L’affaire a éclaté en janvier : des experts en sécurité informatique ont découvert, avec Meltdown et Spectre, l’existence d’un nouveau type de risque affectant le processeur des ordinateurs. Dans des circonstances spéciales, ces faiblesses peuvent permettre à un attaquant de récupérer des données sensibles qui ont été chargées en mémoire par anticipation, via l’exécution spéculative.
Devant ce problème, qui touche Intel mais aussi des sociétés rivales comme AMD et ARM, l’industrie s’est secrètement mobilisée depuis l’été dernier, date à laquelle ont été repérées ces vulnérabilités pour tenter de trouver une parade technique sans affoler le public ni donner des idées aux personnes malveillantes. En particulier, des correctifs techniques sont prévus pour la faille Meltdown.
Or, ces patchs pourraient avoir une incidence négative sur les performances du PC. Des tests préliminaires ont suggéré une réduction, dans certaines circonstances, de l’efficacité du processeur entre 5 % et 30 % après l’application du patch ; cependant, les chiffres les plus élevés ne porteraient que sur une opération spécifique effectuée par le processeur dans le cadre d’un usage serveur.
Ces mesures sont toutefois contestées par Intel. Pour le constructeur américain, la mise à jour corrective ne va pas ou peu affecter les processeurs. Google, qui planche aussi sur ce problème, pense aussi avoir trouvé une technique qui ne dégrade pas vraiment les performances, côté serveur. Ce qui laisse entendre que les solutions imaginées pour le grand public laisseront une empreinte encore plus faible.
Et en France ?
Ces indications n’ont pas dissuadé des clients américains de saisir la justice. Outre-Atlantique, trois actions de groupe ont d’ores et déjà été lancées contre Intel : le groupe américain est accusé d’avoir manqué à ses obligations et de se préparer à nuire aux performances de ses produits avec la conception de correctifs imparfaits. Une telle judiciarisation pourrait-elle faire tache d’huile en France ?
Quelques éléments de réponse nous ont été apportés par Nicolas Ereseo, maître de conférences à l’université de Strasbourg, spécialiste en droit de la consommation, et Malo Depincé, également maître de conférences à l’université de Montpellier, directeur du Master 2 de droit de la consommation et de la concurrence, afin de préciser le cadre du droit français et quels mécanismes juridiques pourraient être actionnés.
« En réalité, une baisse de performance de 5 ou de 30 % n’a pas tellement de sens, parce que c’est assez conceptuel », observe Malo Depincé. « La question que se poserait un juge ou qu’il faudrait argumenter devant lui réside dans les conséquences pratiques de ce ralentissement et l’impossibilité d’utiliser par exemple un logiciel très gourmand en processeur ou un ralentissement de l’usage tel que le consommateur n’aurait pas acheté l’ordinateur ».
« Une baisse de performance de 5 ou de 30 % n’a pas tellement de sens, car c’est assez conceptuel »
« Il faut aller au-delà des pourcentages et se demander quels sont les effets concrets sur l’usage », continue-t-il, « il ne faut pas rester au niveau général. En réalité, une telle baisse n’est pas toujours visible : quelqu’un qui fait simplement de la bureautique, s’il se retrouve privé de 30 % de processeur, il ne le verra pas nécessairement, parce qu’il n’y a pas besoin de cette puissance ».
Pour bien faire comprendre cette idée, c’est la métaphore de la voiture qui est filée :
« Prenez l’exemple d’une voiture : si on vous dit qu’elle peut rouler à 300 km/h mais qu’elle monte en réalité à 210, mais que l’usage auquel vous la destinez c’est de rouler sur la route sans dépasser les 130, il n’y a pas de vice caché, en quelque sorte. L’utilisateur ne voit pas de différence et les performances sont conformes à l’usage auquel il s’attendait, tant qu’il se contente de rouler sur le réseau public ».
De la question du vice caché
Dans ce cas, comment devrait procéder un client estimant subir une perte d’efficacité insupportable ?
Un angle d’attaque consisterait à passer par l’article 1641 du Code civil sur les vices cachés, note Nicolas Ereseo : « le vice caché, c’est le vice qui existe au moment de la vente mais qui peut très bien ne se révéler que par la suite. Il est constitué par le fait que le vice rend la chose impropre à l’usage auquel on la destine ou bien qu’il diminue tellement cet usage que l’acheteur en aurait donné un prix moindre s’il avait su ».
Selon le Code civil, l’usager dispose de 2 ans à partir de la découverte du vice. En cas de condamnation, le vendeur peut être amené à restituer tout ou partie du prix perçu et à payer des dommages-intérêts.. Il est aussi possible de passer par le code de la consommation, mais le délai d’action, toujours de 2 ans, démarre à compter de la vente, et non à compte de la découverte du défaut, ce qui est moins pertinent pour un matériel vendu il y a longtemps.
Mais encore faut-il pouvoir prouver l’existence de ce vice et c’est au client de le faire.
Il doit démontrer en justice que le produit, du fait du vice, n’est pas conforme à l’usage auquel le produit était destiné. Autrement dit, il faut prouver que le PC ne marche pas comme prévu. « C’est en quelque sorte une appréciation du résultat», relève Malo Depincé. « Il faut aussi qu’il prouve l’antériorité du vice, c’est-à-dire que le défaut est dû à un défaut de conception du processeur ».
