Quand l’informatique en veut à notre peau - Décryptualité du 12 octobre 2020

Titre :
Décryptualité du 12 octobre 2020 - Quand l’informatique en veut à notre peau.
Intervenants :
Manu - Luc
Lieu :
April - Studio d’enregistrement
Date :
12 octobre 2020
Durée :
15 min
Écouter ou enregistrer le podcast

Revue de presse pour la semaine 41 de l’année 2020

Licence de la transcription :
Verbatim
Illustration :
Panneau A14 signalant un danger - GNU Free Documentation License et licence Creative Commons Attribution-Share Alike 3.0 Unported, 2.5 Generic, 2.0 Generic et Generic
NB :
transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.

Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l’April, qui ne sera en aucun cas tenue responsable de leurs propos.

Description

Dans la foulée du Cellmate, Décryptualité s’intéresse à ces applications de l’informatique qui peuvent directement nous mettre en danger.

Transcription

Luc : Décryptualité. Semaine 41. Salut Manu.
Manu : Salut Luc.
Luc : Commençons tout de suite par la revue de presse.
Manu : Six jolis articles cette semaine.
Luc : ITforBusiness, « L’UE passe ses logiciels open source au crible du Bug Bounty », un article de Marie Varandat.
Manu : Un Bug Bounty c’est une sorte d’enchère à qui va trouver des bugs dans un logiciel donné.
Luc : C’est une prime.
Manu : Une prime, exactement. On propose à tous ceux qui le veulent de tester les logiciels de l’Union européenne, ceux qu’elle met en avant, et si vous trouvez des bugs, on vous paye, c’est quand même très sympa.
Luc : Il y a quelques années il y a des gens qui avaient montré qu’on pouvait très facilement espionner les députés européens au travers du Wi-fi qui n’était pas sécurisé.
Manu : C’est là que le Bounty devient important.
Luc : Mediapart, « La Cnil demande l’arrêt du stockage de nos données de santé par Microsoft », un article de Jérôme Hourdeaux.
Manu : Les données de santé c’est toute une problématique dont on a déjà parlé plusieurs fois et effectivement on est contents de voir que la Cnil [Commission nationale de l’informatique et des libertés] se démène pour les rapatrier sur le continent européen parce que c’est un petit peu embêtant que ce soit aux États-Unis.
Luc : Next INpact, « Droits voisins de la presse : condamnée à négocier, Google pourra parfois ne pas payer », un article de Marc Rees.
Manu : Ce sont des problématiques de droit d’auteur et d’argent, de gros sous même. En gros, l’Europe et les éditeurs de presse européens veulent que Google leur donne de l’argent. Et Google, bizarrement, ne veut pas. Il y a plein de négociations.
Luc : Avec une loi qui ne tenait pas trop la route, qui était hyper-facile à contourner.
Manu : Ils l’ont contournée, justement. Là il y a des gros bâtons qui sont de sortie et des problématiques de tribunaux. Google va peut-être quand même devoir cracher au bassinet.
Luc : Dans le domaine, j’ai lu un article : aux États-Unis il y a une commission qui a rendu son rapport, commission officielle, un boulot de deux ans, qui tacle les GAFAM très fortement et qui parle de les démanteler. Peut-être que l’avenir est un petit peu sombre pour nos amis les GAFAM, j’espère.
Manu : Ouh là là !
Luc : ITforBusiness, « Pourquoi est-il si difficile de trouver des alternatives aux GAFAM ? », un article de Patrick Brébion.
Manu : Ça parle du Cigref, une entité dont on a déjà parlé récemment, un regroupement des grosses entreprises françaises dans le cadre de l’informatique. Elles sont effectivement un peu embêtées avec les GAFAM et en général l’informatique en nuage parce qu’elles sont un peu pieds et mains liés face à des fournisseurs qui sont dominants. Et ça, c’est toujours gênant dans une relation d’entreprise à entreprise.
Luc : Et puis il y a toute une série d’organisations, dans les entreprises et également dans les administrations, où on a des solutions de GAFAM qui marchent tout de suite, là, et on dit « on prend ce qui marche » et sur le long terme on se retrouve là où on est.

