Faut-il hacker autrui pour son propre bien ? Décryptualité du 26 avril 2021

Luc : Décryptualité. Semaine 16. Salut Manu.

Manu : Salut Mag.

Mag : Salut Luc.

Luc : Sommaire.

Manu : Jolie semaine.

Mag : Commençons par
Silicon, « Open source : Grafana change à son tour de licence », par Clément Bohic.

Manu : Oui, il y a eu plusieurs sujets, dans les semaines passées, sur des sociétés qui changent la licence de leurs logiciels parce qu’elles en ont marre que les GAFAM les utilisent et ne reversent pas ou ne contribuent pas au développement initial. Il y a eu deux cas où elles ont transformé les licences et les ont passées de libre à propriétaire, on était un peu embêtés, et là elles sont passées de libre à libre, mais une licence qui a des conditions d’usage, le copyleft. Donc on est plutôt contents parce que c’est une évolution intéressante. Je pense que ce sera un sujet des prochaines semaines, on va reparler de tout ça.

Mag : InformatiqueNews.fr, « Programmation : pourquoi tout le monde devrait s’y mettre ? », par Sébastien Blanc.

Manu : Oui, on devrait tous se mettre à la programmation, bien sûr. C’est utile, ça aide et puis, forcément, il faut faire du logiciel libre parce que ça aide aussi. Là aussi, c’est un sujet de fond.

Mag : ZDNet France « Vidéo : Ingenuity, voler sur Mars grâce aux logiciels libres », par Steven J. Vaughan-Nichols.

Manu : On en a déjà parlé. En gros, la NASA aime le logiciel libre, fait du logiciel libre et si vous voulez étudier et apprendre à programmer, vous pouvez vous baser là-dessus pour travailler.

Mag : Le Monde Informatique « API Java, ce qu’il faut retenir du procès Google Vs Oracle », par Matt Asay.

Manu : Là, il y a eu une décision qui a favorisé Google contre Oracle. Ils reviennent sur le sujet parce que c’est un sujet important. En gros, il y avait des librairies dont l’usage était bloqué selon Oracle. Eh bien non, on peut les utiliser, c’est plutôt pour le logiciel et le logiciel libre notamment.

Luc : Ils précisent aussi que la Cour suprême américaine ne s’est pas trop mouillée non plus en prenant sa décision. D’un point de vue juridique ils ont fait le strict minimum.

Manu : Effectivement, ils auraient pu aller plus loin sur le droit d’auteur. Là ils ont juste parlé du fair use, le droit d’usage qui est un truc américain, spécifique.

Mag : France Inter « Carnets inter-départements du 19 avril », par Philippe Bertrand.

Manu : C’est une discussion sur l’indépendance, les logiciels libres et tout ce qui va autour. Allez jeter une oreille, parce que, effectivement, c’est en audio.

Mag : Et ce soir on va parler de ?

Luc : Je ne sais pas !

Mag : On va parler de l’article de
ZDNet France, « L’université du Minnesota bannie du développement du noyau Linux (€) », par Steven J. Vaughan-Nichols.

Luc : C’est lui qui les a bannis, un journaliste ? C’est ça ? Non, pas du tout. Nouvelle un peu rigolote qui ouvre des discussions. C’est quoi l’histoire ?

Manu : Il y a un bannissement d’une université entière. On leur dit : « Non, vous ne pouvez plus contribuer au logiciel libre qui est Linux, le noyau », donc un des logiciels les plus importants au monde, il y a des milliers de développeurs qui travaillent dessus, c’est quelque chose de vraiment considérable. Là c’est toute l’université qui a été virée.

Mag : Toute l’université, mais ce n’est pas à cause de toute l’université. C’est à cause de certains chercheurs et surtout d’un prof et de ses élèves qui ont fait, on va dire, des propositions pour l’amélioration du noyau [1], mais qui sont plus des tests et des correctifs qui ne corrigent rien que de véritables propositions qui améliorent les choses.

Luc : En gros, ils ont fait des tests en se disant « tiens, si on essayait de saboter un peu Linux pour voir si le système de gestion et de sécurité fonctionne ». C’est quelque chose qui n’est complètement délirant dans le milieu informatique, mais, en général, quand on le fait, on s’organise secrètement, une personne dans une organisation va aller demander à des gens de le faire, on sait qu’ils le font. Là, ils ont pris l’initiative d’aller mettre leurs gros doigts, « parce qu’on est trop malins, on va venir foutre un peu le bordel là-dedans pour voir si tous les systèmes de vérification, contrôle, etc., marchent vraiment ».

Mag : Et ils ne l’ont pas fait qu’une fois. Une fois, à la rigueur, c’est pardonnable. Là non.

