4 Risques et nouveaux
médias, la régulation est un défi :
4.1 Le risque dans la
société contemporaine :
Le risque occupe dans les sociétés contemporaines
une place remarquable. Il est partout : dans le monde économique,
où il qualifie la figure de l'entrepreneur, dans le monde financier
où on l'identifie à la grande menace du krach, dans le monde
social, où les institutions d'assurances privées ou sociales sont
occupées à sa couverture, dans le monde juridique, où il
sert à traquer les responsabilités, dans le monde moral,
où l'on se plaint d'une société d'assistés, dans le
monde médical, sous la forme de l'insaisissable aléas
thérapeutique, dans le monde militaire qui a imaginé la
stratégie du "risque zéro". Il est aussi dans la nature sous la
forme des grandes menaces écologiques; il est encore dans la recherche
scientifique, où on cherche à le maîtriser sous la forme de
l'éthique, comme dans le développement technologique et ses
applications industrielles dont on redoute de plus en plus la volonté de
puissance.
Concernant les risques liés aux nouvelles technologies qui
emploient des réseaux par exemple, il va s'agir de créer un
équilibre subtil entre dépendance et confiance.
4.2 Insécurité
informatique : épouvantails et dangers réels de la
révolution numérique :
La révolution industrielle a attendu le
développement des réseaux de chemins de fer pour exploser, seule
le réseau de distribution rendait rentable la fabrication de masse. La
révolution numérique n'affecte profondément nos vies que
depuis la naissance d'un réseau mondial d'échange de
données entre les ordinateurs. Internet a été conçu
pour survivre à la destruction de certains de ses noeuds; aucun centre
ni point vital; les itinéraires empruntés pour transmettre des
données sont imprévisibles, l'acheminement ne devant
dépendre d'aucun point vital.
Ces deux caractéristiques convenaient tout
particulièrement aux habitudes des milieux des communautés
universitaires :
- pas de centre, donc pas d'autorité capable de censurer
certains travaux, et pas d'évaluation du travail publié que celle
de ses pairs connectés au réseau;
- diffusion imprévisible et donc incontrôlable car
les idées doivent circuler librement pour porter fruit : de même,
on peut seulement revendiquer la paternité d'une idée sans aucun
moyen de restreindre les applications ou l'usage qui en sont faits.
Le réseau a ainsi pu se développer sans centre
administratif, ni centre politique, ni centre technique, jusqu'à
atteindre une taille critique qui tue dans l'oeuf tout projet concurrent. Mais
les "valeurs morales" des pionniers sont restées : le réseau est
libre et ouvert, décentralisé, non commercial, sans gouvernement
ni censure. Prêt à faire exploser deux siècles de droit et
de constructions politiques...
Cependant commerce à outrance, délires marketing et
esprits boutique se sont d'ores et déjà tellement
développés que les scientifiques, dérangés jusque
dans leurs travaux, ont déjà entamé un nouvel ouvrage
"Internet II"* afin de passer outre les désagréments
engendrés.
4.2.1 L'ordinateur de Satan*
:
La science Frankenstein a ici sa partie.
4.2.1.1 Premiers types de
problèmes :
L'objet doit, pour la plupart de ceux conçus, avoir une
certaine fonctionnalité, rendre un certain service, permettre
d'accomplir quelque chose. Il a été créé,
testé, corrigé en recommençant jusqu'à ce que le
résultat obtenu paraisse satisfaisant. C'est l'"approche
fonctionnelle".
L'"approche anti- accident" sert dans le cas de produits
potentiellement dangereux.
Whatever can go wrong, will ! Tout ce qui peut arriver
de nocif arrivera, c'est contre la loi de Murphy que se bat l'ingénieur
chargé d'éviter les accidents. L'objectif est bien sûr
d'éviter une catastrophe face à des conditions
exceptionnelles.
L'"approche de sécurité" est elle
complètement distincte, car elle n'est utilisée que pour
protéger contre la malveillance. Il s'agit ici de contrer un adversaire
intelligent et déterminé susceptible de provoquer des
dysfonctionnements au pire moment et de la pire façon. Le produit n'est
pas utile pour ce qu'il permet mais pour ce qu'il interdit. Un test de
sécurité ne prouve rien. On peut tout au plus analyser la
sécurité d'un produit en profondeur et vérifier que des
attaques classiques ne marchent pas. De tels audits doivent s'exercer sur un
périmètre très large et inclure la totalité du
système utilisé, car il est inutile, par exemple, de blinder sa
porte et de renforcer la serrure si les murs ne sont pas solides...
De plus il vaut mieux créer simple, car les
systèmes complexes sont peu sûrs, parce que d'une part plus il y a
d'éléments et de tâches à accomplir plus il y a de
chances qu'une faille existe, et d'autre part, plus le système est
modulaire afin de résister au premier problème et plus les
failles potentielles dues aux interactions entre les interfaces sont
multipliées. En outre, l'analyste d'un système trop complexe ne
peut plus avoir en tête une image complète et correcte du
système et la probabilité qu'une faille passe inaperçue
augmente.
La sécurité de l'ensemble est égale à
la sécurité du maillon le plus faible du système.
Cependant le marché pousse inlassablement à la
complexité. Plus de choix, plus d'options, plus de capacités,
plus de fonctionnalités, plus de choses possibles !
Ici comme ailleurs c'est le client qui fixe le niveau de
sécurité des produits du marché ; presque tout le monde a
une idée du niveau de sécurité acceptable pour une
serrure, un antivol de vélo ou une porte blindée, alors que
presque personne ne dispose des compétences nécessaires pour
évaluer le niveau de sécurité d'un ordinateur par
exemple.
| 