Usbek & Rica, « Alice Zeniter : « L’engagement politique est plus facile au passé, quand tout est sépia » », une interview de Fabien Benoît.
Manu : Ça parle d’une auteure, Alice Zeniter, plutôt intéressante parce qu’elle a fait un livre qui met en avant beaucoup de nos problématiques de Libre, d’activisme, d’Anonymous. C’est plutôt intéressant, j’aime bien voir apparaître ça parce que c’est dans la culture générale. On va voir dans les librairies poindre des livres qui parlent un peu de nos sujets.
Luc : C’est beau !

La Tribune, « Propriété intellectuelle : la guerre Oracle-Google devant la Cour suprême » , un article de la rédaction.
Manu : Un sujet très embêtant avec des allers-retours. Ce sont deux géants qui sont en train de se battre l’un contre l’autre. En gros, Oracle accuse Google d’avoir copié des interfaces d’accès de programmation et Google qui dit « attendez, ça va, ce sont des interfaces d’accès, c’est fait exprès pour être copié. Où est le problème ? » Au début Google avait gagné. Ils ont été en appel, ils ont à nouveau gagné en appel il me semble. Ils sont allés en contre-appel, c’est Oracle qui a gagné, et ils ont gagné des grosses sommes, ce sont des milliards qui sont en jeu. Là ils sont en train l’aller en contre, contre, contre-appel, je ne sais plus quoi, peut-être la Cour suprême.
Luc : La Cour suprême, c’est ce que dit l’article.
Manu : Ça monte dans les tours, il y a des milliards, je crois que ce sont huit milliards qui sont en jeu. C’est considérable.
Luc : Oui et c’est aussi cette question : est-ce qu’on peut mettre de la propriété intellectuelle sur à peu près tout et n’importe quoi ?
Manu : Notamment sur des points d’accès. Moi, en tant qu’informaticien, ça m’embête, parce qu’un point d’accès normalement c’est fait pour être ouvert. Petit détail : ils ont Trump dans leur cour, Oracle est soutenu par l’administration en place aux États-Unis, ça aide.

