On classe le plus souvent les pirates en 5 catégories : les hackers, les hacktivistes, les gouvernements, les criminels et les extrémistes : tous cherchent à tirer profit d’un logiciel ou d’un système en le trafiquant d’une manière originale suivant des motivations qui leur sont propres. Mais comme le suggère notre conseiller en sécurité F-Secure Erka Koivunen, une sixième catégorie de pirates serait en train d’émerger : les dirigeants d’entreprises.

Pourquoi une telle supposition ?

Un exemple récent nous montre comment une entreprise s’est emparé de la logique du hacking pour truquer des données à son avantage : le scandale récent de Volkswagen qui aurait mis sur le marché 11 millions de véhicules à moteur diesel, équipés d’un logiciel destiné à fausser les résultats des tests antipollution.

L’équipementier Bosch qui a fourni ce logiciel avait déjà alerté la marque en 2007 sur l’illégalité de l’utilisation de celui-ci « prévu uniquement pour des tests internes et non pour la conduite normale ».

Mais la triche est plus aisée à mettre en place que la R&D de moteurs répondant aux standards environnementaux.

L’avis d’Erka Koivunen sur ce sujet :

Si votre seul souci est de réussir un test, pourquoi défier les lois de la physique et créer quelque chose d’innovant et d’éco-responsable ? Alors qu’il est possible de le fausser et d’investir dans des actions de lobbying pour maintenir les pratiques de test à un niveau stable et prévisible ?

Vous ne vous êtes jamais demandé comment il était encore possible que des e-marchands certifiés PCI ou des réseaux accrédités par les gouvernements se fassent piratés ?

Dans l’adversité, c’est toujours le hacker qui décide et non celui qui écrit les règles.

En parlant de réglementations…

Nous sommes tombés sur des textes concernant les opérateurs et fournisseurs en télécommunication indiens. Dans le but de protéger ces infrastructures d’éventuelles vulnérabilités, le gouvernement exige qu’il soit démontré que les logiciels livrés ne présentent aucun bug.

Rien d’étonnant à cela… ce qui l’est davantage c’est qu’il est également exigé que le logiciel ne présente aucun bug… dans l’avenir !

Réfléchissez bien… Les managers sont des experts de la gestion des risques. Face à un scénario, ils vont chercher à les éviter ou à les minimiser. La gestion des pénalités fait souvent partie des équations examinées. Il est donc tout naturel pour des cadres de passer entre les mailles législatives. Dans la majorité des cas, ce qui est fait est légal mais pas forcément honorable.

En exigeant que les logiciels ne présentent aucun bug connu et inconnu, la loi incite fortement les vendeurs à ne pas tester leurs logiciels une fois ceux-là expédiés.

Mais revenons au cas Volkswagen.

pourquoi dépenser du temps et de l’argent pour se mettre aux normes, prendre le risque de ne pas y arriver et perdre des parts de marché ? Une personne se présente avec une idée de génie : elle vous propose de tricher au test et de continuer à vendre vos voitures non conformes comme si de rien n’était. Il suffit simplement de bidouiller un petit composant du logiciel que personne n’ira regarder… Plutôt tentant ?

Bob Sullivan, techno-sceptique et grand défenseur des consommateurs déclare :

En un sens, les consommateurs se font hacker : leur logiciel agit sans qu’ils en aient connaissance tout comme si un virus avait lancé un cheval de Troie sur leur machine.

Cycle de vie du logiciel

Pour les tricheurs qui pratiquent le hack d’un système, il leur faut la garantie que la procédure du test ne change pas du jour au lendemain. Vous pouvez donc imaginer tous les efforts déployés notamment en termes de lobbying par Volkswagen pour maintenir les conditions des tests à un niveau prévisible.

Cependant Volkswagen a négligé un point crucial qui a contribué à révéler leur tromperie et qui leur a surtout coûté très cher en rappel : les correctifs du logiciel.  Un éditeur de logiciel ou encore un hacker avisé auraient pris des mesures sur le champ sachant qu’un logiciel se met rarement à jour automatiquement. Ils ont en effet un cycle de vie assez court.

Des bugs vont apparaitre, les exigences fonctionnelles vont évoluer et les composants sous-jacents des plates-formes seront amenés à changer. Quand le code obsolète commence à poser problème, les logiciels doivent alors s’adapter. Volkswagen aurait dû se rendre compte qu’en trichant, le logiciel se ferait repéré à moins de s’en débarrasser.

Quand l’arnaque a commencé à être démêlée, Volkswagen a tout d’abord prétendu à un écart mineur dans les résultats, que l’erreur pourrait être corrigée facilement avec un rappel. Il a fallu attendre que l’EPA et le CARB les menacent de retirer la certification 2016 de leurs moteurs diesel pour que la marque admette avoir dépensé 6,5 milliards de dollars dans la réparation du logiciel lors d’un programme de rappel.

Un avantage déloyal

Un tel exemple semble suggérer que les entreprises seraient tentées de chercher un avantage concurrentiel déloyal en utilisant des logiciels hackés. Cela remet donc en cause la fiabilité de ces logiciels. Les cas qui ont été identifiés, l’ont été grâce à de failles de données ou parce que quelqu’un de curieux a décidé d’aller voir sous le capot.

Déployer plus d’efforts pour détecter les vulnérabilités et les éléments intentionnellement cachés des logiciels amélioreront la sécurité pour tous. Car après tout, plus on réduit les vulnérabilités « Zéro-Day », moins les cybercriminels, espions et terroristes pourront les exploiter.

Pour aller plus loin, avec l’Internet des Objets qui devient de plus en plus courant, est-ce que nous sommes prêts en tant qu’individu à vivre dans un monde où la technologie, au lieu de nous faciliter la vie et la rendre plus sure, représente une menace ?

Et concernant les affaires, jusqu’où serons-nous tentés d’avoir recours à la malhonnêteté pour atteindre de meilleurs résultats ? Si ce genre de pratique devient monnaie courante, cela poussera d’autres entreprises à s’aventurer sur ce terrain pour ne pas perdre leurs parts de marché… jusqu’à ce qu’on les démasque publiquement.

Allons-nous tolérer ce « dopage informatique » ou au contraire réclamer et promouvoir des tests plus contraignants ?

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s