Faut-il hacker autrui pour son propre bien - Décryptualité du 26 avril 2021
Titre : Décryptualité du 26 avril 2021 - Faut-il hacker autrui pour son propre bien ?
Intervenant·e·s : Mag - Manu - Luc
Lieu : April - Studio d'enregistrement
Date : 26 avril 2021
Durée : 15 min 40
Revue de presse pour la semaine 16 de l'année 2021
Licence de la transcription : Verbatim
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Description
L'Université du Minosetta est bannie du projet Linux en raison de tentatives de publier volontairement des bugs dans le code source de Linux afin de tester la capacité du projet à repérer ces erreurs. L'occasion de se poser la question : faut-il ou non prendre l'initiative de hacker autrui en cherchant à bien faire ?
Transcription
Luc : Décryptualité. Semaine 16. Salut Manu.
Manu : Salut Mag.
Mag : Salut Luc.
Luc : Sommaire.
Manu : Une jolie semaine.
Mag : Commençons par
Silicon, « Open source : Grafana change à son tour de licence », par Clément Bohic.
Manu : Oui, il y a eu plusieurs sujets, dans les semaines passées, sur des sociétés qui changent la licence de leurs logiciels parce qu’elles en ont marre que les GAFAM les utilisent et ne reversent pas ou ne contribuent pas au développement initial. Il y a eu deux cas ont elles ont transformé les licences et les ont passées de libre à propriétaire, on était un peu embêtés, et là elles sont passées de libre à libre, mais une licence qui a des conditions d’usage, le copyleft. Donc on est plutôt contents parce que c’est une évolution intéressante. Je pense que ce sera un sujet des prochaines semaines, on va en reparler.
Mag : InformatiqueNews.fr, « Programmation: pourquoi tout le monde devrait s'y mettre? », par Sébastien Blanc.
Manu : Oui, on devait tous se mettre à la programmation, bien sûr. C’est utile ça aide et puis, forcément, il faut faire en logiciel libre parce que ça aide aussi. Là aussi c’est un sujet de fond.
Mag : ZDNet France « Vidéo : Ingenuity, voler sur Mars grâce aux logiciels libres », par Steven J. Vaughan-Nichols.
Manu : On a en a déjà parlé. En gros la NASA aime le logiciel libre, fait du logiciel libre et si vous voulez étudier et apprendre à programmer, vous pouvez vous baser là-dessus pour travailler.
Mag : Le Monde Informatique « API Java, ce qu'il faut retenir du procès Google Vs Oracle », par Matt Asay.
Manu : Là, il y a eu une décision qui a favorisé Google contre Oracle. Ils reviennent sur le sujet parce que c’est un sujet important. En gros, il y avait des librairies dont l’usage était bloqué selon Oracle. Eh bien non, on peut les utiliser, c’est plutôt pour le logiciel et le logiciel libre notamment.
Luc : Ils précisent aussi que la Cour suprême américaine ne s’est pas trop mouillée non plus en prenant sa décision. D’un point de vue juridique ils ont fait le strict minimum.
Manu : Ils auraient pu aller plus loin sur le droit d’auteur. Là ils ont juste parlé du fair use, le droit d’usage qui est un truc spécifique américain.
Mag : France Inter « Carnets inter-départements du 19 avril », par Philippe Bertrand.
Manu : C’est une discussion sur l’indépendance, les logiciels libres et tout ce qui va autour. Allez jeter une oreille, parce que, effectivement, c’est en audio.
Mag : Et ce soir on va parler de ?
Luc : Je ne sais pas !
Mag : On va parler de l’article de
ZDNet France, « L'université du Minnesota bannie du développement du noyau Linux (€) », par Steven J. Vaughan-Nichols.
Luc : C’est lui qui les a bannis, un journaliste ? C’est ça ? Non, pas du tout. Nouvelle un peu rigolote qui ouvre des discussions. C’est quoi l’histoire ?
Manu : Il y a un bannissement d’une université entière. On leur dit « non, vous ne pouvez plus contribuer au logiciel libre qui est Linux, le noyau », donc un des logiciels les plus importants au monde, il y a des milliers de développeurs qui travaillent dessus, c’est quelque chose de vraiment considérable. Là c’est toute l’université qui a été virée.
Mag : Toute l’université, mais ce n’est pas à cause de toute l’université. C’est à cause de certains chercheurs et surtout d’un prof et de ses élèves, qui ont fait, on va dire, des propositions pour l’amélioration du noyau, qui sont plus des tests et de correctifs qui ne corrigent rien que de véritables propositions qui améliorent les choses.
