Les enjeux éthiques, légaux et sociétaux des TI

ADM 3028 / Les enjeux éthiques, légaux et sociétaux des TI

Cas :1

Question 1

A)

Tout d’abord, l’utilitarisme sera l’école de pensée utilisée pour juger les actions prises par Mike Lynn. La principale fonction de l’utilitarisme est d’augmenter le bonheur ou l’utilité. Une action peut entrainer une diminution de l’utilité pour certaines personnes et l’augmenter pour d’autres et c’est l’utilité globale qui va déterminer si cela a été éthiquement correct ou non.

Pour déterminer l’utilité globale il faut considérer les conséquences, les avantages et les dommages pour toutes les personnes concernées et ensuite voir si cela à apporter plus de positif que de négatif à la situation.

Dans le cas, M. Lynn dit : « J’estimais que je devais faire ce qui est bon pour le pays et pour l’infrastructure nationale ».1 C’est parole démontre une sincère volonté de bien faire et qu’il était de son devoir de divulguer sa découverte aux professionnels de la sécurité en TI et au public pour pousser Cisco à effectuer des changements aux routeurs. Jusqu’à présent tout cela est bien et on constate que l’utilité globale est positive, car les citoyens seront mieux protégés par rapport à l’atteinte à l’image subie par la compagnie.

Toutefois, le moyen utilisé par M. Lynn pour divulguer cette découverte pose problème. Je sois d’accord avec le fait qu’il fallait avertir le grand public, mais pas les Black Hat.   M. Lynn avait la responsabilité, le devoir éthique et moral d’agir de façon à obtenir une utilité globale positive.

Or en ayant pris la décision d’informer les Blacks Hat de la faille, cela a créé bien plus d’ennui que nécessaire et a fait en sorte que l’utilité globale est devenue négative. Les conséquences, les avantages et les dommages pouvant être causés par ses actes ont mal été réfléchis et pris en compte.

Bref dans le cas, M. Lynn était pleinement conscient des conséquences de ses gestes. Le fait d’avoir choisi d’inclure des pirates informatiques à la réunion et de divulguer comment attaquer la faille démontre son irresponsabilité et son immaturité éthique et morale ce qui va à l’encontre de l’utilitarisme. S’il avait seulement informé le grand public d’une faille, l’utilitarisme aurait été respecté, mais pas dans le cas de M. Lynn.

B)

L’approche utilisée est conséquentielle puisque l’approche déontologique a tendance à mettre de l’avant des obligations et des règles absolues à suivre qu’elles mènent ou non à des conséquences positives ou négatives. Or, je crois qu’il est plus avantageux de mesurer les conséquences de nos gestes dans une situation où il n’y a rien à gagner personnellement pour avoir un résultat positif.

Aussi, un utilitariste sera plus enclin qu’un déontologue à ne pas respecter une règle dans des circonstances où les conséquences seraient favorables. La décision de M. Lynn n’était pas bonne dans la mesure où elle a mené à une situation négative qui aurait pu être évitée. Cisco aurait corrigé cette faille sans la pression des Black Hat. Pour le bien de tous, il aurait été mieux de ne pas divulguer l’information au Black Hat.

C)

Pour ce qui est d’ISS et de Cisco, l’approche déontologique sera l’école de pensée pour défendre leur décision. Je crois que ces deux compagnies ont agi de façon éthique lorsqu’ils sont pris la décision d’interdire à M. Lynn de trop divulguer d’information, car cela était pour protéger leur client d’attaque informatique. Cette approche est judicieuse dans le sens ou la raison qui définit les règles de l’action éthique doit être suivie par la logique. Comme le cite Kant, « la rationalité est la norme du bien. Nous pouvons soutenir ce qui a du sens et agir en conséquence, ou nous pouvons agir de façon irrationnelle, ce qui est néfaste. ».2

Dans notre cas, l’ISS et Cisco ont agi de façon logique et cohérente en ne voulant pas informer les pirates informatiques ce qui aurait été bénéfique pour eux et pour leur client, alors que M. Lynn à agit de façon irrationnelle ce qui a été néfaste pour tous. Le fait de vouloir en parler uniquement au membre de l’entreprise et de corrigé la faille était éthique, car il ne mentait pas sur l’existence de la faille, mais cherchait à protéger l’organisation et les clients.

Aussi, Kant mentionne « qu’il est judicieux d’utiliser la raison, le rationnel et le jugement, plutôt que les émotions, lorsque vous prenez une décision dans un contexte éthique. »3 Dans notre cas, seul M. Lynn a agi sous l’émotion de façon non éthique. Quant à eux, ils sont pris le temps d’analyser la situation et de prendre une décision logique et basée sur la raison.

Puis, il est évident que Cisco et ISS voulaient protéger ses clients dont certains sont des clients très importants. De plus, selon la déontologie, M. Lynn a violé les droits intellectuels puisque l’information divulguer touche le fonctionnement et l’accès au système de l’entreprise.  

D)

Tout d’abord, l’approche est plus déontologique puisque la propriété intellectuelle appartient à Cisco et que la décision et la façon d’agir dans ce dossier étaient de leur ressort. La raison doit dominer sur les émotions et aucun doute pour moi qu’ISS et Cisco voulaient protéger les milliers de clients dans leur intérêt. Ils sont pris le temps d’analyser la situation avec la raison et cohérence et j’ai bien vu que cela étant dans l’intérêt positif de tous.

Deuxième cas

Question 4

A)

Outre les attaques de courriels lucratifs qui font la publicité de site, le réseau de botnets peut faire des attaques de virus et de programmes malveillants envers des particuliers ou des entreprises. Le ver Storm envoie un courriel à une entreprise bien banal et lorsqu’un employé clique dessus un virus entre dans l’ordinateur de la compagnie. Une fois cela fait le botnet peut avoir accès au système interne, aux informations sensibles de l’entreprise, des clients, etc.

Dans certains cas, le botnet peut bloquer complètement le système de l’entreprise pour par la suite demander une rançon contre le déblocage du système. Aussi, une fois un ordinateur interne infecté, il peut aisément infecter les autres ordinateurs créant ainsi un réseau zombie qui ira envoyer des virus a d’autres entreprises ou particuliers.

...