Des pirates éclairés ? Les hackers ont aussi une éthique… et elle est plutôt universaliste

En 1984, Steven Levy 5, un journaliste tech américain ayant grandi avec l’émergence de l’informatique et de la culture hacker, définit « l’éthique hacker » en quelques points :

• Toute information est par nature libre.

• La décentralisation doit être promue, l’autorité n’étant pas digne de confiance.

• Parmi les hackers, ce qui compte, ce sont les prouesses et non les hiérarchies sociales. On retrouvera cette notion de « do-ocratie », soit le pouvoir par ceux qui font (to do), chez Anonymous par exemple.

• De l’art et, plus largement, de la beauté peuvent être créés avec un ordinateur.

• Les ordinateurs peuvent changer la vie, voire l’améliorer.

Cette éthique a énormément de déclinaisons. Le MIT a donné Richard Stallman, le fondateur du projet GNU, que l’on connaît aujourd’hui comme le père de la formalisation du logiciel libre. Ce dernier préserve les quatre libertés fondamentales de son utilisateur : il lui permet de connaître le fonctionnement du code (ouvert), de le modifier, de le partager et d’en faire des dérivés. Cette vision est diamétralement opposée aux logiciels à code fermé, véritables boîtes noires dont le fonctionnement relève de la magie, et qui excluent l’utilisateur de l’équation. Stallman qualifie ces logiciels de « privateurs » pour indiquer qu’ils privent l’utilisateur des libertés fondamentales assurées par le logiciel libre. Dans l’esprit du logiciel libre, la règle de base est de toujours pouvoir modifier un logiciel pour en faire un autre. Pour éviter que le nouveau ne se transforme en une boîte noire et que l’éthique soit ainsi pervertie, le projet GNU a défini des règles légales. Ces dernières sont les licences de la famille GPL (General Public Licence) ; elles sont qualifiées de « héréditaires » ou « virales » parce qu’elles obligent à conserver les libertés fondamentales du logiciel libre dans chaque dérivation qui en est faite. Ainsi, lorsque la série bureautique Open Office s’est retrouvée en difficulté de gouvernance il y a quelques années, la partie de la communauté de développeurs qui souhaitait continuer le projet en accord avec leur vision a pu faire un fork (un dérivé ou une scission en français) que l’on connaît aujourd’hui comme la suite bureautique Libre Office. Cette dernière continue à être un logiciel libre. En cohérence avec l’éthique du logiciel libre, un mouvement a dérivé, connu sous le nom d’open source (code source ouvert), dont la préoccupation est surtout technique. Mais, laissons là les divergences philosophiques, il faudrait un second livre pour en narrer les détails !

En 2017, le logiciel libre est partout. Des langages de programmation, des infrastructures sous-tendant le réseau Internet ou ses couches web à votre téléphone mobile ou votre lave-vaisselle. Par exemple Linux, le nom un peu réducteur de certains logiciels libres et open source formant un système d’exploitation a pénétré chaque parcelle informatique de notre vie. Un logiciel libre peut être gratuit, mais l’inverse n’est pas vrai. L’éthique qu’il porte est fascinante et toujours d’actualité : qu’est-ce qui pousse quelqu’un (ou un groupe de personnes) ayant une expertise certaine à passer ses soirées et même ses journées à créer quelque chose qui ne lui rapportera pas d’argent ? Plus encore, dans un environnement socio-économique où « faire » et « bidouiller » sont vus comme des activités subalternes, « col-bleu » et peu gratifiantes, qu’est-ce qui motive des gens à persévérer et créer de l’abondance qui ne leur rapporte (presque) rien ?

Gabriella Coleman, une anthropologue dont on reparlera, a raconté son immersion dans le monde des « hackers » en général et des communautés de logiciels libres et open source en particulier. Son livre rend compte de l’attachement que portent nombre de ces communautés aux principes de « protection de la propriété et des libertés civiles, promotion de la tolérance et de l’autonomie individuelle, sécurisation d’une presse libre, direction via un gouvernement aux pouvoirs limités et des lois universelles, et préservation du principe d’opportunité équitable et de méritocratie ». Les personnes présentes dans ce livre évoluent pour beaucoup avec ces valeurs ; elles font leur promotion via le numérique, et ce sans même y penser. Les actions et principes évoluent avec le temps, bien sûr, mais l’étoile de Nord de cette éthique reste inchangée.

Ce côté « Bisounours » peut faire sourire, attendrir ou, au contraire, agacer. Il n’en reste pas moins que ces valeurs universalistes se sont étendues bien au-delà des communautés où elles sont nées. Cette approche sous-jacente a non seulement permis de créer des systèmes plus performants et plus sécurisés mais a également initié des modèles d’affaires (les business models) et d’innovation qui permettent de faire des bénéfices financiers avec de l’abondance et non plus avec de la rareté. La récente mode des fablabs4 et autres hackerspaces5 constitue ainsi une réflexion pratique sur le futur de la notion de travail et revalorise Homo faber6. On connaît aujourd’hui les modèles d’affaires basés sur le service autour d’un logiciel et non sur le droit de s’en servir pour un temps limité contre paiement ; de plus, des entreprises de conseil et accompagnement se revendiquant de l’innovation ouverte (open innovation) ont également vu le jour, proposant une méthodologie différente du R&D cloisonné classique impliquant des échanges et des communautés de pratiques lors de la création d’un nouveau produit.

