Vulnérabilités et exploits

En 2016, j’ai remarqué quelque chose de bizarre sur Twitter – sans contexte ni explication, Andrea Shepard, une développeuse Tor, avait posté une chaîne de lettres et de chiffres aléatoires. Quelques jours plus tard, la nouvelle est tombée que le projet Tor avait coupé les liens avec Jake Appelbaum, un activiste loué et le plus médiatisé de leurs développeurs, en réponse à des allégations de harcèlement sexuel. Shepard a tweeté à nouveau, révélant que le mystérieux message était un hachage SHA-256 de la phrase « Il semble qu’un violeur soit un violeur de trop ».

Il s’agissait d’une accusation voilée, qui omettait le nom d’Appelbaum ou le contexte de ses actes présumés – une déclaration qui n’a donné un coup de poing que lorsqu’elle a été alignée à côté de la déclaration officielle du projet Tor et des nombreux comptes qui ont suivi. Cela aurait pu être un moment Weinstein, mais en 2016, ses accusateurs ont été confrontés au harcèlement de nombreux milieux. Bien qu’Appelbaum ait été un escalier disparu bien connu pendant de nombreuses années, le moment était une « controverse », pas un compte à rendre.

En 2017, nous sommes passés des mots voilés cachés derrière le cryptage, aux victimes tweetant leurs comptes et nommant leurs agresseurs présumés. Les réseaux de chuchotements se sont transformés en émissions bruyantes, et même – pendant un bref moment désastreux – en feuilles de calcul Google publiques des méfaits.

Ce moment post-Weinstein n’est pas seulement une question de sexe, ou de genre, mais tout de même, presque toute la récente rafale d’accusations a été portée sur des hommes et presque toutes les victimes (à quelques exceptions notables) ont été des femmes. Mais nous ne vivons pas dans un monde binaire où les chromosomes et les phénotypes peuvent déterminer les propensions morales. Il n’y a rien d’inhérent aux hommes qui fasse d’eux des prédateurs sexuels ; le harcèlement sexuel, en particulier du type de celui qui est révélé encore et encore en ce moment, est un échec culturel systémique où les hommes reçoivent de manière répétée un laissez-passer alors qu’ils ne le méritent pas.

Le système est incarné par les cadres de Miramax qui sont restés sans rien dire ; les départements universitaires qui ont permis à leurs hommes à problèmes de partir silencieusement et de devenir les hommes à problèmes d’autres universités ; le personnel des ressources humaines qui a découragé les victimes d’escalader leurs plaintes. Le système ne victimise pas toujours activement les femmes, mais il pardonne systématiquement aux hommes là où il refuse de pardonner à ceux qui ne sont pas des hommes.

Cette structure est douloureusement visible au sein de la communauté technologique : en effet, le tristement célèbre  » Damore Memo  » de cet été, un manifeste rédigé par un employé mécontent de Google qui postule que les différences biologiques rendent les femmes moins aptes à la programmation informatique, n’offre pas seulement un aperçu d’un méchant courant sous-jacent au sein de la Silicon Valley. Il expose également la science bâclée et la pensée paresseuse avec lesquelles les hommes de l’industrie savent qu’ils peuvent s’en tirer. Les hommes, en particulier les hommes blancs, appartiennent à l’industrie technologique, après tout – ils sont l’industrie technologique. Tous les autres ont la charge de prouver qu’ils y appartiennent.

L’après-Weinstein a laissé de nombreuses femmes pensivement et anxieuses, attendant que l’autre chaussure tombe, attendant qu’une série d’accusations douteuses déclenche un inévitable retour de bâton. « Un homme injustement licencié à cause d’une bosse mal interprétée dans l’ascenseur pourrait faire de nous toutes, les femmes, des agresseurs en maraude, et des hommes des victimes malchanceuses », écrit Rebecca Traister. Mais nous nous demandons également si les choses vont changer. S’agit-il seulement d’une brève fenêtre de transparence au cours de laquelle les pires agresseurs endossent toute la responsabilité de ce qui est manifestement un profond échec institutionnel ? Quelques douzaines d’hommes très en vue sont tombés en disgrâce ; le public a lu les récits de première main de leurs victimes avec horreur, dégoût et colère – mais que faire maintenant ?