Luc : Même pas ! Ça se discute. Non seulement ils ne l’ont pas fait qu’une fois, mais, en plus de ça, ils ont un peu joué aux cons. Quand on leur a demandé des comptes ils ont fait : « Nous ? Non, non, pas du tout ! »

Manu : Les termes utilisés sont intéressants, on parle de « patchs hypocrites ou malveillants ». Hypocrites parce que, effectivement, la volonté qui est derrière ce n’est pas d’améliorer c’est plutôt de tester et on n’aime pas forcément se faire tester dans la vie de tous les jours. Si quelqu’un vient vous voir et vous fait des propositions hypocrites juste pour voir comment vous réagissez, ce n’est pas forcément agréable. La personne qui a réagi ce n’est pas Linus Torvalds [2].

Mag : Non. Pour une fois c’est Kroah-Hartman [3].

Manu : Qui est un des mainteneurs officiels d’une des branches de développement, si j’ai bien compris la chose. Effectivement, Linus Torvalds ne s’occupe pas de tout ce qui se passe. Il a des lieutenants, des délégués, qui vont s’occuper de certaines branches, en général ils suivent des numéros de versions.

Luc : La raison pour laquelle ils ont banni toute l’université et pas uniquement les développeurs, c’est qu’ils ont demandé des comptes à l’université en disant : « Vous validez ce que font ces gens-là ? Vous allez faire quelque chose contre eux ? » Et l’université a dit : « Bof !, on se sait pas ». Ils ont dit : « Si c’est comme ça, on vire tout le monde ! ». Ça m’a fait un peu rigoler parce que ça m’a rappelé une vieille histoire que j’ai probablement déjà racontée dans le podcast, mais bon !

Manu : La répétition c’est la base de la pédagogie !

Luc : Aux débuts des années 2000 je contribuais régulièrement à Wikipédia. Il y avait un espace de discussion qui existe sans doute encore qui s’appelait Le Bistro [4]. Quelqu’un arrive, super mécontent, en disant : « Il y a des enfoirés qui sabotent ma page. Depuis deux heures je galère, ils reviennent, ils foutent la merde dans les pages, je suis obligé de corriger, ils insistent, etc. Il s’avère que c’est un chercheur en sciences de l’information et de la communication et maintenant il veut discuter en disant qu’il a fait ça pour tester la façon dont Wikipédia réagit au vandalisme. » Sur ce, l’universitaire s’exprime sur Le Bistro et dit : « Coucou, je suis là. C’est moi. Effectivement j’ai tout vandalisé pour comprendre scientifiquement comment Wikipédia marche. Maintenant qu’on a mené l’expérience, discutons pour voir comment vous avez réagi. » Tout le monde était fou furieux en disant qu’un point de vue scientifique n’a aucune valeur. Les gens qui contribuent à Wikipédia ont souvent un bagage universitaire assez important. Et puis c’est quoi ces conneries ?, on respecte le travail des gens ! Le gars commence à prendre tout le monde de haut en disant : « C’est bon, ne faites pas vos chochottes, je suis un universitaire, c’est de la recherche, je suis pour la recherche, on discute ». Du coup je propose, pour que la recherche soit complète, qu’on applique nos procédures jusqu’au bout parce que sinon, évidemment, c’est incomplet. La procédure consiste à émettre une plainte officielle auprès du président de l’université en disant que des gens de chez lui foutent la merde dans Wikipédia. Et une fois qu’on a fait ça OK, on discute. Là l’universitaire a fait : « Ouais !, vous n’êtes pas rigolos quand même », et puis il est parti.

Manu : Non ce n’est pas drôle. Effectivement, il a vandalisé le travail d’humains. À un moment donné il n’y a pas que des procédures automatiques et techniques, il y a des humains. Même si les contributions hypocrites sont chopées, sont attrapées, bloquées et contrecarrées, c’est très bien, on va dire qu’ils ont validé que le fonctionne, ça n’empêche que non, ils ont vandalisé du travail humain.

Mag : Non seulement ils ont vandalisé, mais ils ont fait perdre un temps incroyable aux personnes qui ont dû aller contrôler leurs propositions, qui se sont rendu compte que ça ne servait à rien et ainsi de suite. C’est une perte de temps qui n’aurait pas dû avoir lieu.

Manu : Mais, et c’est ce que je trouve intéressant dans le sujet, c’est quelque chose dont on a déjà parlé dans le passé, qui est important dans l’informatique, c’est qu’il est facile de faire des tests, il est facile de valider, de vérifier, d’aller regarder et c’est ce que font, en tout cas c’est comme ça qu’on considère souvent ce que font les hackers, ce sont des gens qui aiment bien bidouiller, tester, essayer. Donc ils vont regarder s’il y a moyen d’accéder à des serveurs, si on peut, une fois qu’on a accédé au serveur, faire certaines choses, jusqu’à quel point c’est facile et jusqu’à quel point les vulnérabilités sont là. On appelle ça souvent des White hats ou des Black hats.

