Après avoir lu cet article attentivement, il apparaît que le discours de Granneman s'applique à la relation entre deux personnes d'univers disjoints s'entretenant d'un sujet sur lequel l'une est experte, l'autre quasi-profane. Il est relativement évident que le premier a besoin, dans son discours, d'accrocher le second. User d'analogies entre le monde de ce dernier et le sien est un bon moyen d'y parvenir. Ainsi, l'expert en sécurité informatique pourra par exemple utiliser l'analogie du château-fort, aussi limitée qu'elle puisse être, pour introduire le concept de système d'information protégé par un ou plusieurs firewalls. Il fera passer son message, quitte à le rafiner par la suite à grands coups de nouvelles analogies.

Alors c'est quoi le problème avec les analogies ? C'est que non seulement on ne peut pas les choisir n'importe comment, mais qu'on ne peut pas non plus les utiliser avec n'importe qui. Si nous reprenons l'analogie entre le firewall et le château-fort, elle est adaptée pour introduire le concept à un débutant. Par contre, si vous la ressortez à quelqu'un d'un peu plus aguerri, vous risquez très vite d'en rencontrer les nombreuses limites. Par exemple qu'un tel édifice est fait pour tenir un siège, alors que votre SI a peut de chance de se retrouver complètement assiégé. Ou encore cette histoire de protections concentriques chères à certains quand il s'agit d'organiser des pare-feu, qui ne tient pas compte des problèmes de redirection de trafic induite par la compromission d'un serveur sur une DMZ ainsi construite. Ainsi, plus vous creusez le sujet, plus l'analogie perd de sa pertinence. Un peu comme celle qui veut comparer votre machine connectée à l'Internet mondial à votre maison dès lors qu'il s'agit de trancher sur la légalité du scan de ports, sujet particulièrement fertile pour la culture du troll.

Cette dernière est particulièrement intéressante parce qu'elle montre bien comment s'effrite cette supposée pertinence. En général, ça commence par comparer une intrusion informatique à quelqu'un qui cambriole votre maison. Jusque là, tout va bien. Y'a le dehors, y'a le dedans. Dès que le méchant entre dedans sans y avoir été invité, paf, il est dans le rouge. CQFD. Maintenant, taquinons un peu le concept. Vous avez un serveur web et un quidam y accède alors que vous le réserviez à vos copains. Dans le monde réel, le fait que votre porte soit grande ouverte du fait de votre BBQ party ne constitue pas une invitation pour le premier passant venu. Sauf que sur Internet, un serveur web, c'est généralement fait pour être consulté. Par n'importe qui. Ah ouais mais je vous ai pas invité à le tripatouiller. Certes, mais Internet n'offrant pas de moyen technique pour inviter les gens à venir sur un serveur Web, sinon le fait que d'autres serveur y fasse référence, comment le sait-on ? Et si vous déroulez la bobine, vous allez vite tomber sur un problème d'œuf et de poule. Et l'analogie de souffrir au point de devoir changer. Et si on parlait plutôt de d'immeuble avec un hall public ? Etc.

Maintenant, lorsque vous amenez le scan de port dans ce joli contexte, c'est la foire à l'empoignade. Pourquoi ? Parce que vous introduisez un troisième domaine de connaissances. En effet, non content de pinailler sur des questions techniques, vous abordez des questions de droit. Questions sur lesquelles la plupart de vos interlocuteurs, et vous aussi, n'êtes probablement pas spécialistes, loin s'en faut. Or la probabilité de trouver un juriste spécialisé en sécurité informatique, qui comprenne à la fois les implications techniques et juridiques du scan, au milieu de l'assemblée pour trancher, et pourquoi pas avancer une analogie pertinente, est si faible qu'en général, ça ne se produit pas. En outre, chacun y va de sa sensibilité. C'est quoi l'analogie pour le scan d'un port ? Essayer toutes les sonnettes ? Frapper à la porte ? Mettre un pied dans la maison ? Examiner la serrure ? Regarder par la fenêtre ? Oui, certaines de ces analogies ne sont clairement pas pertinentes. Pour autant, je les ai toutes lues dans ce genre de discussion. Comme quoi... Et l'IPS répondant au doux nom de Rex qui gambade joyeusement dans la DMZ située entre votre clôture et la porte d'entrée, il en dit quoi ?

