Chapitre 1 – Vulnérabilité

Le texte défile à l’écran sous mes coups de molette pressés. Un regard à ma montre. Bon, dans les temps, ça va le faire… Souffle doucement, en respiration basse, pour terminer de relâcher les crispations. La boule de tension se desserre un peu. Allez, deux rapports sectoriels à survoler, et on y est. Les yeux intégraux Ophtalmeus 6. Ah, Gerhart voulait un bilan comparé des incidents techniques les concernant. Pour tout le service clientèle, à l’international. Mes muscles se contractent à nouveau, oublient le petit exercice de relaxation. Je rapproche mon deuxième écran, le rapport de fin d’année de l’Ophtalmeus 5 d’un côté, celui du nouveau modèle sur l’autre affichage. On y va.

Des coups timides à la porte.

Pointe d’agacement. Je suis bien tenté de ne pas répondre…

Les coups reprennent un degré plus fort, mais toujours discrets. Allez.

— Oui, entrez.

Le battant s’ouvre doucement, Davis apparaît dans l’entrebâillement. Pincé, il sait qu’il dérange.

— Pardonnez-moi monsieur William, je sais que vous avez demandé à ce qu’aucun rendez-vous ne vous soit transmis pour cette après-midi, mais l’ingénieur en chef du service Assistance & Maintenance insiste pour vous parler de vive voix.

Le timing… Et la boule au ventre qui se réveille.

— Eh bien, faites-le encore patienter le temps que je termine le rapport pour la réunion trimestrielle. J’en ai pour, disons… deux heures tout au plus.

— Il précise bien que le problème ne peut – malheureusement – pas attendre. Il semblait très… nerveux, monsieur.

Je soupire doucement.

— Très bien. Dites-lui de venir me voir alors, Davis.

Il acquiesce et referme la porte, toujours aussi précautionneux. Nouveau soupir, mon regard glisse vers les deux dossiers de bilan à peine entamés, un vingtième environ de la barre de défilement du document, et je réduis mes fenêtres de travail.

Bon. Efficacité. Règle ce que veut l’ingé chef A&M, un aller-retour cafetière, et les deux bilans à enchaîner. Ça va le faire. Mais s’il insiste pour venir me parler en face à face, c’est que c’est vraiment grave. C’est que ça va prendre du temps.

Coups à la porte.

— Entrez.

Verdict ? Oui, c’est lui. Comment déjà… Ronand ? Sa silhouette apparaît en légère surbrillance, le petit logo de téléchargement scintille un instant dans son coin à droite. Paul RONAND, Ingénieur Chef, secteur Assistance & Maintenance.

— Bonjour, monsieur William, merci d’avoir accepté de me recevoir.

Quelques tics nerveux, il débite vite, désactive ses lunettes connectées d’un geste sec. Tiens, il a ses « vrais » yeux. Détail presque intrigant.

— C’est normal. Je vous en prie…

Ronand hoche la tête, s’installe dans l’un des fauteuils devant mon bureau.

— Alors, que se passe-t-il ? Un problème sur l’une de nos dernières sorties de matériel ? L’Ophtalmeus 6 qui révèle des vices de série ? Si c’est le cas, vous faites bien de me prévenir vite, ça m’épargnera de reprendre mon rapport trimestriel à zéro !

Ma tentative de plaisanterie tombe à plat, il secoue la tête, trop, beaucoup trop sérieux. L’anxiété monte pour moi aussi.

— Il ne s’agit pas d’une nouvelle série de matériel, mais de l’intégralité de nos équipements en circulation, monsieur William ! C’est une vulnérabilité du firmware – du logiciel de base de nos prothèses.

— Une vulnérabilité… Vous voulez dire que les implants ont été infectés par un virus, ou quelque chose du genre ?

Il hoche la tête, frotte sa barbe bien taillée.

— Nous l’avons découverte cette nuit déjà bien trop tard, en constatant qu’elle était exploitée. Mais… depuis combien de temps ? Comment ? Ça, on ne…

Je l’interromps d’un geste.

Boule d’angoisse. Tout est encore trop abstrait, mais l’imagination fait déjà le reste. Des pacemakers qu’on emballe à distance, des respirateurs qu’on… Laissons ça. Les faits, d’abord, les faits. Je me lance :

— Attendez, Ronand. Dans la théorie, nous avons suffisamment de verrous au niveau du logiciel interne des prothèses – du firmware, comme vous dites – pour que le programme malveillant ne puisse pas agir librement. Par exemple gagner une élévation de privilèges, c’est ça ? Le programme ne pourrait avoir accès qu’à des fonctions très superficielles.

Il semble vaguement surpris que j’emploie ces termes.

— C’est précisément le problème, monsieur William : la vulnérabilité découverte autorise une élévation de privilèges du malware jusqu’à l’accès root. L’infection s’est déjà installée en superuser.

— Ralentissez, s’il vous plaît… Je connais quelques notions, mais là ça va un peu loin pour moi.

— Désolé. Disons, en clair, que le virus est parvenu à s’installer d’une façon qui n’est normalement possible que pour nous, avec les accès d’administration, comme pour les mises à jour du firmware, par exemple. Ce qui fait que, même lorsque nous trouverons le moyen de patcher cette vulnérabilité…

Je ferme les yeux, lève à nouveau la main pour l’arrêter.

— Ceci, cette partie : patcher la vulnérabilité. Où en sommes-nous ?

— Nos programmeurs s’y mettront dès qu’ils pourront. Dès que nous aurons suffisamment cerné la faille.

Je hoche la tête, rouvre les paupières.

— Très bien. Continuez, s’il vous plaît.

Il réfléchit un instant, puis reprend :

— Même une fois la vulnérabilité patchée, nous ne sommes pas certains de parvenir à nettoyer suffisamment le système de la prothèse. Il faudra probablement la réinitialiser.

— Vous voulez dire, remettre à zéro tout le système ? Je suppose que nous pouvons le faire à distance, n’est-ce pas ? Directement dans tous les implants, dès qu’ils se connectent ?

— Bien sûr ! Mais il y a beaucoup d’autres facteurs… Par exemple : le temps de la réinitialisation, les prothèses sont inactives. Vous imaginez l’effet pour le porteur !

Un silence comme une chape de plomb.

— Il faudra donc s’arranger avec chaque personne au cas par cas. Pour que… Attendez. Dites-moi : est-ce que les effets de l’infection valent réellement une réinitialisation ? Vous l’avez détectée, mais concrètement, est-ce que les utilisateurs en ressentaient une quelconque gêne au final ?

Il ne semble pas apprécier la question, marque un temps de pause, son regard est sombre. Puis, il ouvre la bouche, s’apprête à répondre, mais une sonnerie criarde le coupe dans l’élan. Il tressaille, me lance un regard contrit, puis fouille ses poches et finit par retrouver le portable dans sa veste.

— Désolé, monsieur, je dois…

Il se lève du fauteuil, s’écarte de quelques pas, prend l’appel.

— Oui ? Alors ? (Il se tourne à nouveau vers moi. Ça concerne notre problème, à coup sûr.) Oh mon… D’accord. D’accord. Oui. Merci.

Le ton est morne, ne présage rien de bon. Je le regarde ranger trop minutieusement son téléphone, le glisser lentement dans sa poche. Il est déjà ailleurs, son cerveau tourne à deux cents à l’heure. Puis il revient vers moi, soupire :

— Ils l’emmènent aux urgences. Il était en infarctus.

— Qui ? Pourquoi ? Expliquez-vous !

— Un client venu consulter notre service médical de nuit. C’est sur lui qu’on a identifié l’infection.

Continuer vers le chapitre 2