De code et d’arrogance

Quand on y regarde de plus près, la faille informatique baptisée Heartbleed — coeur saignant —, qui dans les derniers jours a mis le gouvernement fédéral sur le gril en favorisant le vol d’un millier de numéros d’assurance sociale (NAS) de citoyens sur les serveurs de l’Agence de revenu du Canada (ARC), n’aura pas été seulement un problème technique qui a emporté la confiance et l’innocence d’humains trop connectés.

 

Que non ! L’erreur d’encodage à l’origine de tout ça vient de mettre en lumière quelque chose d’un peu plus troublant encore : l’arrogance et l’insouciance du monde des programmeurs qui, dans le nouvel ordre numérique social qui se met en place, semblent très bien avoir compris le pouvoir incroyable que leur maîtrise du code binaire leur confère, mais un peu moins la responsabilité fondamentale qui vient avec.

 

Soyons sévères, un instant. Heartbleed, qui vient de faire les manchettes avec les fuites d’informations cruciales que cette faille a permises n’est rien d’autre qu’une succession d’erreurs humaines dans la programmation et l’implantation d’un truc baptisé OpenSSL, une bibliothèque contenant des clés de chiffrement qui permettent de crypter les informations personnelles envoyées par un citoyen lambda quand il remplit un formulaire sur un site Web. En gros.

 

Le responsable de l’erreur ? Un programmeur allemand du nom de Robin Seggelmann, pour commencer. Il l’a reconnu lui-même dans les pages du Sydney Morning Herald, il y a quelques jours. Il s’est au passage défendu d’avoir délibérément introduit, dans cette bibliothèque de chiffres, une fenêtre permettant à un internaute habile de voir en clair les données personnelles censées pourtant être encodées. Un mot de passe. Un NAS. Un nom d’usager. Alouette.

 

Il aurait dû vérifier, par mesure de sécurité élémentaire, le bon fonctionnement de son code avant de le propager. Il ne l’a pas fait. Autour, d’autres programmeurs qui ont été en contact avec ce code dit ouvert n’ont pas fait mieux. La chose a été implantée dans près de 65 % des sites Web à travers le monde, évalue-t-on, mais également dans des services de vidéoconférence, des routeurs informatiques… avec les conséquences plus que néfastes que l’on connaît aujourd’hui.

 

Pis, pendant deux ans, l’existence de cette faille a été connue dans le petit monde des maîtres du code, sans autre forme de traitement. On soupçonne d’ailleurs plusieurs organismes mal intentionnés, tout comme la National Security Agency (NSA) aux États-Unis dont les insidieuses intrusions numériques dans la vie privée de citoyens ordinaires ont été largement dénoncées par l’ex-analyste Edward Snowden, d’en avoir profité. En silence. Et ce, jusqu’au 7 avril dernier, où trois programmeurs se sont mis à l’oeuvre pour colmater la brèche.

 

Cela étant fait, il faudrait espérer maintenant que ce trio s’activera à la programmation d’un nouveau petit module, celui permettant de répandre la notion de responsabilisation dans un univers qui, pour participer à la construction d’un futur numérique et social sain, gagnerait à l’assimiler de manière un peu plus rigoureuse.

 

La mathématique de la modernité devrait d’ailleurs convaincre les gardiens du code de le faire. En effet, la dématérialisation de l’activité humaine ne peut aller qu’en s’amplifiant, amplifiant par le fait même les volumes de données numériques partagés par des systèmes dont la sécurité et l’inviolabilité vont devenir plus que nécessaires pour la bonne marche de la suite des choses. En 2020, rapportait récemment la firme de recherche IDC, 32 milliards d’objets connectés à Internet devraient induire 44 000 milliards de gigaoctets de données, soit 10 fois plus que l’an dernier. Ces informations, en balade sur un réseau, pourront toucher la vie très personnelle à l’intérieur d’une maison, l’état de santé d’un individu, ses rêves, ses déplacements, ses doutes et ses aspirations et mériteraient bien sûr de rester dans l’intimité qui va les faire naître. Loin d’une fenêtre d’observation discrète, imperceptible et efficace comme celle que Heartbleed a ouverte sur deux tiers des sites Web à travers le monde.

