L'Heuristique: Journal des étudiants de l'ÉTS

L’irresponsabilité générale vis-à-vis les données des clients

Février 2012 » Opinions » Par Félix Cloutier, étudiant de génie logiciel, directeur du JETS

L’année 2011 a été une année fantastique pour les pirates informatiques en tout genre, qui ont enchaîné viol après viols auprès de compagnies de toutes tailles. La première grande cible a été le PlayStation Network de Sony en mai, où des pirates ont volé les informations personnelles de millions de joueurs et possiblement des numéros de cartes de crédit (bien qu’il n’y a pas eu de preuve évidente que les pirates ont réussi à les atteindre). Cette attaque a ensuite causé une panne d’environ un mois pendant laquelle Sony réparait les pots cassés et cherchait une façon de s’excuser à ses clients, qui n’ont pas attendu de toute façon pour entreprendre un recours collectif aux États-Unis.

Dans les semaines qui étaient à venir, d’autres gros noms allaient y trouver leur compte aussi. Un forum de Sony Music a été piraté (et les pirates y ont trouvé les mots de passe en texte clair); un forum de Bethesda a été piraté; un vieux forum d’Electronic Arts sur Neverwinter Nights a été piraté; Steam a été piraté (mais les informations des cartes de crédit n’ont vraisemblablement pas été volées). Et encore, ça ne sont que les cas dont nous avons entendu parler. Il est très probable que beaucoup, beaucoup d’autres attaques aient été lancées et complétées, mais qu’elles n’ont simplement pas été détectées.

Il s’avère aussi que plusieurs joueurs de FIFA 11 sur Xbox 360 reçoivent indûment des factures sur des éléments qu’ils auraient acheté sur Xbox Live. Microsoft n’a rien confirmé à ce sujet.

Ceci nous mène à un point très important: quelle que soit la grosseur de la compagnie avec qui vous faites affaire, vous pouvez difficilement être certain que vos informations confidentielles sont entre de bonnes mains. Même si les bris n’ont généralement pas mené à l’utilisation frauduleuse, ça n’est qu’un pas à franchir, et c’est un pas qu’on préférerait ne pas voir franchi.

Ces problèmes sont d’autant plus troublants que les « app stores » sont à la mode. Valve distribue depuis très longtemps des jeux sur sa plate-forme Steam. Apple a monté son App Store qui a distribué des milliards d’applications, puis Google lui a emboîté le pas, et Microsoft traîne derrière mais fait la même chose pour Windows Phone 7 et Windows 8. En cette ère de téléphones intelligents, d’infonuagique (le terme de bouffon que l’Office québécois de la langue française propose pour le « cloud ») et de paiements en ligne, on a bien beau vouloir que peu de gens connaissent notre adresse et notre numéro de carte de crédit, lorsqu’on en fait la liste, elle est souvent plus longue que ce qu’on voudrait croire.

Ces temps-ci, on doit vous faire la morale à tous les jours : « changez de mot de passe souvent, utilisez un mot de passe complexe, n’utilisez pas le même mot de passe sur plusieurs services en ligne. » Tous ces conseils sont bons et vous devriez les suivre à la lettre, mais tous les gens qui sont passés avant moi pour les prodiguer ont misérablement échoué à les faire suivre, et je ne m’attends pas à plus de succès.

De toute façon, ça n’est pas vraiment le but de l’article. Le point sur lequel j’aimerais vraiment attirer votre attention, c’est l’attitude généralement irresponsable des entreprises lorsque les pirates réussissent.

C’est, d’ailleurs, un problème un peu difficile. Imaginez que vous avez un million de numéros de cartes de crédits dans une banque de données. Que feriez-vous si vous vous rendiez compte qu’un intrus les a tous copiés? Personnellement, c’est un scénario que je n’ose pas concevoir. J’imagine qu’un million de personnes se joignent à un recours collectif et qui écrasent la compagnie dans la faillite comme un fumeur écrase un mégot. Qu’on fait piétiner par un million d’autres paires de souliers après.

Visiblement, le fait que c’est la seule chose que j’arrive à imaginer fait de moi un très mauvais candidat à la gestion de scénarios de catastrophes. Les vrais, les meilleurs, ceux qui sont embauchés dans les grandes compagnies, sont beaucoup plus créatifs et arrivent à des solutions bien plus intelligentes. Le vrai problème n’est pas que les données se font voler, c’est que les gens s’en plaignent. Alors, quelle est la meilleure solution? Empêcher les gens de se plaindre!

