Tour à tour jeune adolescent boutonneux, jeune militant activiste, vieux gourou libertaire, collectif semi-organisé, la figure du "hacker" se renouvella sans cesse lors des 30 dernières années, au moins autant que les causes défendues par lesdits hackers et leurs modalités d'actions.
L'omniprésence actuelle des algorithmes et des technologies "embarquées", "invisibles", donne aux hackers un potentiel de nuisance proportionnel à notre dépendance auxdites technologies et algorithmes. Algorithmophobie.
Moral. Privacy. Bug. Control. Leak.
Lorsque les technologies sont prêtes, si disruptives soient-elles, il existe plusieurs freins à leur adoption par la société : la morale en est un (et les différents comités de bio-éthique s'efforcent de définir les règles de l'acceptable et de l'inacceptable), la privacy en est un autre (l'échec des Google Glasses s'explique pour l'essentiel par le fait que les gens n'étaient pas "prêts" à évoluer dans un monde ou le moindre face à face avec un de leurs concitoyens était susceptible d'être irréversiblement enregistré), l'angoisse de la panne ou de la perte de contrôle est le 3ème, et la crainte du vol de données est la dernière (à l'échelle des états – wikileaks – des "célébrités" – l'affaire du vol de photos nues d'actrices #celebleaks – ou des individus "lambda" – énième affaire de vol concernant cette fois un site de rencontre spécialisé dans l'adultère, avec la menace de révéler l'identité desdits adultérins potentiels). Et face à cela nous en sommes réduits à reposer la question de la "confiance" qu'il est possible d'accorder à ces artefacts technologiques.
Alors qu'en closule de l'épisode Uber, tout le monde s'accorde sur l'épiphénomène que constitue cette affaire au regard de l'arrivée dans les 5 ou 10 prochaines années d'une flotte de véhicules entièrement autonomes sur les routes, l'angoisse de la perte de contrôle refait inévitablement surface.
Digital Carjacking
Il y a 15 jours, on apprenait le rappel de plus de 600 000 véhicules Toyota victimes d'un "bug" capable – au pire – de bloquer soudainement ledit véhicule :
"Les paramètres du logiciel de contrôle des unités de commande des moteurs-générateurs et du système hybride peuvent générer une dégradation de certains composants électroniques. Dans ces conditions, les voyants d’alerte peuvent s’allumer et le véhicule passer en mode de sécurité, limitant la puissance disponible pour la conduite. Dans de rares cas, le système hybride pourrait devenir inopérant et stopper le véhicule."
Sans même attendre les véhicules entièrement autonomes ce sont d'ores et déjà plus de 500 000 véhicules qui sont contrôlables et piratables à distance.
"Les chercheurs en sécurité informatique Charlie Miller et Chris Valasek ont ainsi démontré auprès de Wired qu'ils avaient réussi à gagner l'accès à distance, par internet, à tous les véhicules Chrysler vendus depuis fin 2013 avec le système UConnect. Tout ce qu'il leur faut connaître est l'adresse IP du véhicule, qu'ils arrivent à obtenir au hasard de scans réalisés sur le réseau. Ils estiment que 471 000 véhicules seraient ainsi vulnérables. Une fois cet accès obtenu, les hackers envoient un firmware modifié au chipset du système de divertissement à bord, qui peut alors envoyer des commandes à travers le bus CAN de la voiture, reconnues par les divers composants de la voiture. A distance, les hackers peuvent ainsi réaliser des actions anodines comme allumer la radio, augmenter le son, mettre en route la ventilation, klaxonner ou activer les essuis-glaces, mais aussi, ce qui est gravissime, couper le moteur, accélérer, freiner brutalement, ou même tourner le volant (pour l'instant uniquement lorsque la vitesse enclenchée est la marche arrière, qui permet d'activer le système de parking automatique) ou désactiver entièrement la pédale de frein."
Sur Wired, un journaliste s'est prêté à une expérience de piratage en "live" d'un véhicule qu'il conduisait. Son compte-rendu est assez saisissant, au moins autant que le titre de l'article : "Des pirates ont détruit une Jeep à distance sur l'autoroute – alors que j'étais au volant". Comme le souligne l'un des 2 hackers dans l'article :
"Quand vous perdez confiance dans le fait qu'une voiture fera ce que vous lui demandez de faire, cela change vraiment votre manière d'envisager la manière dont la voiture fonctionne."
