Lors de son exposé à l'Institut Henri Poincaré, Xavier Leroy a rappelé la distinction que l'on fait en matière de sûreté de fonctionnement de logiciels entre

  1. ceux dont les pannes sont certes énervantes et sources de pertes de productivité, mais sans plus (p.ex. traitement de texte qui « plante »)
  2. ceux dont les pannes peuvent causer des pertes financières importantes ou des problèmes majeurs de relations publiques (p.ex. trous de sécurité comme Heartbleed)
  3. ceux dont les pannes peuvent causer des pertes de vies humaines, en plus des problèmes précédents (p.ex. pilotages de trains ou d'avions).

Il me semble que cette distinction est quelque peu optimiste. De nos jours, les communications des opposants politiques passent notamment par des moyens de communication électroniques. Nous savons depuis un moment déjà que divers services occidentaux, notamment américains, espionnent les communications, y compris de leurs citoyens, avec le concours des grands industriels des réseaux et des services en ligne. Nous savons que des entreprises occidentales ont vendu à des régimes dictatoriaux et brutaux des systèmes d'interception de communication, sous des prétextes fallacieux. Nous savons que certaines entreprises font commerce des « trous de sécurité » qu'elles découvrent, auprès des gouvernements. Nous pouvons raisonnablement conjecturer que les grands industriels de l'informatique incorporent des trous de sécurité et autres « portes de derrière » dans les produits qu'ils commercialisent, à la demande des services spéciaux. Nous savons que les pays occidentaux collaborent parfois avec des états brutaux et dictatoriaux, suivant les alliances et les priorités du moment.

Nous pouvons donc conclure que certains des dysfonctionnements de niveau 2 peuvent fort bien conduire des opposants politiques à la torture et à la mort. Autrement dit, une inattention, une négligence, dans une bibliothèque comme OpenSSL peut avoir des conséquences bien plus grave que la dissémination de numéros de carte bancaire ou de mots de passe de comptes Twitter.

Malheureusement, en faisant ce constat, je n'apporte pas de solution.