Luc : En gros, ils ont fait des tests en disant « tiens, si on essayait de saboter un peu Linux pour voir si le système de gestion et de sécurité fonctionne ». C’est quelque chose qui n’est complètement délirant dans le milieu informatique, mais, en général, quand on le fait, on s’organise secrètement, une personne dans une organisation va aller demander à des gens de le faire. On sait qu’ils le font. Là, ils ont pris l’initiative d’aller mettre leurs gros doigts, « parce qu’on est trop malins on va venir foutre un peu le bordel là-dedans pour voir si tous les systèmes de vérification, contrôle, etc., marchent vraiment ».
Mag : Et ils ne l’ont pas fait qu’une fois. Une fois, à la rigueur, c’est pardonnable. Là non.
Luc : Même pas ! Ça se discute. Non seulement ils ne l’ont pas fait qu’une fois, en plus de ça ils ont un peu joué aux cons. Quand on leur a demandé des comptes, ils ont fait « nous ? Non, non, pas du tout ! »
Manu : Les termes utilisés sont intéressants on parle de « patchs hypocrites ou malveillants ». Hypocrites parce que, effectivement, la volonté qui est derrière ce n’est pas d’améliorer c’est plutôt de tester et, se faire tester dans la vie de tous les jours, on n’aime pas forcément ça. Si quelqu’un vient vous voir et vous fait des propositions hypocrites juste pour voir comment vous réagissez, ce n’est pas forcément agréable. La personne qui a réagi ce n’est pas Linus Torvalds.
Mag : Non. Pour une fois c’est Kroah-Hartman,
Manu : Qui est un des mainteneurs officiels d’une des branches de développement, si j’ai bien compris la chose. Effectivement, Linus Torvalds ne s’occupe pas de tout ce qui se passe. Il a des lieutenants, des délégués, qui vont s’occuper de certaines branches, en général ils suivent des numéros de versions
Luc : La raison pour laquelle ils ont banni toute l’université et pas uniquement les développeurs, c’est qu’ils ont demandé des comptes à l’université en disant « vous validez ce que ces gens-là font ? Vous allez faire quelque chose contre eux ? » Et l’université a dit « oh !, on se sait pas ». Ils ont dit : « Si c’est comme ça, on vire tout le monde ! ». Ça m’a fait un peu rigoler parce que ça m’a rappelé une vieille histoire que j’ai probablement déjà racontée dans le podcast, mais bon !
Manu : La répétition c’est la base de la pédagogie !
Luc : Aux débuts des années 2000 je contribuais régulièrement à Wikipédia. Il y avait un espace de discussion qui existe sans doute encore qui s’appelait le Bistro. Quelqu’un arrive, super mécontent, en disant « il y a des enfoirés qui sabotent ma page. Depuis deux heures je galère, ils reviennent, ils foutent la merde dans les pages, je suis obligé de corriger, ils insistent, etc. » Il s’avère que c’est un chercheur en sciences de l’information et de la communication et maintenant il veut discuter en disant qu’il a fait ça pour tester la façon dont Wikipédia réagit au vandalisme. Sur ce, l’universitaire s’exprime sur le Bistro et dit : « Coucou, je suis là. C’est moi. Effectivement j’ai tout vandalisé pour comprendre scientifiquement comment Wikipédia marche. Maintenant qu’on a mené l’expérience, discutons pour voir comment vous avez réagi. » Tout le monde était fou furieux en disant qu’un point de vue scientifique n’a aucune valeur. Les gens qui contribuent à Wikipédia ont souvent un bagage universitaire assez important. Et puis c’est quoi ces conneries, on respecte le travail des gens ! Le gars commence à prendre tout le monde de haut en disant « c’est bon, ne faites pas vos chochottes, je suis un universitaire, c’est de la recherche » et on discute. Je suis pour la recherche. Du coup je propose, pour que la recherche soit complète, qu’on applique nos procédures jusqu’au bout parce que sinon, évidemment, c’est incomplet. La procédure consiste à émettre une plainte officielle auprès du président de l’université en disant que des gens de chez lui foutent la merde dans Wikipédia. Et une fois qu’on a fait ça OK, on discute. Là l’universitaire a fait : « Ouais !, vous n’êtes pas rigolos quand même », et puis il est parti.
Manu : Non ce n’est pas drôle. Effectivement, il a vandalisé le travail d’humains. À un moment donné il n’y a pas que des procédures automatiques et techniques, il y a des humains. Même si les propositions hypocrites sont chopées, sont attrapées, bloquées et contrecarrées, c’est très bien on va dire qu’ils ont validé que le fonctionne, ça n’empêche que non, ils ont vandalisé du travail humain.
Mag : Non seulement ils ont vandalisé, mais ils ont fait perdre un temps incroyable aux personnes qui ont dû aller contrôler leurs propositions, qui se sont rendu compte que ça ne servait à rien et ainsi de suite. C’est une perte de temps qui n’aurait pas dû avoir lieu.