Dans l’ombre, un coin du secteur technologique a produit le signe le plus prometteur que le moment post-Weinstein n’est pas qu’un moment – et il ne provient pas du secteur des entreprises où le harcèlement sexuel est légalement défini et théoriquement policé par les départements des ressources humaines. En novembre, The Verge a rapporté que Morgan Marquis-Boire, une rockstar de la recherche en sécurité, aurait violé plusieurs femmes, les accusations s’étalant sur plus de dix ans. Et la communauté de la sécurité de l’information – qui arbore une réputation de misogynie flagrante, même pour la technologie en général – a réagi en grande partie par la croyance et même l’examen de conscience.

Ce changement spécifique de valeurs est un marqueur important pour montrer à quel point les choses ont changé. La sécurité de l’information, en tant qu’industrie et culture, ne souffre pas seulement du sexisme endémique dans de nombreuses industries, ou même des préjugés implicites imprégnés dans le secteur technologique dominé par les hommes. Le culte du hacking, après tout, valorise également la violation non consensuelle des limites. La culture des hackers a longtemps fait peser sur la cible la responsabilité de ne pas se faire pirater – le blâme de la victime est profondément ancré dans les valeurs de cette sous-culture. Il n’est pas surprenant que cette attitude toxique se répercute dans le monde réel. Tous ceux qui ont déjà assisté à DEFCON, la plus grande conférence de pirates informatiques d’Amérique du Nord, ont été avertis de ne pas se connecter au réseau wifi de l’hôtel et d’apporter des appareils brûleurs à la conférence. C’est un rite de passage. Mais si vous êtes une femme et que vous avez assisté à la DEFCON, vous avez probablement reçu le deuxième avertissement supplémentaire de la part d’une personne bien informée : ne portez pas de jupe, ne restez pas trop tard dans les soirées, gardez toujours un œil sur votre boisson. Si vous vous faites pirater à une conférence de hackers, vous êtes prévenu. Si vous vous faites violer lors d’une conférence de hackers, eh bien, vous avez été prévenu.

Cette toxicité culturelle est d’autant plus troublante compte tenu de l’importance démesurée que la culture infosec a eue pour la tech grand public. En 2017, la Silicon Valley pourrait être un oligopole respectable de sociétés boutonnées, mais pour le meilleur ou pour le pire, son âme a longtemps puisé dans les aberrations sauvages bizarres qui constituent la sous-culture des hackers. L’amour de la rapidité et de la rupture n’est rien d’autre que l’idolâtrie des hackers, et c’est ainsi que les bizarreries et les faiblesses d’une minuscule sous-culture imprègnent la technologie qui fait tourner le monde moderne. Le légendaire hacker et phreaker Captain Crunch a couru avec Steve Jobs et Steve Wozniak ; la stratégie open source de Google est issue d’un mouvement idéologique dirigé par un homme ambulant à la barbe de sorcier qui mange des objets sur son pied. Des personnes comme Morgan Marquis-Boire, qui a travaillé chez Google pendant de nombreuses années, sont à cheval sur les deux mondes, injectant les valeurs des hackers dans les politiques officielles de l’entreprise. Le HTTPS n’aurait pas été déployé sur la majeure partie du web si les responsables de la sécurité de toute la vallée n’étaient pas aussi des fervents de Black Hat et de DEFCON ; la position d’Apple contre le FBI a été poussée par l’idéologie de ses rangs.

