Lors de la conférence Black Hat 2024, Moxie Marlinspike, l'un des développeurs de l’application de messagerie chiffrée Signal, a partagé une leçon importante : la magie du logiciel ne suffit pas. Il est essentiel de comprendre pour qui vous agitez votre baguette magique. Marlinspike a également admis que lui et d’autres développeurs d’applications de chiffrement avaient commis une erreur en pensant que leurs utilisateurs étaient des sorciers comme eux. « Ce que nous voulions faire, c'était développer des outils très puissants pour nous-mêmes et apprendre à tout le monde à faire comme nous », a-t-il déclaré au fondateur de Black Hat, Jeff Moss, lors d'une conversation sur scène jeudi matin. « Et cela ne fonctionnera pas ».Marlinspike a comparé cette erreur à celle commise avec Pretty Good Privacy (PGP), un ensemble d’outils de chiffrement lancé en 1991. Bien que PGP ait été la première expérience de messagerie chiffrée pour de nombreuses personnes, son interface utilisateur complexe a découragé bon nombre d’entre elles. Les développeurs de PGP avaient l’intention d’enseigner aux utilisateurs comment gérer un serveur de clés PGP, mais cela n’a pas fonctionné.
« Nous apprenions aux gens à faire fonctionner un serveur de clés PGP », se souvient-il en riant. « Nous nous retrouvions autour d'un dîner pour signer des clés ou autre chose ». Hélas, les gens n'étaient pas disposés à faire une telle chose : « Nous avions tout simplement tort ».
Marlinspike a qualifié ce comportement de « snobisme logiciel », « un ensemble de normes culturelles qu'ils hésitaient, moi y compris, à ébranler, parce que cela signifiait ébranler nos propres identités », où les développeurs supposent que tout le monde devrait être aussi techniquement compétent qu’eux.
Il a expliqué qu'il avait dû désapprendre cet état d'esprit, qu'il avait également constaté dans les outils de partage de fichiers antérieurs à Napster, pour reconnaître que les utilisateurs non techniques ne feraient pas des choses comme son hacking matériel, qui consistait à souder un interrupteur à un téléphone pour en désactiver le microphone.
« Je m'étais infligé des lésions cérébrales », a-t-il déclaré. « Beaucoup de gens dans ce monde qui étaient très familiers avec ce genre de choses vivaient des vies tout aussi folles ».
La gestion de la complexité
La leçon à retenir est que les développeurs doivent gérer la complexité au lieu de la déléguer aux utilisateurs. « L'intuition était de prendre la complexité et de la balancer à l'utilisateur », a-t-il déclaré. « Vous gérez la complexité au lieu d'en donner la responsabilité à l'utilisateur ».
Au lieu de rendre les utilisateurs responsables de la compréhension des outils complexes, les développeurs devraient simplifier l’expérience utilisateur. Signal, une application open-source, illustre bien cette approche en proposant un chiffrement de bout en bout dans une interface similaire à celle d’autres applications de messagerie.
Les applications de messagerie sécurisée utilisent le chiffrement pour préserver la confidentialité des communications
Le développement logiciel : un processus sans fin
Plus tôt dans son entretien avec Moss, Marlinspike a dépassé l'univers des logiciels de chiffrement pour parler de l'activité « fondamentalement coûteuse » du développement de logiciels. « J'envie les écrivains, les cinéastes, les musiciens, les gens qui peuvent créer quelque chose et en finir », a-t-il déclaré. « Les logiciels ne fonctionnent pas comme ça. Les logiciels ne sont jamais terminés ».
Marlinspike a ajouté qu'il était optimiste quant au potentiel de l'IA à rendre le développement de logiciels moins coûteux.
Dans un discours solo quelque peu sinueux qui a précédé sa conversation avec Moss, Marlinspike a adopté un point de vue encore plus philosophique sur sa profession en comparant le développement de logiciels à la magie telle qu'elle est décrite dans la série de livres Harry Potter. « Dans le monde d'Harry Potter, tout ce dont ils ont besoin, c'est de connaître les formules magiques et d'avoir une baguette », a-t-il déclaré. L'écriture de logiciels peut s'apparenter à cela - la baguette étant remplacée par un ordinateur portable - mais le monde de plus en plus complexe du développement commercial a érodé cet aspect en encourageant les codeurs à considérer les logiciels comme un empilement de boîtes noires.
« J'ai l'impression que cette magie s'est quelque peu estompée au fil du temps », a commenté Marlinspike. Mais les chercheurs en sécurité, comme ceux assis dans l'auditoire, ont...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.