C’est ainsi que le 16 septembre dernier, Sony a mis à jour les conditions d’utilisation du PlayStation Network en y ajoutant ce paragraphe (et quelques autres le supportant):

Renonciation au recours collectif. TOUTE PROCÉDURE DE RÉSOLUTION DE LITIGES, QUE CE SOIT PAR ARBITRAGE OU AU TRIBUNAL, SERA UNIQUEMENT EFFECTUÉE SUR UNE BASE INDIVIDUELLE ET NON DE FAÇON COLLECTIVE OU REPRÉSENTATIVE OU EN TANT QUE MEMBRE NOMMÉ OU NON D'UNE ACTION COLLECTIVE, CONJOINTE, REPRÉSENTANTE OU MANDATAIRE, À MOINS QUE VOUS ET L'ENTITÉ SONY AVEC LAQUELLE VOUS AVEZ UN LITIGE VOUS ACCORDIEZ SUR CE POINT PRÉCIS PAR ÉCRIT À LA SUITE DU DÉBUT DE L'ARBITRAGE. CETTE CLAUSE NE FAIT PAS OBSTACLE À VOTRE PARTICIPATION À UN RECOURS COLLECTIF DÉPOSÉ LE OU AVANT LE 20 AOÛT 2011.

That’s right, suckers! Si vous n’avez pas lu avant d’accepter, comme j’imagine que vous avez tous fait (puisque c’est toujours ce que tout le monde fait), vous avez renoncé à votre droit au recours collectif contre Sony Entertainment Network aux États-Unis. Si vous avez lu, cependant, vous avez probablement trouvé la clause vous permettant de vous soustraire à ce renoncement, en envoyant une lettre exprimant clairement votre refus aux bureaux de SEN en Californie... dans les 30 jours suivant votre acceptation.

C’est AT&T qui a lancé le bal en avril dernier dans ses contrats de téléphonie mobile. Depuis que la Cour suprême des États-Unis a jugé que ce genre de clause est recevable, les grandes entreprises sont en exaltation juridique. Heureusement pour vous, ces clauses sont toujours sans valeur dans notre Québec (en fait, partout sauf aux États-Unis).

Je dis « heureusement pour vous, » car même si je suis le damné possesseur d’un PlayStation 3, ce jour-là, j’ai décidé que je ne me connectais plus au PlayStation Network. Même si je sais que je peux envoyer une lettre, et même si je sais que même si je ne l’envoie pas, mes droits ne risquent pas d’être tronqués. Tout simplement par principe, parce que ce ne sont pas des pratiques éthiques. Priver les clients de leur droit de recours collectif, c’est leur dire « on espère qu’on ne fera pas de gaffe, mais si ça arrive, vous n’aurez pas de recours contre nous. »

Il n’y avait qu’un problème, et ce problème s’appelle Dark Souls. Comment est-ce que j’allais y jouer sans me connecter au PlayStation Network? Fort heureusement, mon coloc a un Xbox 360, et le jeu y est sorti aussi. Sauf qu’alors que j’attendais sagement la fin de la session pour l’acheter et jouer sur Xbox, Microsoft a joué un sale tour aux Américains.

YOU AND MICROSOFT AGREE THAT ANY PROCEEDINGS TO RESOLVE OR LITIGATE ANY DISPUTE, WHETHER IN ARBITRATION, IN COURT, OR OTHERWISE, WILL BE CONDUCTED SOLELY ON AN INDIVIDUAL BASIS, AND THAT NEITHER YOU NOR MICROSOFT WILL SEEK TO HAVE ANY DISPUTE HEARD AS A CLASS ACTION, A REPRESENTATIVE ACTION, A COLLECTIVE ACTION, A PRIVATE ATTORNEY-GENERAL ACTION, OR IN ANY PROCEEDING IN WHICH YOU OR MICROSOFT ACTS OR PROPOSES TO ACT IN A REPRESENTATIVE CAPACITY. YOU AND MICROSOFT FURTHER AGREE THAT NO ARBITRATION OR PROCEEDING WILL BE JOINED, CONSOLIDATED, OR COMBINED WITH ANOTHER ARBITRATION OR PROCEEDING WITHOUT THE PRIOR WRITTEN CONSENT OF YOU, MICROSOFT, AND ALL PARTIES TO ANY SUCH ARBITRATION OR PROECCEDING.