Manu : Mais, et c’est ce que je trouve intéressant dans le sujet, c’est quelque chose dont on a déjà parlé dans le passé, qui est important dans l’informatique, c’est qu’il est facile de faire des tests, il est facile de valider, de vérifier, d’aller regarder et c’est ce que font, en tout cas c’est comme ça qu’on considère souvent ce que font les hackers, ce sont des gens qui aiment bien bidouiller, tester, essayer. Donc ils vont regarder s’il y a moyen d’accéder à des serveurs, si on peut, une fois qu’on a accédé au serveur, faire certaines choses, jusqu’à quel point c’est facile et jusqu’à quel point les vulnérabilités sont là. On appelle ça souvent des White hats ou les Black hats.
Luc : Chapeaux blancs, chapeaux noirs.
Manu : Exactement. Donc des hackers bienveillants ou malveillants parce que, derrière, soit ils le font juste pour le fun et pour aider ceux qui sont en train de tester, soit, au contraire, ils veulent le faire pour des avantages personnels, ils veulent attaquer, vendre les attaques, peut-être détourner des serveurs. Là on voit une distinction assez manichéenne entre les chapeaux blancs et les chapeaux noirs. Remarque, aux États-Unis, chapeaux blancs et chapeaux noirs, il va peut-être falloir changer la terminologie, parenthèse.
Luc : Oui !
Manu : Ce sujet-là n’est pas nouveau du tout, parce que même les White hats se font effectivement attaquer en justice avec les mêmes arguments : non, vous ne pouvez pas tester comme ça, venus de nulle part. C’est très compliqué parce que vous allez peut-être saccager du travail, prendre des risques. Peut-être que si vous testez un hôpital et que vous validez ou pas sa sécurité, peut-être que vous allez faire tomber hôpital d’un point de vue informatiques. Il y a des vies derrière qui peuvent en résulter.
Luc : Un célèbre hacker français a été condamné parce qu’il avait réussi à rentrer sur des serveurs qui n’étaient pas sécurisés, techniquement ce n’était pas compliqué. Mais la justice a estimé que comme il savait qu’il n’avait pas à être là et que, pourtant, il était resté, avait exploré, alors il était coupable. Il aurait dû sortir immédiatement et ensuite informer les gens que leur serveur était à poil sur Internet.
Manu : Le sujet est infini parce qu’il y a aussi des cas où on veut que les hackers, les gentils hackers interviennent et participent à découvrir les failles, les remonter et aider à les patcher. Donc c’est plutôt bien. Il y a plein de gens qui font ça. Il y a des laboratoires entiers qui sont montés là-dessus. Parfois même on les paye en achetant les vulnérabilités qu’ils ont découvertes. C’est un vrai business modèle aujourd’hui, il y a des millions de dollars qui peuvent être échangés sur ce sujet-là et qui peuvent aider globalement la sécurité sur Internet.
Luc : Effectivement, il y a une histoire qui traîne depuis longtemps, qui s’est soldée il n’y a pas très longtemps. Aux États-Unis il y a eu un conflit entre le FBI et Apple. Un attentat avait fait 14 morts et le terroriste qui est mort dans l’opération avait un iPhone. Le FBI voulait accéder au contenu de l’iPhone. L’appareil était verrouillé, ils avaient fait une première tentative Ensuite ils ont mis une pression énorme à Apple. Comme on était quelques années après les révélations de Snowden, que la réputation des GAFAM était pas mal écornée, Apple a bloqué. Ils étaient pris dans cette espèce de truc où tout le monde leur disait « vous êtes des complices du terrorisme. Vous défendez les terroristes, les violeurs d’enfants, vous les protégez ». Eux étaient dans cette position un peu délicate de dire dès lors que le gouvernement veut des backdoors dans tous les téléphones – parce que c’était un peu ce que demandait le FBI –, on ne peut plus rien garantir à personne. Il semblerait que le FBI était un petit peu dans cette direction-là. En fait, le FBI a lâché le morceau : ils ont passé des appels d’offre pour que des gens leur vendent des failles sur les téléphones pour pouvoir, justement, regarder ce qu’il y avait dedans. Au final, ils ont laissé le côté juridique qui dure si on fait des conflits et des machins pour pirater le matériel. L’estimation de l’achat de la faille qui avait permis de rentrer dans l’iPhone c’était 900 000 dollars.
Mag : Finalement ça a fait une super pub a Apple qui a dit « regardez, consommateurs chéris, comment on vous protège contre le FBI ».
Manu : Partiellement, parce que finalement la protection a été percée, avec de l’argent, pour trouver la faille.
Mag : Aucune sécurité choisie n’est éternelle donc forcément que ça allait être percé.
