Les problèmes d'interface chaise-clavier ne sont pas toujours liés à la stupidité - Décryptualité du 25 janvier 2021
Titre : Décryptualité du 25 janvier 2021 - Les problèmes d'interface chaise-clavier ne sont pas toujours liés à la stupidité
Intervenants : Manu - Luc
Lieu : April - Studio d'enregistrement
Date : 25 janvier 2021
Durée : 15 min
Revue de presse pour la semaine 3 de l'année 2021
Licence de la transcription : Verbatim
Illustration : Black and white man typing on desktop PC, Free SVG - Licence Creative Commons CC0
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Description
On sait déjà que l'humain est un des maillons les plus faibles de la sécurité informatique. Parfois ce n'est pas pas parce qu'il est incompétent ou stupide mais par choix.
Transcription
Luc : Décryptualité. Semaine 3. Salut Manu.
Manu : Salut Luc.
Luc : Tu es malade.
Manu : Comment ça ? Je viens tout juste de démarrer un rhume, rien à voir !
Luc : Gros sommaire cette semaine. La semaine dernière il n’y avait rien et tu leur as dit « au boulot les gars » et hop !, ils s’y sont mis !
Manu : L’appel a bien marché. Effectivement, on a pas mal d’articles qui sont tombés cette semaine. Il y a eu du boulot. Est-ce que c’est du bon boulot ?, il faut voir, en tout cas il y a de gros sujets qui sont sortis.
Luc : ZDNet France, « Après le rapport Bothorel, des acteurs des logiciels libres demandent une stratégie publique », un article de Thierry Noisette.
Manu : C’est dans la continuation d’un sujet qui a démarré il y a quelques semaines finalement, qui a été beaucoup repris par-ci par-là, par l’April aussi, nous. On en a parlé. C’est un gros sujet parce que l’open data c’est intéressant de plein de points de vue, notamment pour l’avenir et des politiques française, européenne peuvent s’en dégager.
Luc : Le Monde.fr, « À Bercy, une cellule d'informaticiens pour aider l’État à réguler les GAFA », un article de Alexandre Piquard.
Manu : J’ai presque envie de rigoler parce que, honnêtement, ils sont mal barrés, ils ont une équipe d’informaticiens alors qu’en face ils ont du monde ! Ils vont être submergés par les équipes d’avocats de l’autre côté.
Luc : Ça dépend de ce qu’on leur demande de faire, mais déjà, s’il peut y avoir des conseils techniques par des gens qui s’y connaissent en technique de telle sorte que les pouvoirs publics ne soient pas complètement à la ramasse et à côté des problématiques techniques, ce n’est déjà pas mal.
Manu : Ce sera déjà pas mal. En tout cas on leur souhaite bonne chance.
Luc : BlogNT, « Pour Microsoft, il est temps que les entreprises adoptent l'open source », un article de Yohann Poiron.
Manu : J’aime beaucoup l’image, tu as un Microsoft cœur open source, je kiffe et j’adore la réaction de nos amis, qu’on connaît, et qui sont probablement en train de ne plus respirer d’apoplexie, d’énervement.
Luc : Microsoft était notre ennemi favori !
Manu : Exactement, donc là il se retourne en grand allié, grand amoureux, en tout cas d’après ce qu’ils disent, de l’open source.
Luc : On rappelle que Microsoft continue à mettre des brevets logiciels partout, continue à surveiller abondamment les gens et que sa logique open source n’est pas une logique logiciel libre qui garantit les libertés des utilisateurs.
Manu : C’est quand même une évolution intéressante qu’on n’oublie pas et qu’on note régulièrement.
Luc : France Culture, « Richard Stallman, inventeur du logiciel libre et penseur d'un internet libertaire », un article de Yann Lagarde.
Manu : J’ai beaucoup hésité parce qu’il y en avait aussi un autre qui parlait du même type de sujet parce que, en gros, ce sont les 20 ans de Wikipédia, qui n’ont pas été beaucoup remontés dans les news. Là, on rapproche ces 20 ans de Wikipédia de Richard Stallman qui, mine de rien, est un des initiateurs de l’idée dans sa forme actuelle. Il a créé y compris un projet concurrent à l’époque, GNUPedia[1], pour faire pression sur les créateurs de Wikipédia.