Plus généralement, les analogies entre le monde physique et le monde que d'aucuns qualifient de virtuel sont à manipuler avec précaution. Ces deux mondes sont en effet très différents. Dans la perception qu'on en a évidemment, mais aussi de par les possibilités qu'ils offrent, ou pas. La plus frappante à mon avis est l'ubiquité. Dans le monde réel, vous ne pouvez pas vous trouvez physiquement à deux endroits différents au même moment. En fait, on peut élargir cette affirmation à tous les objects qui nous entourent[1]. Alors que dans sur réseaux informatiques, c'est la fête. Vous pouvez être logués à plusieurs endroit en même temps, y exécuter des tâches différentes en même temps. Ces endroits peuvent également donner accès au même fichier parce qu'ils en ont tous une copie. Vous pouvez ainsi passer un entretien d'embauche sur Second Life en lisant votre blog favori, le tout pendant que je vous jouez au démineur. Et pendant ce temps, vous pouvez encore interagir avec le monde physique, la vraie vie comme on dit chez nous, celle où quand on se fait fragger, on ne se relève pas, pour, par exemple, se faire cuir un œuf...

Certes, les analogies sont des outils puissants pour faire passer à votre auditoire des concepts qui ne lui sont pas familiers, voire inconnus. Ça ne fait aucun doute. Pour autant, je pense qu'il faut s'en méfier, en ce qu'il ne faudrait pas qu'elles ne prennent justement pas le pas sur ce concept que vous vous essayez courageusement de faire passer. Le choix, déjà difficile, risquerait donc de devenir cornélien...


Nouvelle quelque peu différente, mais relativement connexe, la condamnation aux États-Unis d'un home de trente-neuf ans à 400USD d'amende et quarante jours de travaux d'intérêt général pour avoir... utilisé le réseau Wi-Fi gratuit qu'un café réservait à ses clients. Je vous avais déjà entretenus de l'utilisation des réseaux ouverts voisins, deux hommes avaient d'ailleurs été arrêté, en Floride et dans l'Illinois, pour avoir utilisé des réseaux Wi-Fi ouvert sans le consentement de leur propriétaire. Un autre s'était vu arrêté parce qu'il utilisait le réseau d'un bibliothèque en dehors de ses heures d'ouverture.

Ici, il s'agit du réseau d'un établissement commercial, offrant un service à ses clients, lequel apprécie moyennement qu'on l'utilise depuis sa voiture garée un peu plus loin dans la rue. Déjà l'an dernier, un cas similaire se produisait à Washington. Et le moins qu'on puisse dire, c'est que là encore, les discussions vont bon train, et les analogies aussi.

Tout comme suite à ce récent message apparemment de HD Moore dont je vous laisse découvrir le contenu et surtout les suites...


Sinon, dans un autre registre complètement différent, je vous conseille le visionnage de la démonstration de Photosynth faite à TED par Blaise Aguera y Arcas. En fait, la présentation en question commence par une démonstration d'un outil appelé Seadragon qui propose une nouvelle façon de visionner des documents : images, textes, journaux, etc. C'est déjà impressionnant. Et ensuite, enchaînement sur Photosynth qui repose sur Seadragon.

C'est quoi Photosynth ? C'est un moteur d'analyse d'images capable de reconstruire un environnement physique à partir de photos. Dans la vidéo, on peut voir la reconstitution de Notre-Dame de Paris[2] à partir de photos dégottées par une simple recherche sur Flickr. Ensuite, vous pouvez vous ballader dans cette reconstruction : tourner, avancer, zoomer, reculer, etc. À chaque fois, Photosynth vous fournit un visuel à partir des images sur lesquelles il a travaillé. Je ne sais pas combien de ressource ça demande, mais comme dirait un ami, "ça poutre grave".

Vous pouvez voir la bête en action sur le site de Photosynth si vous naviguez sous Windows XP SP2 ou Vista RC1 minimum. Si vous n'êtes pas dans ce cas, vous pourrez toujours vous consoler avec la lecture du blog et les quelques vidéos en ligne... Quant à moi, qui ne suis pas sous Windows, je me suis rué chez notre expert/consultant/chercheur/acrobate/etc.[3] pour voir l'application en action. On est légèrement déçu parce que ce n'est pas aussi rapide, beau et complet que dans la vidéo, mais ça reste impressionant.

Encore un truc qu'on ne manquera pas de coller sur le dos du Web 2.0 : extraire de la masse ambiante des ensembles de données cohérents pour alimenter des applications qui déchirent...

Notes

[1] Tant qu'on n'entre pas dans le domaine des chats en boîte et de la mécanique quantique...

[2] La cathédrale, pas la comédie musicale...

[3] Mais toujours pas juriste.