Une histoire de privilèges

Soumis par Tris Acatrinei le Jeudi 21 août 2014 à 22:16

Dans un billet de blog, Greg alias Barbayellow a expliqué que les solutions de sécurité et d'anonymisation restaient complexes pour des utilisateurs non-avertis mais en ayant besoin, notamment en raison d'interfaces complexes ou inexistantes, de documentations obscures quand elles ont le mérite d'exister et que les techniciens devaient se mettre au niveau des utilisateurs susmentionnés. En un mot comme en cent, les solutions de sécurité ne fonctionnent pas parce que les utilisateurs ne se les approprient pas.

S'en est suivie une très longue discussion (ou troll selon les points de vue) qui a duré environ deux jours. Numendil a également fait part de son point de vue en nous invitant à être pédagogue, à descendre de notre piédestal,etc.

Deux points de vue se sont opposés : ceux qui prônent la nécessaire adaptation des technologies au niveau de compréhension des utilisateurs et ceux qui estiment que c'est aux utilisateurs de se mettre au niveau et d'apprendre continuellement.

Ce qui m'a frappé dans ces deux points du vue, c'est l'absence de prise en compte des privilèges. Qu'on se le dise : nous, les techniciens (et oui je me mets dans le lot), nous sommes extrêmement privilégiés. Nous pouvons nous offrir des machines performantes et certains sont même capables de les construire, nous savons comment fonctionne un logiciel, nous savons lire une documentation technique ou au pire, où chercher les informations qui vont nous aider. Nous sommes également capables de travailler pour nous mettre au niveau, soit parce que nous en avons les capacités intellectuelles, soit parce que nous avons le temps et les moyens matériels et pour certains, tout concourt à ce qu'ils puissent s'améliorer.

Mais tout le monde ne peut pas le faire. Tout le monde n'a pas les capacités intellectuelles d'ingurgiter de nouvelles connaissances X années après la fin des études ou à sa concurrence. Tout le monde n'a pas le temps de cerveau disponible le soir après une journée de boulot plus ou moins intéressante pour comprendre comment fonctionne un protocole de communication. Tout le monde n'arrive pas à matérialiser la pertinence de certains systèmes par rapport à d'autres. Mais ils ont quand même besoin d'avoir des systèmes de sécurité à disposition pour mener à bien leur mission. Et c'est à nous, les techniciens de faire le boulot. Parce que pendant que nous jouons les rebelles 2.0 bien installés dans nos fauteuils, dans nos appartements confortables, à déguster un verre de vin ou bière, des gens risquent leurs vies pour que nous restions informés de ce qui se passe à l'autre bout de la planète ou pour garder le peu de liberté qu'il leur a été a été royalement accordé.

Quant à ceux qui disent que les utilisateurs n'ont qu'à apprendre, je me souviendrai de cet argument lorsqu'ils auront la grippe. Aller chez le médecin pour avoir une ordonnance ? Solution de facilité qui consiste à prendre le patient pour un idiot, voyons. Il n'a qu'à faire des études de médecine. Consulter un avocat/juriste pour une question de droit ? Espèce de grand(e) fainéant(e) ! Ouvre le Dalloz et les recueils de jurisprudence au lieu de pécher par paresse intellectuelle.

Comment ça, ce n'est pas la même chose ? En quoi est-ce si différent ?

N'oubliez pas que l'une des raisons du succès de MAC et de Windows, c'est qu'ils proposent des interfaces simples, facilement compréhensibles. De la même façon, si Ubuntu est une distribution populaire auprès des débutants GNU/Linux, c'est parce que c'est simple à appréhender. Idem pour BackTrack. Enfin, en 2004, lors de la DEFCON, Nick Farr avait soulevé le point suivant : toutes les solutions de sécurité qui avaient été présentées lors de la conférence, étaient très innovantes mais elles resteraient sans intérêt si les utilisateurs ne se l'appropriaient pas et pour ce faire, il faudrait nécessairement arriver à offrir des interfaces simples.

A tous les techniciens, peu importe leurs spécialités, n'oubliez pas que vous êtes des privilégiés et que si vous êtes si attachés que cela au concept d'égalité, alors aidez les autres.

PS: si vous avez des commentaires à faire, c'est ici que vous devez les laisser. Je ne répondrai pas sur Twitter.

Commentaires

bituur esztreym (non vérifié)

Friday 22 August 2014 à 03:02

oui.
s'il est capital que chacun apprenne, on n'apprend jamais que si on (ou qqch) nous tend la main.