Luc : Ce n’est pas ce qu’ils disent a posteriori parce que ça a raté ?
Manu : Il y a de ça. Mais non, ça n’empêche, il l’a vraiment utilisé pour faire pression parce que, en gros, il voulait un système décentralisé où les rédacteurs ne soient pas contrôlés par des entités centrales, il voulait des outils libres, avec des licences libres et c’est ce qu’on a aujourd’hui.
Luc : Avant Wikipédia il y avait eu des projets par les mêmes créateurs et qui visaient à avoir des experts, être dans un truc plus pyramidal.
Luc : RFI, « Droits voisins : Google a signé un accord pour rémunérer la presse française », un article de la rédaction.
Manu : Tout ça c’est le sujet du droit d’auteur et des droits voisins, une sorte de bizarrerie.
Luc : Oui. Il faut quand même qu’on admette que c’est le truc dont on a dit qu’ils n’y arriveraient jamais et que jamais Google ne les paieraient.
Manu : Non, non !, on n’a rien à admettre du tout. Effectivement il y a des règlements européens et des lois françaises qui nécessitent, pour réutiliser des actualités, notamment des articles de presse, de payer aux entités correspondantes des droits. Google a dit qu’il ne le ferait pas. Là, ils viennent d’entrer dans une sorte de préaccord, c’est une sorte d’accord-cadre mais qui n’implique pas de paiement pour l’instant, pas de sommes.
Luc : Il y a une partie qui n’est pas publique, potentiellement des tarifs. Ils n’ont signé qu’avec une organisation, donc c’est loin de couvrir toute la presse.
Manu : C’est un truc plus global.
Luc : On ne sait pas ce que ça va donner dans la réalité. En tout cas ça a quand même fait un pas dans une direction où on a dit que ça n’irait pas. C’est un accord pour trois ans, on verra la suite.
Next INpact, « François Pellegrini, élu vice-président de la CNIL », un article de la rédaction.
Manu : On note parce que François Pellegrini c’est quelqu’un qu’on connaît, qui vient du monde du logiciel libre.
Luc : Quelqu’un qui dit toujours des choses très intéressantes quand il parle, qui est vraiment du côté intello du logiciel libre. On est très contents de le voir là.
Le Monde Informatique, « Des formations en gestion et stratégie open source par la fondation Linux », un article de la rédaction.
Manu : La Fondation Linux[2] c’est une sorte de melting-pot de plein d’organismes, d’entreprises, d’associations et de personnes. Elle se lance dans des formations plutôt pour les entreprises. Il y a des tarifs qui sont en jeu, qui n’ont pas l’air d’être super chers, il faut voir, ça se discute et c'est intéressant parce que ça promeut des formes de pensée qu’on aime bien : le Libre, l’agilité, des choses qui sont plutôt intéressantes.
Luc : Silicon, « Open Hardware : l'Open Source à l'assaut des processeurs », un article de David Feugey.
Manu : On parle de l’open hardware parce que, en fait, ça reprend des idées de partage et d’innovation commune. On distribue à tout le monde. On a le droit, quand on fait de l’open hardware, de distribuer les plans ce qui correspondrait, quelque part, à du code source, si on fait des analogies. Effectivement, bien que ça semble compliqué, il y a des microprocesseurs qui ont des plans qui sont libres.
Luc : Et c’est d’autant plus important qu’on soupçonne notamment Huawei de mettre des systèmes espions dans son matériel et que, même sans vouloir espionner, il y a plein de systèmes de backdoors pour des questions de sécurité ou de choses comme ça. Et, si on ne maîtrise pas le matériel, eh bien le logiciel libre, potentiellement, n’est pas si libre que ça parce que le contexte dans lequel il s’exécute n’est pas fiable et pas loyal.
Manu : Si on est un peu paranoïaques, n’oublions pas que dans les microprocesseurs Intel il y a un petit microprocesseur intégré auquel on n’a pas vraiment accès en termes de conception, d’architecture et de code source et, dedans, on ne sait pas trop ce que ça fait, ça a l’air d’être un peu compliqué.