Luc : Chapeaux blancs, chapeaux noirs.

Manu : Exactement. Donc des hackers bienveillants ou malveillants parce que, derrière, soit ils le font juste pour le fun et pour aider ceux qui sont en train de tester, soit, au contraire, ils veulent le faire pour des avantages personnels, ils veulent attaquer, vendre les attaques, peut-être détourner des serveurs. Là on voit une distinction assez manichéenne entre les chapeaux blancs et les chapeaux noirs. Remarque, aux États-Unis, chapeaux blancs et chapeaux noirs, il va peut-être falloir changer la terminologie, parenthèse.

Luc : Oui !

Manu : Ce sujet-là n’est pas nouveau du tout, parce que même les white hats se font attaquer en justice effectivement avec les mêmes arguments : non, vous ne pouvez pas tester comme ça, venus de nulle part. C’est très compliqué parce que vous allez peut-être saccager du travail, prendre des risques. Peut-être que si vous testez un hôpital et que vous validez, ou pas, sa sécurité, peut-être que vous allez faire tomber l’hôpital d’un point de vue informatique. Il y a des vies qui peuvent en résulter derrière.

Luc : Un célèbre hacker français [5] a été condamné parce qu’il avait réussi à rentrer sur des serveurs qui n’étaient pas sécurisés, techniquement ce n’était pas compliqué, mais la justice a estimé que comme il savait qu’il n’avait pas à être là et que, pourtant, il était resté, avait exploré, alors il était coupable. Il aurait dû sortir immédiatement et ensuite informer les gens que leur serveur était à poil sur Internet.

Manu : Le sujet est infini parce qu’il y a aussi des cas où on veut que les hackers, les gentils hackers, interviennent et participent à découvrir les failles, les remonter et aider à les patcher. Donc c’est plutôt bien. Il y a plein de gens qui font ça. Il y a des laboratoires entiers qui sont montés là-dessus. Parfois même on les paye en achetant les vulnérabilités qu’ils ont découvertes. C’est un vrai business modèle aujourd’hui, il y a des millions de dollars qui peuvent être échangés sur ce sujet-là et qui peuvent aider, globalement, la sécurité sur Internet.

Luc : Effectivement, il y a une histoire qui traîne depuis longtemps, qui s’est soldée il n’y a pas très longtemps. Aux États-Unis il y a eu un conflit entre le FBI et Apple. Un attentat avait fait 14 morts et le terroriste, qui est mort dans l’opération, avait un iPhone. Le FBI voulait accéder au contenu de l’iPhone. L’appareil était verrouillé, ils avaient fait une première tentative. Ensuite ils ont mis une pression énorme à Apple. Comme on était quelques années après les révélations de SnowdenRévélations d’Edward Snowden]], que la réputation des GAFAM était pas mal écornée, Apple a bloqué. Ils étaient pris dans cette espèce de truc où tout le monde leur disait : « Vous êtes des complices du terrorisme. Vous défendez les terroristes, les violeurs d’enfants, vous les protégez ». Eux étaient dans cette position un peu délicate de dire dès lors que le gouvernement veut des backdoors dans tous les téléphones – parce que c’était un peu ce que demandait le FBI –, on ne peut plus rien garantir à personne. Il semblerait que le FBI était un petit peu dans cette direction-là. En fait, le FBI a lâché le morceau : ils ont passé des appels d’offre pour que des gens leur vendent des failles sur les téléphones pour pouvoir, justement, regarder ce qu’il y avait dedans. Au final, ils ont laissé tomber le côté juridique qui dure si on fait des conflits et des machins pour pirater le matériel. L’estimation de l’achat de la faille qui avait permis de rentrer dans l’iPhone c’était 900 000 dollars.

Mag : Finalement ça a fait une super pub a Apple qui a dit : « Regardez, consommateurs chéris, comment on vous protège contre le FBI ».

Manu : Partiellement, parce que finalement la protection a été percée, avec de l’argent, pour trouver la faille.

Mag : Aucune sécurité choisie n’est éternelle, donc forcément que ça allait être percé.

