Quand une mère de famille californienne défie Microsoft
C’est une première : une mère de famille américaine victime d’un hacker porte plainte contre Microsoft, lui reprochant les failles de sécurité de ses produits. Un procès qui relance le débat sur la responsabilité des éditeurs.
A peine sorti de plus de quatre ans de procès antitrust, Microsoft pourrait bien être à la veille d’un nouvel épisode judiciaire, l’opposant cette fois-ci non aux institutions juridiques fédérales et locales américaines mais à des particuliers et des entreprises, utilisateurs de Windows. Motif de cette nouvelle fronde : les trop nombreuses failles de sécurité de l’OS et les risques qu’elles font courir à la quasi-totalité des utilisateurs de PC, compte tenu de la mainmise de Microsoft sur le marché des systèmes d’exploitation. Dans les deux cas, c’est donc toujours l’hégémonie de Microsoft sur les PC qui est perçue comme problématique. Le procès antitrust ne l’ayant pas entamée, il est logique que cette question se pose à nouveau. Cette fois-ci le coup est parti d’une mère de famille, résidente californienne, qui a déposé le 30 septembre une plainte devant une cour de justice de cet Etat à la suite du vol sur son PC, via Internet, de ses données personnelles ? nom, numéros de sécurité sociale et de carte bancaire… Cette usurpation d’identité est le fait d’un pirate informatique qui a exploité des failles de logiciels de Microsoft, mais la plainte ne précise pas le modus operandi du voleur ni les logiciels concernés. Invoquant une loi californienne relative à la protection des consommateurs, la plaignante estime que la responsabilité de Microsoft est engagée dans cette affaire. Elle prétend que la position dominante de l’éditeur sur les logiciels pour PC représente « un risque à l’échelle mondiale pour la sécurité des personnes », le réseau Internet étant à tout moment menacé de « pannes massives, s’enchaînant en cascade ». Des arguments qui ne sont pas sans rappeler ceux développés dans un rapport récent par sept experts en sécurité informatique. Ils y expliquent entre autres que la situation quasi monopolistique de Microsoft se traduit par une uniformisation de l’infrastructure informatique des entreprises et des Etats, laquelle est en conséquence plus fragile, moins sûre qu’une infrastructure qui serait constituée de plusieurs systèmes d’exploitation (voir édition du 25 septembre 2003).
Microsoft botte en touche
Plus ennuyeux pour Microsoft, la mère de famille californienne a demandé que sa plainte ait la qualification de « recours collectif en justice » (class-action suit). Si tel était le cas, cela signifierait qu’elle représenterait tous les utilisateurs américains de Windows. Ce qui risquerait de coûter cher à l’éditeur en dommages et intérêts, dans l’hypothèse où elle obtiendrait gain de cause. La plaignante réclame en outre que Microsoft soit contraint d’améliorer l’actuel système de notification des problèmes de sécurité affectant ses produits. Selon elle, il est plus nocif que protecteur pour les utilisateurs, toute communication de Microsoft à ce sujet étant en réalité exploitée de façon malveillante par les hackers. Et de citer le cas, de sinistre mémoire, du ver Blaster. Celui-ci, qui a causé quelques dégâts en août, exploitait une faille de Windows pour laquelle Microsoft avait publié un correctif en juillet. Du reste, Microsoft lui-même reconnaît que sa stratégie de sécurisation a failli et envisage d’autres approches (voir édition du 6 octobre 2003). En attendant, Microsoft prend l’affaire californienne très au sérieux, tout en faisant observer que les désagréments provoqués par les virus, vers ou toute attaque informatique sont en premier lieu la conséquence d’actes délictueux commis par des personnes physiques malintentionnées. Et que ce sont ces personnes qu’il faut poursuivre et condamner. Cette observation, dont la pertinence est incontestable, amène les juristes américains qui se sont penchés sur l’affaire à douter que la mère de famille californienne puisse gagner. En outre, Microsoft, comme n’importe quel éditeur de logiciels, est protégé par les licences sous lesquelles il commercialise ses produits. Elles rendent caduques d’éventuelles plaintes concernant des usages malveillants de ces derniers ou des malfaçons. A l’inverse des fournisseurs de produits manufacturés, il en effet très difficile, voire impossible, de faire condamner des éditeurs du fait d’une défectuosité affectant leurs produits.
Les voies techniques et législatives
Mais selon plusieurs avocats américains, dont les propos ont été rapportés dans le New York Times, les nombreuses pannes et dysfonctionnements qui ont affecté récemment tant les systèmes informatiques des particuliers que des entreprises du monde entier sont de nature à reposer la question de la responsabilité des éditeurs vis-à-vis de ces problèmes. Et certains prévoient que la plainte californienne n’est que la première d’une longue liste. Dès lors, plusieurs questions se posent : est-il raisonnable de contraindre les éditeurs à garantir la sécurité de leurs produits ? Les utilisateurs peuvent-ils s’exonérer de toute responsabilité dans leurs éventuels déboires informatiques ? Sur le premier point, observons que Linux, qui a pourtant meilleure réputation que Windows en termes de sécurité, fait néanmoins régulièrement l’objet de communications à propos de failles. Et si du jour au lendemain, Linux prenait la place de Windows, les utilisateurs seraient confrontés aux mêmes problèmes de sécurité. Ce qui conduit à penser que, du fait de leur complexité, les logiciels sont par nature difficiles à totalement fiabiliser. Il doit être cependant possible de s’approcher du zéro-défaut en adoptant des standards en matière de développement et d’ingénierie logicielle. L’IEEE explore cette voie dans le cadre du projet dit BOSS (Base operating system security) qui vise à définir les caractéristiques minimales de sécurité des systèmes d’exploitation. Ce projet devrait aboutir avant fin 2004 à la publication d’une spécification. Autre piste : la voie législative. Les pouvoirs publics ont en effet un rôle à jouer, par exemple en contraignant les éditeurs à une obligation de moyens pour sécuriser leur offre. Bref, on sent bien que les choses bougent. Et l’affaire californienne en est un signe avant-coureur. Mais quoi qu’il en soit, les utilisateurs auront toujours à prendre des précautions de base comme s’équiper d’un antivirus, voire d’un pare-feu, effectuer les mises à jour régulièrement…