David Schneider: Bonjour, je suis David Schneider pour le podcast “Fixing the Future” de IEEE Spectrum. Avant de commencer cet épisode, je tiens à informer nos auditeurs que le coût de l’adhésion à l’IEEE est actuellement réduit de 50% pour le reste de l’année. Cela vous donnera accès à des avantages, notamment au magazine Spectrum et à de nombreuses ressources éducatives et professionnelles. De plus, vous recevrez un Rubik’s Cube aux couleurs de l’IEEE lorsque vous entrerez le code CUBE en ligne. Rendez-vous simplement sur IEEE.org/join pour commencer. Je suis en conversation avec Scott J. Shapiro. Je suis très enthousiaste à l’idée de parler avec lui de son nouveau livre intitulé “Fancy Bear Goes Phishing: L’histoire sombre de l’ère de l’information en cinq hacks extraordinaires”. Alors, Scott, si je peux t’appeler ainsi plutôt que de t’adresser en tant que professeur ?
Scott Shapiro: S’il te plaît. S’il te plaît.
Schneider: Avant de parler de ton livre, parle-moi un peu de toi.
Shapiro: Je suis professeur de droit et de philosophie à l’Université de Yale. Mon principal poste est à la faculté de droit où j’enseigne la philosophie du droit. Mais comme beaucoup de personnes de mon âge, j’ai grandi dans les années 70 et 80 où je suis devenu accro aux ordinateurs personnels. Mes parents m’ont acheté un Apple II lorsqu’ils sont sortis. J’ai utilisé un TRS-80 à l’école en cours de biologie et je suis devenu passionné par la programmation et les ordinateurs. J’ai fait des études d’informatique à l’Université Columbia. J’ai monté une petite société de construction de bases de données, mais j’ai arrêté lorsque je suis allé à la faculté de droit puis à l’école supérieure de philosophie. Et j’ai un peu oublié que j’avais déjà fait ça.
Schneider: Et d’après nos conversations précédentes, tu m’as parlé d’un cours que tu enseignais. Peux-tu m’en dire un peu plus sur ce cours, car je pense que cela mène au livre et à son contenu ?
Shapiro: Ce qui s’est passé, c’est que le livre précédent, avant Fancy Bear, s’appelait “The Internationalists” et c’était une histoire de la régulation de la guerre sur 400 ans. C’était de 1600 à 2014, sur la question de savoir si l’on avait légalement le droit de faire la guerre. Beaucoup de gens me posaient des questions lorsque le livre est sorti en 2017 : “Et la guerre cybernétique ? Et la guerre cybernétique ?” J’ai donc commencé à m’intéresser à “la guerre cybernétique”. À l’époque, mon collègue Oona Hathaway, moi-même et Joan Feigenbaum du département d’informatique, une mathématicienne cryptographe très célèbre, avons demandé une bourse à la Fondation Hewlett pour enseigner un cours interdisciplinaire intitulé, je crois, “Droit et technologie du conflit cybernétique”. Ainsi, nous aurions à la fois des étudiants en informatique et des étudiants en droit dans la classe, et nous leur enseignerions à la fois la technologie et le droit. Et une chose à propos de ce cours, c’est que c’était le pire cours que j’aie jamais enseigné. Je ne pense pas que quiconque ait appris quelque chose. Je n’ai certainement rien appris. À un moment donné, la moitié de la classe s’ennuyait et l’autre moitié était perdue. Et j’ai réalisé que le droit et l’informatique, ce sont deux sujets très techniques et que leur intersection est très difficile. Alors je me suis dit : “Comment enseigner aux étudiants ce nouveau monde du piratage informatique et de la cybersécurité ? Et en quoi cela concerne-t-il les questions juridiques et éthiques que nous avons ? Et comment devrions-nous le réglementer et y répondre ?”
Schneider: Les piratages particuliers que tu évoques dans le livre, ce sont des choses que toi et tes étudiants avez étudiées en profondeur pendant que tu enseignais ce cours, je suppose.