Notre sujet du jour ?
Luc : Tu avais un sujet grave à aborder, une alerte à lancer.
Manu : Une alerte de sécurité. Si vous avez acheté un Cellmate, il faut que vous fassiez attention, que vous vous rapprochiez du fabricant pour récupérer une mise à jour du logiciel et faire en sorte de pouvoir le débloquer à loisir, sinon ça va être un peu embêtant !
Luc : C’est quoi un Cellmate ?
Manu : Un Cellmate, comme son nom ne l’indique pas, c’est une cage de chasteté.
Luc : C’est-à-dire ?
Manu : Une ceinture de chasteté, mais pour les hommes !
Luc : Donc un accessoire pour s’amuser entre adultes consentants.
Manu : N’est-ce pas !
Luc : Mais avec le Cellmate on a découvert que c’est un peu plus que des adultes consentants puisque toutes les commandes de ce gadget connecté passent par un serveur chez le fournisseur, donc c’est l’occasion de s’ouvrir à la sexualité collective sans nécessairement en avoir conscience. Comment a-t-on découvert cette faille ?
Manu : Un laboratoire de recherche en sécurité a fait des tests de pénétration, ça ne s’invente pas !
Luc : Ça existe réellement en informatique !
Manu : C’est ça, ce sont des tests de pénétration, et qui a découvert que ce serveur pouvait être accessible assez facilement et qu’on pouvait obtenir des informations – nom, prénom des acheteurs de l’appareil, localisation du dernier usage – et qu’on pouvait le bidouiller de façon à ce qu’il bloque les commandes de déblocage. En gros, si vous avez bloqué votre partenaire sexuel.
Luc : C’est un peu le principe, c’est à ça que ça sert !
Manu : Oui, voilà ! Mais ça peut se terminer à l’hôpital ou chez le garagiste du coin et c’est embêtant quand les appareils sont un peu trop intriqués. Je trouve ça amusant parce qu’on se retrouve avec de l’informatique au cœur des problèmes humains de tous les jours. C’est un peu original, on pourrait dire que le monde moderne nous réserve des surprises.
Luc : Il y a effectivement tout un nombre de cas, et ça remonte à loin, l’informatique se répandant dans tous les domaines, elle touche nos vies de façon potentiellement très directe.
Manu : Il y a des choses qui sont plus au cœur de l’être humain, par exemple.
Luc : Le cœur notamment et les pacemakers. On a eu, par le passé, plusieurs affaires là-dessus et ce qui a été dit à l’époque est probablement toujours valide aujourd’hui. On avait, d’une part, une jeune hackeuse qui avait des problèmes cardiaques et qui voulait pouvoir accéder au code source de son pacemaker en disant « ce truc-là me maintient en vie, je veux savoir comment c’est fait et je veux m’assurer que ça n’a pas été codé par un gros nul. »
Manu : Effectivement, dans le pacemaker, c’est tellement complexe qu’il y a de l’informatique et il y a des informaticiens qui ont placé ça là-dedans mais qui ne se sont pas forcément préoccupés de tout ce qu’il y a à faire pour sécuriser comme il faut.
Luc : Ils assurent qu’ils ont tout bien fait comme il faut.
Manu : Bien sûr, mais justement, il faut pouvoir vérifier, valider, s‘assurer que, faire des tests de pénétration, quoi ! Mais sur un pacemaker c’est dangereux.
Luc : C’est très important. Il y a eu également des articles par le passé qui expliquaient que des gens, expérimentalement, avaient réussi à hacker un pacemaker, comme quoi les inquiétudes de cette hackeuse n’étaient pas totalement surfaites. Oui, on a réussi à pirater informatiquement un pacemaker, donc on imagine ce que ça peut donner !
Manu : On sait qu’il y a de plus en plus d’appareils qui sont de cet acabit, par exemple des pompes à insuline qui sont connectées ou connectables à des moyens informatiques. Et, d’une manière générale, il y a a plein de systèmes de monitoring qui permettent de suivre la santé des gens. On le voit de plus en plus avec les téléphones portables. À la limite, du monitoring c’est moins grave que des outils qui permettent de changer des doses chimiques.
Luc : Oui. On peut imaginer que derrière le monitoring il y ait des mauvais choix qui soient pris. Après on peut espérer, mais ce n’est pas gagné, que le médecin refasse des vérifications à la main. Dans le cas du pacemaker ou de l’insuline, un mauvais dosage d’insuline c’est mortel, on peut effectivement informatiquement tuer des gens. Par contre, ça ne touche que les gens qui ont un pacemaker ou ces systèmes d’insuline.
Manu : Au moins, quelque part, ils partent en sachant qu’il y a un objet avec eux, qui est dangereux et qui comporte une part d’informatique. Malheureusement cette informatique est souvent privatrice, on n’a pas accès à ces mécanismes. On n’a pas les moyens, si on n’est pas informaticien soi-même, même de demander à quelqu’un qui a les compétences de tester comment ça fonctionne.
Luc : L’argument des éditeurs c’est de dire on veut que ça reste secret parce que si on le rend public les failles pourront être trouvées par n’importe qui et exploitées. En général, il y a toujours des bugs dans du code.
Manu : Ça c’est l’argument de la sécurité par l’obscurité. Ce n’est pas un mauvais argument en soi. Effectivement, si on ne sait pas comment quelque chose fonctionne, ça peut être utile comme un petit blocage. Et puis il y a plein de choses qu’on n’a pas à donner comme information, il y a des codes qu’on ne donne pas. Mais la sécurité par l’obscurité, si on n’a que ça comme protection, on n’est pas à l’abri, par exemple, d’un employé pas content qui sort de l’entreprise avec, lui, la connaissance, ou de gens qui ont juste beaucoup de patience et qui vont tout tester.
Luc : Ou de gens qui s’en foutent un petit peu de la sécurité, qui bâclent le boulot, ne mettent pas les moyens, des patrons, ça c’est vu de multiples fois. Pas toujours sur des équipements où la vie des gens est en danger, mais, malgré tout, on l’a vu sur des choses assez graves, assez sérieuses.