Tris Acatrinei

Friday 22 August 2014 à 22:00

Tout à fait.

Personne n'apprend jamais réellement tout seul en réalité, il y a toujours une personne ou un fait déclencheur à tout apprentissage.

Matt (non vérifié)

Friday 22 August 2014 à 08:28

Très bon article. Je partage complètement votre point de vue. La réussite des i-bidule tient dans le fait qu'ils apportent une impression de grande facilité. Les utilisateurs n'ont pas tous la capacité (intellectuelle, disponibilité, envie ...) pour apprendre les technologies. J'irais même plus loin. Le domaine de l'informatique est tellement large, que je doute qu'une personne puisse en maîtriser tous les aspects. Un proverbe chinois dit : "celui qui croit tout savoir, ne sait rien !"
Je vous rejoins complètement : aidons, aidons ... et d'autres nous aiderons aussi !

Tris Acatrinei

Friday 22 August 2014 à 22:01

"Je ne sais qu'une chose, c'est que je ne sais rien" Socrate (je crois)

Genma (non vérifié)

Friday 22 August 2014 à 09:38

Merci pour ce billet qui apporte un autre regard sur le débat. Le coup du médecin ou de l'avocat sont de parfaits exemples. Je suis malade, je vais au médecin, je demande au spécialiste. Très bon exemple.
Après, il y a le fait que je sache qu'il faut lire une notice de médicaments, pour vérifier les effets secondaires. Je ne précris pas les médicaments, mais j'ai un minimum de connaissance me permettant de lire cette notice. En informatique, il faut comprendre quelques bases, mais on n'est effectivement pas tous voué à être des techniciens.

Tris Acatrinei

Friday 22 August 2014 à 22:03

Encore faut-il être capable de les comprendre les effets secondaires, ce qui n'est pas le cas de tout le monde et on sait aussi que l'auto-médication, c'est bien quand tu as une migraine ou une rage de dents, maisça peut rapidement avoir ses limites. Par exemple, quand je suis enrhumée, je prends deux médicaments dont j'ignorais que leurs effets combinés pouvaient s'annuler...

dervishe (non vérifié)

Friday 22 August 2014 à 23:58

J'avoue que tout ceci me laisse perplexe. Je ne comprend pas bien ce que les privilèges viennent faire là-dedans. Si je suis bien l'argumentaire, je suis aussi privilégié dans ce domaine (l'informatique) que le boulanger dans la boulange, le maçon dans la maçonnerie, etc... Je n'appelerai pas "privilège" quelque chose d'acquit par l'apprentissage, chacun étant privilégié dans son domaine de compétence. Donc une fois ceci dit, on n'a rien dit en fait...
Après, pour ce qui concerne le fait de pouvoir ou vouloir faire l'effort d'acquérir de nouvelles compétences voici quelques réflexions (quelque peu désordonnées):

* Le coups du malade ou de l'avocat ne tiennent pas... Je ne suis pas malade tous les jours (heureusement), je n'ai pas besoin d'un avocat ou d'un garagiste tous les jours non plus (heureusement aussi)... Par contre, l'informatique est maintenant présente partout: Dans ma voiture, dans mon téléphone, dans mon ordi, dans mes iMachins, etc... Il me semble donc plus que raisonnable de faire un effort pour me les approprier un minimum sans pour autant devenir un spécialiste du domaine.
* Si je pratique un sport dangereux, ça me paraît utile voire vital d'avoir des notions de secourismes et de soins d'urgence. Si je suis borderline avec la loi, la connaître un minimum aide (d'ailleurs à ce propos, nul n'est censé ignorer la loi si je ne m'abuse...). Pour tout ceci, nul besoin de devenir avocat ou médecin urgentiste. Par contre, un stage de secourisme peut aider.
* Acquérir de nouvelles compétences n'est pas un luxe en soit, ce n'est jamais perdu et ça permet d'aider à se construire. Peut être faudrait-il arrêter de penser en terme de: "j'abaisse le niveau afin de le rendre accessible" et d'envisager la version "augmentons nos connaissances". Je ne crois pas au discours "tout le monde ne peut pas..." ou "n'a pas les capacités de ..." etc. Arrêtons de prendre "les gens" pour des crétins. Sans aller d'un extrême à l'autre, la demi-mesure en toute chose peut-être intéressante aussi...
* Enfin pour donner aussi dans la métaphore scabreuse, un autre outil qu'une grande partie des gens utilisent est la voiture (ou le 2-roues, le camion, etc). Si je ne m'abuse, celle-ci demande un apprentissage et même le passage d'un permit d'utilisation. Les ordis et les logiciels ne le méritent-ils pas tout autant ? (là je force le trait à dessein)

Ceci étant dit, je suis d'accord qu'un effort au niveau des outils de formation est à fournir de la part de la communauté. Mais est-ce le rôle des techniciens ? ou bien celui des pédagogues ? Savoir faire des outils n'est pas un gage de pédagogie...

