Par Yannick Chatelain.
Un article de The Conversation
Rendons à César
Si le terme de lanceur d’alerte : Whistleblowers a investi le langage populaire avec l’affaire Snowden. Il convient de rendre à César ce qui revient à César. Les lanceurs d’alerte technologique originels sont sans conteste les white hat hackers.
Un white hat hacker qui découvre une faille dans un outil proposé au grand public n’a de cesse que de trouver les moyens (dans un premier temps) de la faire corriger par son « constructeur ». Sa philosophie n’est pas de chercher à porter atteinte à l’entreprise ni à sa réputation.
Sa mission première – d’après découverte – est de prévenir l’entreprise que la promesse qu’elle fait aux utilisateurs n’est pas tenue. Sa logique n’est pas – dans un premier temps – d’alerter le grand public et de vanter au monde l’ingéniosité de sa découverte ! Il s’agit pour lui d’agir dans l’ombre pour la collectivité et de faire corriger l’erreur au plus vite, pour le bien de l’entreprise, pour celui de l’usager.
Le white hat hacker : cet ennemi des malhonnêtes !
Toute entreprise éclairée se devrait de les considérer comme des contributeurs à leurs succès non pas comme des empêcheurs de faire du business en rond. Un hacker ne préjuge pas d’une quelconque intentionnalité malveillante de l’acteur concerné.
Si le constat est qu’il manque une roue à une voiture lorsqu’elle sort de la chaîne de montage, prévenir le constructeur est un acte salvateur relevant du plus simple bon sens ! Ne feriez-vous pas de même ? Soyez assuré qu’une voiture dotée de quatre roues est beaucoup plus fiable dans les virages !
C’est seulement dans un second temps, dans la mesure ou l’entité concernée reste sourde à l’alerte, demeure dans le déni et n’agit pas, que l’intentionnalité de vouloir duper l’usager devient vraisemblable pour ne pas dire… avérée. Le droit et le devoir d’alerter les usagers par tous les moyens du danger auquel il est exposé à son insu est alors parfaitement légitimé et prime sur toute autre considération. Il y a malheureusement de multiples exemples où l’on retrouve ce cas de figure.
Le cas d’école SnapChat
Comme le rapportait Audrey Oeillet le vendredi 27 décembre 2013, le groupe de hackers Gibson Security, ou GibSec, prenait la décision de mettre en ligne des informations relatives aux failles de sécurité du célèbre service de photos et vidéos éphémères portant atteinte aux données de quelque 8 millions d’utilisateurs. Une situation délicate pour une entreprise dont la crédibilité, tout comme la promesse, reposait sur la sécurité totale des données utilisateurs et sur le caractère éphémère de leur conservation. Le cas de la start-up SnapChat est un cas édifiant – à l’issue très étonnante, mais explicable- du genre de situation que j’évoque.
Comme le souligna alors le représentant du groupe, ils avaient préalablement contacté les développeurs de l’application, et ce quatre mois avant la divulgation des failles découvertes :
Ils ont eu quatre mois, si durant ce laps de temps ils n’ont pas pu réécrire dix lignes de code, alors ils devraient virer toute leur équipe de développeurs […] Cet exploit n’aurait pas été publié s’ils avaient été plus respectueux de la sécurité (ce qui devrait être le cas, compte tenu de la manière dont l’application est utilisée) estime GibSec.
(NDLA : un « exploit » est, dans le domaine de la sécurité informatique, un élément de programme permettant à un individu ou à un logiciel malveillant d’exploiter une faille de sécurité informatique dans un système informatique.)
Ces péripéties n’empêcheront pas l’application mobile Snapchat de faire son entrée à la bourse de New York (NYSE) quelques années plus tard.
SnapChat a ainsi « étrangement » survécu à cette haute trahison numérique. On peut émettre l’hypothèse qu’une large majorité des utilisateurs de SnapChat auront – à l’époque – jugé l’importance du respect de leurs données inférieure au plaisir immédiat de l’usage. Aujourd’hui, à la lumière du Facebookgate de mars 2018, un tel « miracle » – sur une population qui semble prendre progressivement conscience de l’importance de sa vie privée – ne se reproduirait peut-être plus pour une jeune entreprise se conduisant de la sorte.
Dans l’affaire SnapChat on notera que les hackers de GibsSec ont joué pleinement leur rôle en tirant la sonnette d’alarme dans le plus strict respect de l’éthique des hackers.
Si un jour des utilisateurs, des utilisatrices, qui auront maintenu leur confiance en ayant été dupés en « payent » les conséquences, ils se rappelleront alors que, s’ils oublient tout, Internet lui n’oublie rien.
La première fois c’est une erreur, la seconde c’est qu’on le fait exprès. (proverbe chinois)
À suivre
Yannick Chatelain, Enseignant Chercheur. Head of Development. Digital I IT, Grenoble École de Management (GEM)
La version originale de cet article a été publiée sur The Conversation.
