L'affaire Volkswagen (cyber)
Par Olivier Kempf le samedi 16 janvier 2016, 21:15 - Livres et écrits - Lien permanent
Cette chronique est parue dans le dernier numéro de Conflits, où je tiens une rubrique cyber.
Mi-septembre 2015 éclatait l’affaire Volkswagen. Les autorités de régulation américaines dénonçaient le groupe pour avoir mis en place un logiciel dans les moteurs diesel afin de truquer les résultats des normes anti-pollution, permettant ainsi de passer sous le seuil de tolérance. Le scandale était énorme, portant le discrédit tant sur la technologie diesel (marginale aux États-Unis) que sur le secteur automobile dans son ensemble. Le PDG démissionnait, le cours de bourse chutait vertigineusement, le groupe était durablement fragilisé. Chacun se concentrait sur l’aspect politico-économique des choses (après les affaires UBS, Paribas, Alsthom, Peugeot, il y a incontestablement une part de guerre économique menée par les Américains, sous prétexte de « régulation »).
Peu d’observateurs pourtant repéraient la dimension cyber de l’affaire. Or, elle n’est pas anodine. Voici en effet qu’une société « trafique » un logiciel maison : ceci s’apparente au « sabotage », une des catégories classiques des cyberagressions : à ceci près que cette fois, l’auteur n’est pas extérieur mais intérieur. Car l’objet de cette falsification vise à tromper les esprits, ceux des autorités et au-delà, des clients. Cela s’apparente alors à la « subversion », autre type classique de cyberagression. Alors que jusqu’à présent, les sociétés commerciales étaient présentées comme des victimes naturelles des cyberpirates, elles apparaissent désormais comme des cybertraficantes : ceci constitue une évolution importante de la cyberconflictualité, car les entreprises visent désormais les autres acteurs du cyberespace : États et consommateurs (qu’il s’agit de tromper), concurrents (qu’il s’agit de dominer).
Ceci n’est probablement pas nouveau : chacun se doute que les éditeurs de logiciels sont réellement les seuls à savoir ce qui se passe sous le capot de leurs produits, et qu’ils ont probablement des moyens d’espionner, plus ou moins légalement, notre activité. Mais de même que l’affaire Snowden révéla quelque chose qui était connu des seuls spécialistes, de même l’affaire VW rend publique une pratique jusqu’à présent discrète et surtout, l’étend à d’autres secteurs que la Hi-tech. En cela, elle constitue un double tournant.
Au-delà du lien entre cyberconflictualité et guerre économique, remarquons enfin la mise à jour d’une évolution structurelle de nos sociétés : désormais, une voiture est d’abord un ordinateur qui roule. Ceci explique qu’on envisage des voitures qui se conduisent toutes seules, grâce à de l’intelligence artificielle, ou qu’on ait désormais des cas de piratage de voiture : mais on est alors dans le cas plus classique où le pirate vise une société ou un individu. Pourtant, cette intégration du cyber dans nos objets quotidiens augmentera simultanément la cyberconflictualité associée : nul doute qu’elle sera multidirectionnelle. L’affaire VW est une première, certainement pas une dernière !
O. Kempf
Commentaires
Bonjour,
Même si l'approche est intéressante, elle semble erronée. VW a contourné les réglements et montré une volonté de frauder. VW n'a pas fraudé en soi, puisque les moteurs ont passé les tests avec succès, mais a montré une volonté de frauder. QUoi de plus étonnant puisque les normes, environnementales ou pas, sont des moyens d'accentuer la concurrence entre entreprises dans les pays les plus industrialisés (j'allais écrire développés ...). VW n'a pas voulu nuire au consommateur, mais réussir les contrôles à la lettre. Reproche t'on aux diplômés de Sciences Po de mettre leur pays en danger pour leur incompétence malgré leur diplôme en poche? Si on reproche à VW d'avoir voulu nuire au consommateur, alors que dire des entreprises de gaz de schiste? Il ne faut pas voir de cyberagression là-dedans. Il s'agit trés clairement de protectionnisme américain au service d'une économie de guerre. Ce serait une cyber-agression, si des agents infiltrés avaient orchestré cette pseudo-fraude pour la divulguer ensuite, un peu comme quand un directeur laisse sciemment le cours d'ALSTOM dévisser pour mieux vendre l'entreprise ensuite.
En revanche, et c'est pour cela que l'approche est intéressante, cela met en lumière les dangers de la cybernétique dans les produits quotidiens. VOus évoquez les voitures autonomes et l'IA. Il serait temps que la population abandonne son illusion que la créativité de l'homme sera toujours supérieure à la machine afin de pouvoir comprendre le problème. Les failles dans la sécurité des communications de la cybernétique sont énormes. L'Affaire Snowden l'a mis en lumière mais chacun l'a oublié. Ces failles ne sont pas comblées, par négligence et parce que les normes sont lâches, comme dans l'affaire VW. Mais quelle instance européenne aura la courage d'interdire les smartphones pour violation de toutes les législations en vigueur sur la vie privée?
