Un spyware, c'est un programme sans avocat
La bonne définition d'un spyware semblerait être « outil de surveillance comportementale édité par une entreprise n'ayant pas les moyens de s'offrir un ténor du barreau ». Cet article de notre consoeur Ellen Messmer dans les colonnes de Network World semble largement le confirmer, puisque qu'il aura fallu un procès entre Hotbar et Symantec pour définir la notion de dangerosité d'un espionniciel commercial. Un espionniciel qui, rappelons-le, utilise généralement des techniques d'installation frisant le piratage, la duperie, les pratiques frauduleuses, la désinformation et autres pratiques discutables pour « mieux analyser les désirs des usagers du Web et répondre à leurs besoins supposés ». L'anti-spyware de Microsoft reviendra-t-il sur son appréciation de « high risk » qualifiant les programmes de Hotbar.com ? Dans un sens, il est peu probable que les israéliens se risquent dans un procès les opposant à leur principal pourvoyeur de zombies commerciaux... ce serait une grave erreur tant technique que politique. D'un autre côté, ce ne serait pas la première fois que Microsoft se permettrait de « re-requalifier » un logiciel d'espionnage sous la pression d'un quarteron d'avocats volontaires et énergiques. Le cas se présenta d'ailleurs quelques semaines à peine après que MS eût absorbé Giant et lancé la première pré-version du logiciel de filtrage (lequel s'appelle désormais Defender). La moralité de cette histoire prouve à quel point la moralité fout le camp dans le royaume de la sécurité. Tel rootkit n'est plus un rootkit dès lors que son injecteur pèse plus d'un million de dollars, telle faille n'est pas une faille tant que les preuves formelles de son exploitation à grande échelle ne sont pas dévoilées, tel spyware devient adware pour peu que le business justifie une pratique économique certaine ou que les dommages et intérêts d'un éventuel procès dépassent le coût d'un 3 pièces-cuisine dans l'Upper East Side... et peu à peu, la définition technique d'un code indésirable se dilue dans les méandres d'une dialectique faisandée par l'argent, le pouvoir, les intérêts privés ou politiques. Hélas, les acteurs de ce jeu n'ont de culture que celle du profit à court terme, très éloignée de celle d'un Pierre Favre ou d'un Ignace de Loyola. Et c'est précisément cette absence de culture et de vision prospective qui empêche ces mêmes acteurs de réaliser combien ils hypothèquent lourdement le crédit que l'on pouvait leur prêter jusqu'à présent. Passer sous silence ou estampiller Hotbar du signe de la bénignité, minimiser ou oublier les risques d'une faille WMF, accepter qu'un BMG puisse fliquer ses enregistrements pour défendre le bien d'une poignée d'artistes soi-disant réduits à la mendicité, c'est le début d'une forme de compromission. C'est l'exception qui infirme la règle. Les grands industriels de la protection des réseaux oublient qu'ils vendent avant tout un sentiment de confiance, une quiétude de l'esprit plus qu'une« appliance multifonctions », une « passerelle de protection périmétrique automatique » ou un « IDS à administration déportée ». Or, cette confiance ne peut être préservée que par l'absence de grignotement des frontières et des définitions, au risque de déséquilibrer l'essence même du métier. Le monde de la sécurité ne peut à la fois imposer des règles restrictives en usant d'arguments manichéens et de sentences du genre « les bons d'un côté, les méchants de l'autre » ou « passé les bornes, il n'y a plus de limites », puis, le lendemain, expliquer que cette dichotomie des genres est réservée au bas peuple et ne saurait s'appliquer à des élites qui, seules, sont capables d'apprécier la véracité d'une situation fluctuante. Oui, la sécurité est un business. Mais il y a un prix à payer pour espérer y demeurer. Et ce prix a pour nom rigueur et honnêteté intellectuelle.