Si les arguments avancés dans cet article sont quelque peu contestables, aussi bien sur les hypothèses avancées que sur le raisonnement qui conduit aux conclusions, il a le mérite de mettre en avant l'évidente différence entre le monde réel et le monde numérique. Il fait également état d'idées et de théories intéressante. Ainsi, le raisonnement selon lequel les attaques contribueraient à augmenter le niveau de sécurité générale en ce qu'elle permettent d'accélérer la diffusion des correctifs et, dans des cas rares, typiquement les 0-days, de produire des correctifs pour des failles jusque là inconnues. On appréciera en outre l'exposé sur la grande générativité d'Internet, c'est à dire sa capacité à évoluer grâce à l'expérience acquise, donc dans le domaine qui nous intéresse ici, son aptitude à devenir de moins en moins vulnérable avec le temps qui passe.

Sauf que la pratique nous prouve la générativité d'Internet a aussi ses limites. Il y a certes une capacité d'évolution extrêmement rapide, mais celle-ci semble parfois bien pauvre quant à l'exploitation de l'expérience collective. Une sorte d'amnésie chronique qui appelle l'histoire à se répéter sur des cycles eux aussi relativement courts. C'est ce que devait montrer Pierre Vandevenne au dernier SSTIC dans sa présentation qui n'a pu se tenir. Cependant, et maintenant que les actes sont disponibles, je vous invite à lire son article, ça devrait vous rappeler des choses, aussi bien lointaines que proches dans le temps. On pourra également se tourner vers l'exemple édifiant qu'est IPv6, avec, au milieu de pas mal d'améliorations incontestables, la conservation, voire la ré-introduction, de mécanismes connus pour être dommageables, comme la fragmentation, qui pourrait même s'avérer plus gênante qu'en IPv4, et le retour du source routing pourtant banni des réseaux IPv4. "People never learn" semble être un adage qui colle à Internet comme les trolls poilus aux forums.

Parce que tout génératif qu'il soit, Internet n'en est pas moins également différent des systèmes génératifs biologiques auxquels l'auteur de cet article le compare. Exactement comme il diffère du monde réel en ce qu'il autorise l'ubiquité ou la possession simultanée d'un même objet par exemple. Peut-être parce que le fonctionnement d'un système immunitaire biologique est infiniment moins soumis à tout ce que l'homme peut inventer de solutions bancales, idées reçues et autres escroqueries intellectuelles. Mamadou le marabou vous fait marrer avec ses pouvoirs magiques ? Sur Internet, il gagnerait de l'argent en vendant des firewalls. Car c'est bien là un aspect majeur d'Internet que d'avoir une sécurité aussi soumise à des raisons que la raison ignore...

Je vous recommande quand même la lecture de ce papier. Il est très intéressant. Sans aller aussi loin que son auteur dans ses conclusions, je trouve tout de même qu'il regorge d'arguments en faveur d'une publication responsable, mais très documentée, des failles découvertes[1].

Et puis c'est pas tout ça, mais j'ai quelques jours de vacances qui m'attendent...

Notes

[1] I.e. du responsible full disclosure