Cordialement
egea : la subversion est un des trois types classiques de cyberagression. EN ayant voulu tromper, par des moyens cyber, les autorités, nous sommes bien dans le cas décrit. Au-delà, il s'agit également de faire croire un mensonge aux consommateurs.Bonsoir.
Merci pour votre réponse. Pardonnez-moi, mais alors toute fraude aux impôts est aussi une cyberagression, puisqu'on effectue la déclaration sur Internet. IL s'agit de cyberfraude, pas de cyberagression.
Est-ce que la mesure visait à porter atteinte aux autorités? Non. Et puis, quelles autorités d'ailleurs? Sont-elles publiques, ces autorités ? privées? financées par qui, représentatives de qui?
Qui se souvient de l'affaire des prothèses mammaires d'un pseudo chirurgien du Sud de la France, qui étaient trafiquées? Ses produits portaient pourtant le sigle de TÜV Rheinland, l'entreprise de certification [allemande, par ailleurs], parce que les contrôles avaient été passés, mais avec fraude.
Il y a eu tromperie sur la marchandise. D'accord. Il y a eu fraude ou tentative de fraude, certainement. Il y a eu cyberfraude, d'accord. Cyberagression ? oui, mais avec une nuance cependant. Pour agresser, il faut vouloir nuire à quelqu'un OU nuire par négligence en connaissance de cause. Dans ce deuxième cas, OK, il s'agit de cyberagression.
Alors j'attends qu'on attaque Apple et Google et Samsung pour cyberagression aussi.
En réalité, la vraie question qui est posée, c'est celle de la légitimité des organismes de contrôle, et de leur légalité. Question qui n'est jamais discutée pendant qu'on nous bassine avec des crises grecque et syrienne sans vouloir les régler (quelqu'un entend parler de la crise lybienne...).
Cette question est posée depuis la déchéance de Andersen Consulting lors du scandale de la fausse comptabilité de Eon aux US. Elle a été reposée lors de la faillite de Lehman Brothers. Elle a été reposée avec les prothèse mammaires PIP, quoique les conséquences fûssent moindres. Elle est reposée avec VW, puisque celui qui croit que VW est responsable alors que Ford et Chrysler ont bénéficié des mêmes circonstances fait précisemment le jeu de l'administration US qui fait tout pour défendre son industrie nationale, en particulier avant la signature du TTIP.
Et cette question est à chaque fois recouverte par une nouvelle vague migratoire, comme un dessin sur le sable est recouvert par le flux et le reflux.
Cordialement
egea/ Cyberfraude, si vous voulez. On distingue classiquement, trois types de cyberagression : espionnage, sabotage, subversion. Dans le cas de VW, il y a conjonction d'une sorte de sabotage (altération d'un logiciel, non pour le rendre moins défectueux, mais pour affecter les résultats : ici, il faut prendre un peu de distance avec la notion de "sabotage" qui au sens large comprend tous les types d'altération logicielle) et d'une subversion (puisqu'il s'agit de tromper la décision de la cible). Les conditions d'une cyberagression sont pour moi remplies. SI le cas était classique, on n'en parlerait pas autant. Pour la question des organismes de certification, c'est un autre problème sur lequel je ne me prononce pas. Mais toute fraude n'est pas logicielle, convenez en. C'est le cas dans l'affaire VW.Bonsoir,
À l'appui de mon commentaire précédent (non publié actuellement) trois liens intéressants:
https://fr.wikipedia.org/wiki/Homol... (à propos de l'homologation). En France, c'est un service public qui homologue une voiture pour le marché.
https://en.wikipedia.org/wiki/CSA_I... En Amérique du Nord, il semble qu'une entreprise privée accréditée s'en occupe.
http://www.cellie.fr/2012/01/18/que... à propos des audits financiers et les agences de notation.
On peut se demander si l'affaire VW a quelque chose à voir avec les dernières négociations sur le TTIP (appelé TAFTA ou traité de libre-échange transatlantique selon les medas), puisque ce dernier est censé unifier pour l'UE et l'AdN les normes, certificats de mise sur le marché et tutti quanti. (pour le Canada, ca a déjà été signé l'année dernière)
Cordialement
egea : vous soulevez un autre aspect, que je ne crois pas avoir traiter dans l'article : celui de la contre subversion, ou guerre informationnelle contre VW, menée par les autorités américaines. Elle est possible mais se déploie dans le cadre classique de la guerre de l'information.Merci pour votre réponse. Ca m'aide à réfléchir !
Pour autant, votre argument " SI le cas était classique, on n'en parlerait pas autant." est plus que fallacieux. Que dire alors de:
- Nabilla
- Lady Gaga
- attentat de Damas
- rappel de voitures de Renault
- nouvel opus de StarWars
- dernier James Bond
- campagne présidentielle US
Doit-on conclure de votre argument qu'il s'agit là d'évènements extraordinaires au vu du battage médiatique?
egea : Nabilla a peu de choses à voir avec la cybersécurité...