Manu : Et ça apparaît encore sur d’autres appareils. Dans les voitures, par exemple, on a beaucoup d’informatique et il y a eu des cas de hacking qui ont été faits pour bloquer les freins par exemple.
Luc : Oui. Il y a eu plein de tentatives qui ont réussi, de différentes manières, et ça fait des années. Les chercheurs en sécurité se sont intéressés à ça très tôt et ils ont réussi à pirater des voitures de multiples façons, au travers de l’autoradio.
Manu : Oui. Le Bluetooth de l’autoradio peut être dangereux.
Luc : Tout à fait, en se branchant sur une prise informatique sous le capot, sachant qu’il suffit juste d’ouvrir le capot de la voiture pour pouvoir brancher un Arduino [1] ou un truc de ce genre-là, un mini-ordinateur qui coûte 30 euros, pour ensuite prendre le contrôle des différents composants, y compris le moteur, les freins, etc. Du coup, de la même façon, on pourrait imaginer vouloir assassiner quelqu’un en faisant piler sa voiture ou accélérer à fond au mauvais moment.
Manu : Les capacités deviennent de plus en plus importantes. J’ai cru comprendre qu’il y avait d’autres moyens de transport qui commençaient à être « hackables ».
Luc : Ça fait longtemps aussi. Des gens s’étaient penchés sur les avions. Il y a eu des témoignages notamment du fait qu’un passager avait réussi à accéder à des fonctions critiques de l’avion. Il l’a juste affirmé, donc on n’a pas de preuves absolues. Il y a eu d’autres tentatives qui ont été faites, au moins en accédant à des prises de l’avion au sol on peut effectivement pirater le système informatique.
Manu : Vous réclamez la confiance dans les constructeurs d’avion. Les constructeurs d’avion sont solides, sérieux, il font attention à la sécurité, il n’y a aucun risque !
Luc : Aucun risque, bien sûr. Il y a le Boeing 737 Max qui devrait voler à nouveau très bientôt normalement, c’est annoncé pour novembre et cette fois ça devrait se faire. C’est un truc absolument scandaleux où Boeing a très sciemment torché le boulot. Pour raconter vite fait, c’est un avion qui était un vieil avion. Ils ont mis des moteurs modernes qui ont un gros diamètre et, du coup, ça ne rentre pas parce que l’avion est bas sur patte. Ils ont fait une configuration qui change l’équilibrage de l’avion, qui modifie plein de choses.
Manu : Mais ?
Luc : Pour dire qu’il n’y a pas besoin de former à nouveau les gens, tout est bien, ils ont mis une sorte de système automatique.
Manu : Informatisé.
Luc : Informatisé. Pour éviter que les pilotes aillent dans un domaine de vol qui n’est pas possible avec cet avion. Sauf qu’il n’y avait qu’un seul capteur, quand il tombe en panne c’est le bordel. Comme les pilotes n’ont pas été formés à ce système-là qui, en plus, ne marche pas bien, que tout ça c’est compliqué, il y a eu deux crashes il y a quelques années, tuant, je crois, 347 personnes. Donc l’avion est cloué au sol depuis. On voit comment de l’informatique a tué des gens, un paquet de gens, et comment une énorme entreprise…
Manu : Dans laquelle on avait toute confiance.
Luc : Voilà, et qui, je pense, a toutes les certifications qualité que tu veux, eux sont ISO de tous les côtés.
Manu : Ils sont ISO pour des milliers années.
Luc : Ils sont bordés de partout, mais ils ont très sciemment fait ça avec des détails incroyables, du type l’alerte qui dit que le système est en panne a été retirée entre deux crashes et rendue payante, des trucs hallucinants. Il y a des spécialistes d’aviation qui disent que c’est du meurtre, mais selon les lois il n’y a pas de souci, ils ne seront pas inquiétés.
Manu : Ce sont des patrons d’entreprises bien sous tout rapport. Il n’y a pas de risque, il n’y a pas de souci !
Luc : Dans le domaine aéronautique, comme tout est informatisé, souvent on utilise plusieurs ordinateurs qui analysent les données de vol et doivent être d’accord entre eux pour prendre une décision.
Manu : On en prend trois en général, comme ça il n’y a que deux qui ont besoin d’être d’accord entre eux, au cas où il y ait un problème.
Luc : Et qu’ils ne soient pas d’accord. Ça montre le niveau de confiance que les ingénieurs ont dans l’informatique. Pour un avion ils se disent on va faire trois systèmes qui ne sont pas les mêmes, évidemment, parce que sinon ça ne marche pas.
Manu : Oui. Avec des systèmes de programmation différents, des systèmes techniques différents. En tout cas c’est ce qu’ils essayent de faire Officiellemnt.
Luc : En tout cas aujourd’hui c’est de l’informatique qui fait tourner les avions et il y a intérêt à ce que ce soit fiable.
Manu : On sait que c’est aussi de l’informatique qui fait tourner les voitures. Je pense aux voitures qui vont se conduire toutes seules.
Luc : Se conduire plus ou moins toutes seules. Celles qui se conduisent déjà toutes seules et qui s’emplafonnent dans des camions, des choses comme ça, dans ce cas-là ce n’est pas nécessairement un bug. C’est aussi une limite. Là, en l’occurrence, les gens qui ont eu ces accidents n’ont pas respecté les conditions d’utilisation de la voiture, c’est-à-dire qu’ils ne regardaient pas la route.
Manu : Ça peut aussi être une limite de programmation. J’ai cru comprendre qu’il y avait eu un cas où le constructeur avait diminué les critères.
Luc : C’est l’accident de Uber, un véhicule expérimental, et ça marchait tellement mal, ils avaient besoin de rassurer leurs investisseurs et de montrer que ça avançait, qu’ils avaient baissé tous les trucs d’alerte pour que la voiture roule et ils l’ont renversé une femme, ils l’ont tuée.