Luc : Ça ferait tout un sujet de podcast à l’occasion.
Manu : Paranoïaques. Mais bon !
Luc : On ne va pas parler de ça aujourd’hui. On parle de quoi du coup ?
Manu : Un sujet qui n’est pas mal, moi j’aime bien, c’est quoi ?, PEBCAK ?
Luc : PEBCAK est un acronyme qui veut dire en anglais <em<Problem Exists Between Chair And Keyboard, qu’on traduit en général en français comme « un problème d’interface chaise-clavier ». Évidemment, c’est l’individu, c’est l’humain qui se trouve entre la chaise et le clavier, donc l’interface chaise-clavier ce sont tous les problèmes humains. On voulait plus en parler d’un point de vue sécurité. La question de la sécurité est essentielle et là il y a quelques petites affaires qui sont sorties les unes derrière les autres qui nous ont semblé assez intéressantes.
Manu : Petites affaires. D’ailleurs je ne sais pas si tu te réfères aux institutions américaines qui se sont fait pirater depuis plusieurs mois en passant par des fournisseurs. Ce sont des problèmes qu’on a et qu’on aura encore, il n’y a pas de doute. Il y a des banques qui se sont fait avoir en Amérique du Sud.
Luc : Une institution financière au Brésil qui, en gros, vient de se faire piquer toutes ses données relatives aux clients.
Manu : Des clients brésiliens.
Luc : Oui. C’est même plus que les clients parce que, si je me souviens bien, c’est une institution qui est là pour faire de l’évaluation sur la capacité financière des gens. Du coup, ils ont plus de données de gens qu’il n’y a d’habitants au Brésil puisqu’ils ont également des données sur des gens qui sont morts. Toutes les données ont fuité donc les coordonnées de contact des gens, leur état-civil, etc., mais également leur patrimoine, combien ils gagnent, etc., puisque ce sont des trucs financiers. Ce qui ouvre la possibilité à des escrocs de savoir qui cibler, potentiellement de faire du phishing, donc récupérer des informations personnelles, etc., pour accéder aux comptes. Là, comme ils savent qui est riche, ils n’ont pas besoin d’envoyer un mail standard un peu merdique, ils peuvent avoir plein d’infos et viser une personne en particulier et après on peut avoir derrière des trucs purement crapuleux de type « j’enlève tes enfants et maintenant tu me files des millions ».
Manu : En Amérique du Sud il paraît qu’ils ont un peu l’habitude. Il y a des gens qui prennent des assurances qui prennent des assurances anti-kidnapping.
Luc : Ça doit dépendre des pays, mais, au Brésil, la délinquance existe.
Manu : La sécurité c’est quelque chose qui est effectivement partout, on en parle tout le temps, on est touché d’une manière ou d’une autre et on en parle régulièrement d’un point de vue technique. On dit « il y avait des failles, des backdoors, du matériel qui a des problèmes.»
Luc : Tout ça parce qu’il y a des fainéants d’informaticiens qui font mal leur boulot !
Manu : Oui, régulièrement, ou qui font leur boulot d’une manière… En tout cas il y a des failles donc il faut les corriger et répandre un petit peu cette idée qu’on est dans un fort et il faut que les murs soient les plus solides qui soient. Mais ce n’est pas suffisant, parce qu’à un moment donné, comme tu le disais, il y a toujours un humain qui intervient et tu es tombé sur un truc intéressant.
Luc : Dans le cas du Brésil on n’a pas exactement le détail mais effectivement, ça doit être encore une fois une faille technique, mais ça démontre bien que les enjeux peuvent être très importants derrière.
En France, on a un bouquin [Investigations & Téléphonie Mobile - Le guide à l'usage des avocats] qui est un petit peu en train de faire le buzz, de quelqu’un qui est assez connu qui répond au surnom de Haurus. C’est donc un ancien espion, en tout cas un flic qui travaillait dans la partie renseignement de l’Intérieur et qui a décidé d’arrondir ses fins de mois en vendant les données des renseignements sur le darknet à qui voulait bien les acheter, donc probablement la pègre.