Luc : Peut-être qu’ils ont dit non au FBI, mais on rappelle quand même qu’ils sont censés collaborer avec la NASA. Ils l’ont fait. Il y a des années de ça, j’avais lu un truc sur un petit logiciel qui s’appelle DropOutJeep [6] qui était censé être dans les matos d’Apple, j’ai rarement lu des trucs là-dessus. Effectivement, c’est une idée qui circule pas mal chez certains geeks, y compris chez certains libristes, qui disent qu’Apple c’est finalement la meilleure solution parce qu’ils ne collaborent pas et qu’ils ont décidé de protéger les données des utilisateurs. Ça ne les empêche pas non plus dans leur Siri, leur système de commande vocale, d’enregistrer au pif des trucs parce que, de toute façon, ça marche quand ça veut et que des gens écoutent ça. Il y a eu un scandale il y a quelque temps.

Manu : Ils ne sont pas parfaits, ils ne le seront jamais !

Luc : Autre sujet qui peut être posé par ce genre de situation. Imaginons un hacker qui s’aperçoit qu’il y a des attaques, par exemple des attaques sur des hôpitaux dont on parlait il y a quelques semaines, imaginons qu’il puisse intervenir sur les infrastructures des hôpitaux. Il n’a pas le droit, mais il peut le faire et il pourrait intervenir vite et efficacement. S’il ne fait rien, il va y avoir des conséquences et lui serait peut-être en position de faire quelque chose. Est-ce qu’il doit le faire ?

Manu : Là, je pense que c’est un problème philosophique assez profond. On pourrait parler des problèmes de trains et de voies sur lesquelles il y a des gens, il faut détourner le train.

Luc : Le tramway.

Manu : Est-ce qu’on en tue cinq pour en sauver un ? C’est hyper-risqué. Effectivement, ton action en tant que hacker porte plus de conséquences que ton inaction. Tu as plus de responsabilités dans ton action. Même si ton action est basée sur une bonne volonté, c’est positif d’aider, mais que derrière elle a des conséquences négatives, c’est une action, donc tu es plus coupable à ce niveau-là.

Mag : Mais là c’est le cas inverse que nous pose Luc : son inaction pourrait mettre des personnes en danger. Est-ce qu’il doit agir ou pas ?

Manu : L’inaction, d’un point de vue de ce qu’on voit dans les jugements moraux, est moins importante, a moins d’impact moral. Mais effectivement, tu as toujours une culpabilité.

Luc : Après, c’est aussi une question de droit et de procès. Toute la difficulté, dans ce genre de situation, c’est ce qu’on est capable de prouver, surtout si on intervient et qu’au final ça se passe mal, on peut se retrouver en très mauvaise posture.
Il y a un autre sujet qui a été récemment débattu par le Conseil d’État sur la rétention de données personnelles. Dans toutes les discussions qu’il y a eues, c’est pointu et assez compliqué, il y avait quand même cette idée que la rétention de données de connexion, etc., devait servir pour les cas de délinquance grave, sans définir ce que c’est, donc proportionnée à la hauteur du danger.
Aujourd’hui, entre toutes les actions de la Russie sur Internet, éventuellement de la Chine avec les conflits qui montent de plus en plus, plus les pirates, etc., on peut imaginer qu’on se retrouve dans une situation où on dira « maintenant il faut arrêter avec cette séparation bien nette, il faut agir vite et bien et se donner les moyens de sauver la situation. »

Manu : Tu as raison. C’est ce que font les États-Unis en ce moment. Les autorités ont décidé de corriger des backdoors qui sont répandues sur les serveurs Exchange de Microsoft, il me semble. On ne rigole pas, ce n’est pas tant que ça habituel.

Luc : Il peut y en avoir partout !

Manu : Effectivement, des grosses failles avaient été révélées. Microsoft a patché, donc a corrigé les failles, mais les corrections n’ont pas été répandues aussi vite qu’on voudrait et il y a déjà des serveurs qui avaient été compromis. Je crois que le FBI a un, été autorisé à accéder à ces serveurs et deux, au nom des lois habituelles, a juste pu lancer une petite commande pour récupérer l’objet du délit, donc les fichiers de hacking et, en gros, la commande les supprimait. Ils ont réussi à faire ça légalement, mais ça reste quand même un petit peu gris de mon point de vue, c’est-à-dire qu’effectivement ils ont fait une action qui, normalement n’a pas trop de conséquences négatives, mais c’est toujours possible. On ne sait jamais.
On vous laisse choisir philosophiquement, c’est un dilemme moral : est-ce que vous agissez ou vous n’agissez pas ? Est-ce que vous pensez que les autorités doivent agir, ne pas agir ? Les hackers sur Internet doivent-ils agir, ne pas agir ? C’est un dilemme moral qui me paraît fondamental.

Mag : Moi je pense que c’est du cas par cas. On ne peut pas généraliser un truc pareil.

Luc : Si tu ne veux pas généraliser, on est foutus. J’arrête. On se retrouve la semaine prochaine.

Manu : À la semaine prochaine.

Mag : Salut !