J'ose espérer que vous ne l'ignorez pas, la majeure partie des “failles de sécurité” découvertes au fil du temps par d'acharnés investigateurs ou révélées par ceux même qui les ont réalisées, résultent de procédures qu'on nomme dans le milieu des informaticiens des “portes dérobées”, des «fonctionnalité[s] inconnue[s] de l'utilisateur légitime, qui donne[nt] un accès secret au logiciel. L'introduction d'une porte dérobée dans un logiciel à l'insu de son utilisateur transforme le logiciel en cheval de Troie». Pour préciser, dans le même jargon un «cheval de Troie» est «un type de logiciel malveillant […] en apparence légitime, mais qui contient une fonctionnalité malveillante. Son but est de faire entrer cette fonctionnalité malveillante sur l'ordinateur et de l'installer à l'insu de l'utilisateur». La “porte dérobée” est censément “non malveillante” et quand découverte ses initiateurs la réputent même “bienveillante”, vous comprenez, si on a installé à votre insu un code nous permettant d'accéder à votre ordinateur et à tout ce qu'il contient, y compris les données privées censément inaccessibles et les mots de passe, c'est pour votre bien, pour assurer encore mieux votre “sécurité informatique”. Bref, on rend votre ordinateur insécure “pour votre sécurité”. On voit tout de suite la cohérence du propos et surtout, la cohérence des promoteurs de la “sécurité informatique”.
Comme l'explique l'article de Wikipédia, fonctionnellement il n'y a pas de différence entre une “porte dérobée” et un “cheval de Troie”, et au point de vue de l'usage non plus d'ailleurs: les initiateurs de ces “portes dérobées” ont la même intention que les concepteurs de “chevaux de Troie”, obtenir un accès total aux données et programmes d'un utilisateur à son insu, pour disposer d'informations censément secrètes et pour, le cas échéant, prendre le contrôle de son terminal (ordinateur personnel ou serveur, tablette, “smartphone”…). Il m'arrive de l'écrire, l'intention ne compte pas, un concepteur de logiciel, tout spécialement de système d'exploitation, peut affirmer et parfois croire qu'il agit “avec bienveillance” mais quelle bienveillance peut-il y avoir quand on installe délibérément dans ce logiciel un instrument qui permet d'espionner et de contrôler le terminal d'un utilisateur à son insu? Sans même considérer le fait que ce fournisseur de logiciel est possiblement animé d'intention malhonnête, le fait d'installer un “cheval de Troie” dans son logiciel en fait un complice par destination de possibles et nécessairement d'effectifs malfaiteurs. Complices “par destination” au sens où la loi classe les armes en deux catégories, celles “par destination” et celles “par opportunité”.
Si la majorité des “failles de sécurité” sont des “portes dérobées” ce n'est pas le cas de toutes, comme je l'expliquais dans un texte beaucoup trop long au titre ironique, Un Spectre hante les nuages, la “faille de sécurité” est un “fait de nature”, elle est inévitable dans un système ouvert, et par nature un système informatique est ouvert puisqu'il est en interaction avec son environnement humain, qui lui fournit ses “entrées” et en récupère les “sorties”, ces noms indiquant clairement que dans un tel système “des choses” entrent et sortent. De ce fait il n'existe aucun moyen de s'assurer qu'un système informatique est “sans faille de sécurité”, que ce qui entre est toujours prévisible et souhaitable, que ce qui sort aboutit seulement chez des destinataires légitimes. Vous l'ignorez peut-être mais il y a une grande différence entre les systèmes dits ouverts, tel par exemple que Linux et la majeure partie des systèmes Unix, et ceux dits propriétaires, qui sont en tout ou partie “fermés”, c'est-à-dire que leur code est non public, tels ceux de Microsoft, Apple ou Google: les découvreurs et annonceurs, et bien sûr correcteurs, de failles découvertes dans les systèmes ouverts sont généralement les auteurs du code de ces systèmes, et ces failles existent rarement plus que quelques jours ou semaines, parce que justement leur code est public, que l'on ne peut donc pas y disposer de “porte dérobée” et qu'ils sont très vigilants quant à la fiabilité de leurs productions; au contraire, les “failles de sécurité” des systèmes fermés, “propriétaires”, sont presque toujours découvertes par des tiers, donnent d'abord lieu de la part de leurs concepteurs à un démenti et une mise en cause voire mise devant la justice de ces découvreurs, désignés comme “pirates“, seulement en un second temps à une “correction” pour “combler la faille”, et ultérieurement, s'ils sont mis devant le fait, à une reconnaissance de ce que c'était une faille délibérée, une “porte dérobée”, un “cheval de Troie propriétaire” dira-t-on…
La notion de “sécurité informatique” comme but et comme finalité est en soi illusoire, puisque comme dit on ne peut jamais assurer la sécurité pleine et entière d'un système ouvert, mais elle l'est notablement plus dans le cadre d'une logique mercantiliste basée sur le “secret des affaires” et le “secret industriel”: quand on est en concurrence absolue, c'est-à-dire en en concurrence non seulement avec les autres mercantilistes mais aussi avec le secteur non marchand – eh! un système ou un logiciel gratuit c'est autant de “parts de marché” perdues! –, avec les États bien sûr, qui ont la fâcheuse tendance d'édicter des lois interdisant les pratiques commerciales déloyales, et bien sûr contre leurs clients mêmes, que les mercantilistes voient conjointement comme des “ressources” et comme des potentiels “traîtres” qui risquent de les délaisser pour la concurrence ou pire, pour les logiciels libres. L'informatique mercantiliste et la faille de sécurité délibérée sont consubstantiellement liées. Si vous souhaitez ne pas subir l'espionnage et le harcèlement de vos fournisseurs de logiciels, optez pour l'informatique non mercantiliste.
Ah oui! Pourquoi des cons autant que des salauds? Pas tellement pour la première proposition, ceux contre lesquels la “sécurité informatique” est censée œuvrer, on peut dire que c'est un effet presque souhaitable, ça permet à un domaine secondaire du secteur, les “antivirus”, d'être une source de profit. La vraie menace pour l'informatique mercantiliste ce sont les promoteurs d'une informatique non mercantiliste, or il se trouve que beaucoup de concepteurs des logiciels “propriétaires” appartiennent à ce groupe. Les mercantilistes sont obligés de faire avec, parce qu'on ne peut pas, comme on dit, être à la fois au four et au moulin, s'occuper de l'aspect mercantile et s'atteler à la réalisation des produits, donc ils doivent sous-traiter à des non mercantilistes la réalisation de logiciels mercantilistes. Ce qui est très con.