Pour finir, il me semble que ce débat souffre de binarité (bon d'accord on parle d'informatique mais tout de même): tout n'est pas tout noir ou tout blanc, il n'y a pas d'un côté les utlisateurs crétins paresseux et de l'autre les tecos suffisants et "rebelle 2.0" comme vous dite... On peut aussi envisager que des efforts soient fait des deux côtés tant sur les fameuses zinterfaces et sur la documentation que sur le travail nécessaire d'apprentissage à réaliser. Comme dit plus haut, peut-être aussi l'intervention de corps intermédiaires comme des pédagogues pourraient aider à débloquer le problème...
P.S: Je précise pour fixer les choses que je suis aussi de la partie (tecos)

Tris Acatrinei

Saturday 23 August 2014 à 22:38

Ah bon ? Tu ne vois pas où se situe le privilège de savoir comment fonctionne ta machine et d'avoir eu la possibilité d'apprendre et même d'en faire ton métier ?

J'ai pris l'exemple du médecin et de l'avocat mais c'est applicable à plein d'autres métiers. Pourquoi achètes-tu ton pain chez le boulanger au lieu de le faire toi-même ? Pourquoi vas-tu au resto/fast-food ? Etc. 

Dans le cas initial, on parlait des difficultés que rencontre des gens qui vont sur des terrains dangereux ils n'ont pas à faire des efforts surhumains pour arriver à faire des trucs sur leurs machines, ce n'est pas leur métier.

Bien sûr que certaines personnes peuvent apprendre, encore heureux, mais aujourd'hui, avoir la possibilité d'apprendre quelque chose est devenu un luxe quoiqu'on en dise.

alex_uper (non vérifié)

Friday 22 August 2014 à 17:06

Rapelle toi petit scarabée :
Ton premier problème de sécurité sera toujours toi-même.

Tris Acatrinei

Friday 22 August 2014 à 22:03

Ce qui ne concerne pas uniquement l'informatique.

Stéphane Bortzmeyer (non vérifié)

Monday 25 August 2014 à 16:44

Il n'y a pas que sur Twitter qu'on manque de place, c'est aussi le cas des commentaires d'un blog. Donc, j'ai préféré élaborer sur le mien : http://www.bortzmeyer.org/securite-facilite.html

Tris Acatrinei

Monday 25 August 2014 à 22:17

En même temps, Twitter ce n'est pas nécessairement le meilleur endroit/format pour débattre.

Oui, j'ai lu ton billet :)

Et sur le comment, je dirais qu'on pourrait améliorer les interfaces, la documentation, faire des initiations, sensibiliser les gens, bref, mettre les gens à notre niveau :)

Mailden (non vérifié)

Friday 29 August 2014 à 10:47

Je partage l'analyse de Tris, ainsi que celle de Bortzmeyer dans son article. C'est pour faire « avancer le smilblick » que nous avons lancé le service Mailden (https://www.mailden.net) qui se veut être un premier pas vers plus de confidentialité pour le plus grand nombre. C'est pas parfait en terme de sécurité, mais c'est déjà beaucoup mieux que les offres gratuites des GAFA. Et ça marche comme n'importe quel email ! Nous pensons que pour sécurisé les correspondances de Madame et Monsieur Toutlemonde, le mieux est d'avancer progressivement. Le travers de beaucoup de spécialistes de la sécurité, c'est qu'ils n'acceptent pas les compromis : c'est tout ou rien !

Arm (non vérifié)

Saturday 03 January 2015 à 05:33

Bonjour,

Franchement j'ai rencontrer ton site par hazard enfin pas trop puisque j'ai regarder une vidéo youtube ou tu donne une conférence enfin bref ..

Je partage entièrement ton point de vue, et je te félicite pour tes articles: juste et de très bonne qualité !

Arm

Tris Acatrinei

Sunday 04 January 2015 à 15:28

Merci

Ajouter un commentaire