Dans la sécurité de l’information, comme dans de nombreux autres secteurs où l’accusé est une figure de proue, les accusations peuvent se transformer en une compétition de capital social, et l’accusé l’emporte presque toujours sur ses accusateurs. Mais dans cette communauté, donner un laissez-passer à un violeur présumé a souvent été présenté comme un impératif moral en quatre mots : « Il fait du bon travail. » L’hypothèse est que le talent est rare et que l’inconduite sexuelle doit être tolérée pour le bien de la société. Peu ou pas de considération est accordée à ce que nous perdons à cause de l’incrédulité des victimes – leurs contributions techniques et sociales, toute contribution future de personnes qui décident tout à fait raisonnablement d’éviter une culture toxique, et même au-delà, l’érosion tranquille de la confiance parmi les spectateurs. La complicité laisse une tache sur nous tous.

Mais les choses changent. La réponse aux accusations contre Marquis-Boire fait un contraste marqué à côté de la réponse aux accusations – allant du harcèlement mineur au viol – portées contre Jacob Appelbaum. La présence d’Appelbaum dans la sphère publique a été sévèrement réduite, mais sa carrière en sécurité de l’information se poursuit – il poursuit actuellement un doctorat à l’Université de technologie d’Eindhoven, aux Pays-Bas, sous la direction de Tanja Lange et du célèbre cryptographe Daniel Bernstein.

« On parlera aux gens qui comptent, tranquillement », écrivait Lex Gill en 2016, décrivant ce qui a été, jusqu’à présent, une réponse standard aux accusations d’abus. « Ils diront aux autres comment cela le ‘détruit’, comment il a suffisamment souffert. C’est ‘compliqué’, mais ils n’ont pas le droit d’en parler. Il sera maintenu sur la liste de paie, quelque part. »

Presque tout le monde dans le milieu de l’informatique auquel j’ai parlé s’est dit surpris que Marquis-Boire ait été universellement évité là où Appelbaum – bien que son comportement ait été un secret de polichinelle pendant de nombreuses années avant les allégations publiques – ne l’a pas été. « Il est tentant de penser que nous avons tous appris quelque chose de ce qui s’est passé avec Jake », m’a dit un activiste.

Il est possible que Marquis-Boire fasse un retour – Appelbaum, après tout, refait maintenant surface dans ses anciens cercles d’activistes, entièrement sans excuses. Mais quelque chose dans la réaction de la communauté semble très différent cette fois-ci.

Peut-être que les allégations contre Marquis-Boire étaient plus crédibles simplement parce qu’elles sont arrivées au milieu de révélations à travers la société. Et Marquis-Boire était loin d’être la seule figure de proue de l’infosec accusée d’inconduite sexuelle dans le moment post-Weinstein : Buzzfeed a rapporté en novembre que Captain Crunch, dont le nom légal est John Draper, avait été banni des conférences sur la sécurité pour avoir harcelé sexuellement de jeunes hommes, parfois même des adolescents.

Et les révélations autour de Morgan Marquis-Boire arrivent à la suite d’histoires continues de harcèlement sexuel dans la tech grand public aussi. Pour quiconque est familier avec les échecs répétés de l’industrie de la technologie autour de la misogynie systémique, le blogpost de Susan Fowler aurait pu être choquant mais guère surprenant. Ce qui était surprenant, c’était l’absence de doute dans le tribunal de l’opinion publique. Si une femme dans le secteur de la technologie allègue une inconduite sexuelle et une discrimination, la première question posée est de savoir si elle était salope et incompétente. Les développeurs de rang sont blâmés pour leur propre harcèlement, et même les capital-risqueurs relativement privilégiés comme Ellen Pao sont confrontés à des attaques ad hominem sur leur caractère personnel et leurs capacités.

Fowler, en revanche, a été presque universellement cru. La réaction publique surprenante est devenue un moment décisif – des semaines plus tard, des femmes entrepreneurs ont parlé à l’Information et au New York Times d’avoir été harcelées sexuellement par des capital-risqueurs, ce qui a provoqué des démissions et même la fermeture d’une société de capital-risque. Les entrepreneurs ont été francs avec la presse : Fowler les avait inspirés. Quelque chose avait changé. Parce qu’une femme avait été crue, d’autres femmes se sont senties prêtes à se manifester.