Or, il existe une difficulté, estime Nicolas Ereseo. En effet, le défaut doit être antérieur à la vente et non pas postérieur. Or, les patchs dont il est question vont être proposés après la vente et vont donc potentiellement dégrader le produit quand la vente a déjà eu lieu. Pour le maître de conférences, il n’est pas certain qu’une action en vice caché aboutisse car les correctifs viendraient après, sauf à considérer que le vice est constitué par le défaut de sécurité du processeur qui lui est bien antérieur à la vente et non par le défaut de performance.
En outre, même si un correctif affecte le processeur pendant un temps, un autre patch peut ensuite intervenir pour ajuster le patch et régler le problème. C’est la chance des éditeurs de logiciels et des constructeurs informatiques, note Malo Depincé. Ils ont la possibilité de réparer un vice caché même après une vente. Mais il pourrait se poser la question du délai d’action entre les patchs.
D’abord, est-ce que le premier correctif crée un dommage au consommateur ? Ensuite, combien de temps faut-il attendre avant de constater la résolution du problème ? Si aucun patch ne survient pendant un moment et que le client a utilisé un ordinateur qui n’était pas conforme, alors il peut être en droit d’être indemnisé. Mais, précisent les deux spécialistes, il faut déterminer clairement ce que ça implique.
Car une diminution n’est pas nécessairement ressentie sur l’usage quotidien.
Le professionnel est toujours présumé connaître le vice.
En revanche, il peut être possible d’agir sur les vulnérabilités elles-mêmes.
« La jurisprudence pose une présomption très simple : si c’est un professionnel, il est toujours présumé connaître le vice. Une action s’appliquerait donc à Intel, puisque la société vend en France. Plus exactement, l’action en vice caché ne sera pas engagée contre Intel mais contre le vendeur (distributeur). et ensuite, celui-ci se retournera contre le fabricant », relève Malo Depincé.
Des recours collectifs peuvent-ils être envisagés en France, à l’image de ce qui se fait aux États-Unis ?
C’est possible, poursuit le maître de conférences, mais « il va falloir harmoniser véritablement l’action : si le problème ne vise que les éditeurs de PAO par exemple, combien de consommateurs sont lésés ? Peu. Et ce sont beaucoup de professionnels, donc l’action de groupe est impossible, car elle n’est ouverte qu’aux consommateurs ».
Par contre, il peut y avoir un angle d’attaque à travers, par exemple, les jeux vidéo. Ce hobby très populaire est aussi très gourmand en ressources, notamment au niveau du processeur. « On pourrait avoir un recours collectif des consommateurs, mais encore faut-il évaluer le préjudice et c’est très compliqué de le faire ». Cependant, Malo Depincé envisage un autre axe, peut-être plus grave encore :
Conformité et confidentialité
« Il y a peut-être un problème de conformité en termes de confidentialité : on peut établir un raisonnement devant le juge qui consiste à dire que le consommateur ne s’attend pas à ce que le processeur soit un mouchard qui permette à des tiers d’avoir accès à certaines informations », en laissant filer des données sensibles. Et c’est peut-être plus critique qu’un problème de conformité en termes de performances.
« Il faut se mettre à la place du consommateur : si un processeur est finalement un point de fuite d’informations personnelles vers des tiers, c’est un autre problème de conformité qui, selon moi, est potentiellement plus grave que le défaut de conformité en termes de performance. défaut qui sera toutefois délicat à prouver, sauf expertise évaluant notamment le temps de mise en œuvre des applications », note-t-il.
Mais ce défaut de conformité, dont la garantie légale est contenue dans l’article 217-5 du code de la consommation, nous est-il expliqué, peut aussi servir à la fois aux vices cachés et aux défauts de livraison conforme, c’est-à-dire quelque chose qui est visible dès la vente. C’est le même régime. Mais encore faut-il disposer de données chiffrées, de références, pour agir efficacement.
«Le consommateur a un droit d’action contre le vendeur si le produit n’est pas conforme, c’est-à-dire si le produit n’est pas propre à l’usage habituellement attendu d’un bien semblable. ll faut donc s’interroger sur l’usage habituellement attendu : qu’est-ce qu’on attend concrètement d’un processeur ? C’est qu’il soit en mesure de traiter des ordres qui lui sont donnés dans un certain temps ».
«Le consommateur a un droit d’action contre le vendeur si le produit n’est pas conforme »
Une autre exigence concerne les caractéristiques qui sont mises en avant par la société qui commercialise le produit. « Cela peut être intéressant, parce que cela suppose de voir par exemple quels sont les engagements pris par Intel : est-ce que la société Intel a chiffré dans ses documents commerciaux les performances des processeurs ? Est-ce que cela a été intégré dans les contrats ? Annoncé par la publicité ? ».
Il existe donc un certain nombre de leviers juridiques qu’un client s’estimant lésé et étant en mesure de prouver les effets néfastes sur son usage pourrait actionner au tribunal. Ces pistes, qui pourraient être suivies en justice, ne sont pas les seules qui existent par ailleurs D’autres, sur le plan civil ou pénal, comme la pratique commerciale déloyale, pourraient être mobilisées. Reste à savoir qui passera de la théorie à la pratique.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.