 

La semaine dernière, le Pew Research Center soulignait d’ailleurs, étude en main, que le vol de données personnelles en ligne allait croissant aux États-Unis où 18 % des adultes ont revendiqué un tel vol en janvier dernier, soit 7 points de pourcentage de plus qu’en juillet dernier. La détermination d’un pirate informatique tout comme la négligence d’un programmeur sont sans doute en partie responsables.

 

Ces deux types de « maîtres du code », ces nouveaux maîtres du monde, mériteraient d’ailleurs, dans ce contexte et face à leur nouveau pouvoir, de se souvenir de Stanley Baldwin, premier ministre britannique dans les années 20, qui, un jour, citant son cousin, un certain Rudyard Kipling, avait servi à un baron de la presse (à l’époque, c’était eux qui régnaient sur le monde de l’information non numérisé), cette vérité : le « pouvoir sans responsabilité » est le privilège des filles de joie « depuis la nuit des temps ». Que ce temps soit dématérialisé. Ou non.

3 commentaires
  • Pierre-R. Desrosiers - Inscrit 22 avril 2014 06 h 22

    Nouveau paradigme

    Les maître du numérique succèdent désormais aux maîtres de l'écrit qui ont dominé le monde depuis l'invention de l'imprimerie après avoir succédé aux maîtres de la parole qui le dominaient depuis la nuit des temps.

    Simple évolution.

    Desrosiers
    Val david

  • Nicolas Blackburn - Inscrit 22 avril 2014 09 h 59

    La responsabilité ne repose pas sur la tête d'un programmeur

    « Le responsable de l’erreur ? Un programmeur allemand du nom de Robin Seggelmann, pour commencer. »
    « La détermination d’un pirate informatique tout comme la négligence d’un programmeur sont sans doute en partie responsables. »

    C'est trop facile d'accuser le programmeur. Qu'en est-il de la responsabilité des institutions qui utilisent ce logiciel ? Openssl est un logiciel libre dont la license permet à quiconque de réviser et examiner le code source, d'y apporter des modifications et de le partager librement. Ce qui ne serait pas le cas avec un logiciel propriétaire: une faille telle que Heartbleed aurait pu être cachée à l'insu de tous excepté la compagnie propriétaire. Bref, le logiciel étant libre, les instititions et organismes qui l'utilisent bénéficient d'une réduction de coût avantageuse, mais cela ne veut pas dire qu'aucune responsabilité ne leur incombe: ils peuvent et doivent tester et examiner le code de composantes aussi critique qu'un module d'encryption de données avant de l'exposer à la face du monde.

    L'erreur est humaine. Le développement d'un logiciel est complexe et l'idée même d'une sécurité inviolable est impossible: il y aura toujours un risque ou une faille oubliée. On peut limiter les risques et les dégâts si on travaillent tous ensembles ou on peut se déresponsabiliser et jeter la pierre à quelques individus et rêver d'un monde utopique de logiciels sans failles. La dernière option est l'équivalent à se mettre la tête dans le sable.

    • Jacques Gagnon - Abonné 22 avril 2014 17 h 50

      Bien dit monsieur.

      Quand on lit le papier de monsieur Deglise, dont je respecte le travail, fort intéressant par ailleurs, on mesure le fossé qui sépare les éditeurs de code, individus ou entreprises, de la population en général, sur le sujet de l'informatique. Monsieur Deglise ne fait que révéler une vulnérabilité face à cette technologie, dont on entend dire du mal et des échecs systématiquement à chaque passage du vérificateur général. Des milliards en projets perdus sont dénoncés à chaque année.

      C'est une vulnérabilité qui nous coûte cher. La population est maintenue dans l'ignorance parce que nos leaders sont ignorants eux-mêmes. Ils ne se rendent pas compte de leurs responsabilités face à l'informatisation.

      C'est une science qui nait en ce moment, le Web est le far-west encore. Pouquoi tout n'est-il pas encrypté sytématiquement ? On considère l'informatique comme un mal nécessaire. Peu de gens comprennent qu'ils ne survivraient pas sans l'informatique. Tout s'arrêterait et je ne pourrais vous parler.

      C'est un sujet long et profond. J'applaudis votre réflexion et vous encourage à continuer à en débattre.