Responsabilité partagée

En matière de criminalité informatique, la justice ne sanctionne que l’auteur d’un délit. Afin de responsabiliser certains éditeurs de logiciels, des scientifiques américains pencheraient volontiers pour les torts partagés

En moins de quinze ans, l’approche de l’outil informatique a considérablement évolué. Réservé, dans un premier temps, à une poignée de spécialistes, le mode texte (et ses commandes hermétiques) a progressivement laissé la place à des interfaces graphiques toujours plus simples à manipuler. Résultat: l’ordinateur se retrouve partout et notamment dans les mains de certains passionnés peu scrupuleux qui n’hésitent pas à l’utiliser pour commettre divers larcins ou tester le degré de fragilité du « tout informatique ».

Souvent présentés comme des petits génies des bits, la grande majorité de ces bricoleurs affichent rarement une connaissance approfondie des systèmes informatiques. On s’étonne, dès lors, de la relative facilité avec laquelle ils contournent une grande partie des sécurités informatiques mises en place par des équipes de développeurs chevronnés. Simple! Pour masquer la technicité de la machine et assurer une compatibilité avec les anciennes générations de logiciels, les développeurs n’ont cessé d’empiler des lignes de codes. Un véritable château de cartes où il est de plus en plus difficile de s’y retrouver et, a fortiori, de découvrir des erreurs apparemment anodines, mais qui peuvent s’avérer fatales dans certaines conditions d’utilisation. Une situation exacerbée par l’apparition d’Internet et la mise en réseau quasi systématique des ordinateurs. Dès lors, à chaque découverte d’une faille dans un logiciel, son éditeur ou encore plus souvent des spécialistes en sécurité s’empressent de publier sur le Net les mécanismes permettant de comprendre l’erreur (et donc aussi de la reproduire) ainsi que les correctifs (les patchs) à appliquer pour la neutraliser.

Si ces informations sont utiles aux administrateurs pour sécuriser leur système, elles le sont également pour les pirates qui n’hésitent pas à les utiliser dans leurs basses besognes. Avec ce véritable mode d’emploi en main – adieu l’image du petit génie! -, il est assez facile de cracker un système.

Partant de ce constat et du principe qu’il vaut mieux prévenir que guérir, la National Academy of Sciences (NAS), une association constituée de représentants du monde scientifique américain vient de faire une série de recommandations audacieuses. Dans un rapport destiné aux autorités américaines et intitulé Cybersécurité aujourd’hui et demain: payez maintenant ou payez plus tard, les membres du NAS constatent que la législation actuelle n’incite pas le marché à trouver des réponses adéquates à la problématique de la sécurité informatique. La NAS suggère donc aux législateurs de « prendre des mesures qui augmenteraient l’exposition des vendeurs de logiciels et de matériels concernant leur responsabilité dans une faille d’un système informatique ». L’idée était déjà formulée en 1991 dans un précédent rapport ( Computers at Risk: Safe Computing in the Information Age). Dans le climat sécuritaire post-attentats du 11 septembre, elle pourrait, enfin, faire son chemin et arriver – pourquoi pas? – jusqu’aux oreilles de certains éditeurs qui n’hésitent pas à proposer des correctifs le jour même de la sortie officielle de leur produit. Ce fut notamment le cas pour Windows XP avec plus de 20 mégas de données à télécharger lors de son installation.

On pourrait également envisager d’étendre cette responsabilité à certains fournisseurs de services Internet qui, par manque de professionnalisme, laissent les clés sur la porte entrouverte des serveurs Web de leurs clients. Avec de tels incitants, n’importe quel quidam un tant soit peu curieux deviendrait pirate informatique sans même s’en apercevoir.

Informations: www.nationalacademies.org/nas et http://books.nap.edu/html/cybersecurity

V.G.