Shapiro: En réalité, non. Ce qui s’est passé, c’est que lorsque j’ai enseigné le cours, j’ai réellement appris aux étudiants à pirater. J’ai enseigné cela, d’ailleurs, avec deux autres collègues, tous deux ayant une grande expérience des réseaux et de la cybersécurité. Non, nous leur avons appris la ligne de commande Linux, comment fonctionne Internet, comment fonctionne le “packing and switching”, comment fonctionne Wireshark, comment effectuer une reconnaissance réseau, comment pirater des mots de passe. Nous leur avons enseigné des compétences pratiques et des idées conceptuelles théoriques sur le fonctionnement de notre écosystème numérique, sur le fonctionnement du chiffrement, etc. Je faisais des recherches sur ces histoires pendant que j’enseignais le cours. Le livre ne vous apprend pas à pirater. Ce n’est pas le but du livre. Le but du livre est de vous apprendre comment fonctionne le piratage, comment les pirates ont hacké Internet, et quels sont les différents types de considérations légales, éthiques, psychologiques, techniques et historiques qui entrent en jeu dans cette pratique du piratage, et comment pourrions-nous tenter d’inverser cette tendance vers un écosystème numérique plus sûr.
Schneider: Nous avons travaillé sur ton article dans Spectrum, qui est basé sur une section du livre qui couvre le malware Mirai. Peut-être pourrais-tu prendre un instant pour mentionner les autres hacks extraordinaires qui sont dans le livre.
Shapiro: Donc, le livre présente cinq hacks. Le premier est le hack de Robert Morris, le ver Morris, le premier hack qui a pratiquement paralysé Internet en 1988. Ensuite, il y a l’usine de virus bulgare du début des années 1990 et le mystérieux écrivain de virus, Dark Avenger, qui a créé le premier moteur de virus polymorphe qui brouille génétiquement le code de chaque virus, ce qui rend très difficile pour les logiciels antivirus de les détecter. Le troisième est le hack de Paris Hilton en 2005, lorsque son téléphone portable a été piraté et que des photos nues ont été divulguées sur Internet. Le quatrième est l’intervention de Fancy Bear – Fancy Bear Goes Phishing. Fancy Bear est le nom d’une unité de piratage de premier plan au sein du renseignement militaire russe, le GRU, qui a piraté le Comité national démocrate en 2016 et a divulgué les courriels et divers documents qui ont été trouvés, causant de réels chaos et troubles lors de l’élection de 2016 entre Hillary Clinton et Donald Trump. Et enfin, le botnet Mirai, qui a été créé par trois adolescents dans le but d’obtenir plus de parts de marché pour leurs serveurs Minecraft, mais qui a fini par mettre Internet hors-service pour de nombreuses personnes aux États-Unis.
Schneider: J’aimerais vraiment me concentrer sur la conclusion du livre, que tu intitules “La mort du solutionnisme”. Je vais donc te demander d’expliquer un peu ce que tu entends par “la mort du solutionnisme” et peut-être pourrais-tu nous dire ou définir pour nos auditeurs les termes que tu utilises tout au long du livre, à savoir le “downcode” et le “upcode”.
Shapiro: Commençons par définir le solutionnisme. Le solutionnisme est un terme inventé par le critique social Evgeny Morozov pour capturer cette idée qui fait partie de notre culture, selon laquelle tous les problèmes sociaux peuvent avoir des solutions technologiques. C’est ce fameux exemple de solutionnisme lorsque Wired UK a écrit : “Vous voulez aider l’Afrique ? Il y a une application pour ça.” Comme si une application allait inverser des siècles de colonialisme, etc. La cybersécurité est particulièrement encline au solutionnisme, car nous cherchons toujours le pare-feu de nouvelle génération, le système de détection des intrusions de nouvelle génération, toutes sortes de solutions technologiques. L’argument du livre est que c’est une façon erronée de penser à la cybersécurité. La cybersécurité n’est pas principalement un problème technique qui nécessite une solution d’ingénierie, mais c’est principalement un problème politique qui nécessite une solution humaine. Je cherche donc à aborder cette idée, qui peut sembler contre-intuitive au départ car quoi de plus technique que la cybersécurité, en introduisant une distinction fondamentale entre ce que j’appelle le downcode et le upcode. Le downcode représente tous les codes en dessous de vos doigts lorsque vous tapez sur un clavier d’ordinateur, y compris votre système d’exploitation, les applications, les protocoles réseau, etc. Le upcode représente tout ce qui est au-delà de vos doigts, c’est-à-dire les règles que vous suivez, votre éthique personnelle, les normes sociales, les normes juridiques, etc. Ce sont toutes ces normes qui régissent nos actions et nous incitent à nous comporter d’une certaine manière.
Schneider: Tu donnes quelques exemples concrets de cas où tu vois, pour utiliser la métaphore, qu’il serait utile de “patcher” l’upcode. Tu pourrais peut-être donner quelques exemples à nos auditeurs de ce genre de “tweaking” (ajustement) de l’upcode.
Shapiro: L’une des choses que vous voulez faire d’un point de vue criminologique, c’est d’adapter toute solution politique…