A mesure que les femmes se manifestaient, les hommes bien intentionnés mais peu observateurs ne pouvaient plus ignorer le sexisme comme un problème systémique. Ce qui arrivait à leurs collègues féminines n’était pas des incidents individuels de mauvais comportement : c’était une mise en accusation de toute une industrie. Et une fois qu’ils ont pu s’en rendre compte, ils étaient moins enclins à douter d’emblée des dénonciatrices.

C’est un grand changement, mais dans le monde de l’entreprise, les choses semblent encore lentes à changer. Les conseils d’administration, les suites exécutives, les sociétés de capital-risque et les rangs de la main-d’œuvre technique très prisée sont dominés par les hommes, surtout les hommes blancs. Mais là encore, les vents du changement s’agitent, venant de l’endroit le plus improbable : l’infosec.

Les hackers sont l’âme de l’industrie technologique et les hackers eux-mêmes sont en train de changer – les héros tombent, le capital social est redistribué et les prédateurs sexuels sont les nouveaux ennemis du jour.

« Qui d’autre y a-t-il ? Combien d’autres personnes que je connais sont un danger pour les gens de la communauté ? Cela me fait peur », m’a confié un chercheur en sécurité.

La paranoïa est très présente dans l’infosec ; c’est presque une exigence professionnelle. Après avoir aiguisé ce sens professionnel de la peur contre les gouvernements et les entreprises pendant des années, la paranoïa du secteur s’est soudainement tournée vers l’intérieur, portée au laser sur leurs héros masculins.

Dans une conversation avec un autre chercheur en sécurité qui avait auparavant admiré Morgan Marquis-Boire, je l’ai rassuré de but en blanc en lui disant que ce n’était pas comme si tous les hommes dans l’infosec étaient des violeurs, qu’il n’avait pas à se promener avec un chapeau en aluminium, inquiet de tous les violeurs secrets autour de lui. Il a ri amèrement. « C’est trop tard, Sarah. Je porte déjà le chapeau en aluminium. »

En rétrospective, je me demande pourquoi j’ai pris un moment pour le rassurer. Peut-être que cela venait d’un instinct inculte d’ajouter « pas tous les hommes » quand on parle de sexisme, peut-être que cela venait de mon propre désir profond de mettre de côté ma paranoïa post-Weinstein exacerbée. Tous les hommes ne sont pas des violeurs, mais n’importe quel homme peut être un violeur, et c’est quelque chose que je sais et que je travaille activement à ignorer. Je suis malade et fatigué de penser et de parler et d’écrire sur les abus, mais la conversation nationale est omniprésente et incontournable, et malgré mon épuisement, il est grand temps.

Depuis l’automne, j’ai remarqué que les hachages SHA surgissent à nouveau à travers mes flux de médias sociaux – des hachages d’initiales d’hommes ou parfois de noms complets. Ces chaînes ne peuvent pas être décryptées, mais si vous connaissez ou soupçonnez la solution, vous pouvez essayer d’exécuter le même algorithme et voir si le hachage correspond. Les femmes décrivent comment elles ou une amie ont été harcelées ou agressées, elles décrivent en termes vagues l’homme en question. Et puis elles postent le hash, pour que leurs amies puissent vérifier si elles ont été attaquées par le même homme.

C’est un pas en avant par rapport à la feuille de calcul « Shitty Media Men » qui est devenue virale il y a quelques mois, un moyen de partager des informations qui est assez facile parmi les femmes qui sont capables d’ouvrir une fenêtre de ligne de commande et d’exécuter SHA-256 sur le nom d’un homme – des femmes qui traitent professionnellement avec des secrets, la vie privée, la vérité et la vérification. Ce sont des femmes dont les capacités techniques, dont la place dans leur monde, ont longtemps été remises en question. Elles ont été traitées comme des fausses, des poseurs, des intrus et des bras d’honneur. Mais elles sont là et ont toujours été là. Et lorsque tous les mauvais hommes qui « font du bon travail » seront tombés de leur piédestal, ces femmes attendront, prêtes à hériter de l’industrie technologique.

.