Parler de l’éthique du crochetage de serrure et du partage de code source est impossible sans aborder le rapport à la sécurité des systèmes informatiques et des logiciels. Comme de ceux qui ne respectent pas les règles du jeu. Car il est évident que ceux-là existent et existeront toujours, quel que soit le contexte.

Le mot « hacker » est francisé en « hackeur »7, mais quelle que soit son orthographe, le sens qui lui est donné en français dans l’imaginaire collectif, c’est celui du pirate (donc méchant) informatique ; celui qui veut absolument se saisir de nos numéros de carte bancaire pour s’acheter des drogues ou faire exploser une centrale nucléaire. L’imagerie invariablement associée est aussi ridicule que risible : le hacker est toujours un mâle dont on ne distingue pas bien le visage, dissimulé dans un hoodie noir avec une capuche et qui tape des trucs cabalistiques devant un écran noir avec des chiffres et des lettres. Plusieurs variations de cette image existent, où la capuche semble être un incontournable, sans que l’on sache très bien pourquoi.

La terminologie introduite (le plus souvent par ceux qui étaient concernés) dès les années quatre-vingt, lorsque « hacker » était de plus en plus exclusivement associé à une activité criminelle, fait surtout référence aux couleurs. Celles-là sont un peu trop manichéennes : les nombreuses exceptions montrent surtout que la réalité est en nuances de gris. Ainsi, les white hats (« chapeaux blancs ») sont les bons, les black hats (« chapeaux noirs »), les brutes, et les grey hats (« chapeaux gris ») représentent le plus souvent ceux qui utilisent des moyens illégaux pour accomplir de bonnes actions. Ce que l’on est venu à appeler les hacktivistes sont donc en nuances de gris. Ceux-ci défendent une cause humaniste ou humanitaire en se servant de la technologie, même si cela implique le recours à des activités interdites par la loi. Mot un peu barbare, il est formé d’une contraction entre « hack » et « activist », ce dernier traduisant en anglais une activité militante8. 

Trouver des failles n’est ni un problème ni un avantage ; c’est ce que l’on fait avec les brèches qui peut être l’un ou l’autre. En pharmacologie, c’est la dose qui fait le poison. En informatique, c’est l’usage de la vulnérabilité qui fait la couleur du hacker. Éprouver la sécurité d’un logiciel qui sera diffusé à grande échelle, c’est plutôt positif : nous préférons toutes et tous utiliser des outils sécurisés.

Un expert en sécurité peut ainsi par exemple (et en le disant très vite) être assimilé à un white hat : il fera les tests nécessaires pour répertorier et corriger toutes les brèches et failles d’un produit informatique. C’est ce que proposent les entreprises de sécurité informatique aux développeurs de logiciels et aux sociétés qui déploient des solutions techniques extérieures au sein de leur infrastructure. Un expert de ce genre peut également être expert judiciaire ; dans ce cas, il réceptionne des machines (ordinateurs, téléphones, etc.) sous scellés, saisies dans le cadre de perquisitions, et s’emploie à casser la sécurité imposée par le suspect ou la victime. Les white hats peuvent également s’introduire dans des systèmes pour le goût du défi, sans intention malveillante ; le plus souvent, s’ils y arrivent, ils préviennent les gestionnaires desdits systèmes du point vulnérable.

Dans notre classification, les brutes, les « chapeaux noirs », ou « black hats », sont toutes les sortes de personnes malveillantes. Mais il est très difficile de définir ce qu’est la malveillance : comme tout qualificatif ayant trait à la morale, le bien et le mal dépendent de qui en parle. Un black hat peut être un escroc qui se débrouille pour vous piéger et obtenir le numéro de votre carte bancaire. Un escroc peut également prendre vos données en otage et vous demander une rançon pour vous les rendre (cf. le ransomware dans le chapitre précédent). Il peut encore dérober les identifiants et mots de passe d’un milliard de comptes e-mails Yahoo! et les vendre sur le darkweb (cf. chapitre 03). Un black hat peut également faire des recherches de failles, mais, plutôt que d’en avertir les administrateurs, il les vendra au plus offrant. Il s’agit des vulnérabilités 0day (zero day ou jour zéro) que l’on a déjà évoquées (voir chapitre 01). Ces cas sont relativement simples à classer dans la catégorie « méchants ».

Mais quid des hackers mercenaires ou de ceux qui exposent les secrets d’entreprises ayant des pratiques contestables voire illégales ? Un hacker peut encore être un « cybermilitant » : au service d’un gouvernement, il peut créer des logiciels espions dirigés contre ses concitoyens ou contre les services d’un autre gouvernement. Si une entreprise viole la loi et les conventions internationales en faisant travailler des enfants, en nourrissant des conflits armés pour se faciliter l’accès à des ressources rares, en empêchant l’accès à la connaissance, etc., peut-on qualifier un de ses employés de « méchant » parce que la personne aura fait fuiter des informations sur ces pratiques ? Ou peut-on traiter de « brute » un hacktiviste qui s’introduit par un moyen illégal dans les systèmes informatiques d’une société qui vend du logiciel espion à des gouvernements qui emprisonnent et torturent leurs opposants ? Dans chaque cas, décider de la moralité de l’action n’est pas chose aisée.