Car c'est effectivement de "confiance" dont il est avant tout question. Pouvons-nous avoir "confiance" dans un dispositif automatique qui ne se contente plus d'afficher des trucs sur un écran mais qui permet de transporter des individus ? Une confiance déjà mise à mal par l'arrivée des véhicules sous DRM (l'EFF en profite d'ailleurs à raison pour réclamer une nouvelle fois que les "programmes" de ces véhicules autonomes ne rentrent pas dans le cadre du DMCA – Digital Millenium Copyright Act – afin de pouvoir être étudiés – et critiqués ou améliorés – de manière indépendante)
Et comme le rappelle enfin CNIS Mag', toujours à partir de l'article de Wired :
"La "smartbagnole" et la gadgétisation des fonctions de pilotage (réseaux de tracking antivol, ordinateurs de bord multifonctions, assistances mécaniques diverses) ne peuvent que multiplier les trous de sécurité, les failles… et par conséquent les exploits. « En donnant accès aux fonctions vitales d’une voiture via une simple connexion IP, les constructeurs prennent le risque qu’un individu mal intentionné lance une attaque massive contre des centaines de milliers de véhicules à la fois » explique Miller en substance. Et ce n’est pas une extrapolation fantasmatique, mais bel et bien une réalité technique."
Fast and Furious Piracy.
Si les voitures connectées cristallisent à ce point l'attention de la presse ainsi que des hackers c'est parce que, du fait de leurs affordances, elles incarnent l'ensemble des craintes indiquées ci-dessus :
- du point de vue de la morale, un véhicule autonome piloté par un algorithme devra inévitablement être capable de faire des "choix" mettant en jeux des vies humaines (cf mon billet sur le jaguar et le bus scolaire)
- du point de vue de la privacy, le véhicule est investi psychologiquement par son propriétaire d'une manière assez semblable à la manière dont les adolescents investissent le rapport à leur smartphone : il délimite un périmètre d'intimité au sein duquel on se sent à la fois protégé et invulnérable, un espace qui peut autoriser toutes les transgressions discrètes (l'insulte lancée bien à l'abri de son habitable et inaudible de son destinataire pour la voiture par exemple)
- du point de vue du vol de données, ou à tout le moins de l'analyse desdites données, ce sont les assureurs qui sont en 1ère ligne et comptent sur ce nouveau trésor pour décliner des assurances en mode "quantified driving" (Axa a déjà déployé une application qui va dans ce sens, celui plus global d'un web assurantiel)
- enfin, et surtout, l'algorithmie et les "automatisations" qui ne président désormais plus uniquement à l'orientation (GPS) mais au fonctionnement mécanique du véhicule et aux interactions fondatrices de l'action de conduite (accélérer, freiner, tourner, etc) réveillent à raison tous les fantasmes de perte de contrôle ou de bug, d'autant que les hackers se jettent avidement dans ce nouveau potentiel offert, pour l'instant pour en démontrer les risques et en appeler à davantage de sécurité.
Jusqu'à présent, dans le domaine du hardware comme du software, le risque de piratage n'a jamais empêché de vendre des ordinateurs ou des smartphones. Mais un PC qui plante ou un disque dur qui s'efface n'a pas grand-chose à voir avec un véhicule devenant subitement "fou" sur une route bondée ou avec le même véhicule "vidé" de l'ensemble de ses données de conduite.
Ainsi, à l'heure où tous les analystes, les experts et les constructeurs s'accordent sur l'imminence du remplacement de la flotte actuelle des véhicules par son équivalent de voitures autonomes, il n'est pas totalement exclu que la société civile rechigne à sauter le pas, reléguant, au moins pour un temps, les voitures autonomes au même avenir commercial que celui des Google Glasses (à ceci près je vous l'accorde, que nous pouvons plus difficilement nous passer de voitures que de lunettes connectées).
C'est une poupée machine, qui fait non.
Bien au-delà des voitures autonomes, la question de notre rapport à la technologie et à l'algorithmie peut-être posée de manière simple. D'abord au niveau postural : quelle est notre "posture" face à ces technologies ? Sommes-nous en situation de "conducteur" (c'est nous qui avons la main) ou de "passager" (nous nous contentons au mieux de nous laisser guider, au pire de subir) ? Ensuite au niveau dialectique : que faire face à une "machine" (smartphone, ordinateur, application, etc.) qui dit "non", que ce "non" soit issu d'une simple routine algorithmique ou qu'il soit imposé à la suite d'un piratage ?
L'alliance de cette approche posturale et dialectique en inaugure une troisième : comment interagirons-nous avec les machines et les automatismes quand nous serons face à eux dans une posture de dialogue ? La voix et le geste, qui sont les prochaines interfaces "mainstream", nous permettront-elles de garder suffisamment de situations de contrôle ou de reboot à l'instar de ce que permettait le clavier ou le bouton "on/off" des différents appareils qui nous entouraient jusqu'ici ?
Des Beatniks aux Geekniks.
Sur la face B du disque de Polnareff de "La poupée qui fait non", on trouvait la chanson "Beatnik". Peut-être qu'au-delà des luddites s'en prenant physiquement aux concepteurs de ces machines ou aux machines elles-mêmes, l'essor et la systématisation des dispositifs capables de nous dire "non" donnera naissance à un nouveau mouvement Beatnik se révoltant non plus contre la société de consommation mais contre la société de l'automatisation. On les appellera alors les … Geekniks.