Si vous ne savez pas lire les textes écrits en anglais ou en majuscules, cet extrait des conditions d’utilisation du service Xbox LIVE contient des clauses similaires à celles que Sony a ajoutées. Cependant, Microsoft n’offre aucune porte de sortie : si vous habitez aux États-Unis, vous renoncez à votre droit au recours collectif, ou vous renoncez à Xbox LIVE. À vous de choisir.

Pour ajouter l’insulte à l’injure, Microsoft essaie de faire croire que c’est pour le bien des consommateurs. « Changes to the Terms of Use are designed to ensure that our customers have an easy way to file a dispute without requiring formal legal action. »

Ils n’ont eu la grâce de n’éventrer que les droits des Américains : cette clause n’existe que dans les conditions d’utilisation de nos voisins du Sud. Elle n’en n’est cependant pas plus responsable ou acceptable : à mon avis, Microsoft avait l’occasion de montrer qu’ils sont meilleurs que Sony, et ils ont lancé cette occasion aux poubelles. J’ai donc lancé aux poubelles mes plans d’acheter Dark Souls sur Xbox 360.

J’aimerais tellement vous dire que c’est tout, et que les autres compagnies sont gentilles et responsables vis-à-vis les consommateurs. L’horreur ne s’arrête malheureusement pas là, et Electronic Arts rejoint les rangs des compagnies qui n’ont pas confiance en leur capacité à protéger nos données avec son service Origin :

By accepting these terms, you and EA expressly waive the right to a trial by jury or to participate in a class action.

Même si je leur suis reconnaissant d’être la première compagnie à ne pas l’écrire en majuscules, le dégoût que j’ai envers leur attitude ne me donne pas envie de transiger avec eux.

C’est un message clair que les compagnies transmettent aux consommateurs que nous sommes : si quelque chose arrive à vos données, c’est vraiment dommage. Mais rien de plus.

Donc, dans cette ère de téléphones intelligents, d’infonuagique et de paiements en ligne, où toutes les compagnies, leurs employés et leurs chiens veulent votre numéro de carte de crédit, il semble que bien peu d’entreprises aient réagi à la vague d’attaques informatiques, et que ceux qui ont réagi l’ont généralement fait pour se protéger eux plutôt que nos données. Microsoft, Sony et Electronic Arts adorent les bénéfices que leur donnent cette banque de données, mais en détestent les implications. Tout ce qu’il m’est possible de conclure de ces clauses, c’est qu’ils n’ont pas confiance en la sécurité de leurs systèmes. Donc au lieu de prendre des mesures exceptionnelles pour se protéger des conséquences catastrophiques, ils prennent des mesures seulement raisonnables et cachent la poussière sous le tapis avec un contrat qui les immunise.

Il me semble que si j’avais une banque de numéros de cartes de crédit et que je n’étais pas confortable à l’idée qu’elle puisse être volée, je la détruirais et je demanderais à mes clients d’entrer leur numéro à chaque fois qu’ils font une transaction. On ne peut pas avoir le beurre, l’argent du beurre, et la crémière par-dessus le marché. Ou, en tout cas, pas de façon éthique, ce qui semble être le dernier des soucis de bien des têtes dirigeantes.

Il existe quelques compagnies qui réagissent aux vagues d’attaques et qui gardent la tête droite. Par exemple, le distributeur de jeux en ligne GOG s’est débarrassé de tous les numéros de cartes de crédit qu’il possédait et demande aux clients de l’entrer à chaque achat. La compagnie a pris cette décision après qu’un sondage auprès de presque 19 000 usagers a révélé qu’aucun d’entre eux n’était favorable à un système d’achat en un clic, et que 68% d’entre eux préfèrent qu’il soit impossible à la compagnie de stocker des informations sensibles.

On dirait bien que je ne pourrai pas jouer à Dark Souls, finalement. Pour le reste, comptons-nous chanceux : les droits des consommateurs au Québec sont apparemment de ceux qui sont les plus respectés au monde.