Luc : Peut-être qu’ils ont dit non au FBI, mais on rappelle quand même qu’ils sont censés collaborer avec la NASA. Ils l’ont fait. Il y a des années de ça, j’avais lu un truc sur un petit logiciel qui s’appelle DROPOUTJEEP qui était censé être dans les matos d’Apple, j’ai rarement lu des trucs là-dessus. Effectivement, c’est une idée qui circule là-dessus chez certains geeks, y compris chez certains libristes qui disent qu’Apple c’est finalement la meilleure solution parce qu’ils ne collaborent pas et qu’ils ont décidé de protéger les données des utilisateurs. Ça ne les empêche pas non plus dans leur Siri, leur système de commande vocale, d’enregistrer au pif des trucs parce que, de toute façon, ça marche quand ça veut et que des gens écoutent ça. Il y a eu un scandale il y a quelque temps.
Manu : Ils ne sont pas parfaits, ils ne le seront jamais.
Luc : Autre sujet qui peut être posé par ce genre de situation. Imaginons un hacker qui s’aperçoit qu’il y a des attaques, par exemple des attaques sur des hôpitaux dont on parlait il y a quelques semaines, imaginons qu’il puisse intervenir les infrastructures des hôpitaux. Il n’a pas le droit, mais il peut le faire et il pourrait intervenir vite et efficacement. S’il ne fait rien, il va y avoir des conséquences et lui serait peut-être en position de faire quelque chose. Est-ce qu’il doit le faire ?
Manu : Là, je pense que c’est un problème philosophique assez profond. On pourrait parler des problèmes de train et de voies sur lesquelles il y a des gens, il faut détourner le train.
Luc : Le tramway.
Manu : Est-ce qu’on en tue cinq pour en sauver un ? C’est hyper risqué. Effectivement, ton action en tant que hacker porte pus de conséquences que ton inaction. Tu as plus de responsabilités dans ton action. Même si ton action est basée sur une bonne volonté, c’est positif d’aider, mais que derrière elle a des conséquences négatives, c’est une action, donc tu es plus coupable à a ce niveau-là.
Mag : Mais là c’est le cas inverse que nous pose Luc : son inaction pourrait mettre les personnes en danger. Est-ce qu’il doit agir ou pas ?
Manu : L’inaction, d’un point de vue de ce qu’on voit dans les jugements moraux, est moins importante, a moins d’impact moral. Mais effectivement, tu as toujours une culpabilité.
Luc : Après, c’est aussi une question de droit et de procès. Toute la difficulté, dans ce genre de situation, c’est ce qu’on est capable de prouver, surtout si on intervient et qu’au final ça se passe mal, on peut se retrouver en très mauvaise posture.
Il y a un autre sujet qui a été récemment débattu par le Conseil d’État sur la rétention de données personnelles. Dans toutes les discussions qu’il y a eues, c’est pointu et assez compliqué, il y avait quand même cette idée que la rétention de données de connexion, etc., devait servir pour les cas de délinquance grave, sans définir ce que c’est, donc proportionnée à la hauteur du danger.
Aujourd’hui, entre toutes les actions de la Russie sur Internet, éventuellement de la Chine avec les conflits qui montent de plus en plus, plus les pirates, etc., on peut imaginer qu’on se retrouve dans une situation où on dira maintenant il faut arrêter avec cette séparation bien nette, il faut agir vite et bien et se donner les moyens de sauver la situation.
Manu : Tu as raison. C’est ce que font les États-Unis en ce moment. Les autorités ont décidé de corriger des backdoors qui sont répandues sur les serveurs Exchange de Microsoft, il me semble. On ne rigole pas, ce n’est pas tant que ça habituel.
Luc : Il peut y en avoir partout !
Manu : Effectivement, des grosses failles avaient été révélées. Microsoft a patché, donc a corrigé les failles, mais les corrections n’ont pas été répandues aussi vite qu’on voudrait et il y a déjà des serveurs qui avaient été compromis. Je crois que le FBI a un, été autorisé à accéder à ces serveurs et deux, au nom des lois habituelles, a juste pu lancer une petite commande pour récupérer l’objet du délit, donc les fichiers de hacking et, en gros, la commande les supprimait. Ils ont réussi à faire ça légalement, mais ça reste quand même un petit peu gris de mon point de vue, c’est-à-dire qu’effectivement ils ont fait une action qui, normalement n’a pas trop de conséquences négatives, mais c’est toujours possible. On ne sait jamais.
On vous laisse choisir philosophiquement, c’est un dilemme moral : est-ce que vous agissez ou vous n’agissez pas ? Est-ce que vous pensez que les autorités doivent agir, ne pas agir ? Les hackers sur Internet doivent-ils agir, ne pas agir ? C’est un dilemme moral qui me paraît fondamental.
Mag : Moi je pense que c’est du cas par cas. On ne peut pas généraliser un truc pareil.
Luc : Si tu ne veux pas généraliser, on est foutus. J’arrête. On se retrouve la semaine prochaine.
Manu : À la semaine prochaine.
Mag : Salut !
