États-Unis: Microsoft menacé d’un procès pour « vices de sécurité »

Une plainte en nom collectif a été déposée en Californie, sous les auspices d’un groupe d’intérêts créé par des ennemis jurés de l’éditeur. À l’origine, une consommatrice prétend que l’insécurité des logiciels Windows a permis à un escroc d’usurper son identité.

Le 2 octobre, l’agence Reuters a rapporté qu’une plainte en nom collectif («class action») avait été déposée devant la justice de l’État de Californie à l’encontre de Microsoft. Cette fois, il ne s’agit pas de reprocher au géant de Redmond ses manquements en matière de libre concurrence, mais de le rendre civilement responsable, pour vice de forme ou de fabrication, des nombreux défauts de sécurité de ses logiciels.

La plaignante, Marcy Hamilton, a entamé cette procédure devant le tribunal d’instance de Los Angeles, où elle réside (la juridiction est locale, non fédérale). Elle demande réparation après qu’un inconnu a pu usurper son identité suite, dit-elle, aux défauts cachés dans les produits de Microsoft. Cette action en justice est apparemment téléguidée par la CCIA (Computer & Communications Industry Association), un groupe d’industriels qui ont en commun d’être des rivaux acharnés de Microsoft (Sun, Oracle, AOL, Yahoo…).

Le droit américain protège les concepteurs de biens immatériels

La plainte de Mme Hamilton emprunte son argumentaire à un texte virulent signé, fin septembre, par des experts indépendants reconnus, qui dénoncent le risque pour la sécurité nationale des États-Unis, d’avoir recours aux technologies «fermées» de Microsoft. Une étude-pamphlet dont la CCIA s’est empressée de faire l’écho (*). L’un des signataires, Dan Geer, s’est fait après coup licencier par son employeur, la société de conseils Atstake, qui estime avoir été mise devant le fait accompli.

Quelles sont les chances de voir cette plainte collective faire vaciller le vaisseau amiral de Redmond? Si les fabricants de produits manufacturés défectueux, du sèche-cheveux au 4×4, perdent gros dans des procès de consommateurs, les produits immatériels n’ont potentiellement pas le même pouvoir de nuisance pour leurs concepteurs, selon des juristes américains interrogés par News.com. Les éditeurs de logiciels sont par exemple largement protégés par les contrats de licence utilisateurs (les EULA, pour End User License Agreements).

«À moins ce que quelqu’un ne soit blessé ou tué, il est pratiquement impossible d’obtenir des dommages et intérêts d’un éditeur de logiciels pour des questions de vice de fabrication», explique Cem Kaner, avocat spécialisé et professeur au Florida Institute of Technology. «Les seules tentatives sérieuses pour modifier les lois actuelles sur les logiciels ont eu un effet inverse, c’est-à-dire de réduire encore plus la responsabilité du fournisseur. Les procès les plus récents ont concerné les « logiciels embarqués » [embedded software]. Au final, on découvre que quand vous achetez une voiture, la carosserie est couverte par un ensemble de lois bien déterminé, mais que les logiciels qui contrôlent vos freins ou l’injection du moteur sont couverts par un tout autre arsenal légal qui est autrement plus favorable aux constructeurs.»

Windows XP – Ariane V, même combat?

Ce dépôt de plainte contre Microsoft intervient au moment où la compagnie reconnaît l’échec relatif de son modèle de service après-vente qui s’appuie sur le colmatage par rustines ponctuelles. La société prépare d’ailleurs une stratégie visant à protéger «l’ensemble du périmètre informatique» en abritant sa machine derrière un «bouclier», intégrant pare-feu et antivirus.

Concrètement, nous précise Cyril Voisin, «chef de programme sécurité» chez Microsoft France, cette «initiative à long terme» vise «à faire de l’informatique une commodité comme la fourniture d’eau potable en France». Il met en avant «le site grand public « 3 étapes pour sécuriser votre PC », permettant de se protéger des attaques actuelles et futures. (…) Sur la page consacrée à Windows XP, on peut en particulier lancer un script qui active automatiquement le pare-feu intégré et règle la mise à jour automatique, pour que le système installe les correctifs de sécurité quand ceux-ci sont disponibles.»

Intérrogé par l’agence de presse Transfert.net sur la responsabilité de Microsoft en tant que fournisseur de «produits défectueux, Cyril Voisin a répondu que «les logiciels sont créés par des hommes et des femmes. L’erreur étant humaine, les logiciels comportent des erreurs (…) dont certains touchent à la sécurité. Bien entendu, ceci est valable pour tous les logiciels, quelles que soient leurs provenances respectives, Microsoft ou pas. Ainsi, et pour mémoire, on peut rappeler l’accident de la fusée Ariane V, les problèmes de la sonde Pathfinder, le bogue du système GPS ou les problèmes de paiement des prestations sociales en France…»

Avec Declan McCullagh (Washington) et Robert Lemos (San Francisco) de News.com

* «Cyber-insecurity: the cost of monopoly» (fichier PDF – 880 Ko), par les consultants ou universitaires Daniel Geer (ex-@Stake), Charles P. Pfleeger (Exodus), Bruce Schneier (Counterpane), John S. Quarterman (InternetPerils), Perry Metzger, Rebecca Bace (Infidel), Peter Gutmann (Université d’Auckland).

[source – ZDNet.fr] Jerome Thorel