Manu : Il a gagné de l’argent, mais il s’est fait choper.
Luc : Il a encore des procès en cours, il a déjà fait un an de prison. Et il sort un bouquin je crois, il a sorti un guide pour expliquer que tous les systèmes d’écoute, etc., sur lesquels il bossait sont mal compris par les avocats et que, en général, dans le cadre de la justice, les gens se faisaient un petit peu balader par la police et par les experts qui ne comprenaient pas comment ça marchait.
Manu : Là, on pourrait considérer qu’il essaye d’en ressortir quelque chose de positif. Ça n’empêche, au final, que le mec était corrompu et qu’il a trahi ce pourquoi il avait été embauché, ce pourquoi il travaillait, peut-être même la nation. Ça reste bien et bigrement choquant et gênant. C’est un peu normal qu’il fasse de la prison, mais, ce que j’en retire, c’est que ce genre de choses peut arriver un peu partout et ça arrive un peu partout.
Luc : On peut avoir des tas d’affaires de ce type-là. Il suffit de quelqu’un de malhonnête et je pense que, dans nos vies, à un moment ou un autre on a croisé quelqu’un qui était malhonnête, qui a tenté un coup. Il y en a potentiellement plein qui l’ont fait et dont on n’a jamais entendu parler, des abus de biens sociaux, des machins comme ça.
Manu : Je me souviens de cas de banques suisses, qui sont quand même supposées être des forts imprenables où les autres États ne peuvent pas aller voir ce qu’il y a derrière, c’est une vie privée qui est hyper-forte et bien défendue, eh bien les Suisses gardaient notamment des comptes allemands, chez eux, comme ça se fait régulièrement, et l’Allemagne voulait savoir un petit peu ce qu’il y avait. Qu’est-ce qu’ils ont fait ? Ils ont payé un employé d’une banque suisse pour obtenir des listings sur les citoyens allemands. Ça a marché. Ils l’ont payé bien et cher, et ils ont réussi à sortir des données auxquelles d’habitude ils n’avaient pas accès. Là encore ils sont passés par une faille humaine.
Luc : Des fois on a des gens qui font ça et on n’appelle pas ça des malfrats, on appelle ça des héros, après c’est une question de point de vue. Quelqu’un comme Edward Snowden[3] est typiquement la faille humaine, un type qui est travaillé par sa conscience et qui se dit « le truc auquel je suis en train de participer est absolument abominable, le monde doit savoir ». Mais effectivement, si tu te places du côté des espions américains, ce mec est un traître et je pense qu’ils lui mettraient bien une balle dans la tête.
Manu : Ça fait partie des trucs qui se discutent. On sait que depuis quelques dizaines d’années maintenant il y a des principes mêmes qui sont au-dessus des lois ou des règlements, des principes moraux, et si on y déroge, on est coupable. Juste le truc de dire « j’ai obéi aux lois, j’ai obéi à mon chef », ça ne suffit plus.
Luc : Ça ne suffit plus quand tu te retrouves dans le cadre d’un procès de gens qui reconnaissent que c’était effectivement un problème. Par contre quand tu es dedans, et c’est le cas aujourd’hui de Snowden et de plein de lanceurs d’alerte, quelqu’un qui s’expose en étant lanceur d’alerte se fait ruiner par les gens qu’il est en train de dénoncer et, avant qu’il ait du soutien et qu’on lui dise « ah oui, en fait tu avais raison », ce sont souvent des gens qui se font laminer par le système.
Manu : On pense à Assange[4], je pense que c’est un exemple. C’était un trublion, il était pénible pour tout le monde, y compris pour ses alliés, il a vraiment embêté tout le monde, mais il a été puni. Il a été mis en prison dans une cage dorée dans une ambassade à Londres.
Luc : Pas si dorée que ça, ce n’était pas tout à fait la cage des gens qui voulaient le mettre en tôle, mais c’est juste là où il a pu se réfugier.
Manu : Et finalement il a été chopé et mis dans une prison réelle. Ceci dit, pour l’instant son extradition aux États-Unis a été bloquée.