Il y a plein de gens qui sont prêts à faire n’importe quoi avec les critères de sécurité sur des systèmes informatisés qui mettent la vie de gens directement en danger.
Manu : Ça apparaît maintenant de plus en plus aussi chez nous, en domotique. Quand vous rentrez dans un appartement neuf, il y a de fortes chances qu’une partie de cet appartement soit contrôlée par de l’informatique, la température par exemple, le chauffe-eau, les volets roulants sont au minimum électriques et contrôlés de manière centrale, parfois par téléphone portable. Ça implique que tout ça est « hackable » à un niveau ou à un autre.
Luc : Oui. Ou qu’il y ait effectivement un gros bug, une grosse insuffisance. Après il y a d’autres équipements qui sont normalement sécurisés qui sont notamment tous les chauffe-eau, tous les trucs qui brûlent du gaz et ce genre de chose, avec le risque de faire du monoxyde de carbone. Effectivement, ce sont des équipements qui sont sécurisés puisqu’ils vont vérifier que tout marche avant d’envoyer le gaz et l’allumer, etc. On se souvient de l’affaire Stuxnet [2].
Manu : Un gros truc, avec des agences de renseignement israélienne et étasunienne contre l’Iran.
Luc : Un très gros truc. Et qui avaient réussi informatiquement, avec du logiciel, à détruire les centrifugeuses de l’Iran qui étaient utilisées pour l’enrichissement de l’uranium, à priori pour faire des bombes.
Manu : Quand même, tu ne vas pas me dire que ça pourrait être utilisé dans la maison !
Luc : Je ne suis pas certain, mais je me dis que si, avec juste du logiciel, on arrive à détruire et à faire fonctionner du matériel industriel en dehors de son mode de fonctionnement normal, peut-être que c’est possible de le faire avec un chauffe-eau qui serait connecté à autre chose. C’est de la pure spéculation, mais l’informatique va se répandre de plus en plus dans de plus en plus d’équipements, du coup on va nécessairement voir se multiplier les cas où de l’informatique, soit par bug soit par malveillance, pourra tuer des gens.
Manu : Terminator a débarqué à notre époque moderne, mais il se présente sous la forme d’un téléphone portable et il est encore plus dangereux.
Luc : C’est dommage parce que je l’aurais bien invité pour le podcast…
Manu : Oui, il aurait pu discuter avec nous, c’aurait été intéressant ! Donc faites attention et j’espère qu’on vous retrouvera tous la semaine prochaine.
Luc : Tu as l’air un petit peu tendu Manu, c’est le covid, ça ne va pas ? Tu as l’air mal à l’aise.
Manu : Il faut que j’aille mettre à jour mon appareil personnel. Je me sens un peu coincé. C’est comme si j’avais un piège à souris qui était…, bon voilà…

On va terminer. Sur ce à la semaine prochaine.
Luc : Salut.

Références

[1Arduino

[2Stuxnet

Avertissement : Transcription réalisée par nos soins, fidèle aux propos des intervenant⋅e⋅s mais rendant le discours fluide. Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.