Ethical tech guy

Chaque projet que vous entreprenez n'est pas dû au hasard. Plusieurs d'entre eux vous aideront pour vos futures grandes idées. Dans mon cas, la somme de toutes mes expériences personnelles a été un bagage important pour construire GeoRide. Vous en doutez peut-être aujourd'hui mais, tout ce que vous créez, aussi petit soit-il, sera d'une utilité certaine lorsque vous en aurez le plus besoin.

Avant de détailler toutes ces expériences utiles dans un prochain post, je vais m'attarder aujourd'hui sur mon passé d'activiste. Il est certain que vous avez également pu acquérir de fortes valeurs morales dans votre passé à travers tous ces projets.

Mon combat d'il y a plusieurs années était dédié à la protection de la vie privée, ce qui m'aide aujourd'hui à mieux protéger mes clients. Voici comment je mélange mon militantisme du passé avec mon business du présent.

Women look at security cameras
Photo by Matthew Henry / Unsplash

La protection des données

Cela devrait être évident mais l'obsession pour la protection des données de ses utilisateurs n'est aujourd'hui pas commune à tous les inventeurs. Voici quelques conseils si vous tenez à vos clients.

Ne construisez pas d'outils dangereux

Quelques personnes ont déjà eu l'occasion de me dire alors que je marchais dans la rue : "Tu pourrais savoir quelle moto à proximité est équipée de ton Tracker GPS GeoRide ? Pourquoi ne pas créer une application juste pour toi ? Ce serait rigolo.". Je réponds souvent que la curiosité est le plus gros ennemi de la sécurité.

Au-delà de la violation évidente de la vie privée de l'utilisateur, il est très dangereux de concevoir ce type d'application. Tout développement qui n'a pas d'intérêt réel si ce n'est que de nourrir une curiosité malsaine doit être évité. Si un tel outil arrive entre de mauvaises mains ce serait la catastrophe.

Sonar Batman
La meilleure image qui décrit le mieux ma pensée est celle de la terrible machine sonar de M. Fox dans Batman.

Au bureau nous avons une carte qui montre les connexions des boîtiers GPS en temps réel à notre serveur. C'est un outil de data-visualisation créé dans le but de comprendre ce qui se trame sous le capot. En effet, dans un monde aussi automatisé que le nôtre, on oublie toute la beauté des algorithmes cachés qui traitent des centaines de données à la seconde.

Pour garder cette éthique de protection des données, il a simplement fallu brouiller chacune des positions affichées, en les décalant volontairement de plusieurs dizaines de kilomètres chacune et de rendre cet outil uniquement accessible en interne.

Soyez paranoïaque (dans le code)

Le développeur d'une API (un programme informatique qui gère la partie sensible des données) a un rôle énorme. Je n'ai pas encore délégué cette tâche car il faut une rigueur extrême. Rien ne doit être laissé au hasard.

Par-exemple, la fonctionnalité dans GeoRide pour signaler son véhicule en panne permet de prévenir à vingt kilomètres à la ronde tous les utilisateurs de l'application afin que quelqu'un puisse aider le propriétaire. Aucun risque ? Pas vraiment.

Zone de verrouillage d'un boîtier GeoRide.

En y réfléchissant bien je me suis imaginé le cas d'un utilisateur malintentionné voulant récupérer la position d'un véhicule autour de lui. En effet, en déclarant un grand nombre de fois son véhicule volé sur l'application, le hacker aurait pu trianguler la position d'un véhicule à proximité. Puisque le nombre de personnes prévenues évoluerait entre zéro et un dans une zone peu peuplée,  il suffirait de faire le jeu de la bataille navale pour arriver à trouver la position exacte du véhicule recherché.

Bien que ce soit très peu probable, cela vous donne une idée du niveau de paranoïa qu'il faut avoir pour remplir cette mission. Dans ce cas précis, un rate limiter (protection logicielle pour empêcher une requête de s'exécuter un certain nombre de fois) plus agressif permet de corriger le problème. Les utilisateurs de GeoRide peuvent signaler un véhicule en panne toutes les deux heures et maximum deux fois par mois.

Lancez un bug bounty

Peu importe si vous respectez ces conseils à la lettre, il y aura toujours un risque de faille si vous ne confiez pas l'audit de votre infrastructure à une partie tierce. Il est indispensable aujourd'hui d'avoir un programme de bug bounty privé ou public pour une entreprise qui gère des données sensibles.

Concernant GeoRide nous avons un bug bounty privé qui tourne en ce moment même. Je pense cependant rajouter un programme de récompense public pour ceux qui souhaitent chercher des failles. Selon moi, toute entreprise moderne devrait utiliser un bug bounty.

Photo by Alina Karpenko / Unsplash

La gourmandise est un vilain défaut

Il n'y a pas de réel mal de diversifier son activité pour gagner plus d'argent. Seulement, cela peut parfois être synonyme d'actions à la limite de l'éthique et dangereuse pour le business.

On m'a par-exemple beaucoup demandé pourquoi il n'y avait pas de publicité dans GeoRide. Il suffit d'un peu de bon sens pour comprendre qu'avec un modèle économique solide comme le nôtre c'est tout simplement inutile et suicidaire.

Cela peut paraître évident mais certaines personnes pourraient penser qu'il n'y aurait pas vraiment de mal et que tout le monde pourrait y gagner. Garder l'éthique dans le business c'est aussi contenir sa gourmandise.