'executer un firmware tiers. Pour l'instant, je ne sais pas si son execution sera aussi restreinte que dans les beta (c'est à dire une pop-up à chaque sortie de veille), mais en tout cas, en cas de reset, il faudra très visiblement le reflash.
La configuration du MPU est telle que les registres OTP USB ne sont qu'en RW, et non en privilegedRW. On pourrait donc voir un jour (théoriquement) apparaitre des applications USB sur numworks comme sur TI (internetNW, transfer de jacobly0, ...)

→ **MyCalcs** profile · by **parisse** » 21 Aug 2021, 14:43

redgl0w wrote:Il est donc bien possible d'executer un firmware tiers. Pour l'instant, je ne sais pas si son execution sera aussi restreinte que dans les beta (c'est à dire une pop-up à chaque sortie de veille), mais en tout cas, en cas de reset, il faudra très visiblement le reflash.

Ca ne servira a rien pour KhiCAS, il y a beaucoup trop de contraintes: on n'a sans doute pas la possibilite de faire cohabiter un firmware externe avec une grosse app occupant l'espace prevu pour les apps externes de taille limitee, ensuite les licences empechent de mettre KhiCAS dans le firmware qui a de toutes facons certainement une taille maximale incompatible, et c'est inutilisable en mode examen (ok, la c'est comme sur Casio), mais surtout il faut le reinstaller tres souvent.
Meme pour Omega, je ne vois pas vraiment l'interet d'essayer de se greffer sur la v16. Vous ne pourrez rien rediffuser et les contraintes techniques sont fortes, il faut donc rester en v15.5. Sinon en natif il y a plus de liberte a developper un addin pour Casio ou une app ndless sur TI nspire. A mon avis, le seul interet de regarder la v16 de Numworks c'est de voir si on peut downgrader de maniere permanente des machines accidentellement upgradee ou vendue en v16, mais je pense que l'espoir est faible, beaucoup plus que sur TI ou Casio.