Luc : Oui, mais pas pour des questions juridiques ou de sa culpabilité, ils disent simplement qu’il n’est pas en état d’y aller, que son état de santé est trop fragile et que les conditions de détention aux États-Unis sont telles que ça risquerait de l’achever.
Manu : On le constate. Le système se retourne contre les gens qui ont essayé d’aller à son encontre. Donc lanceur d’alerte ou personne corrompue, dans tous les cas on risque de se prendre la machine sur le nez.
Luc : Le problème c’est qu’on imagine bien qu’un truc comme la NSA c’est censé être super sécurisé, on est censé surveiller les gens. Comme Snowden était le premier peut-être qu'il a bénéficié de facilités pour ça, mais on voit comment le top du top et des trucs qui sont censés être les plus secrets restent finalement vulnérables à un individu qui décide de faire péter le système.
Manu : Moi, quelque part, j’y trouve quelque chose ! Il y a du négatif, mais il y a du positif, parce que tout ça dépend des individus. Les règles, les systèmes, les mécanismes qui sont en place c’est une chose et c’est important qu’on en est. Les institutions, les droits, les constitutions sont là et c’est important, mais à un moment donné ce sont les individus qui les mettent en place ou ce sont les individus qui décident d’outrepasser ces règlements. Donc on dépend d’eux et on dépend de leur intégrité et de leur force morale. Moi j’y vois quelque chose de positif malgré tout.
Luc : Ou de leur force immorale aussi.
Manu : On n’est pas à l’abri !
Luc : Tu peux imaginer que les choses tournent très mal parce qu’il y a un type qui a décidé de revendre toutes tes données et après tu te fais escroquer, racketter par des gens malhonnêtes.
Manu : Toi, si on te donnait des pouvoirs phénoménaux, tu te sentirais d’être intègre jusqu’au bout et on ne pourrait jamais te corrompre ?
Luc : Exactement !
Manu : C’est vrai ?
Luc : Ce que je propose c’est qu’on me mette en situation : donnez-moi du pouvoir et plein d’argent. Je suis pour l’expérimentation, je pense qu’il faut tester, il n’y a pas d’autre moyen.
Manu : Là je viens de changer d’avis. Je pense qu’il faut tout vérifier. On a confiance, certes, mais on vérifie, on vérifie avant, on vérifie après, on vérifie pendant. Je veux voir ton patrimoine, je veux voir tous les trucs dans lesquels tu es engagé. On vérifie, donc il faut suivre un petit peu et pas juste avoir une confiance aveugle dans les gens. Il y a des mécanismes pour éviter un peu la corruption. On vérifie effectivement les patrimoines des gens et on s’assure aussi qu’ils ne soient pas toujours au même endroit. On va faire tourner les responsabilités, on va s’assurer, par exemple, que les gens ne sont pas là où ils ont été élevés et qu’ils vont aller à un autre endroit. On va les changer de poste régulièrement.
Luc : On contrôle le niveau des comptabilités et ce genre de choses quand on est dans ce genre de système, mais après typiquement, sur ce genre d’info, je pense que c’est problématique. Également par rapport à cette question de la police, j’avais lu des articles qui disaient qu’il y avait des abus avec pas mal de policiers qui allaient choper des infos, rendaient service à des amis. On parlait d’un type qui aurait été intéressé par une femme, il est allé dans le fichier pour savoir où elle habitait, ce qu’elle faisait, etc. Dès lors qu’on tolère ce genre d’utilisation hors-cadre ou qu’on dit « n’importe qui peut ouvrir le fichier, on ne met pas de règles », on se met aussi dans des situations où on favorise les gens qui déconnent vraiment, et ça va être beaucoup plus difficile de les détecter puisqu’on tolère plein de cas limites.
Manu : Dans tous les cas, donner sa confiance à quelqu’un pourquoi pas !, mais il faut vérifier !
Luc : Très bien ! Tu me fais confiance pour ne pas déformer tes propos en remontant le podcast et te faire dire l’inverse de ce que tu penses ?
Manu : Bien sûr !
Luc : Je ne le fais jamais, ça ne m’est jamais arrivé.
Manu : Jamais !
Luc : À la semaine prochaine.
Manu : À la semaine prochaine.